サイドチェーン (プラズマ) からロールアップへ

プラズマ

チャネル技術はレイヤー1のスループットを向上させますが、チャネルは主に高頻度で少額の支払いをサポートしており、大規模な資金移動を処理することは困難です.これはチャネル技術の限界です.この問題を解決するために,サイドチェーン技術が誕生しました。サイドチェーンは、カスタム コンセンサス メカニズム、データ構造、コミュニティ運用モデルなどを備えた独立したブロックチェーンです。主鎖は一般に側鎖の存在を知らず、側鎖は主鎖の正常な動作に影響を与えないため、側鎖は主鎖の骨格を変更せずに拡張を達成するためのソリューションでもあります。初期のサイド チェーンの設計構造はサード パーティの取引所のようなもので、ユーザーはメイン チェーンとサイド チェーンの間で資産を転送し、サイド チェーンで取引を完了することができます。これにより、ユーザーの取引コストが削減され、取引量が共有されます。メインチェーンの価値を間接的に向上させます. スループット. サイドチェーンはより大きなトランザクションを処理できますが、本質的にはサイドチェーンのオペレーターを信頼する必要があり、これはブロックチェーンの分散化の考え方に反します. サイドチェーンを分散化するために、一部の学者は、このようにサイドチェーンの中央集権性を弱めようとしている。このアイデアを実装する最も代表的なサイドチェーンは、Plasma チェーンです。Plasma チェーンは単なるプロジェクトではなく、Plasma MVP、Plasma Cash、Plasma Debit が参加するフレームワークのようなものです。

資産譲渡

メインチェーンの資産を Plasma チェーンに転送してトランザクションを行いたい場合、メインネットワーク上の Plasma に対応するアドレスに資産を直接転送すると、同じブロックチェーン上にないため、トランザクションの失敗や資産の損失が発生する可能性があります。Plasma はメイン ネットワーク (イーサリアム) にスマート コントラクトを展開しており (図 8 を参照)、ユーザーが資産をイーサリアム上の Plasma の指定されたアドレスに転送すると、Plasma は同等の代替トークンを作成します。ユーザーが Plasma からアセットを引き出すと、Plasma は以前に作成されたトークンを破棄し、対応するアセットをメインネット上のユーザーにリリースします。ここで minting と burn を行う理由は、資産は物理的な意味でチェーンをまたがって移動できないためです. したがって、メイン チェーンをロックし、サイド チェーンをキャストして破棄することにより、クロスチェーン アセットが論理的に実現されます。

図 8

提出されたステータス

Plasma は、サイドチェーンの集中化特性を弱めるために、各サイドチェーンのブロックヘッダーをメインチェーンに配置することを提案しています. 一方では、ユーザーが実行結果の正確性を検証するために使用できます. . しかし、メイン チェーンにはまだブロック ヘッダーが大きすぎるため、メイン チェーンのストレージ スペースを削減するために、Plasma はマークル ルートを使用して各ブロックの各トランザクションのステータスを表します。
メイン チェーンがサイド チェーンのステータスを認識せず、サイド チェーンがメイン チェーンでトランザクションを処理している場合、サイド チェーンが悪意を持っているかどうかを判断できないため、これはどの当事者にとっても安全なことではありません。オペレータ メイン チェーンの Plasma コントラクトにマークル ルートを送信します。
マークル ルートは大量のトランザクションを圧縮するだけでなく、偽造が困難なため、ユーザーはブロック内のすべてのトランザクションのステータスを計算することで、オペレーターが提出したマークル ルートが正しいかどうかを計算できます。2 つのマークル ツリーのリーフ ノードに格納されている情報がまったく同じ場合にのみ、2 つのマークル ツリーのマークル ルートが一致します。同時に、マークル ルートはノードのハッシュ値を介して要素がセット内にあるかどうかをすばやく確認し、関連するノードのハッシュ値をダウンロードできます (図 9 を参照)。ルート証明は、トランザクションが特定のブロックに含まれていることを証明します。

図 9:
Plasma チェーンが新しいトランザクションを実行すると、新しい状態が生成されます. このとき、親チェーンによって保存された状態ルート (Merkel ルート) もそれに応じて変更されます. ユーザーは Plasma にダウンロードされたトランザクション情報をダウンロードできます. chain in EVM 仮想マシン (サイド チェーンで使用される仮想マシンは一般的に Ethereum と一致します) で計算し、親チェーンに保存されている状態ルートが正しいかどうかを比較します。
各 Plasma チェーンは、理論的には親チェーンの作業負荷を軽減するために、より多くのサブチェーンを作成できます。サブチェーンはツリーの形で編成でき、チェーン ツリーには法廷システムがあります。つまり、親チェーンはサブチェーンのブロックヘッダーとマークルルートを保持しているため、チェーン紛争が発生し、不正証明で簡単に判断できます。

詐欺の証拠

サイド チェーンが悪意のあるブロックを生成する場合、ユーザーには対策がありません。Plasma が提供する対応する解決策は、ステート ルートをその親チェーンに格納することです。ユーザーは、サイド チェーン オペレーターが不正の証明を通じて悪意のあるブロックを生成するのを防ぐことができます。ユーザーがサイド チェーンを監視して悪意のあるブロックを見つけた場合、マークル ルートを含む不正証明をその親チェーンに送信できます。その後、悪意のあるブロックはロールバックされ、悪意のあるブロックの作成者は処罰されます。

図 10
ユーザーがサイド チェーンからメイン チェーンにアセットを引き出す場合、マークル ルートを含むリクエストも使用する必要があります。ユーザーはメインチェーンのPlasmaコントラクトに出金要求を送信し、コントラクトはユーザーが出金したい資産が存在するかどうか、つまり、指定されたブロックの指定されたトランザクションにユーザーの未使用のアウトプットがあるかどうかを確認します(Plasma は UTXO モデルを使用します)。ここでの設計は、悪意のあるユーザーが虚偽の要求 (自分に属していないアセットを抽出する) を行うことを防ぐためのものですが、悪意のあるユーザーは依然として契約を証明するために虚偽の証拠を作成する可能性があります. メインチ​​ェーンは積極的にオフチェーンの情報を取得できないため、エルゲンの計算が正しいかどうかを確認することしかできませんが、その真正性を証明するために確認することはできないため、「チャレンジ期間」メカニズムが導入されました。「チャレンジ期間」（通常は 1 週間）の間、誰でも不正証明を作成して出金リクエストに異議を申し立てることができます。ブロック生成者、撤回者、挑戦者のいずれであっても、アクションを実行する前に特定の預金をロックする必要があります. 挑戦/防御に成功した当事者は報酬を受け、挑戦/防御に失敗した当事者は預金の一部を差し引かれます. .
チャレンジ期間中に誰も詐欺の証明を提供しない場合、サイド チェーン ブロックは永久に有効になり、ロールバックされません。同様に、出金リクエストは通過し、Plasma 契約により、ユーザーは資産を取り戻すことができます。

評価

Plasmaは「チャネル」技術と比較して、伝統的な第三者取引所のようなもので、一般的に言えば、ユーザーはPlasmaに入金するだけで取引を開始でき、開始するのが難しくなく、インタラクティブな体験が良好です。Plasma はメイン チェーンがスマート コントラクトを使用するのをサポートしますが、「チャネル」は UTXO モデル チェーンに直面したときのアプリケーション パフォーマンスが優れており、その適用範囲は狭いです。ただし、Plasma チェーン自体は UTXO 台帳モデルを使用しており、スマート コントラクト (複雑な計算) をサポートしていません。Plasma 出金には時間がかかりますが、迅速な出金が必要なユーザーは、流動性プールを使用して資金をすばやく出金できますが、手数料が高くなる可能性があります。
スケーラビリティ: サイド チェーンには非常に柔軟なチェーン カスタマイズ方法があるため、Plasma チェーンのスループットは、その設計で使用されるコンセンサス メカニズム、ブロック データ構造のサイズ、およびガス消費制限に依存します。プラズマ チェーンを親チェーンとして使用して子プラズマ チェーンを作成し、スループットをさらに向上させることができます。
セキュリティ: Plasma はメイン チェーンにステート ルートを格納することで、メイン チェーンのセキュリティを継承します。Plasma では 1 人の人物 (またはプルーフ オブ ステーク ネットワークの参加者のネットワーク) がブロックチェーンを管理できますが、Plasma オペレーターはユーザーの資金を盗み、メイン ネットワークでトランザクション情報を開示しない (ステート ルートのみを送信する) 可能性があります。つまり、ユーザーはトランザクション情報を使用して詐欺の証拠を構築し、オペレーターの悪行を証明することはできません。出金メカニズムにより、ユーザーの出金注文はUTXOの作成時間に従ってソートされます（ユーザーとオペレーターが同時に出金する場合、ユーザーの出金リクエストが最初に実行されます）。このような事業者が悪事を働くと、ユーザーはメインネットワーク（イーサリアム）上で大規模なPlasma退出を申請し、メインネットワークのネットワーク混雑につながります。そして、この問題は、プラズマ ソリューションの開発を妨げる重要な理由でもあります。ユーザーは、メイン ネットワークの状態ルートが正しいかどうかを定期的に監視する必要があります.一方で、ユーザーは定期的な監視を維持する必要があります.他方では、ネットワーク内に正直で監視しているユーザーがいる限り、正しい状態root と Plasma のセキュリティを保証できます。
分散化の程度: 理論的には、Plasma はフレームワークに似ています. このフレームワークの現在の派生バージョンには、Plasma Cash、Plasma MVP、Plasma Debit などが含まれており、これらのプロジェクトの分散化の程度は、使用するコンセンサスメカニズムによって異なります. Plasma はステート ルートをメイン ネットワークに格納することで、不完全な集中型プロジェクトに構築しようとしますが、その不完全な分散化の制限は、Plasma の開発を制限する重要な理由です。

巻き上げる

2018 年、研究者たちは、チャネル データの可用性、Plasma の UTXO のサポート、およびスマート コントラクトのメイン チェーンの利点を組み合わせることで、Rollup フレームワークを提案しました。ロールアップ フレームワークの考え方は、トランザクションを計算のためにオフチェーンに移動し、そのステート ルートをメイン チェーンに保存し、トランザクション データをメイン チェーンに同時に保存することですが、トランザクション データをメイン チェーンに転送することは現実的ではありません。トランザクション情報はそのままチェーンに送信されるため、Rollup はトランザクションを圧縮して集約し、検証するトランザクションに必要な情報のみを保存し、トランザクションのバッチをダイジェストにパッケージ化してチェーンに保存します。この方法によってもたらされる 2 つの利点は次のとおりです: 1. オンチェーン イーサリアムのコストは、バッチ内の各トランザクションに均等に分散されるため、セキュリティが確保され、コストが大幅に削減されます; 2. データが利用できないという問題が回避されます。メイン チェーンから取得したユーザーは、資産を保護するための不正証明を簡単に作成できます。現在、Optimist Rollup (以下「OP」) と Zero Knowledge Rollup (以下「ZK」) の 2 つの Rollup テクノロジがあります。OP はトランザクション プロセス全体について楽観的であり、オフチェーン コンピューティングは信頼性が高く、チェーンには正直な参加者がいると考えているため、オペレーターはメイン ネットワークに送信された情報を検証しませんが、チャレンジ期間があります。ユーザーの権利を保護するために。ZK は、厳密な暗号証明を通じて、メイン ネットワークに送信された情報の有効性を証明します。

楽観的なロールアップ

Plasma と同様に、OP は不正証明に依存してトランザクションの正当性を検出します. OP がメイン チェーンにブロック (サマリーと状態ルートを含む) を送信した後、チャレンジ期間 (7 日間) があり、誰でも不正証明を構築できます。ブロックに挑戦。チャレンジ期間終了後、チャレンジがない場合はメインチェーン上で確定となり、ロールバックはできません。他のユーザーは、正しいと思われるブロックの後に新しいブロックを送信できます. 新しいブロックの親/祖先ブロックへの挑戦が成功すると、次のブロックもロールバックされ、保証金が没収されます.

図 11 (写真は Arbitrum ホワイト ペーパー V2.0 から引用)
OP の動作メカニズムは次のとおりです。ユーザーはトランザクションを L2 上のノードに送信し、各ノードはトランザクションを特別なフル ノード (ソーターとも呼ばれます) に定期的に送信します。トランザクションは圧縮されて要約に集約され、メイン チェーン上の OP のインボックス コントラクトに要約が送信されます. ユーザーはインボックスから要約を取り出して解凍し、計算のためにトランザクションを実行します最終状態のルート ルートと必要な証明 (プライバシー保護を含む) は、メイン チェーンのロールアップ プロトコルに送信されます。OP には、L1 と L2 の間のクロスチェーン トランザクションの維持と、さまざまな機能の通常の運用を担当するメイン チェーンに関する一連のコントラクトがあり、各コントラクトはさまざまなビジネスを担当します。ソーターは、送信されたばかりのトランザクションを計算して L2 ブロックを生成し、状態ルートを取得します。これは、状態ルートがチャレンジ期間後に L1 に送信された後に実際に有効になります。
理論的には、どの参加者もブロックと状態のルート プロデューサーになることができます. 方法は非常に簡単です: 参加者は L1 のインボックス コントラクトからトランザクションの概要を取得し、その結果は仮想マシンの操作を通じて取得できます.一方で、ブロック生成に参加できますが、ソーターの方が高速です (ダイジェストはソーターによって生成され、他の参加者は、どのトランザクションが実行されようとしているのかを知るために、ダイジェストが送信されるまで待つ必要があるため) ; 一方、ソーターの計算結果が正しいかどうかを検証できます。ただし、管理を容易にするために、OP の現在のバージョンはソーターによって現在作成されており、検証者は、異議を申し立てる権利を行使する前に、ホワイトリストへの登録を申請する必要があります。OP は将来、パーミッションを開放します。すべてのユーザーがブロックの生成と検証に参加できるようにします。
特定のトランザクションのパッケージ化を拒否するなど、ソーターの集中化された動作を回避するために、OP は通常、メイン チェーンに遅延受信ボックス コントラクトを構築します. ユーザーは、L1 の遅延受信ボックス コントラクトにトランザクションを直接送信できます.コントラクトは受信ボックス コントラクトに強制的にアップグレードされ、トランザクションが強制されます。
いつでも、OP チェーンの状態はマークル ツリーを介して状態ルートとして計算され、状態ルートは OP チェーンの最新の状態を反映します。OP チェーンに新しいステート ルートを送信するたびに、古いステート ルートを添付する必要があります.古いステート ルートが前のステートの新しいステート ルートと同じ場合にのみ、チャレンジ期間に入ることができます.他の参加者の監督、それ以外の場合は直接破棄されます。

図 12
Plasma で一般的に使用されている不正証明の検証方法は、問題のあるトランザクションをリプレイして、問題があるかどうかを確認することです. リプレイは、チェーン上の仮想マシンでトランザクションを再実行する必要があります. ただし、ロールアップ パッケージ化されたトランザクションでは、それらの一部をリプレイしますトランザクションとは、問題のあるトランザクションが実行されるまで、トランザクションのバッチ内の以前のいくつかのトランザクションを順次実行する必要があることを意味します。その後、実行結果が計算のためにマークル ツリーに入れられます。これには、多くの時間と経済的コストがかかります。したがって、OP はインタラクティブな詐欺証明を提案します。OP プロジェクト Arbitrum を例にとると、挑戦者と被挑戦者との複数回のやり取りを通じて、紛争の範囲は特定の指示に継続的に絞り込まれます.このとき、挑戦者は「ワンステップ証明」を提供する必要がありますメインチェーン調停コントラクト この命令を実行するだけで結果が得られます。大量のトランザクションを実行する必要はありません。チャレンジャーが挑戦する部分がx実行ステップを含む場合、ディフェンダーはxステップを2つに分割し、それが実行されたときの状態と最終状態をx/2に与え、チャレンジャーは正しい状態を選択し、次に防御側は残りの半分を 2 つに分割し続け、挑戦者は正しい状態を選択し続けます.複数回のやり取りの後、紛争の範囲は特定の指示に絞り込まれます.このとき、L1 仲裁契約とは論争の指示と保護者に従って実際に行う 著者の陳述が論争を解決するために正しいかどうか。一般に、インタラクティブなバイナリ プロトコルの使用範囲は小さく、プロジェクト パーティは要件に応じて状態選択ごとに k 個 (k>=2) の分割を実行することがよくあります。

図 13
OP にはコンセンサス メカニズムがありません, OP はメイン チェーンの OP チェーンで発生したすべての履歴トランザクションとトランザクション シーケンスを記録するため. ユーザーは必要なすべての情報を見つけて、インボックス コントラクトで OP チェーンの状態を復元できます。履歴状態は、最新の状態ルートと履歴状態ルートに一致します。デポジットを支払った後、誰でもブロック プロデューサーおよび検証者になることができます. スループットが高いため、ブロック生成のトークン報酬は非常に低いか、まったくない (Arbitrum など) ため、トークン報酬による同様のビットコインとイーサリアムはありません。ユーザーがネットワークの状態を維持できるようにします。OP は、OP ネットワークを維持するために多数の通常のユーザーや関係のないユーザーを必要としません.たとえば、マイニングプールでマイニングしてトークンを取得するマイナーは、チェーン上の資産を所有する直接関係者がバリデーターになって自分自身を維持できることを望んでいます.資産のセキュリティ プロデューサー。同時に、OP 詐欺防止メカニズムの特性により、ネットワーク内の 1 つの正直な検証者のみがネットワークと資産のセキュリティを保証できます。

ゼロ ナレッジ ロールアップ

ZK オペレーターは、各トランザクションを個別に送信するのではなく、バッチ内のすべてのトランザクションの状態遷移を表すダイジェストを送信します。また、状態変化の正しさを証明するために、ゼロ知識証明 (有効性証明) も生成します。ゼロ知識証明は、暗号的に自己証明することができ、バッチ内のすべてのトランザクションが実行された後、提案された Ethereum 状態変更が実際に最終結果であることを保証します (すべてのトランザクションを実行して最終結果を計算する代わりに、証明によって検証できます)。 ) マークル根は正しい)。
ZK の状態は、メインネットにデプロイされたスマート コントラクトによって維持されます。この状態を更新するために、ZK ノードはゼロ知識証明を提出して、ZK オペレーターによって提案された状態変更が実際にトランザクションの特定のバッチを実行した結果であることを検証する必要があります。これは、OP のようにすべてのトランザクション データをチェーンに発行する代わりに、ZK が Ethereum でトランザクションを完了するために有効性の証明を提供するだけでよいことを意味します。
ZK コントラクトがゼロ知識証明を検証すると、出金トランザクションが実行されるため、ZK から Ethereum への資金移動に遅延はありません。代わりに、OP からの資金の引き出しには遅延 (チャレンジ期間) が発生し、不正証明を使用して誰でも出口トランザクションにチャレンジできるようになります。
トランザクション データは、OP と同様に calldata として Ethereum 上に公開されます。calldata は、関数にパラメーターを渡すために使用されるスマート コントラクト内のデータ領域であり、その動作はメモリに似ています。calldata はイーサリアムの状態に保存されませんが、イーサリアム チェーンの履歴ログの一部としてチェーン上に保持されます。calldata は Ethereum の状態に影響を与えないため、データをオンチェーンに保存する手頃な方法です。ZK は、オフチェーンで処理されたすべてのトランザクションの状態データを Ethereum に発行します。このデータを使用して、ユーザーは ZK チェーンの状態をコピーし、チェーン自体を検証できます。イーサリアムは、このデータをネットワークのすべての参加者が通話データとして利用できるようにします。
ZK は、チェーン上で大量のトランザクション データを公開する必要はありません。これは、有効性の証明によって状態遷移の信頼性が検証されているためです。それでも、データをオンチェーンに保存することは重要です。これにより、ユーザーは常に L2 チェーンの状態を個別に確認できるため、誰でもロールアップ ブロックを送信でき、悪意のあるオペレーターがチェーンを検閲または凍結するのを防ぐことができます。ユーザーは、L2 オンチェーンと対話する必要があります。州データにアクセスできないと、ユーザーは口座残高を照会したり、州情報に依存するトランザクション (引き出しなど) を開始したりできません。
場合によっては、オペレーターは、トランザクションを実行し、それらをダイジェストに集約し、メインネットに送信する中央エンティティ (つまり、注文者) です。このシステムの発注者は、L2 ネットワーク ブロックを生成し、L2 トランザクションを ZK コントラクトに追加できる唯一のエンティティです。ZK は、一連のプルーフ オブ ステーク バリデーターを通じてオペレーターの役割をローテーションすることもできます。他のオペレーターの候補者は ZK スマート コントラクトに資金を入金します。各プレッジの金額は、次のトランザクションのバッチをパッケージ化して要約を作成するためにプレッジが選択される可能性に影響します。オペレーターが悪意を持って行動した場合、彼らの賭け金は削減され、有効なブロックを公開するように動機付けられます.
ZK の状態には、マークル ツリーで表される L2 のアカウントと残高が含まれます。マークル ルート (マークル ルート) の暗号化ハッシュはオンチェーン コントラクトに格納され、ZK スマート コントラクト グループが ZK 状態の変化を追跡できるようにします。新しい一連のトランザクションを実行した後、L2 は新しい状態に遷移します。状態遷移を開始するオペレーターは、新しい状態ルートを計算し、それをオンチェーン コントラクトに送信する必要があります。バッチに関連付けられた有効性の証明がバリデータ コントラクトによって認証されると、新しいマークル ルートが ZK の標準状態ルートになります。
ZK はゼロ知識証明を使用して、イーサリアムでトランザクションを再実行することなく、オフチェーン状態遷移の正確性を確認します。これらの証明は、ZK-SNARK (ゼロ知識の簡潔な非インタラクティブな知識の議論) または ZK-STARK (ゼロ知識のスケーラブルで透明な知識の議論) である可能性があります。 ① ZK-SNARK (ゼロ知識の簡潔な非インタラクティブな知識の議論)
make
ZK - SNARK プロトコルが機能するには、有効性の証明を証明および検証するための公開パラメーターを提供する共通参照文字列 (CRS) を作成する必要があります。証明システムのセキュリティは、公開参照文字列の設定に依存します; 公開パラメータを作成するために使用される情報が悪意のあるアクターの手に渡った場合、それらは有効性の偽の証明を生成する可能性があります.
一部の ZK は、マルチパーティ計算 (MPC) を採用することでこの問題を解決しようとしています。つまり、複数の信頼できる個人が ZK-SNARK 回路の公開パラメーターを生成できるようにします。各当事者は、共通の参照文字列を構築するためにある程度のランダム性を提供しますが、これはすぐに破棄する必要があります。正直な参加者が入力を破棄する限り、ZK-SNARK システムのセキュリティは保証されます。それでも、このアプローチには、関係者がシステムのセキュリティ保証を破ることなくサンプリングのランダム性を取り除くことを信頼する必要があります。
信頼の仮定は別として、ZK-SNARK は、証明サイズが小さく、一定時間の検証で人気があります。ZK を実行するコストの大部分はレイヤー 1 ネットワークでの証明検証に費やされるため、レイヤー 2 ネットワークは ZK-SNARK を使用して、メインネットで迅速かつ手頃な価格で検証できる証明を生成します。
②ZK-STARK (Zero-Knowledge Scalable Transparent Knowledge Argument)
ZK-SNARKと同様に、ZK-STARKは入力を明らかにすることなくオフチェーン計算の正当性を証明します。ただし、ZK-STARK はスケーラブルで透過的であるため、ZK-SNARK よりも優れていると見なされます。
ZK-STARK は、信頼できる共通参照文字列 (CRS) のセットアップなしで機能するという点で「透過的」です。ただし、ZK-STARK は公的に検証可能なランダム性に依存して、証明を生成および検証するためのパラメーターを設定します。
ZK-STARK は、有効性の証明を証明および検証するために必要な時間が、基礎となる計算の複雑さに関して準線形的に増加するため、優れたスケーラビリティも提供します。ZK-SNARK の場合、証明と検証の時間は、基礎となる計算のサイズに比例します。これは、大規模なデータセットが含まれる場合、ZK-STARK は ZK-SNARK よりも証明と検証にかかる時間が短いことを意味し、前者は大量のアプリケーションに適しています。
ZK-STARK は量子コンピューターに対しても安全ですが、ZK-SNARK で使用される楕円曲線暗号 (ECC) は、量子コンピューター攻撃に対して脆弱であると広く考えられています。ZK-STARK の欠点は、生成されるプルーフのサイズが大きくなり、イーサリアムでの検証にコストがかかることです。さらに、ゼロ知識証明を使用してオフチェーン計算をスケーリングするための鍵となる再帰をサポートしていません。

評価

ロールアップは、オフチェーンで計算することにより、イーサリアム ベース レイヤーのスループットを向上させますが、容量拡張を増やす実際の方法は、トランザクション データを圧縮することです。イーサリアムのブロック サイズは、各ブロックに格納できるデータを制限し、それが各ブロックで処理されるトランザクションの数を制限します。トランザクション関連のデータを圧縮することにより、Rollup はブロックごとに処理されるトランザクションの数を大幅に増やします。ZK が L1 のゼロ知識証明を検証すると、状態の更新が決定された後、OP よりも早くトランザクションの最終決定が決定されます。ZK は、参加者が OP のようなゲームを通じてネットワークの完全性を維持することを奨励するのではなく、セキュリティを確保するために暗号化メカニズムに依存しています。
スケーラビリティ: ZK に固有の重要な圧縮のトリックは、トランザクションの一部が検証のみに使用され、計算状態の更新とは関係がない場合、その部分をオフチェーンのままにしておくことができるということです。これは OP では実行できません。なぜなら、後で不正証明でチェックする必要がある場合に備えて、そのデータをオンチェーンに含める必要があるためです。ZK では、バッチの正確性を証明する SNARK が、確認が必要です。簡単な Ethereum トランザクション (ETH の送信) には、約 110 バイトかかります。ただし、ZK での ETH トランザクションには約 12 バイトしか必要ありません (図 14 を参照)。理論的には、ZK のスループットは 4800TPS に達する可能性があります。OP のデータ ストレージは ZK よりも大きくなりますが (検証のためにメイン チェーンでより多くのデータを送信する必要があるため)、イーサリアム トランザクションの 110 バイトよりもはるかに小さい. データ サイズが ZK の 6 倍であっても、OP のスループット ボリュームはまだ 800TPS に近いです。
表 1 トランザクション データ サイズの比較表 (単位: バイト)

セキュリティ: ZK と OP の両方が、オフチェーン状態を復元するために必要なデータを L1 に格納します。これにより、セキュリティ、検閲防止、および分散化が保証されます。ユーザーは、OP のように 1 週​​間ほど待つことなく、L2 からすばやく資金を引き出すことができます。ZK の計算と検証のコストは比較的高く、ユーザーのコストは OP のコストよりも高くなります。ZK テクノロジは複雑なため、現在、EVM 仮想マシンとの互換性を維持することは困難です。ゼロ知識証明を生成するには、専用のハードウェアが必要です。これにより、ユーザーがチェーン状態の進行に参加するためのしきい値が上がり、一部の関係者がチェーンの制御を集中化するように刺激される可能性があり、悪意のあるオペレーターがチェーン状態の進行を停止し、ユーザーを検閲するリスクが高まります。現在の証明システムの一部には、信頼設定が必要です. 適切に処理されない場合、悪意のあるユーザーは、マスターされた公開パラメーターを介して偽のゼロ知識証明を生成する可能性があります.
分散化の程度: ロールアップでは、ソーターの集中化プロパティはより議論の余地があり、OP または ZK で誰がダイジェストとブロックを送信できるかについてはさまざまなアイデアがあります。一般に、ユーザーは最初に多額のデポジットを行う必要があります。ユーザーが不正なバッチを送信した場合 (たとえば、状態ルートが無効である場合)、デポジットは部分的に破棄され、部分的に不正証明者への報酬として提供されます。しかし、それ以外にも多くの可能性があります:
完全無秩序: 誰でもいつでもバッチを送信できます。これは最も簡単な方法ですが、いくつかの重大な欠点があります。特に、複数のアクターがバッチを生成して並行して送信しようとするリスクがあり、これらのバッチの 1 つだけが正常に含まれます。これは、プルーフの生成/ダイジェストのチェーンへの公開に多くの無駄な労力をもたらします。
中央集権型シーケンサー: 1 つの参加者 (「シーケンサー」) のみがバッチを送信できます (出金を除く: 通常の手法では、ユーザーは最初に出金リクエストを送信し、次にシーケンサーが支払いトランザクションを処理しない場合、ユーザーは自分で別の操作のトランザクションを送信できます)。これは最も「効率的」ですが、中心的なアクターがアクティブであることに依存しています。
 シーケンサー パワー オークション: 翌日のシーケンサーになる権利を持つ人を決定するためのオークションが (たとえば毎日) 開催されます。オークション中、ユーザーはパッケージ化したいトランザクションのリストを提示し、同時に対応するガス料金を支払うために入札します。最終的に、最も多くのトランザクションを持つマイナーがオークションに勝ち、それらのトランザクションを新しいブロックに含めます。
 PoS コレクションからのランダム選択: 誰でも ETH (または場合によってはロールアップ独自のプロトコル トークン) をロールアップ コントラクトに入金でき、ソーターの各バッチは入金者の 1 人からランダムに選択され、選択される確率は金額はデポジットに比例します。この手法の主な欠点は、大量の不要な資金がロックされることです。
DPoS 投票: シーケンサーはオークションによって選出されますが、パフォーマンスが低い場合、トークン所有者は投票して除外し、代わりに新しいオークションを開催することができます。
ロールアップ スキームがプラズマ スキームに取って代わる理由:
1) 効率: zk-rollup は、オフチェーン トランザクション処理の有効性の証明を生成します。データをパッケージ化し、「国家コミットメント」を発行し、ユーザーの不正証明を提出するオペレーターのリンクを直接省略し、それによってチャレンジ期間と終了メカニズムの必要性を排除します。また、ユーザーが資金を保護するためにチェーンを定期的に監視する必要がないことも意味します。
2) スマート コントラクトのサポート: Plasma のもう 1 つの問題は、Ethereum スマート コントラクトの実行をサポートできないことです。OPはイーサリアム仮想マシンと互換性があり、現在でも多くのZKプロジェクト（zkSync、StarkWareなど）がzkEVMの実現を進めています。より理想的で、安全で、便利な分散型拡張ソリューションになります。前述のように、Plasma にはデータの可用性の問題があります。悪意のあるオペレーターが Plasma チェーン上で悪意のあるデータを送信した場合、ユーザーは不正証明に異議を申し立てて送信することができなくなります。ロールアップは、オペレーターに Ethereum でトランザクション データを公開することを強制することでこの問題を解決し、誰でもチェーンの状態を確認し、必要に応じて詐欺の証拠を作成できるようにします。
3) 大量排出問題: ZK と OP の両方が、異なる方法でプラズマの大量排出問題を解決しました。たとえば、ZK の暗号化メカニズムにより、オペレーターはいかなる状況下でもユーザーの資金を盗むことができなくなります。また、OPは引き出しに遅延期間を課し、その間に誰でもチャレンジを開始して悪意のある引き出しリクエストを防ぐことができました. これは Plasma と似ていますが、違いは、検証者がメインネット上のトランザクション データから不正証明を作成できるのに対し、Plasma オペレータは、不正証明を作成するために必要なトランザクション データをメインネットに提供することを拒否できることです。したがって、ロールアップ スキームには、メイン ネットワークに損害を与える可能性のある「大量退出」は含まれません。