zk-SNARKs vs zk-STARKs — битва столпов блокчейн-приватности

О приватности в крипте не писал разве что ленивый. Тема обросла мифами с обеих сторон: одни уверены, что крипта — это полная приватность, другие настаивают, что блокчейн-транзакции прозрачнее любого банковского перевода. Правда, как всегда, где-то посередине — и немного сложнее обоих утверждений.

Чтобы разобраться в этом вопросе и ответить, существует ли настоящая приватность в блокчейне, предлагаем как следует погрузиться в мир технологий Zero-Knowledge.

Насколько это соответствует действительности и что на самом деле скрывается за этими буквами, разберём в этой статье.

Нужно предупредить, что тема ZK — это настоящая «высшая математика» в криптографии, и понять, что здесь к чему, не просто сложно, а суперсложно. Тема изобилует сухими терминами и математическими формулами и на слух воспринимается как скучная лекция по высшей математике в универе. Попробуем разложить всё так, чтобы даже ваша бабушка поняла, в чём суть, не теряя при этом технической глубины вопроса.

Ключевые выводы

• Приватность в блокчейне — не “по умолчанию”. Большинство сетей прозрачны, а реальная конфиденциальность достигается за счёт Zero-Knowledge-подхода.
• ZKP позволяют доказать факт без раскрытия данных. Можно подтвердить корректность транзакции, наличие средств или прохождение требований, не показывая сумму, баланс или личные сведения.
• Есть две ключевые семьи технологий: zk-SNARKs и zk-STARKs. Это разные компромиссы между компактностью, скоростью, прозрачностью и требованиями к настройке.
• zk-SNARKs — про компактность и быструю on-chain проверку, но часто требуют trusted setup, а значит несут риск, если начальная церемония была скомпрометирована.
• zk-STARKs — про прозрачность и масштабирование, не требуют trusted setup и выглядят сильнее с точки зрения долгосрочной безопасности и квантовой устойчивости, но доказательства обычно больше по размеру.
• ZK — это не только про приватность. ZK-роллапы и доказательства — фундамент для масштабирования, цифровой идентичности и финтеха нового поколения в Web3.

Доказательства с нулевым разглашением

Представьте: вы хотите доказать банку, что ваш доход превышает определённый порог, — но не показывать конкретную цифру. Или подтвердить возраст на сайте, не указывая дату рождения. Или провести транзакцию в блокчейне так, чтобы никто не знал сумму и отправителя, — но при этом все могли убедиться, что всё чисто.

Что же это за доказательства?

Если вы будете искать информацию по этой теме, то, скорее всего, вам будут встречаться разные вариации этого термина:

• доказательства с нулевым знанием
• доказательства с нулевым раскрытием
• доказательства с нулевым разглашением
• ZK-доказательства

Знайте: это всё одно и то же.

Рождение идеи

Идея родилась ещё в 80-х: в 1985 году её сформулировали учёные Голдвассер, Микали и Ракофф. Но до реального применения в криптографии дело дошло значительно позже.

Суть такая. Есть два участника: тот, кто доказывает (Prover), и тот, кто проверяет (Verifier). Prover хочет убедить Verifier, что знает некоторое секретное значение, — не раскрывая само это значение. Verifier в итоге либо убеждается, либо нет.

Для настоящего ZKP нужны три условия:

• Полнота (Completeness). Если утверждение истинно — честный Prover всегда убедит Verifier.
• Корректность (Soundness). Если утверждение ложно — мошенник не сможет убедить Verifier (ну или сможет с ничтожной вероятностью).
• Нулевое раскрытие (Zero-Knowledge). Verifier узнаёт ровно одно: утверждение истинно. Никакой другой информации он не получает.

Пещера Али-Бабы

Представьте, что есть круглая пещера с тайным проходом в центре. Prover заходит в один из рукавов, Verifier снаружи кричит, из какого рукава выйти. Если Prover действительно знает секрет — он выйдет правильно. Если нет — угадает с вероятностью 50%. После 20 повторений вероятность случайного угадывания — меньше одного на миллион. Секрет при этом так и не раскрыт.

В криптографии это реализуется сложнее, но принцип тот же: математические задачи, которые легко проверить, но невозможно решить без секретного ключа.

Что такое zk-SNARKs

zk-SNARK — это аббревиатура. Расшифровывается как Zero-Knowledge Succinct Non-interactive Arguments of Knowledge, то есть «Сжатые неинтерактивные аргументы знания с нулевым раскрытием информации».

Разберём этот термин подробно по словам:
Zero-Knowledge — нулевое разглашение. Вы доказываете, что знаете секрет (например, пароль или приватный ключ), не показывая сам секрет.

Succinct — доказательство небольшое и проверяется быстро, независимо от сложности исходного утверждения.

Non-interactive — Prover и Verifier не обмениваются сообщениями туда-сюда. Prover генерирует доказательство один раз, и оно проверяется самостоятельно.

Arguments of Knowledge — это именно аргумент того, что Prover знает секрет, а не просто утверждение.

Технические особенности

Технически zk-SNARKs строятся на эллиптических кривых и арифметических схемах: любое вычисление сначала представляется в виде набора математических ограничений, затем из этого набора строится доказательство.

Использование zk-SNARKs требует так называемой «доверенной инициализации» или «надёжной конфигурации» (англ. trusted setup). То есть перед запуском системы нужно один раз сгенерировать специальные параметры (их иногда называют «токсичными отходами», англ. toxic waste). Если кто-то сохранит эти параметры — он сможет создавать фиктивные доказательства.

В классических zk-SNARK безопасность всех последующих доказательств зависит от того, насколько честно прошло начальное генерирование параметров. Поэтому и проводят многосторонние церемонии: каждый участник вносит свою долю случайности — и если хотя бы один из них действовал честно и удалил свои данные, система остаётся надёжной.

Примеры реализации

Технология zk-SNARKs имеет конкретные примеры реализации, а именно: в Zcash, в Ethereum через zkEVM, в протоколах Groth16 и PLONK. Кстати, Zcash — один из первых практических случаев использования этой технологии.

Другие примеры применения zk-SNARKs:

• разработка приватных криптовалют
• zk-rollups (ZK-роллапы)
• DeFi-протоколы

Преимущества и недостатки

Преимущества:

• очень маленькие доказательства (буквально несколько сотен байт)
• быстрая верификация (что особенно полезно для блокчейнов и on-chain проверки)
• технология хорошо изучена и широко используется на практике

Недостатки:

• доверенная инициализация (trusted setup) — потенциальная точка уязвимости: если церемония проведена неправильно или секрет не уничтожен, можно нарушить корректность параметров
• классические zk-SNARKs не считаются квантово-устойчивыми
• сложная криптография и зависимость от эллиптических кривых

Что такое zk-STARKs

zk-STARK — это аббревиатура, которая расшифровывается как Zero-Knowledge Scalable Transparent Arguments of Knowledge — «Масштабируемые прозрачные аргументы знания с нулевым раскрытием информации».

Создал их Эли Бен-Сассон и его команда в StarkWare примерно в 2018 году. По сути, STARKs — это попытка решить главную проблему SNARKs: избавиться от trusted setup.

Ключевые слова здесь — Scalable (масштабируемость). Это то, что на самом деле отличает. Ну и Transparent (прозрачность), конечно.

Scalable — STARKs лучше масштабируются при увеличении объёма вычислений. Именно это отличает zk-STARKs от zk-SNARKs. Если SNARKs проверяются примерно за постоянное время, то у STARKs время верификации растёт логарифмически — медленно, но растёт.

Transparent означает: никакой секретной инициализации. Все параметры публичные и генерируются детерминированно — из случайных чисел, которые может проверить любой.

Технические особенности

Вместо эллиптических кривых STARKs используют хеш-функции и алгебру над полями. Это важно: хеши считаются квантово-устойчивыми, тогда как эллиптические кривые — нет. То есть квантовый компьютер теоретически может взломать SNARK; STARK — значительно сложнее. Также нужно отметить, что эта технология хорошо масштабируется и намного быстрее обрабатывает огромные объёмы транзакций, что делает STARK идеальным решением для запуска Layer 2 решений (L2).

Примеры использования

STARKs используются прежде всего в сети StarkNet и других продуктах экосистемы StarkWare. Также эту технологию активно применяют при разработке zk-rollups нового поколения.

Среди примеров использования стоит отметить:

• Rhino.fi — многосетевой DeFi-агрегатор ликвидности и кроссчейн-мост, который подключается к десяткам блокчейнов и делает переводы/онбординг стейблкоинов быстрыми и дешёвыми благодаря использованию STARK для быстрых и недорогих транзакций.
• StarkEx — специализированный «движок» для создания приложений, который позволяет проектам получать преимущества STARK-доказательств без необходимости строить сложную общую сеть.
• dYdX — крупнейшая децентрализованная биржа фьючерсов, которая долгое время работала именно на StarkEx, что позволяло трейдерам торговать с мгновенным исполнением и нулевым газом.
• Immutable X — ведущая L2-сеть для NFT и криптоигр. Благодаря внедрению технологии STARKs они реализовали возможность минтить миллионы NFT почти бесплатно и с мгновенной финализацией.
• Sorare — фэнтези-футбольная платформа с карточками игроков в виде NFT, которая использует StarkEx для обработки тысяч обменов карточками каждую секунду.

Преимущества и недостатки

Преимущества:

• отсутствие доверенной инициализации (trusted setup)
• высокая масштабируемость
• более высокая безопасность в долгосрочной перспективе
• квантовая устойчивость

Недостатки:

• больший размер доказательств
• более сложное внедрение
• больше нагрузки на сеть

zk-STARKs vs zk-SNARKs

Если кто-то спросит у вас: «так в чём же разница?» или «какая технология лучше?», дайте честный ответ: зависит от задачи.

Для сравнения предлагаем рассмотреть таблицу:

Если коротко:

• SNARKs — это про эффективность и компактность
• STARKs — это про безопасность и масштабирование

Нужна максимально дешёвая on-chain верификация? Ваш выбор — SNARKs.
Важны прозрачность и устойчивость к квантовым атакам в долгосрочной перспективе? Тогда есть смысл смотреть в сторону STARKs.

На практике крупные проекты не выбирают «или/или» — они экспериментируют с обоими. Экосистема Ethereum видит и zkSync (SNARK-based), и StarkNet (STARK-based), и Polygon zkEVM, и каждый делает ставку на своё.

Перспективы в финтехе и Web3

Самое очевидное применение — приватность транзакций. Использование ZK-технологий может доказать, что у пользователя достаточно средств для сделки, не раскрывая его баланс. Или подтвердить соответствие требованиям KYC без передачи персональных данных третьей стороне.

В DeFi-протоколах, в кроссчейн-мостах, в системах верификации личности.

Второе применение — масштабируемость. ZK-роллапы (zk-rollups) позволяют объединять тысячи транзакций в одно доказательство и записывать в блокчейн только его. Меньше данных в сети — ниже комиссии, выше пропускная способность.

Как видите, технологии Zero-Knowledge — это не просто «про приватность». Это фундамент для:

• масштабирования Ethereum
• цифровой идентичности
• финансовых систем нового поколения
• Web3-приложений

Фактически без внедрения ZK-технологий массовое использование блокчейна выглядит очень сложным и туманным. Эта технология, которую большинство воспринимает исключительно как инструмент приватности, намного более значима для всей Web3-индустрии и связанных сервисов, продуктов и инфраструктуры.

Вывод

ZK-доказательства — это способ сказать «я знаю секрет» без того, чтобы его раскрывать. SNARKs делают это компактно и быстро, но требуют доверия к процессу инициализации. STARKs избавились от этой необходимости и лучше выглядят с точки зрения квантовой устойчивости, но платят за это размером доказательств.

Вероятно, через несколько лет вопрос «SNARKs или STARKs» будет звучать примерно как «SQL или NoSQL»: не «что лучше», а «что лучше подходит для конкретной задачи».

А пока что это два разных инструмента для одной цели: дать людям контроль над своими данными без ущерба для прозрачности системы.