撰文：Nickqiao & 霧月，極客 web3

今年 4 月，Vitalik 造訪香港區塊鏈峰會，發表了題為《Reaching the Limits of Protocol Design》的演講，其中再次提到 ZK-SNARKs 在以太坊 Danksharding 路線圖中彰顯出的潛力，並展望了 ASIC 芯片對 ZK 加速的巨大幫助。

此前 Scroll 聯創張燁也曾指出，ZK 在傳統領域的應用空間可能比在 Web3 內的還大，可信計算、數據庫、可驗證性硬件、內容防偽及 zkML 等領域都有對 ZK 的巨大需求，如果 ZK 證明實時生成可以落地，Web3 和傳統行業都有望迎來範式級的變革，但從效率和經濟成本角度看，目前要讓 ZK 投入大規模採用還尚且遙遠。

其實，早在 2022 年，頂級風投機構 a16z 和 Paradigm 就公開發表報告，明確表達了對 ZK 硬件加速的重視，Paradigm 甚至斷言：未來 ZK 礦工的收入可能比肩比特幣或以太坊礦工，基於 GPU 和 FPGA、ASIC 的硬件加速方案將具備巨大的市場空間。此後，隨著 Scroll 和 Starknet 等主流 ZK Rollup 的火熱，硬件加速一度成為市場追捧的熱點概念，這種熱度隨著 Cysic 等項目的臨近上線而變得愈發濃重。

我們有理由認為，基於 ZK 的巨大需求空間，ZK 礦池及實時 ZKP 生成的 SaaS 模式可以開闢出嶄新的產業鏈，在這片頗具潛力的新大陸中，有實力支撐且具備先發優勢的 ZK 硬件廠商完全可能成為下一代的比特大陸，雄踞硬件加速的沃土。

而在硬件加速領域中，Cysic 可能是最受關注的勁旅之一，該團隊曾獲得知名 ZKP 技術競賽平臺 ZPrize 的重要獎項，並在 2023 年開始作為 ZPrize 的導師；其路線圖中囊括的 ToB 端 ZK 礦池與 ToC ZK-Depin 硬件更是吸引了 Polychain、ABCDE、OKX Ventures 和 Hashkey 等頂級 VC 的垂青，完成了總計近 2000 萬美元的大額融資。

隨著 7 月底 Cysic 測試網即將上線，以及其 ZK 礦池的開放在即，各大社區中關於 Cysic 的討論漸趨熱烈，本文旨在讓更多人瞭解 Cysic 的產品原理與業務模式，並對 ZK 硬件加速原理進行簡單科普。在下文中，我們將對 Cysic 的相關知識進行簡要概括，幫助更多人降低理解門檻。

從工作流程理解 ZK 證明系統

ZK 證明系統其實是很複雜的，但如果要對其大體構造有個簡單理解，可以從職能和工作流程角度進行分解。對於一個把普通計算 ZK 化的系統而言，其核心流程概括如下：

首先我們要通過前端與 ZK 系統交互，向其提交待證明的內容，前端會將這些內容進行格式轉換，便於被 ZK 證明系統處理。之後，系統會通過特定的證明系統或框架（如 Halo2、Plonk 等）生成 ZK Proof。這個過程可以細分為以下幾步：

1. 問題設置：首先我們要確定待證明的內容是什麼。比如，證明者 Prover 聲明自己掌握 / 知道某樣數據，「我知道方程式 F(x)=w 的一個解 N」，但他又不想讓人看到 N 的數值。

2.算術化與 CSP：證明者提交待證明的內容後，系統會建立專門的數學模型 / 程序，等價的表達出待證明內容，然後進行格式轉換，便於被證明系統處理。具體而言，前述聲明「我知道方程 F(x)=w 的一個解 N」將從原始的數學等式，轉化為邏輯門電路和多項式的形態。

3. 之後，系統將選擇合適的證明系統如 Halo、Plonk 等，將前面幾步生成的內容編譯為可用的 ZKP 程序。證明者使用該 ZKP 程序生成證明，交由驗證者做驗證。

像 zkEVM 等頻繁在以太坊二層當中被採用的 ZK 系統，本質是先將智能合約編譯為 EVM 的底層操作碼，然後對每個操作碼進行格式轉換，轉化為邏輯門電路 / 多項式約束的形式，再交由後端的 ZK 證明系統做進一步處理。

值得一提的是，目前在區塊鏈中被廣泛使用的 ZKP 技術方案主要是 zk-SNARK（零知識簡潔非交互式知識論證），而ZK Rollup 大多數利用了 SNARK 的簡潔性而非零知識性。簡潔性意味著 ZKP 佔用的空間很小，可以把大量的內容壓縮到幾百個字節，驗證成本非常低。

這樣一來，Prover 和 Verifier 之間的工作量是不對稱的，Prover 生成 ZKP 的成本很高，Verifier 的驗證成本卻很低，只要利用好這種不對稱性，在「單一 Prover，多個 Verifier」的場景下采用 ZK，可以將整體的成本集中在 Prover 側，極大程度降低 Verifier 的成本，這種模式對去中心化驗證極其有利，以太坊二層的思路便是如此。

但這種將驗證成本轉嫁到 ZK 生成端的模式並不是銀彈，對於 ZK Rollup 項目方而言，生成 ZKP 付出的高昂成本最終必然會再度轉嫁到 UX 和手續費上，這並不利於 ZK Rollup 的長期發展。

縱使 ZK 在去信任和去中心化驗證的場景下有很大的用武之地，但受限於生成時間上的瓶頸，無論是 zkEVM 還是 zkVM 或是 ZK Rollup 和 ZK 橋，目前都不具備大規模採用的經濟基礎。

對此，以 Cysic、Ingonyama、Irreducible 等為代表的 ZK 加速項目應運而生，分別從不同的方向嘗試降低 ZKP 的生成成本。下文中，我們將從技術角度簡要介紹 ZKP 生成的主要開銷與加速方式，以及為何 Cysic 在 ZK 加速賽道具備巨大的潛力。

運算開銷：MSM 和 NTT

很多人都知道，ZKP 的 Prover 生成證明的時間開銷非常的大。在 ZK-­SNARK 協議中經常會出現這樣一種情況：Ver­i­fier 只需要一秒就可以驗證證明，但是證明的生成可能需要花費 Prover 半天甚至一天的時間。為了高效的使用 ZKP 證明計算，有必要要將計算格式從經典程序轉換為 ZK 友好。

目前有兩種方法可以做到這一點：一種是使用一些證明系統框架編寫電路，例如 Halo2；另一種是使用領域特定語言 (DSL)，如 Cairo 或 Circom，將計算轉換為中間表達形式，以便後續提交給證明系統。證明系統會根據編寫的電路或 DSL 編譯的中間表達形式來生成 ZK 證明。

程序操作越複雜，生成證明所需的時間就越長。另外，某些操作在本質上對 ZK 不友好，實現它們需要額外的工作。例如，SHA 或 Keccak 哈希函數是 ZKP 不友好的，使用這些函數將導致證明生成時間延長。而即便在經典計算機上執行成本很低的操作，也可能是 ZKP 不友好的。

而拋開 ZK 不友好的計算任務不說，雖然 ZK 證明生成過程可能因選用的證明系統而異，但其瓶頸本質上都是相似的。在 ZK 證明的生成中，有兩種計算任務最消耗計算資源：MSM(Multi-Scalar Multiplication) 和 NTT(Number Theoretic Transform)。這兩種計算任務可以佔到證明生成時間的 80-95%，具體取決於 ZKP 的承諾方案和具體實現。

MSM 主要處理橢圓曲線上的多標量乘法，而 NTT 則是在有限域上的 FFT（快速傅立葉變換），用於加速處理多項式乘法。使用不同的方案組合將帶來不同的 FFT/MSM 負載比例。

以 Stark 為示例，其 PCS (Polynomial Commitment Scheme，多項式承諾方案 ) 使用的是 FRI，一種基於哈希的承諾，而不是像 KZG 或 IPA 所使用的橢圓曲線，因此完全沒有 MSM 的計算。表中越靠上意味著需要越多的 FFT 運算，越靠下則需要越多的 MSM 運算。

優化方案

由於 MSM 運算涉及可預測的內存訪問，雖可以大量並行化，但需要消耗大量的內存資源。另外，MSM 還存在可擴展性挑戰，即使並行化的前提下，也可能很慢，因此，雖然 MSM 有可能在硬件上加速，但它們需要巨大的內存和並行計算資源。

NTT 往往涉及隨機內存訪問，這使得它們對硬件不友好，而且在分佈式基礎設施上難以處理，這是因為 NTT 隨機訪問的特點，其如果在分佈式環境下運行，不可避免地要訪問其他節點的數據，一旦涉及到網絡交互，性能就會大大下降。

因此，存儲數據的訪問和數據移動成為一個主要的瓶頸，限制了 NTT 運算並行化的能力，加速 NTT 的大部分工作，都集中在管理計算如何與存儲器交互上。

其實，解決 MSM 和 NTT 效率瓶頸最簡單的方法，是徹底消除這些操作。一些新提出的算法，比如 Hyperplonk，對 Plonk 進行了修改，消除了 NTT 操作。這使得 Hyperplonk 更易於加速，但引入了新的瓶頸；再如計算成本較高的 sumcheck 協議。還有 STARK 算法， 它不需要 MSM，但其 FRI 協議引入了大量哈希計算。

ZK 硬件加速與 Cysic 的終極目標

儘管軟件和算法層面的優化非常重要且具有價值，但存在明顯的侷限性。為了充分優化 ZKP 的生成效率，必須使用硬件加速，這就像 ASIC 和 GPU 最終稱霸 BTC 和 ETH 挖礦市場。

那麼問題是：加速 ZKP 生成的最佳硬件是什麼？目前有多種硬件可以實現 ZK 加速，如 GPU、FPGA 或 ASIC，當然他們各有優劣.

我們可以對比一下這幾種硬件：

首先我們通過一個簡單的例子來說明它們在開發層面的區別。比如，現在我們要實現一個簡單的並行乘法：

• 在 GPU 上，利用 CUDA SDK 提供的 API，我們可以像寫原生代碼一樣開發，從而獲得並行計算的能力；

• 在 FPGA 上，我們需要重新學習硬件描述語言，使用這種語言來控制硬件級別的連接，以實現並行算法；

• 在 ASIC 上，芯片設計階段硬件層面便直接固定好晶體管的連接排布，之後無法再進行修改。

這幾種方案各有優劣，適用在 ZK 賽道的不同發展階段。而 Cysic 致力於成為 ZK 硬件加速的終極解決方案，其分步戰略為：

1. 基於 GPU 開發 SDK 為 ZK 應用提供解決方案，並整合全網 GPU 資源；

2. 利用 FPGA 的靈活性和各項平衡的特點，快速實現定製化的 ZK 硬件加速。

3. 自主研發基於 ASIC 的 ZK Depin 硬件

4. 而 Cysic Network 則將以 SAAS 平臺 / 礦池的身份，整合 ZK Depin 與 GPU 的所有算力，為整個 ZK 行業提供算力與驗證解決方案

下面讓我們通過對多個細分賽道展開解讀，來充分理解 ZK 加速方案的細分差異與 Cysic 的發展思路。

ZK 礦池與 SaaS 平臺：Cysic Network

其實，無論是 Scroll 還是 Polygon zkEVM 等知名 ZK Rollup，都曾在其路線圖中明確提出了「去中心化 Prover」的概念，而這實際上就是構建 ZK 礦池。這種市場化的方式可以讓 ZK Rollup 項目方減輕包袱，激勵礦工和礦池運營方不斷對 ZK 加速方案進行優化。

而在 Cysic 的路線圖中，已明確提出名為 Cysic Network 的 ZK 礦池與 SaaS 平臺計劃。它不但會集成 Cysic 自有算力，還將通過挖礦激勵的方式吸收第三方算力資源，包括閒散的 GPU 和普通用戶手上的 zk DePIN 設備。

其整個驗證工作流示意圖如下：

1. zk 項目方將證明生成任務提交給代理人 (Agent)，後者的工作是將證明任務轉發至驗證網絡。這些 Agent 在一開始將由 Cysic 官方運行，後續將引入資產質押，讓任何人都能成為 Agent；

2.  

3. Prover 接受證明任務，並使用硬件生成 ZK 證明，證明者需要質押 Token 來參與證明任務的承包，完成證明任務後將獲得獎勵；

4.  

5. 驗證者委員會負責檢查 Prover 生成證明的有效性並進行投票，當達到一定的票數後，證明將被認為有效。驗證者通過質押 Token 加入委員會，參與投票並獲得獎勵，這個過程可以結合 EigenLayer 的 AVS 概念，複用現有的 Restaking 設施。

其詳細交互過程如下：

其實上面的流程中有個點，無論是資產質押還是激勵分發，以及計算任務的提交等動作都需要依賴於某個專屬平臺，這就需要有區塊鏈作為專用設施。

為此 Cysic Network 搭建了一條專屬公鏈，採用了一種獨特的共識算法，稱為 Proof of Compute (PoC)，其基本原理是基於 VRF 函數和 Prover 的歷史表現，比如設備的可用性、提交證明次數、Proof 正確率等等，來選擇出塊人負責出塊（注：它這裡的區塊應該是用於記錄各臺設備的信息和分發 Token 激勵）。

當然，在 ZK 礦池和 SaaS 平臺之外，Cysic 基於不同硬件的 ZK 加速方案上都進行了大量佈局。接下來讓我們分別瞭解其在 GPU、FPGA 和 ASIC 三條路線上的成果。

GPU、FPGA 和 ASIC

ZK 硬件加速的核心在於將一些關鍵運算儘可能並行化。而從硬件的功能特性來看，CPU 為了實現最大的靈活和通用，芯片中很大一部分面積都用來提供控制功能和各級緩存，這導致其並行計算能力較弱。

在 GPU 當中，用作運算的芯片面積比例大大提高，這使其能夠支持大規模的並行處理。現在 GPU 已經非常普及，例如 Nvidia Cuda 等庫可以幫助開發人員利用 GPU 的並行性，而無需瞭解底層硬件，通過 CUDA SDK 可以封裝 CUDA ZK 庫加速 MSM 和 NTT 運算。

而 FPGA 則由大量小型處理單元組成的陣列，要對 FPGA 進行編程，需使用專門的硬件描述語言，再將其編譯為晶體管電路組合。所以 FPGA 實際上是直接用晶體管電路實現特定算法，而不需要經過指令系統的編譯。這種定製性和靈活性要遠勝 GPU。

目前FPGA 價格大約僅是 GPU 的三分之一，且能效可以比 GPU 高出十倍以上。這種顯著的能效優勢部分原因在於 GPU 需要連接到主機設備，而主機設備通常消耗大量電力。可以說，FPGA 可以在不增加能耗的情況下，增加更多的運算模塊來應對 MSM 和 NTT 的需求。這使得 FPGA 特別適合計算密集型、需要高數據吞吐量和低響應時間的 ZK 證明場景。

然而，FPGA 最大的問題是鮮少有開發人員具備編程經驗，對於 ZK 項目方而言，組織一個既擁有密碼學專業知識、同時擁有 FPGA 工程專業知識的團隊極其困難。

而 ASIC 則相當於完全用硬件來實現某個程序，一旦設計完畢，硬件就無法更改，相應地，ASIC 能夠執行的程序自然也無法更改，只能用作特定任務。上面講述的 FPGA 在 MSM 和 NTT 方面的硬件加速優點，ASIC 同樣也具備。而由於是專用電路設計，ASIC 在所有方案裡是效能最高、能耗最小的。

對於目前主流的 ZK Circuit，Cysic 希望證明時間能實現 1 - 5 秒的速度，想要達到這個目標，只有 ASIC 能夠實現。

雖然這些優點聽起來非常吸引人，但 ZK 技術正在快速發展，而 ASIC 的設計和生產週期通常需要 1-2 年，並且成本高達 1000-2000 萬美元。因此，必須要等到 ZK 技術足夠穩定，才能投入大規模的生產，以避免生產出的芯片很快就過時。

對此，在 GPU 和 FPGA、ASIC 這三個領域，Cysic 都做了充分佈局；

在 GPU 加速方案層面，隨著各種新型 ZK 證明系統的誕生，Cysic 基於自研 CUDA 加速 SDK 對它們進行了適配，並通過聚攏社區資源的方式，在 Cysic 的 GPU 算力網絡中鏈接了數十萬張頂級算力顯卡，同時 Cysic CUDA SDK 比最新的開源框架提速了 50%-80% 甚至以上。

在 FPGA 上，Cysic 通過自研方案，完成了全球最快的 MSM、NTT、Poseidon Merkle tree 等模塊的實現，覆蓋了 ZK 計算最主要的部分，而且該方案經過了多個頂級 ZK 項目的原型驗證。

Cysic 自研的 SolarMSM 可以在 0.195 秒內完成 2^30 規模的 MSM 計算，而 SolarNTT 能在 0.218 秒內完成 2^30 規模的 NTT 計算，是目前所有公開的 FPGA 硬件加速結果中性能最高的。

而在 ASIC 領域，雖然距離 ZK ASIC 的大規模應用還有一定距離，但 Cysic 已經提前佈局了這一賽道，並推出了自主研發的 ZK DePIN 芯片和設備。

為了吸引 C 端用戶，並滿足不同 ZK 項目方對性能和成本的要求，Cysic 將推出兩款 ZK 硬件產品：ZK Air 和 ZK Pro。

ZK Air 的大小與充電寶、筆記本電腦電源相近，普通用戶可以直接通過 Type-C 接口將其連接到筆記本、iPad 甚至手機上，為特定 ZK 項目提供算力支持並獲得獎勵。目前 ZK Air 算力仍然超越消費級顯卡，可以加速小規模的 ZK 證明生成任務。

ZK Pro 則類似於傳統礦機，算力達到了多塊頂級消費級顯卡互聯 GPU 服務器的效果，能夠大幅加速 ZK 證明的生成，適用於大型 ZK 項目，如 ZK-Rollup 和 ZKML(Zero knowledge machine learning)。

通過這兩款設備，Cysic 最終將構建一個穩定可靠的 ZK-DePIN 網絡。目前這兩款設備還在研發中，預計於 2025 年上市。

此外，通過 Cysic Network，C 端用戶能夠以非常低的門檻加入到 zk 硬件加速市場，加上 ZK 項目方對算力的大量需求，這可能使市場再次掀起一波如同比特幣挖礦一樣的熱潮，ZK 計算領域的市場規模可能將再次迎來爆發式增長。