各群信息汇总

[Demian101]

ZK Basic

• 新手必读必读!! - 关于 Simulate/Extractor... : https://github.com/sec-bit/learning-zkp/blob/develop/zkp-intro/2/zkp-simu.md
• ZK-learning 非常优秀的 Notes: https://crypto-notes-erhant.vercel.app/
• 17 misconceptions about SNARKs (and why they hold us back) - a16z crypto 行业从业者要仔细学习这篇。至少不要滥用ZK/MPC这些词（点名ZK-Rollups [Hey])

优秀 Courses :

https://twitter.com/taikoxyz/status/1679468185291218944

1. PSE appliedzkp.org/projects
2. Rust
3. complaints about learning rust
4. Dan Boneh
5. "The Different types of ZK-EVM" article
6. who was the first ZK-EVM.
7. ZK Summit – Zero Knowledge Summit
8. Zac Williamson inventing PLONK, running @aztecnetwork
9. @ZeroKnowledgefm podcast
10. Fiat-Shamir Transformation
11. The Moon Math Manual https://github.com/LeastAuthority/moonmath-manual
12. ZK-Rollups that provide privacy by default are sometimes called ZK-ZK-Rollups
13. Circom
14. The "Proofs, Arguments, and Zero-Knowledge" book by Justin Thaler https://people.cs.georgetown.edu/jthaler/ProofsArgsAndZK.pdf
15. Brecht – @taikoxyz CTO and @PrivacyScaling contributor
16. ZK HACK
17. Definition wars
18. how one should write zkEVM or ZK-EVM or Zk-EVM or zk-EVM
19. Lagrange interpolation

加了 https://zkhack.dev/ 和
Zero Knowledge Canon, part 1 & 2 - a16z crypto 应该是基本完备了

---

Awesome 系列 :

Awesome Noir
Awesome Circom
Awesome Aleo
Awesome Cairo
Awesome-Folding
Awesome HALO2
Awesome PLONK
Awesome ZKML
Awesome zkEVM
Awesome Zero Knowledge

Others:

• zk 摩尔定律: zkintro
• Nova: A New Chapter in Zero-Knowledge Proofs (medium这糟糕的排版)
• A survey of ZK Languages
• @Qi Zhou : 话说，我们在做zkWASM的Cannon，也计划用各种foding + aggregate的方案，感兴趣的小伙伴可以报名😄
• 另一个zkwasm - supernova, 估计9-10月发布
  • https://twitter.com/powdr_labs/status/1679822931340173313
  • https://twitter.com/HoumanShadab/status/1679155719805755392
• risc0-nova
  • https://github.com/hero78119/risc0-nova
• zkGeth, 看起来是把 geth转化成risv64指令集，然后做一个zkrisc出来。
  • https://hackmd.io/@HqESr6_rQbmdCj2v03vrcQ/HyMA2pkmh
• Towards a Nova-based ZK VM 的作者开始写的新书 :
  • zkintro
• 网上有比较好的用bellperson或者bellman写z kp的例子吗？
  • 具体一点 我觉得lurk的Poseidon 实现里有不错可以借鉴的 https://github.com/lurk-lab/neptune/blob/main/src/sponge/circuit.rs
  • 因为Nova用的是relaxed r1cs所以你也可以直接参考nova的examples比如 https://github.com/microsoft/Nova/blob/main/examples/minroot.rs , Constraint 部分都是一样的
  • 想找一些bellman 入门介绍快速上手，目前看到的最详细的就是 https://electriccoin.co/blog/bellman-zksnarks-in-rust/ 了
  • 仍然记得sinka（高老师）说学习框架最好写一个排序，当时他用的是halo2
• 一个非常简洁的stark介绍，比vitalik版本更加适合初学者:
  • Zero Knowledge Virtual Machine step by step https://eprint.iacr.org/2023/1032.pdf

Boojum：zkSync的高性能去中心化STARK证明系统 https://blog.csdn.net/mutourend/article/details/131770996

• 可以订阅下mutourend邹老师的csdn，这技术热点追踪翻译速度才叫快，“区块链媒体”们望尘莫及😂

• 密码学纯理论进展速度也同样相当的惊人，

• 清华毕业的Yanyi Liu跟着Rafael Pass 揪着OWF不放疯狂输出，试图彻底搞清楚密码学的复杂性理论基础。

• Yilei Chen回国后负责清华姚班的Cryptography课 http://www.chenyilei.net/cryptography-s2023.html， 下一代姚班选手的ZKP就都是他教的了，他在FS要不要密码学哈希，iO/lattice方面也有很多工作。

• Lijie Chen就更不用说了，华人TCS之光，博士论文写了551页https://www.mit.edu/~lijieche/Lijie-Chen-thesis.pdf，已经是average-case hardness 和 derandomization领域世界级的专家了，可以去预测哪年得图灵奖了。

• snarkVM有啊，Aleo家的就是 https://github.com/AleoHQ/snarkVM。没记错底层proof sys用的Marlin。

  • 可能program execution是面向冯诺伊曼架构RAM模型，而AIR相比于电路抽象层次更高，设计STARK VM更直接，所以大多数项目会这么选吧。
  • 不过zkEVM都用SNARK堆出来了，同样的工程师去堆一个自定义ISA的VM对他们来说应该是个simpler task吧

Nova VM 来了, 看不过来了。。。。

• Towards a Nova-based ZK VM

一个华人团队搞的 zkwasm

• https://github.com/DelphinusLab/zkWasm

我在找一个write a vm from scratch的课程

• 要是只是vm不要求zkvm那就太多了，比如5天前的这篇 https://andreabergia.com/blog/2023/07/i-have-written-a-jvm-in-rust/

• Foundations of Data Availability Sampling

• Boojum Upgrade: zkSync Era’s New High-performance Proof System for Radical Decentralization

• https://github.com/aszepieniec/stark-brainfuck/blob/master/docs/engine.md

  • 老外写个一个简单版本的zkvm，不过是基于stark的
  • 并且也配有文档，适合研究基于stark zkvm的原理理解。

https://slush.dev/ tendermint + Cairo vm 定制L3 as service
https://0xparc.org/blog/parc-squad 这个有点意思

STARK

@xhhhh: 总结了下 Stark的一些资料，很多来自于@kurt Pan ，感谢潘老师:

• https://www.notion.so/Stark-Cannon-0801f24ea9e543449e015bf4063bb71d?pvs=4
• https://literate-wolfsbane-bf0.notion.site/Stark-Cannon-0801f24ea9e543449e015bf4063bb71d?pvs=4

Kurt Pan :
https://github.com/erhant/zkbrainfuck A Brainfuck zkVM with Circom.

再推荐这几个，你可以去整理一下：
https://aszepieniec.github.io/stark-anatomy/
https://aszepieniec.github.io/stark-brainfuck/
https://github.com/facebook/winterfell
https://github.com/lambdaclass
https://github.com/andrewmilson/ministark/

• https://github.com/aszepieniec/stark-brainfuck/blob/master/docs/engine.md
  • 老外写个一个简单版本的zkvm，不过是基于stark的
  • 并且也配有文档，适合研究基于stark zkvm的原理理解。

实现一个 Baby Snark

• 可以参考 https://github.com/initc3/babySNARK 。可以看到Andrew Miller，Ye Zhang这些大佬几年前也是这么一步步成长起来的

---

怎么理解zk的前后端?

有两种解释：

1. 前端=算术化/后端=证明系统
2. 前端=密码学编译器（比如多项式承诺）/后端=信息论证明系统（比如IOP）

yingtong有一个讲义 在论述这个proof system的stack https://assets.super.so/9c1ce0ba-bad4-4680-8c65-3a46532bf44a/files/e11309fb-7356-42ad-9c78-565341abd80d.pdf

我是在想，或者说我的观察是，一旦一种表达形式确定了，它的iop基本上也被框定的，比如说AIR，可能就是FRI，假如转换成pair based大家会觉得我有病

---

关于 20 年以后 zk 的综述, pan 老师有推荐吗 :

• 20年以后形势就是社区为王，不少好东西先发hackmd了。综述当然也有不少，但都是更细分领域的了，比如 https://eprint.iacr.org/2023/671 ， https://eprint.iacr.org/2023/857 等等

（发现和另一个研究群人员不overlap再发一遍）过了一遍HyperNova和Customizable constraint systems，感觉这个工作非常让人兴奋。CCS用来统一R1CS AIR PLONKish，然后用Nova IVC的方式multi-folding生成SNARK。有一种ZK界LLVM的即视感。各位老师怎么看。

Nova

白菜: 有对NOVA-ML 感兴趣的不，这个课题可能比较大，可以考虑组个支队了 😂

• https://github.com/socathie/nova-ml
• awesome-zkml : https://github.com/worldcoin/awesome-zkml
• Team Novi (Nova): https://0xparc.notion.site/Team-Novi-2d81bc06b0aa4c99b61a9ee06166b3b6
• risc0-nova
  • https://github.com/hero78119/risc0-nova
• Parallelizing Nova
• Nova: A New Chapter in Zero-Knowledge Proofs (medium这糟糕的排版)

PSE

• Meeting PSE Slides
• PSE Projects List : https://www.appliedzkp.org/projects
• Make your first contribution to any open-source Web3 project : https://www.useweb3.xyz/contribute
• LIST： https://www.appliedzkp.org/projects

Some Project Boards:

• https://github.com/orgs/semaphore-protocol/projects/10
• https://github.com/orgs/privacy-scaling-explorations/projects/3/views/9

Proof of Innocence（清白证明）：

• https://github.com/chainwayxyz/proof-of-innocence
• Twitter : Follow @drCathieSo_eth  @AndyGuzmanEth

PLONK

• 参考一下代码实现 : https://github.com/zkp-co-learning/ZKP/blob/main/5-plonk-intro.md
• Rust 实现: https://github.com/adria0/plonk-by-fingers
• Dr. Qi zhou 分享: https://706community.notion.site/Python-finite-field-poly-over-Fq-FFT-1968732f468c4c3fa3886a5658c58773?pvs=4

QA

Q : @walker : 大家好啊，我有几个问题想先问问：
1.用什么密码学库写plonk呢？
2.从什么地方开始呢？是根据circuits编译结果的格式写下去还是直接从witness向量开始呢？如何检查结果是否正确以及符合标准格式呢？

A: @Qi Zhou : 1，用的是以太坊research标准库，应该是bn264（或者bls），2，输入是电路约束和witness，电路约束是把简单的zkrep转成plonk的P，Q向量，然后带入用户的witness

请问为什么Knowledge soundness is not a meaningful notion for the sumcheck protocol?
第二个问题是什么snark协议需要Knowledge sound，哪些只需要sound就够了

好问题！直观上说是因为sumcheck要证的statement里没有(多项式长度的）witness，要证的就是一个evaluation 的 summation = a value，verifier有本事自己也能自己算一遍（可惜一般他没有这种计算能力）。 往深了说KS抽取一个witness这件事有一个前提，就是要「存在」一个多项式长度的witness，这正是NP的定义，所以一般KS性质都是针对NP语言内的讨论。而sumcheck可以证的语言比如UNSAT/#SAT/TQBF，这三个语言都不是NP的（分别属于coNP/#P/PSPACE)。

第二个问题: 举一个例子：对一个地址，我用SNARK证明了对应的私钥（比如离散对数或哈希原像）是「存在」的。这完全不能用！我得去证明我「知道」这个地址相对应的私钥（而不仅仅是私钥存在），我才能去发起交易。这种情况KS是必须的。

证明a statement is true和我「知道」「为什么」this statement is true中间是有gap的；反过来后者KS蕴含soundness，我「证明statement is true+证明知道为什么statement is true」蕴含「证明statement is true」。去证明一个「数学定理」is true的时候，验证者其实不太关心一定要知识抽取的，只要让我相信定理is true就够了，上面sumcheck证的语言都是这种。

此外还有的情况下，KS性质都是不够的！比如可以对不包括在约束中的instance更改以进行malleability attack。如果还要在这种攻击存在下依然安全，那要满足simulation extractability (SE性质)。（UC-secure imply SE)。SE的SoTA相关内容有一篇欧密23的文章 Spartan and Bulletproofs are Simulation-Extractable (for Free!)

[maldiohead]

nice collections！