百家乐,百家乐平台,百家乐官方网站,百家乐在线,百家乐网址,百家乐平台推荐,百家乐网址,百家乐试玩,百家乐的玩法,百家乐赔率,百家乐技巧,百家乐公式,百家乐打法,百家乐稳赢技巧,百家乐电子,百家乐游戏TL；DR，本文非常的长，是关于Aleo有史以来最长的文章，涵盖了Aleo的前世今生，做好准备！由于是2022年的一篇文章，所以有些信息已经过时，知道即可！

　　在这篇文章中，我们概述了零知识证明，并预测您在未来五年内会听到更多有关它们的信息。快进 17 个月，零知识时代精神即将到来。Starkware、zkSync、Aztec、Espresso、ImmutableX、Polygon 的 zkEVM 和 Aleo 要么在主网上运行，要么处于测试网的各个阶段。如果他们如期完成，零知识证明可能成为 2023 年的突破性技术之一。

　　今天，我们将深入探讨零知识领域最有前途的公司之一：Aleo。Aleo 是一个 L1 区块链，它使用零知识证明让开发者构建默认私有的应用程序。它的开发者将由 zk 驱动的区块链视为第三次浪潮。首先是比特币。然后是以太坊。现在，有了 Aleo。

　　想象一下，一个与你现在使用的互联网一模一样的比奇互联网，除了一个细节：你在这个比奇互联网上所做的、发送的或存储的一切都是完全公开的。

　　当你在亚马逊上购买一条新的内衣裤时，你所购买的商品会被发布到一个网站上，任何有愿望和一些基本技能的人都可以搜索到。

　　你坐上在线扑克桌，却发现你能看到所有人的牌......他们也能看到你的牌。这游戏烂透了。

　　你给你妻子发信息，告诉她你马上要去吃晚饭了，当然，任何想看到你给你妻子发信息的人都能看到。

　　在你忘记之前，你预约了医生去检查那个东西，并在网上填写了入院表格，你猜对了，现在任何人都可以偷看表格上所有血淋淋的细节。

　　除了公共论坛和炫耀你不介意别人看到的东西之外，这个比奇互联网几乎无法使用。

　　对于迄今为止在 web3 上构建的大多数应用程序来说，这种透明程度是没有问题的，甚至可以说是新颖和良好的。如果你拥有一个 CryptoPunk，你希望别人知道你拥有一个 CryptoPunk。如果你在 DEX 上进行交易，那么人们知道你买了什么、什么时候买的就可以了。如果你在 Farcaster 上进行铸造，那么无论如何你都希望它是公开的。

　　但这有点绕圈子。从定义上讲，迄今为止开发的 Web3 产品几乎都不涉及隐私问题。放大到更广阔的互联网，你会发现隐私是每个涉及金钱或个人信息的产品的核心。

　　如果 web3 的发展要超越这些早期实验，如果分散式网络要取代集中式服务，那么增加一点隐私保护会很有帮助。

　　零知识证明是一种加密协议，它允许一方（证明者）向另一方（验证者）证明他们知道某条信息，而不透露有关该信息实际内容的任何信息。

　　ZKP 是一种证明你知道某件事、拥有某件事或做过某件事的方法，Aleo-ASIC，maxsayss或zktaoma 而不会泄露任何有关该事情的信息。它们是一种有价值的原始原始码，但直到最近，这种原始码还过于理论化和昂贵，无法实际使用。

　　在人们调查加密货币的残骸时，零知识证明是一个亮点。好的泡沫会为下一波泡沫留下基础设施，而零知识证明似乎是泡沫废墟中的宝藏。

　　零知识证明既是一种普遍有用的工具，也是一种专门用来帮助避免 FTX 这种欺诈行为的工具。

　　维塔利克以 拥有一个安全的交易所（Having a safe CEX）为题，围绕斯坦福大学丹-博内（Dan Boneh）团队 2015 年提出的一个名为 偿付能力证明（Proof of Solvency）的概念，勾勒出了一些想法。

　　再给后面的人说一遍ZK-SNARKs之于密码学就如同 Transformer 之于人工智能

　　这句话很有分量。如果你一直生活在岩石之下，那么人工智能的复兴就在脚下。所有疯狂进展的核心是一种新架构：Transformer。(安东在此解释）

　　这些特性加在一起，意味着 ZKPs 可以让区块链接近中心化服务的性能，并超越其安全性和隐私性，同时保持去中心化的优势。

　　当然，天下没有免费的午餐，这就需要有所取舍。在这里，最大的权衡就是隐私成本。从历史上看，生成 ZKP 的成本要比直接运行本机计算的成本高，因为 ZKP 需要更复杂、计算成本更高的数学运算，而且依赖于更专业的硬件。

　　通过构建 默认私有 的 L1，Aleo 打了这样一个赌：开发者有足够的需求，他们愿意支付更高的成本，在他们的应用中构建隐私，直到他们能降低成本。该团队正努力通过 商品化补充 来增加需求，特别是优化硬件，以快速、低成本地解决零知识证明问题。

　　零知识证明在技术层面上复杂得令人难以置信（比如，远远超出了我的能力范围），而在实用性层面上又简单易懂。它们意味着更快的区块链和应用程序的开放性和私密性。为了证明零知识证明的灵活性，零知识证明被用来解决透明度太低（即 FTX → 清偿能力证明）和透明度太高（即没有零知识证明，每个人都知道你在链上的全部余额和交易历史）的问题。

　　零知识证明将在加密货币的未来，甚至是互联网的未来发挥重要作用。零知识证明确实很难弄明白，但现在已经弄明白了，它们提供的解决方案完全优于其他替代方案。至于具体如何实施，还有待商榷。

　　另一种方法是从零开始，在底层构建具有扩展性和隐私性的新 L1。这就是 Aleo 正在做的事情。

　　Aleo 最初被设想为以太坊上的 L2，但以太坊上的 ZKP 更大（它们必须消耗应用程序的全部状态），而且以太坊不支持 SNARK 友好基元（哈希函数和椭圆曲线），因此该团队重写了计划，决定构建自己的 L1，以提供更便宜的 ZKP。

　　Aleo 采取了最激进的方法，从头开始构建基于零知识的区块链。它没有构建一个与 EVM 兼容的链，让开发者可以在上面用熟悉的 Solidity 编程语言构建应用程序，而是创建了自己的虚拟机 snarkVM 和编程语言 Leo。它没有依赖工作证明（PoW）或权益证明（PoS）等现有的共识机制，而是采用了这两种机制的组合，并对 PoW 进行了有用的调整，称为 简洁工作证明（Proof of Succinct Work）。其结果是，在 Aleo 上的 ZKP 比在以太坊上的 ZKP 便宜得多。

　　它所下的赌注是，开发人员将愿意学习新的技巧，以获得扩展和隐私方面的超级能力。

　　这个赌注要求你相信，ZKPs 不仅是一个不错的功能，而且是构建区块链的第三种方法的基础：

　　了解 Aleo 为什么要下这个赌注，是探索零知识证明技术的细节和意义的好方法。因此，今天我们将深入探讨零知识、Aleo 和互联网的未来：

　　零知识证明是一种花哨的密码学，它允许一方（证明者）向另一方（验证者）证明自己知道某件事情，而无需透露该事情的任何信息。零知识证明允许某人证明自己知道某个秘密，而无需透露该秘密的任何信息。

　　这些秘密可以有多种形式，从密码到战舰棋盘上的位置，再到银行账户中的美元。在《零知识》一书中，吉尔和我用了一个玩具的例子：我证明我有足够的钱租下一套公寓，而不需要向房产中介提供我的银行记录和财务历史。

　　有很多不同的方法可以解释 ZKP 的工作原理，而无需深入研究 月球数学。在《零知识》中，我们使用了 色盲朋友 的例子。

　　我和我的色盲朋友正在看桌上的球，除了一个是红色，Aleo-ASIC，maxsayss或zktaoma 另一个是绿色外，其他颜色都一样。当我告诉他这是两种不同的颜色时，他不太相信。我们决定通过玩游戏来确定它们确实是不同的颜色：

　　然后他把这个球放回背后，又把手缩回来，给我看一个球，问：我把球换了吗？

　　再深入一层，我喜欢 ZK 区块链 Mina 在 2019 年的一篇博文《零知识证明》中所举的例子：一个直观的解释。

　　我们可以用一个 三色拼图 来代替我们的色盲朋友和两个球。我们的目标是用三种不同的颜色给这个图上的节点着色，使得相邻的节点都没有相同的颜色。

　　现在进行 ZKP。当验证者离开房间时，验证者，也就是进行 3 次着色的那个人，会把碗放在每个节点的顶部。

　　验证者回到房间，选取一条边，任意一条。验证者需要拾起这条边上节点顶端的两个碗。

　　到目前为止，一切顺利。相邻的两个球颜色不同。现在，我们一次又一次地重复这个过程，每次都是验证者退出，证明者重新排列球。想象一下，这样做几百万次（证明者和验证者的移动速度非常快）。每一次，验证者都会选中一条边，然后把碗抬起来，瞧：两种不同的颜色。

　　如果证明者作弊，验证者应该能发现。如果证明者并不线 种颜色的解决方案，那么在至少一轮游戏中，验证者会选择一条边，找到两个相同颜色的球。

　　验证者不应该知道任何关于 3 色法的信息，也就是整个谜题，我们通过运行数百万次游戏来实现这一点。米娜说，验证者在一轮中学到的任何东西在随后的几轮中都是无关紧要的，因为验证者所看到的任何东西都可以通过在每一轮中随机挑选两个不同颜色的球来模拟。

　　当你真正运行 ZKP 时，并不是有小人跑来跑去把球放在背后或把碗放在球上，这一切都发生在复杂的数学、椭圆曲线、电路和专用硬件上，这一切都超出了我的理解范围。对于像我这样的文字糊涂虫来说，这些小游戏可以帮助我理解 ZKP 的概念，尽管要花费数年的时间去研究才能理解得足够透彻，从而创造出自己的 ZKP。

　　总之，ZKPs 可以让你在区块链或日常生活中做很多非常有用的事情。它们是一种加密技术，可以应用于加密技术之外的领域。

　　在公寓租赁的例子中，我基本上是把我的银行账户连接到一个 ZKP 系统上，然后它就会根据账户中的数字创建一个证明，让中介知道我的财务状况符合要求，而无需了解我的实际价值。

　　或者，我可以在本地设备上创建一个证明，证明我知道密码，然后将该证明代替密码发送给我要登录的网站。无需区块链，安全性却得到了增强。正如投资 Aleo 的 a16z Crypto GP Ali Yahya 所说：在安全领域，攻击通常比防御更容易。ZKP 具有相反的动态：它们使防御比攻击更容易。

　　真正理解 ZKPs 需要巨大的智慧和多年的研究。目前，我们在这篇文章中还有很多内容要介绍，如果你想深入了解，但又想通俗易懂，请阅读《零知识》。如果你想更深入地了解 ZKPs，a16z crypto 会为你提供 Zero Knowledge Canon。如果你读到这里对 ZKP 感到兴奋，你可以收听 Zero Knowledge Podcast，Aleo-ASIC，maxsayss或zktaoma 了解最新进展。 对于我们来说，你已经准备好了。

　　你的脑袋疼了吗？我的脑子有点疼。为什么要做这些？零知识伙伴能让你做什么其他方式做不到的事情？有哪些用例？

　　在之前的草稿中，我把这一部分放在了文章的后面，但丹正确地建议把它放在最前面，因为隐私并不是一个明显有价值的价值主张。

　　当然，隐私是一个很好的需求，当然，人们说他们想要更多的在线隐私，当然，像 GDPR 和 CCPA 这样的法规是为了给消费者提供更多的隐私，但当真正归结到这一点时，人们是否愿意做任何不同的事情来保护自己的隐私呢？即使只是点击退出那些 GDPR 规定的弹出式窗口，也是很烦人的。

　　要相信 ZKPs 是有用的，就必须相信隐私是有用的。而要相信隐私是有用的，我认为，你需要重新构建你看待隐私的方式，从 做我现在做的同样的事情，但更麻烦，所以也许扎克对我的了解更少 转变为 哇，实际上有很多事情我现在不能做，只有更好的隐私基元才能发挥作用。

　　零知识证明在广泛的应用中都很有用，从金融等显而易见的应用到机器学习、身份识别、人工智能、投票和游戏等不那么直观的应用。我越是深入研究，就越是相信，只有使用零知识证明将比奇互联网翻转过来，web3 才能扩展到数十亿用户和 真实世界 应用。

　　让我们从 web3 开始，然后扩展到更广泛的网络，来看看其中的一些潜在应用。

　　您的大通银行账户是私密的。企业支付给供应商的款项是保密的。对冲基金不遗余力地保密其交易细节。瑞士之所以成为世界上最富有的国家之一，很大程度上是因为它善于保护金融隐私。

　　去中心化金融有许多问题阻碍着它的发展--它可能是可怕的、有风险的、不直观的和过度抵押的--但其中最大的问题之一就是去中心化金融不是私有的这一简单事实。

　　任何知道你钱包地址的人都知道你持有多少钱。从一个钱包到另一个钱包的支付--个人对个人、企业对企业以及介于两者之间的所有支付--都是公开的，并永久存在于链上。您在 DEX 上的交易很容易前置运行。DeFi 的完全透明既是一个特点，也是一个缺陷。

　　说它是缺陷，是因为完全透明会让普通人和企业感到不舒服。当任何人都能看到他们的收入和价值时，很难让人们开始将工资直接存入他们的加密货币钱包，更不用说将他们的全部净资产存入加密货币钱包了。

　　虽然通过连接钱包来支付一切所需费用很酷，但大多数人并不希望自己的交易记录在互联网上公之于众。但为了支付、投资和借钱，人们需要证明他们确实拥有、可以发送或借用他们需要拥有、发送或借用的资金。

　　通过传统金融机构是解决这一问题的一种方法，而且说实话，传统金融机构也很不错。Aleo-ASIC，maxsayss或zktaoma 但是，如果你相信 DeFi 可以建立一个更好的金融体系，那么你就需要一种在隐私方面与传统金融机构相媲美甚至超越它们的方法。进入 ZKPs。

　　ZKPs 可以让人们证明自己有多少钱就可以做多少事，而不会透露自己总共有多少钱；完全私密的 ZKPs（如 Aleo 上的 ZKPs）可以让人们完成交易，而不会分享交易的任何细节，包括交易是否发生。使用 ZKP，我可以在网上购物、给朋友汇款、在 DEX 上交易或贷款，而不会向全世界公布这些事情。

　　从广义上讲，这对个人参与 DeFi 非常重要，但对企业更为重要。企业需要保持其供应商和客户关系的私密性，不能公开其所有交易。只要企业和个人认为 DeFi 有价值（从借贷到使用稳定币进行程序化支付），他们就会倾向于选择能保持其具体信息私密性的解决方案。

　　随着加密货币企业家们努力将 现实世界资产 上线，并将传统金融系统和去中心化金融系统连接起来，对隐私的需求将变得更加迫切。举例来说，当你可以用加密技术证明一篮子贷款的情况，而不暴露底层贷款的所有细节时，链上证券化似乎更有意义。

　　还有其他一些原因，当人们可以选择不公开自己的私人信息时，DeFi 的某些部分就能更好地发挥作用。我们在上文讨论过的 偿付能力证明 就是一个非常及时的应用。Zexe 的论文还提到了私人 DEXes 和私人稳定币这两个例子。但不言而喻的是，在隐私保护工具更加普及之前，比特币互联网的金融角落仍将是比特币和小币种，因此我们可以继续前进。

　　回想一下比奇网络赌场的那场扑克游戏。每个人都能看到别人的牌。玩牌毫无意义。

　　ZKPs 可以让您在链上玩扑克，在链下追究所有人的责任，包括庄家。在线 多亿美元的市场，任何玩过在线赌博的人都曾有过这样的感觉：他们没有得到公平的发牌。ZKP 可以解决这个问题。

　　除了赌博，还有一些简单的游戏，比如需要隐私保护的《战舰》，这些游戏在当今的网络3 中没有意义，但使用 ZKPs 却可以。

　　更进一步说，随着更丰富的游戏出现，ZKP 可以为大型多人在线角色扮演游戏（MMORPG）和其他需要隐藏玩家位置的游戏提供支持，这种功能被称为 战争迷雾。像《星际争霸》和《EVE Online》这样大受欢迎的 不完全信息 游戏就属于这一类。

　　更有趣的是，广泛而廉价的 ZKP 可以在链上实现全新类型的游戏。迄今为止最流行的完全链上游戏《黑暗森林》（灵感来源于《黑暗森林》一书）使用 zkSNARKs 隐藏玩家彼此的位置。麻省理工学院科技评论这篇关于《黑暗森林》的精彩文章深入介绍了该游戏的创造者如何利用 ZK 和区块链技术打造一款游戏，否则他根本无法做到这一点。

　　在宣布 2020 年 8 月推出《黑暗森林》的博文中，第一段就是关于 ZK 的：

　　黑暗森林是在以太坊基础上使用老一代 zkSNARK 和硬件构建的。随着 Aleo 和其他公司降低 zkSNARKs 的成本并提高其可用性，可能会有更多的创造性实验来构建只能用它们构建的游戏。

　　好吧，好吧，这只是加密方面的东西。如果我不关心 DeFi 或将游戏引入链上怎么办？

　　将 ZKPs 应用于 现实世界中有用的 东西的最吸引人的想法之一来自联合学习。

　　联合学习是一种机器学习技术，它允许智能手机或物联网传感器等多台设备训练一个共享模型，而无需与中央服务器共享数据。它允许收集一个大型、分散的数据集，而不会损害单个数据源的隐私。

　　虽然联盟学习有许多潜在的方法（参见尼科尔-鲁伊斯的《未来是联盟（学习）》），但 ZKPs 是一种很有前景的解决方案。

　　联盟学习中最令人兴奋的 ZKPs 应用之一是医疗保健研究。目前，医疗保健数据分散在各机构的试验和实验中，患者的电子病历（EHR）也分散在各医疗机构中。研究人员没有简单的方法在不违反 HIPAA 的情况下访问所有这些丰富的数据，这意味着我们无疑错过了可以挽救生命的发现。

　　有了 ZKPs，人们可以选择在大规模研究享自己的数据，Aleo-ASIC，maxsayss或zktaoma 医疗机构也可以选择相互共享患者或研究参与者的数据，并将所有身份信息剥离和匿名化。该模型基本上可以接触到所有不同的终端，并对数据提出问题，在不获得信息本身的情况下获得他们所要求的信息的证明，并在比其他方法更大、更丰富的数据集上进行训练。

　　这只是一个例子，而且还为时尚早，但我们很容易想象出更多的例子，在这些例子中，你可能希望贡献自己的数据，以换取报酬或获取模型的输出，而不放弃任何实际信息。

　　说到个人信息，ZKPs 可以用于创建更多的身份产品，让人们可以在不泄露自己信息的情况下验证自己的信息。

　　例如，你可以想象一个去中心化身份（DID）解决方案，它允许人们使用 ZKPs 提交他们的驾照、护照、背景调查、信用评分和其他敏感信息，以确认某些事情的真实性，而不会泄露自己的任何信息。

　　这在 web3 环境中可能很有用，比如在不透露您所有个人信息的情况下通过 KYC 检查，但在 web3 之外也可能很有用，比如在不透露您任何其他信息的情况下证明您是某个国家的公民。想想在外国注册签证或购买 SIM 卡。每次都需要上传护照！一定有更安全的方法。将所有这些信息安全地保存在一个 DID 或在线护照中，将使在线交易和海外交易变得更加顺利和安全。

　　另外，像 Worldcoin 这样的公司也在使用 ZKPs 来让人们证明自己是人类，而无需透露任何信息。当世界币推出时，人们对它的方法--扫描人们的虹膜来铸造他们独一无二的身份--颇有微词，并担心它正在建立一个虹膜收集系统，用来......占领世界什么的。在这种情况下，ZKPs 可以确保 Worldcoin 只验证每个人注册过一次，而不会接触或存储他们的任何个人信息，包括虹膜扫描。

　　零知识证明可以实现安全的在线投票，让人们在投票时不必担心暴露身份或投票被泄露，同时向政府证明他们就是自己所说的人，只投过一次票等等。

　　ZKP 可用于验证投票的真实性，而不会泄露投票本身或投票人的身份。如果任何现任总统毫无根据地质疑民主选举的结果，ZKP 可能会派上用场。

　　ZKP 可以允许选民在不向任何人透露身份的情况下投票。这有助于防止收买选票和其他形式的选举腐败，也能为选民的隐私提供更大的保障。当然，腐败现象最严重的国家可能最不可能采用这种系统，但更民主的国家可以首先采用这种技术。

　　在这种情况下，既然有了这些工具，采用的挑战将更多地是制度上的，而不是技术上的。在政府采用这些技术之前，它们很可能会在政府之外的地方被采用并经过实战检验，比如在 DAO 投票中。

　　最后，如果我在这里不对人工智能稍加推测，那就太失职了。这与 联合学习（Federated Learning）的例子有些关联，但我想谈一些不同的观点。

　　在《平庸计算的黎明》（The Dawn of Mediocre Computing）一书中，文卡特什-拉奥（Venkatesh Rao）将加密技术和人工智能称为阴阳，他写道：人工智能可以用来生成深度伪造，而加密技术则可以用来可靠地验证事物的真伪。我认为他说的是 ZKP。随着伪造图像甚至视频变得越来越容易，证明图像真实性的方法变得越来越迫切。其中一种方法可能是制造能对图像进行加密签名的相机。如果图像被篡改，签名就会消失。

　　类似的方法不仅适用于图像，也适用于任何在线文档或数据集。ZKP 可用于证明文档的某个版本未被篡改，或数据集包含其所称的数据，而不会泄露数据集本身的内容，因为数据集本身可能是专有的。

　　许多为人工智能提供动力的模型（如 GPT-3）都是专有的，训练成本非常高，而且非常有价值。OpenAI 不想让任何人访问他们的模型是有道理的，但与此同时，我们对 OpenAI 寄予了很大的信任。ZKPs 可以让 OpenAI 和其他人在不共享完整源代码的情况下，证明模型能做某些事情。

　　另外，只要在链上运行人工智能模型是有用的--我认为模型的去中心化管理至少会有用--ZKPs 就能让它首次变得实用。例如，考虑到 Aleo 的结构，一个模型可以在链外运行多长时间，然后将输出证明发送到链上。在以太坊或其他传统 L1 上运行大型模型是不可能的。

　　我们所介绍的某些应用可以不使用 ZKPs，而是使用其他方法。例如，我曾写过 Evervault 如何帮助公司处理 PII。另外，Footprint 正在使用不同的加密技术构建一键式 KYC。第三种方法是联盟学习。

　　另一方面，这些只是我和与我交谈过的人所能想到的使用案例中的一小部分。如果说开放系统的历史给了我们什么启示的话，那就是它们只是触及了表面。如果我们的目标是将互联网模式转变为人们选择使用其数据的模式，那么社交媒体产品似乎是一个很好的进一步探索目标，但还有许多其他目标。

　　除了我们已经讨论过的具体用例，零知识证明的最大支持者认为，零知识证明有可能重构互联网，将隐私融入我们在网上所做的一切，让人们掌控自己的数据。消费互联网发展至今不过二十年左右的时间，显然还有很多需要改进的地方。

　　将隐私融入互联网的基础设施并不意味着生活在黑暗森林中，没有人知道别人的任何事情；而是意味着让人们选择分享什么，保留什么隐私，就像我们离线时做的那样。

　　我发现，正确看待加密货币最有用的方法是，它赋予数字资产物理属性和数字超能力。比特币的行为就像黄金，但可以更方便地存储和转移。NFT 可以像独特的商品一样，具有更低的存储成本、可编程性和可组合性。我认为，ZKPs 也可以为信息做同样的事情，把信息锁在家里的安全文件柜里，不需要枯树，还可以根据需要与更广泛的互联网无缝连接。

　　如果零知识证明能够变得足够便宜和普及，那么它们就有可能将隐私融入我们在网上所做的一切，将数据共享模式从 选择退出--非常头疼 转变为 选择加入--简单。随着越来越多的信息出现在网络上，随着人们越来越难分辨什么值得信任，ZKPs 可以帮助解决我们今天无法想象的问题。

　　Howard Wu 的故事就像许多加密创业者的故事一样：从青年创业和比特币挖矿开始。

　　Howard 在高中时就萌生了创业的念头，当时他在网上开了一家 eBay 商店出售定制 PC，赚到了第一笔钱。2011 年，当他读到一篇提到比特币的文章时，他发现了另一种可以让他的定制设备技能赚钱的方法，于是开始挖矿。那是挖掘比特币的好时机：在 0.10 美元的时候，我实现了盈亏平衡。他回忆说：如果价格回升到 0.30 美元，就会有超级大的利润。剧透：价格确实突破了 0.30 美元。

　　我找不到 Howard 开始挖矿时的价格图表。CoinMarketCap 的价格表始于 2013 年 4 月，当时比特币的交易价格已经达到 134 美元，比 Howard的盈亏平衡价格高出 1340 倍。不过，比起比特币的价格，Howard 更关注的是其他币种的出现。

　　Litecoin, Namecoin, Peercoin, Ripple, Dogecoin, Gridcoin, Primecoin，NXT。到 2013 年，这些币都已出现，在如何使用区块链做一些新的事情上，每种币都有自己的独特之处。Howard 开始阅读白皮书，研究协议，了解共识和去中心化等概念。当时，Howard 还是加州大学伯克利分校计算机科学与应用数学专业的大一学生，他决定将研究重点放在新兴的加密货币领域，并与一位教授合作撰写了关于权益证明和失效时间证明的论文。

　　Howard 以以太坊开发人员的身份开始涉足可编程区块链，学习 Solidity 并为生态系统贡献加密库。不过很快，在一位教授的简历中偶然提到 ZKPs 之后，Howard 又找到了新的爱好。

　　在伯克利，Howard 还帮助创办了现在最顶尖的大学区块链俱乐部之一，他开始与亚历山德罗-基耶萨（Alessandro Chiesa）教授合作，后者后来共同发明了 Zerocash，并联合创办了 Zcash 和 StarkWare。两人合作开发了 libsnark，这是第一个流行的 zkSNARKs 库（C++）。早在 2017 年，Howard 在 Github 上创建的第一个公共存储库中，就有一个 zcash 钱包和 libsnark 教程，这巩固了他作为 zkOG 的地位。

　　毕业后，Howard 在谷歌工作了一年，研究分布式系统，Aleo-ASIC，maxsayss或zktaoma 但很快又被吸引回伯克利，攻读电子工程和计算机科学硕士学位，主要研究零知识证明。

　　这段经历加上天生的能力，巩固了Howard的地位，用 Kora Management 的丹尼尔-雅各布斯（Daniel Jacobs）的话说：他是零知识证明领域的领军人物之一，与正常人相比有一些标准偏差，而且是好的偏差。

　　事实胜于雄辩。在伯克利，他与基耶萨等人一起完成了两篇论文，这两篇论文将被证明是零知识空间和 Aleo 的基础：DIZK 和 Zexe。

　　简单地说，DIZK 创建了一个系统，将 ZKP 生成分配到不同的机器上，以扩展和加快 SNARKs 的计算速度，而 Zexe 则将 DIZK 更进一步，实现了完全隐私和更高的可扩展性。

　　在 DIZK 之前，zkSNARKs 已经在 Zcash 等系统中广泛使用，但证明是在单台机器上运行的单片进程，并受限于证明者所运行机器的内存。如果把 zkSNARK 想象成一个电路，那么 DIZK 之前的系统 只能支持多达 1,000 万至 2,000 万门的语句，每个门的成本超过 1 毫秒。虽然 1,000 万门听起来很多，但显然并不多，而且门的数量限制了可以使用 zkSNARKs 运行的应用类型以及运行速度。每个门的速度为 1 毫秒，这意味着使用 1 千万个门运行一次计算需要近三个小时。除了发送 Zcash 等较小的程序外，它的实际用途过于有限和缓慢。

　　在《DIZK：分布式零知识证明系统》（2018 年）一书中，Howard 和他的合著者想出了一种系统，它可以：

　　虽然作者们承认 DIZK 仍有严重的局限性--它的开销对于许多实际应用来说仍然过高--但他们对该领域的进展速度感到鼓舞，并写道：最近在 zkSNARKs 方面取得的进展堪称惊人，这让我们对未来的进步将解决这些挑战感到乐观。

　　这句话值得停顿一下。回想乔-魏森塔尔（Joe Weisenthal）的观点，泡沫 往往会留下富有成效的基础设施。就加密货币而言，zkSNARKs 和 ZKPs 的进步就是这种生产性基础设施的一个例子。近四十年来，人们一直认为 ZKPs 是一项有用的技术，但它在很大程度上仅限于学术加密研究领域，而在过去五年里，ZKPs 吸引了比前三十年更多的聪明才智和资金。吉尔和我在题为《炒作的好处》（The Upside of Hype）的文章中写了一整节来解释这一现象。

　　但正如我们再次认识到的，当炒作褪去时，重要的是要有实际的应用案例来证明我们的工作。为此，论文列举了两个DIZK实际应用的例子：证明编辑照片的真实性和机器学习模型的完整性。随着人工智能的进步，深度伪造变得微不足道，我们也越来越依赖于机器学习模型，这些用例如今比四年前更加重要。

　　Zexe：2020年发布的《去中心化私有计算》（Enabling Decentralized Private Computation）解决了这些问题，以及区块链的相关问题。我们正在深入探讨这个问题，但这很重要，请跟我来。Zexe为以前的区块链固有的可扩展性和隐私问题提供了解决方案，包括之前的ZKP工作。

　　可扩展性。在论文中，他们将其称为 简洁性，并写道：交易验证所需的时间与离线计算的成本无关，因为离线计算证明了交易的正确性。

　　Howard 在《零知识播客》（Zero Knowledge Podcast）上解释这一概念时说，当人们谈论可扩展性时，他们通常谈论的是每秒交易量（TPS），但 Zexe 最关心的是可以在协议上运行的应用程序的规模，或者说应用程序运行时间。他说：在以太坊上，10 秒钟的区块时间和Gas，应用程序只能运行这么长时间。Zexe通过在链外执行应用程序运行时间，而只是在链上验证证明来解决这个问题。

　　验证者无需重新执行交易（根据应用程序的运行情况，交易的规模可能各不相同），只需检查输出和证明，就能知道交易是否正确。

　　这就提高了可扩展性，因为它允许矿工花更少的时间检查每次执行，而且每次执行所需的检查时间相同。(这就是为什么 Aleo 不像以太坊那样需要Gas--我稍后会解释，别担心）。这也意味着在单个区块中可以容纳更多的交易，应用程序的运行时间可以远远超过典型的链上应用程序，同时还能确保输出的有效性。

　　隐私。在 Zexe 推出之前，用户可以选择无隐私（比特币、以太坊等）或数据隐私（Zcash），但没有任何选项提供功能隐私。这意味着什么？

　　数据隐私意味着只有参与交易的人才能知道交易的具体细节，比如交易中发送的金额或涉及的地址。但是，有了数据隐私，人们就会知道交易是用某个特定的标记进行的，或者使用了某个特定的应用程序。

　　功能隐私意味着所使用的应用程序或令牌也不为公众所知。这几乎就是普通互联网的工作方式。如果我用大通银行给别人汇款，公众显然不知道我给那个人汇了钱，也不知道我汇了多少钱，但他们也不知道有一笔从大通银行账户汇出的美元汇款。这就是 Zexe 所实现的隐私保护。

　　在区块链中使用零知识证明的实用性和有用性方面，Zexe 是一个突破，但它仍然是一项学术工作。

　　Howard 在《零知识播客》（Zero Knowledge Podcast）中解释说，在 Dekrypt，他试图资助团队基于 Zexe 进行构建：在我担任风险投资人期间，我们尝试寻找团队将 Zexe 商业化，我们发现的挑战之一是，要为这项技术找到一对好搭档非常困难。

　　挑战在于，你既需要有人在业务方面能够创建商业模式和开发生态系统，又需要世界上少数几个对 Zexe 有足够了解的人之一，他们不仅能够使用 Zexe 进行构建，还能构建一套工具，让任何开发人员都能使用 Zexe 进行构建。

　　事实证明，尽管 Howard 本人并不打算构建 Zexe，但他是在开发者方面构建基于 Zexe 协议的最佳人选，在 Dekrypt 团队的推动下，他决定这样做。

　　当 Howard 对市场格局进行调查时，他发现每个类别中都有引人注目的区块链......

　　......除了一个：高隐私性、高可编程性。这就是 Aleo 的机会。能够拥有既私密又可编程的应用程序是他开始研究 Zexe 的初衷。

　　正如他在《零知识播客》中所说，他提出的问题是如何才能为用户提供真正私密的体验同时为服务提供商提供正确的信息，为他们提供良好的服务？

　　当今互联网的运作方式，大部分是我们用个人数据交换免费服务，Aleo-ASIC，maxsayss或zktaoma 而服务商反过来利用这些数据说服广告商向他们付费投放广告。如果你不为产品付费，你就是产品，诸如此类。Howard 认为这种模式 与激励机制不相容，并认为我们可以利用更巧妙的模式。

　　我们面临的挑战是，互联网在大多数情况下还是非常不错的。人们喜欢免费的东西远远多于花钱买东西。但Howard 注意到，互联网上的自由度正在下降，同时质量和用户体验也在下降。如果你想想自己在 Twitter、Facebook 甚至谷歌上的体验，就很难不同意他的观点。相关性并不是因果关系，但在社交媒体出现之前，青少年更快乐，因为那时的互联网不那么糟糕，也很难有一百万人因为你的错误想法，甚至只是因为你的长相而对你大喊大叫。

　　但 Howard 也不认为区块链行业在解决问题方面做了什么，他认为加密货币公司正在构建 寻找问题的解决方案。

　　相反，他从用户体验出发，逆向思维。如果能把应该私有的数据和应该公开的数据分开呢？如果能允许服务获取所需的数据，但必须得到用户的许可呢？如果能改变网络的商业模式呢？

　　对 Howard 来说，要做到所有这些，就需要一个与现有互联网整合的新架构。他希望建立一个互联网，在这个互联网上，服务生活在客户端（即与用户在一起），而不是将你的所有数据发送到一个集中的服务，服务将向你发送透明的算法，你将使用你允许访问的数据在你的设备上运行这些算法。

　　换句话说，建立在这种架构上的应用程序将不再是 默认开放 的，而是默认私有的。

　　鉴于互联网的构建和发展方式，这种模式实际上是不可能的，因此在2019年，他组建了一个由他本人、Raymond Chu、Collin Chin和Michael Beller四位联合创始人组成的小团队，开始构建Aleo。

　　从头开始构建一个新的 L1 确实是一件很难的事情，所以最初，团队研究了很多不同的方案，首先是在以太坊之上构建一个 L2。然而，随着研究的深入，他们意识到，在一个并非为零知识证明而构建的区块链之上，他们无法构建完全的隐私保护。

　　当我问及这个决定时，Howard 告诉我：你受到了你所基于的 L1 的限制。以太坊并不使用对 SNARK 和 ZK 友好的哈希函数，而且在 SNARK 中模拟它们的速度很慢。为了兼容，你需要付出 10-100 倍的成本。

　　具体来说，正如 Alex 向我描述的那样，在以太坊上实现 Zexe 既不可能，也不切实际。

　　不可能。Zexe 使用记录模型，将交易视为原子单位，不需要为每个账户存储所有交易历史。以太坊使用账户模型，该模型将每个地址视为原子单位，并要求为每个账户存储所有交易历史。(挑战在于，以太坊的账户模型与 Zexe 的记录模型不一致，如果没有记录模型，就无法像龙卷风现金那样使用混合器来保护隐私。(有趣的事实：这就是为什么 Aztec、Starkware 和 zkSync 将隐私保护指向 L3 层）。

　　不切实际。由于以太坊上缺乏对 SNARK 友好的哈希函数、椭圆曲线和其他原语，在链上验证证明的成本可能会非常高。因为成本高，所以只有在更长的时间间隔内进行验证和结算才有意义。因此，虽然 zkRollups 和 zkEVMs 可以在执行层面扩展以太坊，但如果考虑到结算，扩展优势就不那么明显了。Aleo 团队希望同时扩展执行和结算，因此以太坊被排除在外。(在 Aleo 上，交易每隔一个区块结算一次，因此每 15 秒结算一次）。

　　唉，Aleo 需要从头开始构建一切，而他们自己承担的越多，就越需要 Howard 和 Dekrypt 确定的另一半团队：能够向更广泛的社区解释所有复杂性、调整激励机制并开发生态系统的业务人员。

　　当你想到 加密兄弟 时，Alex 并不是你所想的那种人。他比你更坏。他绝对比我更坏、更聪明。我强烈推荐在这里观看他分享自己的故事：

　　西点军校毕业后，Alex 作为中尉在美国陆军服役，先是在阿富汗服役，然后作为特种作战人员在伊拉克、土耳其、科威特和叙利亚服役。在军队中的一系列经历，先是在阿富汗执行作物多样化计划，然后作为绿色贝雷帽与伊拉克人和叙利亚叛军一起工作，让他亲身体会到了分散、无信任系统的价值。

　　具体而言，他回忆起一位叙利亚医生的故事：有一天，他发现自己的银行账户因 涉嫌同情叛军 而被冻结，于是召集家人逃往土耳其。出国途中，在一个检查站，他不得不向叙利亚士兵交出自己和家人的护照，最终非法越境（因为他交出了证件）。一到土耳其，他的家人就搬进了难民营，在那里，医生意识到自己没有钱，没有身份，因此没有办法为家人重建生活。将他的故事乘以数百万，这就是 Alex 在中东看到的情况。

　　当 Alex 回国反思自己的经历时，他看到的许多问题都可以追溯到该地区缺乏经济机会和可信机构。大约在那个时候，他阅读了《比特币白皮书》，找到了解决现实问题的潜在方案。

　　如果侯赛因博士和数百万像他一样的人拥有比特币而不是叙利亚的银行账户呢？如果他们的身份证件保存在公共区块链上，而不是放在口袋里呢？那么，他们就可以越过边境，重新开始，而不必依靠他人的施舍来维持生计，度过他们已经面临的可怕处境。自由不仅仅是叙利亚人民在难民危机中遭受的苦难。这是我所能想到的美国最根本的政治价值观。

　　2017 年，他离开军队，前往斯坦福大学 GSB 攻读 MBA，Aleo-ASIC，maxsayss或zktaoma 他学习了有关加密货币的一切知识，研究了密码学、经济学和计算机科学，并帮助创建了斯坦福区块链俱乐部。在校期间，他作为首席运营官 Emilie Choi 手下的第一位商业实习生在 Coinbase 实习，毕业后加入 a16z crypto 成为交易合伙人。

　　鉴于他在腐败、饱受战争蹂躏的国家（在这些国家，缺乏隐私就意味着缺乏自由）的经历，艾利克斯被加密货币中的一个特殊领域所吸引也就不足为奇了：零知识证明。

　　在深入研究的过程中，他问斯坦福大学的密码学教授丹-博内（Dan Boneh，也就是《偿付能力证明》论文中的那位传奇人物），在零知识证明领域他应该认识谁。博内告诉他，他必须见见 Howard。他们见面后一见如故，并保持了联系。

　　当 Alex 发现 Howard 正在创办 Aleo 时，他给 Howard 打了电话，告诉他自己想投资。Howard 推荐了 a16z，据 Alex 说，团队很喜欢，但最终因为为时过早而放弃了。做出决定后，Alex 打电话给Howard，告诉他他们通过了，但问他是否愿意在 Aleo 聘请他。他愿意。

　　Aleo 是他一直在寻找的项目，而 Alex 则是 Howard 一直在寻找的团队的另一部分。他于 2020 年 11 月加入 Aleo 担任首席战略官，2021 年 4 月晋升为首席运营官，最近又于今年 8 月晋升为首席执行官。(2021 年 4 月，a16z 主导了 Aleo 2250 万美元的 A 轮融资，弥补了失去的时间）。

　　了解 Alex 和 Howard 的背景对于理解他们正在创建的公司及其原因非常重要。同样重要的是，要了解他们为什么要这样做，从基础做起，建立市场上最私有的可编程区块链。

　　Aleo 是一个去中心化平台，它使用区块链来验证和存储证明，这些证明实际上就是 Zexe 交易。

　　它采用类似比特币的架构，有一个分类账和一个记录或UTXO（未支出交易输出）模型，其中输入指定资产来自哪个地址，输出指定资产发送到哪个地址，数值代表发送的资产金额。其共识算法类似 工作量证明（Proof of Work），但有一些关键区别。比较到此为止，Aleo 创造的一系列新东西也就到此为止了。

　　典型的可编程区块链（如以太坊）通过在链上的虚拟机（VM）上执行程序来运行，网络中的每个节点都必须运行该虚拟机。如果你听说过 EVM 或 EVM-兼容，那就是指以太坊的虚拟机。

　　Aleo 最大的区别之一在于，zkCloud 将其分为两部分：snarkVM 是一个虚拟机，运行链外应用程序，并将屏蔽的交易发送到 Aleo 区块链 snarkOS。用加密术语来说，它将执行（snarkVM）和状态（snarkOS）分开。

　　还记得 Zexe 部分的那张图吗？不记得了？好吧，我重新贴一下，稍作更新：

　　Zexe 和 Aleo 之间有一个重要区别。Zexe 支持数据隐私和功能隐私，而 Aleo 只有数据隐私而没有功能隐私。在 Aleo 上，你看不到程序的输入和输出，也看不到积分的发送方和接收方，但你可以看到与哪个程序进行了交互。虽然 Howard 是首先提出保证函数隐私方法的人之一，但团队认为将重点放在数据隐私上是在 Aleo 上做出的正确权衡，因为取消函数隐私可以提高性能，同时还能为开发人员提供保护隐私的工具。

　　不过，Aleo 的理念是相似的：在链外执行计算，生成证明，然后将证明发送到链上。Alex 在博文中把 snarkVM 和 snarkOS 之间的关系比作 投射阴影的物体：当你看到一个影子时，你知道是什么东西造成了这个影子，但很难看出细节或准确识别出是什么东西。

　　在 snarkVM 中运行的链外程序可以运行任何时间。只要你愿意，你可以在数月内运行一个将圆周率计算到万亿位的程序，只要在最后向 snarkOS 提交一个屏蔽交易即可。

　　这种架构让 Aleo 非常接近于破解可扩展性三难问题--它让 Aleo 可以实现去中心化、可扩展性和安全性，同时还能保护隐私。

　　当然，天下没有免费的午餐。如前所述，Aleo-ASIC，maxsayss或zktaoma 运行私有应用程序比运行公共应用程序更加昂贵。对于 Aleo 的早期前景来说，更关键的是，要构建一个区块链，并期望大量开发者（他们都不像 Howard 那样精通密码学）在上面构建私有应用程序，这就要求 Aleo 创建自己的编程语言。

　　Aleo 的目标是让普通的网络开发人员能够编写私人应用程序，而无需对低级密码学进行推理。

　　面临的挑战是：现有的语言不可能做到这一点。加密领域最流行的语言 Solidity 和 Rust 并不能完美地用于 ZKP，而且现有的零知识语言都是基于数学的。Howard 解释说，要使用这些语言，你需要知道很多高等数学知识。正如他所描述的那样，在 Zexe 和 Aleo 的早期工作中，他和团队基本上是 用代码手工布线。

　　从根本上说，要构建零知识证明，你需要一个证明系统（在 Aleo 的例子中是 SNARK，更具体地说是 MARLIN SNARK）和一个 ZK 电路，因为我不是零知识程序员，所以我当然是在这里转述博文的内容。就像电脑中使用 NAND 逻辑门（将 0 和 1 作为输入和输出）的电路一样，ZK 电路使用加法门和乘法门（将 0 和 p 之间的数字作为输入和输出）。创建 ZK 电路意味着手动将所有这些门组合在一起--这就是 Howard 所说的 用代码手工连接电路。

　　用这种方法编写私人应用程序，就像是用 0 和 1 编写计算机应用程序，然后在上面叠加一堆零知识。这是不现实的。软件工程师不再这样做是有原因的--其他工程师构建的语言可以抽象掉所有的底层代码，让现代工程师用看起来更像普通人类语言的语言来编写。不幸的是，由于我们对 ZKPs 的了解 还太早，所以并不存在这样的语言。

　　(题外话：Starkware，一个 ZK L2，也遇到了同样的问题，并创建了自己的编程语言开罗作为回应）。

　　因此，Aleo 再次决定从零开始，或者接近从零开始。他们对特定领域语言（DSL）进行了调查，最终选择了 ZoKrates（发音类似苏格拉底），并将其分叉。他们修改了语法，将其发展到几乎无法辨认的地步。

　　与汇编语言相比，Leo 在外观和感觉上更像 JavaScript（世界上最流行的编程语言），而不是任何低级编程语言，后者更接近金属，就像我们刚刚谈到的电路编程恐怖秀。如果要让 ZKP 渗透到互联网的各个领域，就必须让非 ZK 本地开发人员能够非常容易地将 ZKP 融入其中。

　　在引擎盖之下，ZKP 是一种复杂的语言，它抽象了电路编程、零知识知识和其他低级概念，因此在引擎盖之上，开发人员可以更轻松地构建私人应用程序。

　　更简单地说，它能获取代码并生成一个证明，证明你正确运行了计算，该证明可从 snarkVM 下发到 snarkOS，供节点验证。

　　除了语言之外，Aleo 还开发了一系列其他工具，包括测试框架和软件包管理器，让开发人员的生活更轻松（至少更容易？他们将这一切都捆绑在 Aleo Studio 中，这是 第一个用于零知识证明的 IDE（集成开发环境）。

　　创建一种新的编程语言是一个很大的赌注。我们要赌的是，花时间学习这种语言的开发人员所获得的便利，以及他们在编写利用 ZKPs 的应用程序时所获得的力量，是否足以克服现有语言的惰性。当我们谈到风险时，我们会回到这一点。

　　在科技策略博客史上，乔尔-斯波斯基（Joel Spolsky）2002 年的经典之作《策略信 V》（Strategy Letter V）堪称史无前例：将你的互补商品化。

　　在信中，斯波斯基解释了大型上市科技公司花费大量时间、金钱和资源支持开源软件这一看似怪异的决定，因为他们并不拥有这些软件，也无法从中赚取任何利润。

　　如果从微观经济学的角度，特别是替代品和互补品的概念来看，这个决定就更合理了。

　　替代品是指在对方无法获得或过于昂贵时 Aleo-ASIC，maxsayss或zktaoma 可以相互替代的产品。百事可乐是可口可乐的替代品。茶是咖啡的替代品。如果你经营一家企业，你会希望你的替代品越少越好，越贵越好。

　　另一方面，互补品是通常一起消费的产品。汽车和汽油就是一个典型的例子。斯波斯基指出，网景公司之所以开放其浏览器，是因为浏览器是其赚钱工具--服务器--的补充。如果你经营一家企业，你就会希望你的互补品越丰富、越便宜越好。

　　再次强调：当一种产品的互补品价格下降时，该产品的需求就会增加。一般来说，公司的战略利益在于尽可能降低其互补品的价格。理论上可持续的最低价格是 商品价格--当众多竞争者提供无差别的商品时产生的价格。所以：聪明的公司会努力使其产品的互补品商品化。如果能做到这一点，对产品的需求就会增加，你就能收取更多的费用，赚取更多的利润。

　　Aleo 正在 zkSNARK 上运行 商品化你的互补（Commoditize Your Complements）玩法，并将该策略纳入其共识机制。我的意思是粗略地说，在应用中使用 zkSNARK 的公司越多，Aleo 就越成功。由于生成证明非常困难，Aleo 的设计允许应用程序将生成证明的工作外包给第三方 证明服务，这些服务使用专门的硬件和软件来计算 zkSNARK，比应用程序开发人员使用一些基本 CPU 计算 zkSNARK 更快、更便宜、更高效。

　　目前，未来最大的限制因素之一是，即使对于证明服务来说，创建应用程序正确执行的零知识证明可能比直接运行应用程序昂贵得多。zkSNARK 证明还不是一种商品。

　　为了让零知识证明变得普遍，也为了让Aleo取得成功，zkSNARK证明的硬件、软件和知识都需要商品化。Aleo 设计了共识机制，并赞助了 ZPrize 竞赛，目的就是使证明商品化。

　　传统的 PoW 挖矿（如比特币）相对简单，硬件也已商品化。矿工们在专用集成电路（ASIC）上磨削 SHA-256 函数，并尽量将自己安置在廉价能源的旁边，以获得最大利润。获得优势的创新方法并不多。

　　在 Aleo 上，证明需要研磨 zkSNARKs，这是一个更丰富的设计空间，复杂的证明者有更多机会获得巨大优势。Alex 告诉我，在 Aleo 的 Testnet 2 上，有一个证明者正在运行一些别人无法访问的特殊东西，因此他们最终占据了主导地位，这对各种原因都是不利的，包括社区感知，最重要的是底层协议的安全性。Aleo 与比特币的不同之处还在于，它接受每个区块的多个有效解决方案，因此可以将奖励分配给更多的证明者，而不是 赢家通吃 的动态机制。

　　AleoBFT 结合了权益证明 (PoS) 和一种特殊的工作证明 (PoW) 类型，称为简洁工作证明（本身是必要工作证明的子集）。

　　在本节中我们将深入探讨，但您需要知道的是，AleoBFT 旨在做三件事：确保协议安全、确保有足够的熟练证明者来满足应用程序的 zkSNARK 需求，以及激励更高效、更低成本的证明。

　　Pratyush Mishra 在该公司 11 月份的博文《Aleo Testnet 3 中的证明者介绍》中写道，解决 激励开发更好的证明架构 的问题是 Aleo 的新共识算法 AleoBFT 设计背后的关键动机之一。 AleoBFT（BFT 代表拜占庭容错）：

　　(题外话，因为这也让我感到困惑：Coinbase puzzle 与 Coinbase 公司毫无关系。两者都以 Coinbase 交易命名，即区块中的第一笔交易。TIL.）。

　　有关 AleoBFT PoS 部分的详细信息仍未公布，但该团队表示，它将基于 DiemBFT，您可以在 Messari 报告中了解更多有关 DiemBFT 的信息（注：此信息已经过时）。从字里行间解读--Aleo 写道，证明者不会在 AleoBFT 中生成区块--我的猜测是这样的：

　　证明者为给定区块生成证明，并根据他们提交的高于目标的证明数量，按比例获得 coinbase 奖励（总区块奖励的子集）。

　　验证者以 Aleo 信用点为赌注，提出由这些证明组成的区块，并通过验证获得区块总奖励的一部分。

　　验证者检查区块内的证明是否正确（无需了解证明内容），并获得部分区块奖励。

　　Ali Yahya 也曾在丹-博内（Dan Boneh）门下学习密码学，他向我解释了为什么博弈论（PoS）和密码学（PoSW）方法的结合是有意义的。他说：通过密码学无法就交易达成一致，因此需要使用博弈论方法。一旦你有了想要按顺序执行的交易，其他一切都应该用加密技术来完成。换句话说，在可能的情况下使用密码学，在无法使用密码学的情况下使用博弈论。

　　在 Testnet 3（Aleo 进入 Mainnet 之前的当前和最后一个 Testnet）上，Aleo 专注于加密证明器这一块。这也是与我们的讨论最相关的部分。

　　AleoBFT 的证明器部分基于 Aleo 最初的共识算法--简洁工作证明（PoSW）。关于 PoSW，尤其是在以太坊和新的链因环境原因而摒弃工作量证明的情况下，最重要的一点是，简洁工作量证明中的 工作量 实际上是有用的，这与打磨过的 SHA-256 不同。事实上，PoSW 是基于 必要工作证明（Proof of Necessary Work），这是 Assimakis Katis（Aleo 一开始的顾问）和 Joe Bonneau（另一位 Boneh 的前学生）在 2020 年提出的一个想法，在这个想法中，证明生成是中本共识中使用的工作证明的一个组成部分，有效地利用原本会浪费的能源来生成证明。如果你需要花费能源来确保区块链的安全，那就把它用在证明上吧。

　　Howard 在 零知识播客（Zero Knowledge Podcast）上说：我们的目标是激励矿工为 SNARKs 开发硬件加速，使这些类型的计算成为一种商品并普及开来。要做到这一点，方法之一就是确保矿工总是有东西可以证明。

　　如果市场需求表明有很多程序，而且人们希望支付大量交易费来运行他们的程序，那么我就会把我的硬件瞄准这些类型的程序，Howard 解释道。如果活动突然减少，我仍然可以在区块链上挖出一个区块并获得奖励。

　　有趣的是，考虑到商品化的本质，Aleo 在这方面的努力也有助于其他 ZK 协议。Howard 指出，Aleo 上的 coinbase 奖励对 Matter Labs 和 Aztec 等公司也很有用，这些公司的 rollup 验证器旨在提高计算 ZKPs 的性能。在滚动验证流量较低的时期，这些验证器可以切换过来，使用它们的硬件在 Aleo 上生成 zkSNARKs。

　　ZKP 行业还很年轻，规模也很小，因此，对于参与者来说，合作做大蛋糕比各自为战更有利。为此，这些公司联手实施了商品化补充总体规划的第二阶段：ZPrize。

　　当 Howard 和 Alex 看到一个 Testnet 2 验证器独占鳌头时，他们意识到需要采取更多措施来传播知识和加速商品化，于是他们想出了一个主意：以 DARPA 大挑战赛为蓝本，举办一场名为 ZPrize 的竞赛。他们在五月份宣布了这一计划。

　　他们与包括 Polygon、Mina、Aztec 和 Espresso 等 ZK 协议在内的 32 个合作伙伴一起，为谁能针对 在 GPU/FPGA 上加速 MSM 操作 和 本能工作加速（GPU）等挑战提出最佳解决方案，筹集了超过 800 万美元的奖金。

　　重要的是，为了获得获奖资格，所有获奖作品都将成为开放源代码库，造福所有人。补充商品化。

　　许多奖项都关注硬件的进步，因为正如亚历克斯在宣布 ZPrize 的博文中写道：ZPrize......：

　　为了让零知识证明成为下一代网络的基础，为了让 Aleo、Matter Labs、Aztec、Espresso 等公司发挥它们的潜力，它们需要将零知识证明嵌入硬件本身。

　　ZPrize 最近公布了首届竞赛的结果，简而言之，就是成功了。各个类别的平均改进幅度是基线 倍之间。

　　每个提交的类别都有进步，有些进步甚至非常显著。与 Aleo 最直接相关的两个类别--简洁工作证明加速（GPU）和 Marlin 证明系统的快速验证器--的改进幅度最大，分别为 6.7 倍和 11.3 倍。Marlin 的改进已经集成到 snarkVM 中，团队目前正在集成 PoSW 的工作，这意味着 Aleo 上的应用程序、证明器和验证器已经直接从竞争中获益。

　　题外话：MARLIN（以快速敏捷的鱼命名）是 Aleo 使用的 SNARK 类型。Aleo-ASIC，maxsayss或zktaoma 它针对速度和效率进行了优化。具体来说，MARLIN 允许应用程序开发人员无需为其应用程序运行可信设置。Aleo 的可信设置于 2021 年 11 月进行，有 2241 名贡献者参与，是通用的，这意味着应用程序无需运行自己的设置。使用 MARLIN 是降低使用 ZKPs 的成本和开发人员开销计划的一部分。

　　可信设置仪式非常酷，但也非常复杂，会大大增加在 Aleo 上启动新应用程序的开销。

　　商品化是一种有趣的策略，因为它能让任何商品化的商品或服务受益。如此多的零知识协议联手追求这一目标，说明了这一行业的新生、机会的广泛性，以及在表面上看似拥挤的领域中的合作性。

　　零知识领域有几种不同的切分方式。其中最大的一个问题是，愿意建立的 zk 链是作为以太坊虚拟机（EVM）上的升级版，还是作为独立的 L1。它是以扩展为重点，还是以隐私为重点，或者两者兼而有之？它将迎合 DeFi，还是试图更具通用性？

　　我不是来挑选赢家的。我有些最聪明的朋友就职于 Espresso（吉尔-冈特，《零知识》中的所有精彩内容都出自她手）和阿兹特克（乔恩-吴，他为《不无聊》撰写了《泰拉：月球与回归》，在《卡通头像》上辩论加密问题时比我做得更好）。Polygon 的发展势头（以及其闻名加密世界的 BD 团队）很难不让人印象深刻。我对 Matter Labs 通过 zkSync 在扩展方面所做的努力感到非常兴奋。ETH 是我持有的最大的加密货币仓位。

　　事实上，不太可能，甚至不希望出现一个赢家。可能会有少数几种占主导地位的架构，就像传统计算领域有少数几种占主导地位的架构一样--CPU、ARM、GPU、FPGA、ASIC，总有一天会出现量子架构。

　　因此，要了解 Aleo 的潜力，与其说是要弄清它是否会 胜出 并吞噬所有零知识计算或所有区块链应用，不如说是要弄清它在零知识协议中的位置。

　　Kora 团队对该领域的许多参与者进行了有用的分类，我在这里对其进行了更新：

　　值得注意的一个有趣现象是，尽管我在零知识证明的隐私保护特性上花费了大量笔墨，但 ZK 协议中最大的类别是 第 2 层扩展，无隐私 类别。最知名的 ZK 项目，如 StarkNet、zkSync、ImmutableX，以及 Polygon Hermez、Miden 和 Zero，都属于这一类。Aleo 的方法是注重隐私，并将可扩展性作为额外（但非常重要）的奖励。

　　说白了，我可以用很多不同的方法对这些产品进行分类。有些是可编程的，有些则不是。一些特定于 Defi 的协议，如 Zcash，只专注于发送货币，而另一些则涉及更广泛的 DeFi 应用。许多 L2 协议都是针对 DeFi 的。随着时间的推移，如今以扩展为重点的协议可能会尝试使用 ZKPs 来保护隐私，而这一切都会不断发展。

　　无论如何切分，Aleo 显然是独一无二的。它是唯一一个为扩展和隐私构建通用 L1 的项目，拥有自己的语言和虚拟机。（注：从上图的划分上来看，只有Aleo是通用的，意味着Aleo不仅仅是隐私，兼具了扩展和隐私两个特性！）

　　一方面，虽然未来将是多链的，Aleo 和以太坊之间肯定会有桥梁，但这是一个大胆的选择，要对抗以太坊生态系统的引力。许多最流行的协议和应用程序都是写入 EVM 的。Electric Capital 发布《2021 年开发者报告》时，以太坊的开发者数量领先于其他所有链，根据 Artemis 的开发者仪表盘，以太坊的每周活跃开发者数量仍然是下一个链的 2 倍。

　　Aleo 还在打赌，是否有足够多的人，也就是足够多的开发者，关心隐私，愿意为隐私支付更多费用，并经历学习一门新语言的头痛（无论多么轻微）。早期开发者和用户倾向于使用熟悉的语言（Solidity）和明确的价值主张（可扩展性）在熟悉的链（以太坊）之上构建项目，这并不奇怪。

　　另一方面，如果 Aleo 是正确的，如果隐私是未来 Web3 的根本，或者至少有足够多的应用需要隐私和可编程性来构建一个强大的生态系统，而且只有在使用新语言的新 L1 上才能实现完全隐私，那么它就拥有了一片广阔的市场。

　　即使假设所有 DeFi 都使用 DeFi 专用的 L1 和 L2（这是一个非常保守的假设），仍有许多使用案例需要完全的隐私性和可编程性。从前面的用例来看，联合机器学习、人工智能、身份识别、投票和某些游戏领域似乎都是需要隐私的用例。

　　Aleo将 Leo 设计得像 JavaScript（最多非Web3开发人员使用的语言），这也暗示了 Aleo 在连接 web2 和 web3 方面的更大野心。对于那些并非完全加密、但希望将 ZKPs 纳入产品以避免存储用户隐私数据的应用，或者希望利用加密的某些功能而不冒暴露专有数据或用户数据的风险的应用，Aleo 似乎是一个令人信服的选择。

　　正如 Howard 在上次谈话结束时告诉我的那样，他希望 Aleo 能通过 Mom 测试。换句话说，我妈妈不用 BlockFi、Uniswap 或 Compound。当以某种方式使用 Aleo 协议栈的应用程序进入普通用户的视野时，我们就通过了Mom 测试。这将是一个美妙的标志，表明我们已经超越了 DeFi，进入了网络的真正领域。

　　无论 Aleo 的最初需求是来自私人稳定币或私人DEX 等 DeFi 应用，还是来自联合机器学习和人工智能数据主权等疯狂的新用例，还是来自除非游戏状态是私有的否则无法运行的游戏，抑或是来自主流网络应用，我认为都有足够多的潜在途径，将对Aleo 正在销售的 zkSNARK 证明产生巨大需求。

　　第二部分是 Aleo Credits 独特而有趣之处。Aleo 预计，随着零知识证明成本的降低和可访问性的提高，对零知识证明基础计算的需求将大幅增加。如前所述，它也希望成为提供最高效、最便宜的私有 zkSNARK 计算能力的地方。Aleo Credits 是获取这种计算能力的途径。无论应用程序是完全基于 Aleo 构建，还是只需要零知识计算，都需要购买 Aleo 信用点数来购买计算能力。

　　因此，对于希望使用零知识计算能力的开发人员来说，Aleo Credits 将是非常有价值的，就像任何商品一样，其价值将取决于零知识计算的需求和价格。

　　值得注意的另一个独特之处是，Aleo 上没有 Gas的概念，因为链外计算可以是任意大小，花费任意时间，但它们生成的证明大小相同。这意味着人们总是能提前知道在 Aleo 上进行交易需要支付多少费用。同样，这将与 ZK 计算的实际价值大致挂钩。

　　至于具体数字，Aleo 将很快发布基于 AleoBFT 采用情况的最新经济学数据，Aleo-ASIC，maxsayss或zktaoma 但大致轮廓是，在最初的十年里，验证者和证明者将共享 coinbase 奖励，而证明者的份额将随着时间的推移呈线性递减，直到证明生态系统得到充分的引导。到那时，证明者将通过为应用程序生成证明来赚钱，而验证者将通过确保网络安全来获得奖励（在我们之前的文章Aleo的PoSW、证明和委托代理计算到底是什么关系？“PoW”会不会消失？已经做过分析和推。