Rollup Layer2模組化演進之路：有何可能性？

本文嘗試從演化角度討論 Rollup Layer2 的發展以及演進，主要解答以下幾個問題：

Rollup 是如何工作的

Rollup 的模組化演進

模組化帶來的可能性

模組化應用的技術趨勢

總結

Rollup 是如何工作的

區塊鏈的「三難問題」一直是困擾業界的一個難題，如果我們認為 Layer1 區塊鏈應該首先保證「去中心化」和「安全」，那將「擴展性」方案從 Layer1 遷移出來就是自然的選擇了，於是有了 Layer2。 那新的難題就是如何通過 Layer1 來保證 Layer2 的安全。

最初有一種想法是定時將 Layer2 應用的狀態樹根寫到 Layer1，這樣可以通過狀態證明來校驗應用的狀態，類似於交易平臺儲備金證明。 但這種方式第三方無法通過公開的方式驗證兩次狀態轉換是正確的。

為了更深入的探討這個問題，我們抽象一下，任何程式的狀態都可以通過一個狀態轉換公式表達：

t+1 (t, T)

這個公式來自於 Ethereum 黃皮書，但它可以代表任意的程式。 在這裡 代表程式，代表狀態。 狀態 t+1 由程式 Y 通過狀態 t 和交易 T 計算得出。 交易 T 代表程式的輸入。 任意時候，如果 t 是確定的，程式 Y 是確定的，T 是確定的，那 t+1 就是確定的。

所以要提供公開的可驗證性，關鍵是 Y 要公開可用，歷史上所有的 T 要公開可用並且順序確定，中間的狀態可通過 Y 和 T 重新計算得到。 而程式的公開可用我們可以通過開源來實現，關鍵是 T 公開可用如何保證，這就引入了數據可用性（DA）的概念。

數據可用性需要有個公開的不可篡改的賬本來記錄應用的交易。 自然想到，區塊鏈帳本就是這樣一個系統，於是將 Layer2 的交易寫回 Layer1，保證數據可用性，這也就是 Rollup 名稱的來源。

所以 Layer2 系統中需要有個角色收集使用者的交易，進行排序並寫入到 DA，這個角色叫 定序器（Sequencer）。 這裡的交易序列叫 Canonical Transaction Chain。

保證了數據的可用性，每個人都可以通過自己運行程序執行交易來得到最終的狀態。 但這裡並沒有達成共識，因為每個人不確定自己得到的結果是否和其他人的結果一致，畢竟軟體或者硬體故障也可能導致數據不一致。 所以需要另外一個角色將交易執行后的狀態樹根定時公佈出來，供大家校驗自己的狀態，這個角色叫 提案者（Proposer）。 這裡每次提交的狀態也構成了一個狀態序列，和交易序列對應，叫State Commitment Chain。

到這裡，我們達到了應用的可驗證性。 如果某個人運行的結果和 Proposer 提交的狀態不一致，並確定不是自己的問題，那就是 Proposer 作弊或者出錯了，那怎麼讓別人也知道呢？這就需要引入仲裁者（Arbitrator）的角色。 仲裁者需要是一個可信第三方，鏈上合約正好可以承擔這個角色。

仲裁有兩個方案：

Proposer 每次提交狀態的時候，同時提供與前一次狀態之間的狀態轉換有效證明（Validity Proof），鏈上的仲裁合約進行校驗。 有效證明一般通過 Zero knowledge 技術生成，這種叫 ZK Rollup。

先假定 Proposer 的結果是對的，但如果發現不一致，則提交欺詐證明（Fraud Proof），由仲裁合約進行判定。 如果仲裁合約判定 Proposer 作弊，則對 Proposer 進行懲罰，並將 State Commitment Chain 回滾到欺詐交易之前的狀態。 當然，為了保證安全，一般會設置一個比較長的挑戰週期來達到鏈上交易結算的最終確定性。 這種叫 Optimistic Rollup。

我們還需要實現 Layer1 和 Layer2 之間的資產互通。 於是構建一個 Layer1 到 Layer2 之間的橋，通過狀態證明來進行資產結算。 而 Layer2 在 Layer1 的狀態根由 Layer1 的仲裁合約保證，我們可以認為這個橋的安全也受仲裁合約保證。

至此，我們得到了一個由 Layer1 保證安全，並且可以和 Layer1 進行資產互通的 Rollup Layer2 方案。

當然，Rollup 方案也做了一些妥協：

將交易寫入 Layer1，也就代表 Layer2 的擴展性依然受 Layer1 區塊大小限制。 以 Ethereum 為例，某個 Layer2 完全佔據 Ethereum 的所有區塊，能提供的平均 TPS 也才數百，擴展性受 DA 限制。

為了節省 Gas 費，Sequencer 會將交易批量寫入 DA，而在寫入 DA 之前，Sequencer 有可能通過調整交易的順序來作弊。

這裏總結一下 Layer2 的安全以及交易的最終確定性：

如果使用者自己運行了一個 Layer2 的節點，並且忠實地按照 DA 的交易順序執行，使用者可以認為交易是即時確認並且達到最終確定的，因為如果使用者執行的結果和 Proposer 不一樣，說明 Proposer 作弊，需要回滾鏈上的狀態，最終會和使用者自己的節點執行的結果一樣。 這裡主要的風險點在於前面提到的，如果即時從 Sequencer 同步數據，Sequencer 調整尚未寫入 DA 的交易的順序帶來的風險。

如果使用者自己無法運行節點，需要依賴一個 RPC 提供者，使用者需要承擔一定的信任風險。 但這個風險和使用者信任 Layer1 的 RPC 節點帶來的風險類似。 這裡額外的風險依然是 Sequencer 丟棄交易或者重排交易帶來的風險。

如果 Proposer 出錯，但沒有節點發起挑戰，超過了挑戰期，這時候錯誤的狀態無法回滾，只能通過社會共識硬分叉方式來修復狀態。

Rollup 的模組化演進

根據前面的分析，Rollup 解決方案中，鏈上的多個合約承擔不同的職能，代表不同的模組。 那自然想到，能否將模組拆分到多個鏈，從而獲得更高的擴展性。 這就是模組化區塊鏈以及模組化 Rollup 的思路。

模組化在這裡有兩層含義：

通過模組化設計，讓系統變為一個可拔插的系統。 開發者可以通過模組的組裝，滿足不同的應用場景需求。

基於 1 提供的能力，模組層的實現並不綁定在同一個 Layer1 上，從而得到更好的擴充性。

我們可以認為有三個主要的模組層：

數據可用層（Data Availability）： 保證執行層的交易數據可以通過公開的方式獲取，以及保證交易的序列。

結算層（Settlement）：實現 Layer1 和 Layer2 之間的資產和狀態結算。 它包含 State Commitment Chain 和 Bridge。

仲裁層（Arbitration）：校驗欺詐證明，並做出裁決（Optimistic）或者校驗有效證明（ZK）。 仲裁層要有能力操控 State Commitment Chain。

DA 模組化

將 DA 職能遷移出來，用一個獨立的解決方案，獲得的首要好處是 Layer2 的交易 Gas 費至少降低一個數量級。

從安全方面來看，即便是 DA 鏈的去中心化弱於 Ethereum，但 DA 層對安全的保證主要是挑戰期內的交易，過了挑戰期后，DA 主要是為了方便其他節點同步數據，對安全並沒有保障作用，所以去中心化的要求可以降低一個層次。

DA 專用鏈可以提供更高的存儲頻寬和更低的存儲成本，並且針對多個應用共用 DA 進行專門的設計。 這也是當前如 Celestia、Polygon Avail 這樣的 DA 鏈的立足點。

將DA層拆分出去后，我們得到了下圖的架構：

上圖中由 DA 來承擔保存 Canonical Transaction Chain 的職責，而給 Layer1 留了一個 L1ToL2 Transaction Queue 來實現 Layer1 和 Layer2 之間的消息通信，使用者也可以直接寫交易給這個 Queue，確保 Layer2 的 Permissionless，Sequencer 無法審核使用者或者交易。

但這裡會引入一個新的難題，如果 Sequencer 寫入 DA 的交易序列和 Proposer 執行的交易序列不一致，仲裁合約如何判定？一種方案是 DA 鏈和仲裁鏈之間有一個跨鏈橋，實現在仲裁合約中校驗 DA 鏈提供的數據證明。 但這種方案依賴 DA 和其他鏈之間的跨鏈橋的實現，DA 的方案選型會受限制。 另外一種方案是引入排序證明。

排序證明（Sequence Proof）

我們可以認為 Sequencer 實際上也屬於 DA 方案的一部分，它相當於一個 App-Specific 的 DA，主要基於以下理由：

Sequencer 需要提供批量寫入 DA 鏈之前這段時間內的 DA 保證。

Sequencer 需要負責交易的驗證，排序，以及最終寫入 DA。

如果要求 Sequencer 給每個交易生成一個 Sequence Proof，則可以解決兩個問題：

對尚未寫入 DA 鏈的交易提供了保證，使 Sequencer 不敢隨意調整交易的順序或者丟棄交易。 如果 DA 鏈和仲裁鏈之間沒有跨鏈橋，則可以通過 Sequence Proof 的挑戰機制來保證數據可用。

Sequence Proof 具有以下特性：

它攜帶 Sequencer 的簽名，證明它是某個 Sequencer 發出的。 它可以證明某個交易在全部交易序列中的位置。 它是累加器（Accumulator）證明的一種。 每個交易累加後會生成新的累加結果，與該交易之前所有歷史交易相關，使得其難以篡改。 累加器的可選方案之一是默克爾累加器（Merkle Accumulator），累加結果表現為默克爾樹的根。

Sequence Proof 的工作原理：

使用者或者執行節點提交交易給 Sequencer，Sequencer 將 Sequence Proof 傳回給使用者，同時同步給其他節點。 如果 Sequencer 在提交給 DA 之前丟棄或者篡改了交易的順序，使用者或者其他節點可以提交 Sequence Proof 給仲裁合約，從而懲罰 Sequencer。 仲裁合約需要從 State Commitment Chain 合約中讀取交易累加器的根，從而校驗 Sequence Proof。

分場景探討一下：

Sequencer 丟棄或者重排了使用者交易。 這會導致 Sequencer 在同一個位置生成了兩個 Sequence Proof。 使用者提交 Sequence Proof 給仲裁合約，Sequencer 需要提供該交易被包含在最新的交易累加器的根中的證明，如果不能給出，則懲罰 Sequencer。

Sequencer 沒有正確地將交易寫入 DA 鏈，和 Proposer 合謀隱藏交易。 如果仲裁鏈和 DA 鏈有橋，則通過橋來驗證，懲罰 Sequencer。 否則使用者可以發起挑戰，要求 Sequencer 給出某個位置的交易的證明以及原始資訊。 但這種情況仲裁合約無法判斷使用者是否是惡意挑戰，所以如果 Sequencer 給出數據則不懲罰 Sequencer。 而對用戶來說，惡意挑戰損人損己，也缺少經濟動力。

我們通過引入 Sequence Proof 讓 Layer2 的協定變得更安全。

交易流水線（Transaction Pipeline）以及並行執行（Parallel ution）

將 Sequencer 劃分給 DA，只負責交易的驗證和排序，帶來的另外一個好處是容易實現交易的流水線以及並行執行。

驗證交易時，需要驗證簽名和是否有足夠的 Gas 費，而 Gas 費的校驗需要依賴狀態。 如果我們為了保證驗證交易不會被執行交易阻塞，允許 Sequencer 驗證交易依賴的狀態和最新狀態之間有一定的延遲（秒級），會導致 Gas 校驗會不太準確，有被 DDoS 攻擊的風險。

但我們認為 Sequencer 屬於 DA 是一個正確的方向，所以值得我們進一步研究。 比如可以將交易費中 DA 部分拆分出來，通過 UTXO（Sui Move Object）表達，則可以降低 Gas 費檢測成本。

Sequencer 給交易排序然後輸出成交易流水線，然後同步給 Proposer 以及其他節點。 每個節點可以根據自己的伺服器情況來選擇並行方案。 每個節點需要保證：只並行沒有因果關係的交易，有因果關係的交易必須按 Sequencer 的順序執行，那最終的結果就是一致的。

Proposer 需要定時提交狀態樹的根，以及累加器的根到鏈上的 State Commitment Chain 合約中。

於是我們得到了一個低 Gas 費，高 TPS，並且更安全的模組化 Layer2： Rooch。

MoveOS：它包含MoveVM以及 StateDB，是系統的執行以及狀態存儲引擎。 StateDB 由兩層稀疏默克爾樹構建，可以提供狀態證明。 根據前面的分析可得出，狀態樹以及狀態證明是 Rollup 應用不可或缺的元件。

RPC：對外提供查詢，提交交易，以及訂閱服務。 可以通過代理方式相容其他鏈的 RPC 介面。

Sequencer：驗證交易，給交易排序，提供 Sequence Proof，將交易流式輸出到 Transaction Pipeline。

Proposer：從 Transaction Pipeline 獲取交易，批量執行，定期提交到鏈上的 State Commitment Chain。

Challenger：從 Transaction Pipeline 獲取交易，批量執行，和 State Commitment Chain 比較，決定是否發起挑戰。

DA & Settlement & Arbitration Interface：對不同的模組層的抽象和封裝，保證在不同的實現之間切換時不影響上層業務邏輯。

支援多鏈的互動式欺詐證明

Optimistic Rollup 方案中，鏈上的仲裁合約如何判定鏈下的交易執行出錯，一直是一個難題。 最初的想法是 Layer1 上重新執行一遍 Layer2 的交易，但這種方案的難題是 Layer1 的合約要類比 Layer2 的交易執行，成本很高，也會限制 Layer2 交易的複雜度。

最後業界摸索出一種互動式證明的方案。 因為任何複雜的交易，最終會轉換成機器指令執行，如果我們找到產生分歧的指令，則只需要在鏈上類比執行指令即可。

還用上面那個狀態轉換公式：

t+1 (t, T)

這裡 代表指令，T 代表指令輸入，代表指令所依賴的記憶體狀態。 如果在執行過程中，給每個都生成一個狀態證明。 控辯雙方可以通過交互，發現雙方的分歧點 m，將 m-1 的狀態 以及指令 m 提交到鏈上仲裁合約類比執行，仲裁合約執行后就可以給出判定。

所以剩下的問題就是通過什麼方式來生成證明，主要有兩個方案：

直接在合約語言虛擬機中實現，比如 Arbitrum 的 AVM，Fuel 的 FuelVM。

基於已有的指令集實現一個模擬器，在模擬器中提供證明能力。 如 Optimism 的基於 MIPS 指令的 cannon，Arbitrum 新的基於 WASM 指令的 Nitro，以及 Rooch 的基於 MIPS 指令的 OMO。

OMO 是一個擁有單步狀態證明能力的通用位元組碼模擬器，為多鏈執行環境設計。 有了 OMO 的支援，可以實現仲裁層的模組化。 任意支援圖靈完備合約的鏈，都可以在合約中類比 OMO 的指令，作為仲裁層。

ZK + Optimistic 組合方案

業界一直在爭論 Optimistic Rollup 和 ZK Rollup 孰優孰劣，但我們認為將二者結合起來可以兼得兩種方案的優點。

在前面的Optimistic方案基礎上，我們再引入一個新的角色，ZK Prover。 它批量給 Proposer 提交的交易狀態生成有效證明，並提交給仲裁合約。 仲裁合約驗證后，就可以判定該交易在 Layer1 上達到了最終確定性，可以進行 Layer2 到 Layer1 的提款交易的結算。

這種方案的優點：

不會因為 ZK 的性能問題限制 Layer2 的整體吞吐。 可以通過 ZK 縮短 Optimistic 的挑戰週期，提升用戶體驗。

在 ZK 的方案以及硬體加速成熟之前，我們可以先通過 Optimistic 構建生態，同時模組化方案可以讓 ZK 最後無縫接入進來。

多鏈結算

如果我們進一步思考模組化的趨勢，自然想到，既然 DA 可以遷移到別的鏈，那結算層是否也可以部署到別的鏈？

Layer1 和 Layer2 之間的資產結算主要依賴兩個元件，一個是 Bridge，一個是 State Commitment Chain，從 Bridge 結算的時候，需要依賴 State Commitment Chain 校驗 Layer2 的狀態證明。 Bridge 當然可以部署到多個鏈，但 State Commitment Chain 只能有一個權威的版本，由仲裁合約保證安全。

這個方向還需要深入研究，但有個初步的方案。 其他鏈上的 State Commitment Chain 都是仲裁鏈（Ethereum）上的鏡像。 這個鏡像並不需要同步全部的 Layer2 State Root 到其他鏈，而是使用者按需通過 Ethereum 的狀態證明做映射。

當然，其他鏈上還需要能校驗 Ethereum 上的狀態證明，所以需要知道 Ethereum 上的狀態根。 當前，將 Ethereum 上的狀態根同步到其他節點有兩個方案：1. 依賴 Oracle。 2. 嵌入 Ethereum 輕節點，校驗 Ethereum 的區塊頭。

這樣我們就可以得到一個支援多鏈結算，但安全由 Ethereum 保證的 Layer2 方案。

這種方案和跨鏈的區別：

如果是依賴中繼鏈的跨鏈方案，可以認為 Layer2 替代了中繼鏈，是一個安全受仲裁合約保證的中繼層。

如果是鏈間互相校驗狀態證明的跨鏈方案，多鏈結算方案和它共享狀態根同步的技術方案，但簡化了許多。 因為在多鏈結算方案中，狀態根的同步需求是單向的，只需要從仲裁鏈同步到其他鏈，不是兩兩互相同步。

模組化帶來的可能性

通過模組化，開發者可以通過 Rooch 組合出不同的應用。

Rooch Ethereum Layer2 = Rooch + Ethereum(Settlement+Arbitration) + DA。 這是 Rooch 首先要運行的網路。 提供一個由 Ethereum 安全保證的，可以和 Ethereum 上的資產互通的 Move 運行平臺。 未來可以擴展到多鏈結算。

Rooch Layer3 Rollup DApp = Rooch + DApp Move Contract + Rooch Ethereum Layer2（Settlement + Arbitration） + DA 如果應用把自己的結算和仲裁部署到 Rooch Layer2，它就是一個 Rooch 的 Layer3 應用。

XChain Rollup DApp = Rooch + DApp Move Contract + XChain（Settlement + Arbitration） + DA 任意鏈都可以通過 Rooch 來給開發者提供一套基於 Move 語言的 Rollup DApp 工具包。 開發者只需要通過Move語言編寫自己的應用邏輯，就可以運行一個安全受 XChain 保障的，資產可以和 XChain 互通的，獨立環境的 Rollup 應用。 當然這個需要和各公鏈的開發者來協同開發。

Sovereign Rollup DApp = Rooch + DApp Move Contract + DA 應用也可以將 Rooch 作為 Sovereign Rollup SDK，不部署 Bridge 以及 Arbitration 合約，State Commitment Chain 也保存在 DA，保證可驗證性，由社會共識保證安全。

Arweave SCP DApp = Rooch + DApp Move Contract + DA（Arweave）SCP 和 Sovereign Rollup 思路類似，SCP 要求應用程式的代碼也要保存到 DA。 而 Rooch 中合約部署和升級都是交易，合約代碼在交易中，都會寫到 DA 層，所以我們認為符合 SCP 的標準。

Move DApp Chain = Cosmos SDK + MoveOS + DApp Move Contract MoveOS 可以作為一個獨立的 Move 運行環境嵌入到任意的鏈的運行環境中，去構建應用鏈或者新的公鏈。

非區塊鏈專案 非區塊鏈專案，可以把MoveOS作為一個可以帶有數據校驗能力以及存儲證明能力的資料庫使用。 比如用它做一個本地的博客系統，數據結構和業務邏輯通過Move表達。 等未來基礎設施成熟，則可以直接和區塊鏈生態對接起來。 再比如可以用它做雲計算中的 FaaS 服務，開發者通過 Move 編寫 FaaS 中的 Function，平臺託管狀態，用戶間的 Function 還可以互相組合調用。 更多的可能性需要大家探索。

Rooch 的模組化方案可以適應於不同類型以及階段的應用。 比如開發者可以先通過部署合約在 Rooch Ethereum Layer2 上驗證自己的想法，等成長起來後，將應用遷移到獨立的基於 Rooch 搭建的 App-Specific Rollup 中。

再或者開發者直接通過 Sovereign Rollup 方式啟動應用，因為應用早期對安全性要求不高，也沒有和其他鏈互通資產的需求，先做到可驗證。 等應用成長起來，有了互通資產的需求，對安全性要求變高，這時候可以啟用結算以及仲裁模組從而保證資產的安全。

模組化應用的技術趨勢

DA 層潛力尚待挖掘

由前面的分析可以看出，無論哪種組合方式，都依賴DA。 DA 在去中心化應用中扮演的角色類似於 Web2 系統的日誌平臺，可以用來做審計，支援大數據分析，進行 AI 訓練等。 未來會有很多應用和服務圍繞 DA 建立起來。 當前已有 Celestia，Polygoin avail，未來還會有 EigenLayer，Ethereum danksharding 等。

根據前面的分析，我們得出 Sequencer 的角色應該屬於 DA 的一部分，如果 DA 層能為應用提供交易校驗能力，並且有足夠的性能，實際上完全可以由 DA 來承擔 Sequencer 的職責，使用者直接寫交易到 DA。 當然能否使用應用的 Token 付 DA 的 Gas 費是另外一個需要解決的問題。

DApp 程式設計語言會爆發

新的應用形態會促使新的程式設計語言爆發，這在Web2時代已經驗證。 而Move會成為構建Web3 DApp的最佳語言。 除了Move本身的語言特性外，還基於以下理由：

DApp 用同一種語言可以快速積累應用所需要的基礎庫，形成生態聚集效應。 所以一開始支援多語言不是個好策略。

去中心化應用至少要保證可驗證性，而智慧合約語言可以讓開發者在保證可驗證性方面減少許多心智負擔。

Move 的平台無關性，可以讓它很容易適配到不同的平臺，不同的應用中。

Move 的狀態是結構化的，有利於 DApp 的數據結構表達以及存儲檢索。

總結

我在 17 年底進入區塊鏈領域，當時業界有非常多的團隊嘗試在區塊鏈領域構建應用。 可惜當時基礎設施尚不完備，業界尚未摸索出一個可複製的構建應用的模式，大多數應用類專案以失敗告終，打擊了開發者和投資者。 區塊鏈上的應用應該如何構建出來？這個問題一直讓我思考了五年。

而現在，隨著 Layer1，Layer2 以及智慧合約，模組化基礎設施的成熟，這個問題的答案也逐漸清晰起來。

希望在即將到來的 Web3 DApp 爆發潮中，Rooch 可以助開發者一臂之力，讓應用更快的構建，真正的落地。