Boojum

zkSync Era 是一个使用零知识证明来扩展以太坊而不牺牲安全性和去中心化的第二层rollup。由于其与EVM兼容（Solidity/Vyper），99%的以太坊项目可以重新部署，无需重构或审计任何代码行。zkSync Era 还使用基于 LLVM 的编译器，最终将允许开发者使用 C++、Rust 和其他流行语言编写智能合约。

关于

此库的目的是与一个非常特定的算术化工作，并对字段大小进行额外的假设。大致来说，我们期望有一个字段 F，其|F| ~ 64位（机器字的大小）（关于字段大小的假设对算术化和门放置的策略不重要，但在特定函数的gadget实现中进行了断言，这些函数依赖于特定的字段大小）。

系统具有逻辑函数（部件）的层次结构 - 门（可以将其自身写入跟踪的实体） - 以及评估器（多项式之间的关系）。评估器以特性（trait）的形式编写，允许我们后来自动组合函数来检查可满足性和计算证明，以及合成普通和递归验证器。门附带了额外的工具，允许门本身跟踪它们应在跟踪中放置的逻辑。请注意，我们依赖于Plonk的复制约束，并基于“变量”的可复制逻辑实体来组合最终的可证明语句。该系统不是用于AIR算术化，也不允许表达跨越跟踪多行的约束。

一般来说，跟踪约束了少量列的变体。主要的区分是

• 通用列 - 其中可以允许某些变量列（可复制的）、证人（不可复制的，有时也称为“建议”列）和常量由不同类型的门使用，从而导致在商多项式的前面放置选择器的必要性。对于这些通用列，放置逻辑很简单：我们试图将尽可能多的同一关系重复放入门/评估器允许的次数，基于系统中指定类型的相应列的数量。稍后，当选择器实现时，可以添加一些额外的常量列。一般来说，门默认的行为是尝试“摊销”常量，在某种意义上，在相同的行中，我们尝试放置使用相同常量的门。这是一个合理的做法，因为大多数电路在实践中都是“循环”，所以我们可以“填充”行。
• “专用”列 - 其中可以将一组单独的列指定给特定的门/评估器，因此评估器强制执行的关系必须在这些列的每一行上成立。在某些电路中，如果某个门使用非常频繁，这可能是有益的。在为同一关系使用多个集合的情况下，可以指定这些列的几种不同利用模式，即是否在集合之间共享常量。

此外，跟踪允许您添加查找参数，这些参数也可以使用专用列来存放查找表的条目，或者只是使用通用列。目前，表仅编码为多项式集的一组，因此跟踪的总长度必须大于表中的条目总数。

请注意，每个“门”（作为Rust类型）都是唯一的，因此门只能放置在专用或通用列中，但不能同时放置。如果需要此类功能，则可以创建新的类型包装器。

高级逻辑函数（如布尔分解、范围检查、零检查等）用于使电路在内部以不同的方式记录自己，具体取决于某些门在CS的特定实例中是否允许。具有不同门集的CS实例被认为是Rust视角中的不同类型，我们依赖于某些内联/常量属性/编译器工作来减少分支到静态跳转。

关于构建子部分的说明

• 仅实现了2^64 - 2^32 + 1字段。非向量化的数学实现基于为Plonky2开发的实现，但已重新构造成const特性
• 主要对加法执行自动向量化，其中效益明显
• Poseidon MDS和轮常量与Plonky2相同，以便与用户具有一些兼容性
• Poseidon2轮常量重用了Poseidon常量
• 算术化约束仅影响一行。放置策略是通过行列铺砖尽可能多地摊销常量
• 复制排列参数来自Plonk（基于大积的）。以后可能会改为对数导数（加法的一个）
• 查找参数是对数导数（加法的一个）
• 目前，电路中的查找表必须具有相同的宽度
• 无法将列从预言机中分离出来，并输入到另一个证明中
• 目前，将移动到扩展域的操作仅在FRI聚合（因此在前一阶段挑战是|F|并且我们必须重复论证）上执行，但将进行更改，以便在提交见证后尽可能快地移动到扩展域，以避免分母中出现零的概率相当大。这在证明中的计算开销影响非常微小
• 零知识尚未实现，但已计划（门本身将决定如何将其满意的、但随机的见证放入它们尚未使用的行）
• FFT尚未优化
• 哈希函数有所优化
• 实现的门以及算术化都是具有偏见的

关于查找论证的说明

我们使用通过关系强制执行的查找论证\sum_i selector(x_i) / (witness(x_i) + beta) == \sum_i multiplicity(x_i) / (table(x_i) + beta)执行，其中对特殊列的查找selector(x_i)只是一个恒等式。我们也没有将表编码为较低阶的多项式以消除额外的度数界限检查，而是用零填充它们。请注意，表条目永远不会包含一个元素(0,0,...,0)，因为我们使用单独的ID列来处理表类型，以防有多个表（即使只使用一个表），这样的ID从1开始。