1. 引言

借助zk-SNARKs的灵活性，可让DeFi隐私交易更便宜更简单。

Aztec团队致力于让通用零知识交易尽可能简单的同时，对zk密码学进行大幅改进，使这些交易简单的同时还足够便宜。

2. 设计证明系统的取舍

在零知识证明系统中，Prover致力于让Verifier信服某statement是正确的，同时Prover给Verifier分享的statement信息尽可能少。
零知识证明系统主要分为2个阶段：

理想情况下，这2个阶段应都足够快且计算高效，但是，现实情况是通常需要在二者之间进行取舍权衡。从计算角度来说，构建证明的计算量要远大于验证证明的计算量，当提到某“fast” 构建证明算法时，“fast”是相对于某基准线，而不是相对于verification的。

在Aztec的zk-rollup中，有3个不同的角色参与创建和验证SNARK proofs，每个角色具有不同的计算能力和限制：

1）用户：用户拥有秘密信息，如其balance，其历史交易。用户想在保持隐私的情况下，参与交易，并与DeFi协议交互。用户可在web浏览器中生成证明，浏览器通常运行在低计算能力的设备，如手机上。
2）Rollup Provider：rollup provider负责将用户交易进行打包和压缩，该流程中包含了生成proof和验证proof（具体看下面的recursion讨论）。rollup provider通常可访问商用级别硬件。
3）区块链：Ethereum Virtual Machine（EVM）为计算高度受限的环境，EVM中的每个运算有所不同，但通常都是昂贵的，相应的开销必须由用户以交易手续费支付。EVM负责验证一个proof（其中可能包含了多个其它proof）。

为了给Aztec的用户带来实惠的、真正的零知识交易，我们跨递归边界将不同的证明系统（特别是PlonK的不同、美味口味）融合在一起。对于用户来说，这意味着在客户端证明生成期间降低了计算成本，同时通过最小化EVM上的计算降低了货币成本。

[1] Aztec团队2022年9月博客 Proof Compression