TRACE:一文了解Lookup Arguments-ODAILY

作者：

时间：1900/1/1 0:00:00

TL;DR

在上一篇文章Hello,OlaVM!中提到，OlaVM的愿景是建立一个高性能的ZKVM，本文将重点介绍使得OlaVM获得高性能的工具之一，Lookupargument。Lookupargument对缩减电路规模，以提高ZK效率有很重要的作用，在ZKVM的电路设计中被广泛应用，通过本篇文章你可以了解到：

1.Lookupargument在ZKVM中将发挥着怎样的角色？

2.Plookup协议原理。

3.Halo2的Lookupargument协议原理。

4.两个Lookupargument算法之间的联系。

TherolesinZKVM

所谓的ZKVM，其实就是用ZK约束VM所有的执行过程，VM的执行过程一般可以分为：指令执行，内存访问，内置函数执行等。在一个trace里执行对这些操作的约束看起来有点不切实际，首先，不同操作类型的约束对应不同的trace的宽度，如果其中一个约束对应的trace宽度特别大，就会造成其余约束对应trace的浪费；然后，一个trace里有太多不同的操作类型，就会引入更多的selector，不仅会增加多项式的个数，而且还会增加约束的阶；最后，由于群的阶限制，trace的行数不能超过这个群的阶，因此，应该尽量减少某种类型的操作所占用的trace行数。

巨鲸地址于4小时前卖出108万枚ARB，亏损27.6万美元:6月12日消息，据 lookonchain 数据显示，0x494a 开头巨鲸地址于 4 小时前卖出 108 万枚 ARB，亏损 27.6 万美元。

据悉，该巨鲸地址此前于 6 月 2 日以 1.25 美元均价买入 108 万枚 ARB，共计投入 134 万美元。值得注意的是，该地址在 Andrew Kang 买入 ARB 2 小时后买入，或受到 Andrew Kang 交易动作影响。

此前报道，加密风险投资公司 Mechanism Capital 联合创始人兼合伙人 Andrew Kang 曾于 6 月 2 日以 1.21 美元均价买入 117 万枚 ARB，6 月 10 日晚将其 21.7 万枚 ARB 在链上以 0.97 美元的价格售出；95.3 万枚 ARB 转入 Binance，预计其本次 ARB 投资实现了 28 万美元亏损，亏损率 20%。[2023/6/12 21:31:14]

因此，为了简单，我们需要：

a.把不同的操作类型分成多个子trace，然后分别证明，主trace和子trace之间需要通过Lookupargument来保证数据的一致性。

过去30天SOL交易费用为94.6万美元，同比下降41.43%:金色财经报道，Token Terminal数据显示，过去30天，Solana交易费用为94.6万美元，其中支付给SOL质押者的收入为47.3万美元，均同比下降41.43%；此外，Solana活跃开发者数量在今年2月以来便大幅下降，目前已创自去年4月以来新低。[2022/12/3 21:19:53]

b.对于一些ZK-unfriendly计算，我们可以通过Lookupargument技术来缩减trace的规模，比如位运算等。

当然，也有其他的一些技术手段来减少trace规模，我们将在后面的文章中给予说明。

Lookupbetweentracetables

VM所有的执行过程会组成一个完整的trace，称为主trace，这里的完整是包含VM执行的所有状态，不会涉及到辅助状态，比如，方便ZK验证的一些扩展信息等；如前面所述，在主trace里面包含这种辅助信息，会使得主trace变得复杂，难于约束。因此，为了约束方便，通常会建立一些子trace，然后分别针对这些子trace进行约束，而主trace主要用来进行执行正确的程序约束和Context约束。

美联储埃文斯：预计到2023年初，利率将略高于4.5%:10月10日消息，美联储埃文斯：加息结束后一段时间内需要采取限制性货币政策。预计到2023年初，利率将略高于4.5%。过度加息会造成经济损失。(金十)[2022/10/11 10:30:17]

图片1.Lookupbetweentraces

通过建立不同的子trace，我们把VM执行的不同操作进行划分，通过Lookupargument技术来保证了子trace的数据源于主trace。对于子trace里的数据有效性证明，需要根据具体的操作类型，生成不同的trace，然后用对应的约束去证明trace的有效性；特别是对于bitwise，rangcheck等zk-unfriendly操作。

LookupforZK-unfriendlyoperations

如前面所述，每个子trace的证明是独立的，所以获得一个尽可能小的trace，会提高prover的效率。以bitwise为例，bitwise操作包含AND,XOR,NOT三种操作。如果想通过电路单纯的实现对bitwise操作的约束，那需要做的可能是，把每个op拆成多个2进制的limbs，如果这些op是32bit位宽，那就会拆分成32个limbs。然后，你需要约束：

TwitterScan完成456万美元种子轮融资:9月24日消息，Web3去中心化社会识别平台 TwitterScan宣布完成456万美元种子轮融资，Redpoint Ventures领投，Sky9 Capital、UpHonest Capital、KuCoin Ventures、Huobi Ventures、Gate Labs、Mirana Ventures、Element、NGC、Antalpha Ventures、7upDAO、Redline Dao、Cobo Ventures、LingFeng Capital、Fenbushi US、CyberConnect、SNZ、Viabtc Capital、SF Capital、MetaStone Capital、OneBoat Capital、BitCoke Ventures、MEXC Ventures、Alchemy Pay、Nstone和YM Capital参投。

据悉，TwitterScan由MetaScan Labs创立，将利用这笔资金加速其 DID生态系统和轻量级社交平台的发展，并与CyberConnect和Link3合作开发.NFT DID社交基础设施和构建Web3域名系统。（Globenewswire）[2022/9/24 7:18:22]

以太坊昨日交易金额为757.6万ETH，上涨65.7%:6月14日消息，据Tokenview数据显示，昨日以太坊交易金额上涨65.7%，达757.6万ETH，创近一个月新高。[2022/6/14 4:25:07]

总共占用3+32*3=99个tracecell，约束个数为3次sumcheck+32次bitwise=35个。

如果这个时候有一些真值表，对于AND,XOR,NOT计算，你可以定义三个表，这些表里存的是指定位宽的op进行bitwise计算的数据，比如8bit。对于32bit的op，只需要把它们拆分成4个8bit的limbs，然后这些op的limbs之间的bitwise关系，也不用对应的约束去实现，只需要在fixedtable里进行Lookup即可，此时，总共占用了3+4*3=15个tracecell，约束个数为3次sumcheck+1次Lookupargument。

图2.LookupinArithmeticoperations

Lookupargument不仅对bitwise操作的证明有极大的提升作用，对于rangeck操作同样。对于32bit的op，只需要把他拆分成2个16bit的limbs即可；这里有两个很好的设计，一个是会使得rangecheck占用更少的tracecells；另外一个是rangcheck的sum约束可以复用我们自定义的ADD-MUL约束。对于不同的计算类型，能够复用同一个约束，对整体的效率提升具有很大的帮助，如上图所示，对于自定义的ADD-MULgate，它可以支持ADD,MUL,ADD-MUL,EQ,RANGECHECK五种计算类型的约束复用。

Plookup协议

介绍