原文作者：Vitalik Buterin

原文编译：Karen，Foresight News

特别鸣谢 Justin Drake、Francesco、Hsiao-wei Wang、@antonttc 和 Georgios Konstantopoulos。

起初，以太坊的路线图中有两种扩容策略。一种（参见 2015 年的一篇早期论文）是「分片」（sharding）：每个节点只需要验证和存储一小部分交易，而不是验证和存储链中的所有交易。其他任何点对点网络（例如 BitTorrent）也是这样工作的，所以我们当然可以让区块链以同样的方式工作。另一种是 Layer 2 协议：这些网络将位于以太坊之上，使其能够充分受益于其安全性，同时使大部分数据和计算保持在主链之外。Layer 2 协议是指 2015 年的 state channels， 2017 年的 Plasma，然后是 2019 年的 Rollup。Rollup 比 state channels 或 Plasma 更强大，但它们需要大量的链上数据带宽。幸运的是，到 2019 年，分片研究已经解决了大规模验证「数据可用性」的问题。结果，两条路径融合在一起，我们得到了以 Rollup 为中心的路线图，该路线图今天仍然是以太坊的扩展策略。

PeerDAS 是「 1 D sampling」的一个相对简单的实现。在以太坊中，每个 blob 都是一个在 253 位素数域（prime field）上的 4096 次多项式（polynomial）。我们广播多项式的 shares，其中每个 shares 包含从总共 8192 个坐标中相邻的 16 个坐标上的 16 个评估值。在这 8192 个评估值中，任何 4096 个（根据当前提出的参数： 128 个可能样本中的任何 64 个）都可以恢复 blob。

PeerDAS 的工作原理是让每个客户端侦听少量子网，其中第 i 个子网广播任何 blob 的第 i 个样本，并通过询问全球 p2p 网络中的对等方（谁将侦听不同的子网）来请求它需要的其他子网上的 blob。更保守的版本 SubnetDAS 仅使用子网机制，而没有额外的询问对等层。当前的提案是让参与权益证明的节点使用 SubnetDAS，而其他节点（即客户）使用 PeerDAS。

从理论上讲，我们可以将一「 1 D sampling」规模扩展得相当大：如果我们将 blob 的最大数量增加到 256 （目标为 128），那么我们就能达到 16 MB 的目标，而数据可用性采样中每个节点 16 个样本 * 128 个 blob * 每个 blob 每个样本 512 字节 = 每个 slot 1 MB 的数据带宽。这只是勉强在我们的容忍范围内：这是可行的，但这意味着带宽受限的客户端无法采样。我们可以通过减少 blob 数量和增加 blob 大小来对此进行一定程度的优化，但这会使重建成本更高。

因此，我们最终想要更进一步，进行 2D 采样（2D sampling），这种方法不仅在 blob 内进行随机抽样，还在 blob 之间进行随机抽样。利用 KZG 承诺的线性属性，通过一组新的虚拟 blob 来扩展一个区块中的 blob 集，这些虚拟 blob 冗余地编码了相同的信息。

因此，最终我们想更进一步，进行 2D 采样，它不仅在 blob 内，而且在 blob 之间进行随机采样。KZG 承诺的线性属性用于扩展一个区块中的 blob 集，其中包含对相同信息进行冗余编码的新虚拟 blob 列表。

如果实现数据压缩，对 2D DAS 的需求会有所减少，或者至少会延迟，如果 Plasma 被广泛使用，则需求会进一步减少。DAS 也对分布式区块构建协议和机制提出了挑战：虽然 DAS 理论上对分布式重建友好，但这在实践中需要与包 inclusion list 提案及其周围的分叉选择机制相结合。

Rollup 中的每笔交易都会占用大量的链上数据空间：ERC 20 传输大约需要 180 字节。即使有理想的数据可用性采样，这也限制了 Layer 协议的可扩展性。每个 slot 16 MB，我们得到：

16000000 / 12 / 180 = 7407 TPS

如果我们不仅能解决分子的问题，还能解决分母的问题，让每个 Rollup 中的交易在链上占用更少的字节，那会怎样？

它是什么，如何工作？

在我看来，最好的解释是两年前的这张图：

零字节压缩中，用两个字节替换每个长的零字节序列，表示有多少个零字节。更进一步，我们利用了交易的特定属性：

签名聚合：我们从 ECDSA 签名切换到 BLS 签名，BLS 签名的特性是多个签名可以组合成一个单一的签名，该签名可以证明所有原始签名的有效性。在 L1 层中，由于即使进行聚合，验证的计算成本也较高，因此不考虑使用 BLS 签名。但在 L2 这样数据稀缺的环境中，使用 BLS 签名是有意义的。ERC-4337 的聚合特性为实现这一功能提供了一条途径。

用 pointers 替换地址：如果以前使用过某个地址，我们可以将 20 字节的地址替换为指向历史记录中某个位置的 4 字节 pointer。

交易值的自定义序列化——大多数交易值的位数很少，例如， 0.25 ETH 表示为 250, 000, 000, 000, 000, 000 wei。最大基础手续费和优先手续费也类似。因此，我们可以使用自定义的十进制浮点格式，来表示大多数货币值。

接下来主要要做的是实际实现上述方案。主要的权衡包括：

1、切换到 BLS 签名需要付出很大努力，并且会降低与能够增强安全性的可信硬件芯片的兼容性。可以使用其他签名方案的 ZK-SNARK 封装来替代它。

2、动态压缩（例如，用 pointers 替换地址）会使客户端代码变得复杂。

3、将状态差异发布到链上而不是交易，会降低可审计性，并使很多软件（例如区块浏览器）无法工作。

如何与路线图的其他部分交互？

采用 ERC-4337 ，并最终将其部分内容纳入 L2 EVM 中，可以大大加快聚合技术的部署。将 ERC-4337 的部分内容放在 L1 上可以加快其在 L2 上的部署。

即使使用 16 MB 的 blob 和数据压缩， 58, 000 TPS 也未必足以完全满足消费者支付、去中心化社交或其他高带宽领域的需求，尤其是当我们开始考虑隐私因素时，这可能会使可扩展性降低 3-8 倍。对于高交易量、低价值的应用场景，目前的一种选择是使用 Validium，它将数据保存在链下，并采用了一种有趣的安全模型：运营商无法窃取用户的资金，但他们可能会暂时或永久冻结所有用户的资金。但我们可以做得更好。

Plasma 解决方案越有效，L1 具有高性能数据可用性功能的压力就越小。将活动移至 L2 还可以减少 L1 上的 MEV 压力。

目前，大多数 Rollup 实际上还不是去信任的。存在一个安全委员会，它有能力 override（optimistic 或 validity）证明系统的行为。在某些情况下，证明系统甚至完全不运行，或者即使运行，也仅具有「咨询」功能。最先进的 Rollup 包括：（i）一些去信任的应用特定 Rollup，如 Fuel；（ii）截至本文撰写之时，Optimism 和 Arbitrum 是两个实现了被称为「第一阶段」的部分无需信任里程碑的全 EVM Rollup。Rollup 未能取得更大进展的原因是担心代码中存在 bug。我们需要无需信任的 Rollup，因此必须直面并解决这个问题。

将活动移至 L2 可降低 L1 上的 MEV 压力。

当今 L2 生态系统面临的一个主要挑战是用户难以在其中导航。此外，最简便的方法通常又会重新引入信任假设：中心化跨链、RPC 客户端等等。我们需要让使用 L2 生态系统的感觉就像是在使用一个统一的以太坊生态系统一样。

2、更激进的「共享代币桥」理念：想象一下，在一个所有 L2 都是有效性证明 Rollup 且每个 slot 都向以太坊提交的世界。即使在这样的世界中，要在原生状态下将一个 L2 的资产转移到另一个 L2，仍然需要提现和存款，这需要支付大量的 L1 Gas 费。解决这一问题的一种方法是创建一个共享的极简 Rollup，它的唯一功能就是维护每种类型的代币由哪个 L2 拥有以及各拥有多少余额，并允许这些余额通过任何 L2 发起的一系列跨 L2 发送操作进行批量更新。这将使得跨 L2 转账无需每次转账都支付 L1 燃气费，也无需使用如 ERC-7683 等基于流动性提供者的技术。

3、同步组合性：允许在特定 L2 与 L1 之间或多个 L2 之间发生同步调用。这有助于提高 DeFi 协议的财务效率。前者可以在没有任何跨 L2 协调的情况下实现；后者则需要共享排序。基于 Rollup 的技术自动适用于所有这些技术。

上面的许多示例都面临着何时标准化以及标准化哪些层的标准困境。如果标准化过早，可能会使一个较差的解决方案根深蒂固。如果标准化过晚，则可能会造成不必要的碎片化。在某些情况下，既存在一种属性较弱但更容易实施的短期解决方案，也存在一种「最终正确」但需要数年时间才能实现的长期解决方案。

这些任务不仅仅是技术问题，它们也是（甚至可能主要是）社会问题，需要 L2 和钱包以及 L1 合作。

最简单的扩展方式是直接增加 Gas 上限。然而，这可能会使 L1 趋于中心化，从而削弱以太坊 L1 如此强大的另一个重要特性：作为稳健基础层的可信度。关于简单增加 Gas 上限到何种程度是可持续的，目前仍存在争议，而这也会因实施哪些其他技术来使更大区块的验证变得更容易（例如，历史过期、无状态、L1 EVM 有效性证明）而有所不同。另一件需要持续改进的重要事情是以太坊客户端软件的效率，如今的效率远比五年前要高得多。有效的 L1 Gas 上限增加策略将涉及加速这些验证技术的发展。

• EOF：一种新的 EVM 字节码格式，对静态分析更友好，可实现更快的实现。考虑到这些效率提升，EOF 字节码可以获得更低的 gas 费用。

• 多维 Gas 定价：为计算、数据和存储分别设定不同的基本费用和限制，可以在不增加最大容量的情况下提高以太坊 L1 的平均容量（从而避免产生新的安全风险）。

• 降低特定操作码和预编译的 Gas 成本 - 从历史上看，为了避免拒绝服务攻击，我们曾多次增加某些定价过低的操作的 Gas 成本。可以做得更多的一点是，降低定价过高的操作码的 Gas 费用。例如，加法比乘法便宜得多，但目前 ADD 和 MUL 操作码的费用却相同。我们可以降低 ADD 的费用，甚至让 PUSH 等更简单的操作码的费用更低。EOF 整体上在这方面更为优化。

• EVM-MAX 和 SIMD：EVM-MAX 是一项提案，允许更高效的原生大数模数学作为 EVM 的单独模块。除非有意导出，否则 EVM-MAX 计算计算的值只能由其他 EVM-MAX 操作码访问。这允许有更大的空间以优化格式存储这些值。SIMD （single instruction multiple data） 是一种允许对值数组有效执行相同指令的提案。两者一起可以在 EVM 旁边创建一个强大的协处理器，可用于更高效地实现加密操作。这对于隐私协议和 L2 防护系统特别有用，因此它将有助于 L1 和 L2 扩展。

这些改进将在以后的 Splurge 文章中更详细地讨论。

最后，第三种策略是原生 Rollups（或 enshrined rollups）：本质上，创建许多并行运行的 EVM 副本，从而产生一个等同于 Rollup 可以提供的模型，但更多地原生集成到协议中。

L1 扩展有三种策略，可以单独或并行进行：

• 改进技术（例如客户端代码、无状态客户端、历史过期）以使 L1 更易于验证，然后提高 Gas 限制。

• 降低特定操作的成本，在不增加最坏情况风险的情况下增加平均容量；

• 原生 Rollups （即，创建 EVM 的 N 个并行副本）。

了解了这些不同的技术，我们会发现各有不同的权衡取舍。例如，原生 Rollups 在组合性方面存在许多与普通 Rollups 相同的弱点：你不能发送一个单一交易来跨多个 Rollup 同步执行操作，就像你可以在同一个 L1（或 L2）上的合约中做的那样。提高 Gas 上限会削弱通过简化 L1 验证可以实现的其他好处，比如增加运行验证节点的用户比例，以及增加 solo 质押者数量。根据实现方式的不同，使 EVM（以太坊虚拟机）中的特定操作更便宜可能会增加 EVM 的整体复杂性。

任何 L1 扩容路线图都需要回答的一个重大问题是：L1 和 L2 的最终愿景分别是什么？显然，把所有内容都放在 L1 上是荒谬的：潜在的应用场景可能涉及每秒数十万笔交易，这将使 L1 完全无法进行验证（除非我们采用原生 Rollup 的方式）。但我们确实需要一些指导原则，以确保我们不会陷入这样一种境地：Gas 上限提高 10 倍，严重损害以太坊 L1 的去中心化。

将更多用户引入 L1 不仅意味着要提升扩展，还意味着要改善 L1 的其他方面。这意味着更多的 MEV 将留在 L1 上（而不是仅仅成为 L2 的问题），因此，明确处理 MEV 的需求将变得更加迫切。这将极大地提升 L1 上快速 slot 时间的价值。同时，这也极大地依赖于 L1（the Verge）验证的顺利进行。