Vitalik: O principal para que os ZK-Provers realizem cálculos eficientes é não precisar comprometer nenhum dado intermediário.

Jinse Finance relatou que Vitalik Buterin publicou um artigo afirmando: “Se você tem acompanhado a ‘direção da criptografia no campo das criptomoedas’, provavelmente já ouviu falar dos comprovadores ZK ultrarrápidos (ZK-provers): por exemplo, um comprovador ZK-EVM que pode provar em tempo real o Ethereum L1 usando apenas cerca de 50 GPUs de consumo; provar 2 milhões de hashes Poseidon por segundo em um notebook comum; e sistemas zk-ML que continuam aumentando a velocidade de prova para inferência de grandes modelos de linguagem (LLM). Neste artigo, explicarei detalhadamente uma família de protocolos usados nesses sistemas de prova de alta velocidade: GKR. Vou focar na implementação do GKR para provar hashes Poseidon (e outros cálculos com estrutura semelhante). Se você quiser entender o contexto do GKR em cálculos de circuitos genéricos, pode consultar as anotações de Justin Thaler e este artigo da Lambdaclass. O que é GKR e por que é tão rápido? Imagine que você tem um cálculo que é ‘muito grande em dois eixos’: ele precisa lidar com pelo menos um número moderado de ‘camadas’ (de baixo grau), enquanto aplica repetidamente a mesma função a uma grande quantidade de entradas. Assim: Acontece que muitos dos cálculos que fazemos em grande escala seguem esse padrão. Engenheiros de criptografia notarão: muitas tarefas de prova intensivas em computação envolvem grandes quantidades de operações de hash, e a estrutura interna de cada hash segue exatamente esse padrão. Pesquisadores de IA também notarão: redes neurais (o bloco básico dos LLMs) também seguem essa estrutura (é possível provar em paralelo a inferência de múltiplos tokens, e porque cada token é composto por camadas neurais elemento a elemento e camadas de multiplicação de matriz global — embora as operações de matriz não sigam exatamente a estrutura ‘independente entre entradas’ do diagrama acima, na prática podem ser facilmente incorporadas ao sistema GKR). GKR é um protocolo criptográfico projetado especificamente para esse padrão. Ele é eficiente porque evita comprometer todas as camadas intermediárias: você só precisa comprometer a entrada e a saída. Aqui, ‘comprometer’ significa colocar os dados em alguma estrutura criptográfica (como KZG ou árvore Merkle), de modo que seja possível provar algo relacionado a consultas desses dados. A forma mais barata de compromisso é usar uma árvore Merkle após codificação de correção de erros (como em STARK), mas ainda exige que você faça um hash de 4 a 16 bytes para cada byte comprometido — o que significa centenas de operações de adição e multiplicação, enquanto a operação real que você quer provar pode ser apenas uma multiplicação. GKR evita essas operações, exceto no início e no final. Vale notar que GKR não é ‘zero knowledge’: ele garante apenas concisão, não privacidade. Se você precisa de zero knowledge, pode encapsular a prova GKR em um ZK-SNARK ou ZK-STARK.