ACE Runtime - A ZKP-Native Blockchain Runtime with Sub-Second Cryptographic Finality

本文提出了 ACE 运行时，这是一种基于“身份与授权分离”架构的原生零知识证明区块链执行层，通过将交易路径中的签名验证替换为轻量级 HMAC 认证并异步生成聚合零知识证明，实现了亚秒级加密最终性，同时显著降低了验证成本并提升了抗量子迁移能力。

要点

这篇论文介绍了一个名为 ACE Runtime 的全新区块链系统。为了让你轻松理解，我们可以把现有的高性能区块链（比如 Solana）想象成一家超级繁忙的银行，而 ACE Runtime 则是这家银行进行的一次彻底的大改造。

以下是用通俗语言和生动比喻对这篇论文核心内容的解读：

1. 现在的痛点：银行柜员的“签名噩梦”

想象一下，Solana 这样的银行，每处理一笔转账（交易），柜员（验证节点）都必须拿出放大镜，仔细检查客户在单据上签的名字（数字签名）是不是真的。

• 问题所在：如果一天有 10 万笔业务，柜员就得签 10 万次名、查 10 万次。
• 后果：
  1. 太慢了：检查名字的时间占用了太多精力，导致银行处理速度遇到瓶颈。
  2. 太贵了：为了查得快，每个柜员都必须配备超级昂贵的“验签机器”（GPU 显卡），这导致开分行的门槛很高，只有大财主才能当柜员。
  3. 未来不安全：如果未来出现“量子计算机”这种超级黑客，现在的签名方式可能瞬间被破解，银行就得换一套更笨重、更慢的签名系统，那银行就彻底瘫痪了。

2. ACE 的解决方案：把“查签名”变成“查工牌”

ACE Runtime 的核心创新在于把**“你是谁”（身份）和“你同意这笔交易”（授权）**分开了。

比喻：从“逐笔签字”到“刷工牌”

• 旧模式（Solana）：
  每办一笔业务，客户都要在单据上亲笔签名。柜员必须拿着放大镜，一笔一笔地核对笔迹。

  • 代价：慢，且需要昂贵的验笔迹设备。

• 新模式（ACE Runtime）：
  客户进门时，先刷一下工牌（Attestation/证明）。这个工牌是基于客户的一个“核心秘密”生成的，非常轻，就像一张薄薄的卡片。

  • 柜员（验证节点）的工作：不再检查笔迹，只需要**“滴”一下**，确认工牌是真的（这只需要 1 微秒，比眨眼还快）。
  • 真正的验证去哪了？：真正的“笔迹核对”工作被推迟了。银行会在每天营业结束后，把所有单据打包，交给一个专门的“超级审计员”（Builder/构建者）。这位审计员有超级电脑（GPU），他在后台慢慢算，算出一张总收据（零知识证明），证明“今天这 10 万笔业务，所有工牌都是真的”。

3. 三大核心优势

A. 速度：从“排队等签字”到“秒级确认”

• 旧世界：因为要等所有人签完字、验完名，确认一笔交易可能需要 12 秒甚至更久。
• ACE 世界：
  1. 软确认（400 毫秒）：柜员刷完工牌，大家投票说“看起来没问题”，交易就暂时生效了。
  2. 硬确认（600 毫秒）：几秒后，那个“超级审计员”把总收据发出来。一旦收到这张收据，交易就永久不可篡改了。
  • 比喻：以前你要等 12 秒看银行盖章，现在只要 0.6 秒，比喝一口咖啡还快。

B. 成本：小银行也能开分店

• 旧世界：每个分行（验证节点）都要买昂贵的 GPU 显卡来验签名，成本高昂。
• ACE 世界：
  • 普通分行（非构建者验证节点）只需要普通的电脑（CPU），因为他们的任务只是“刷工牌”，不需要做复杂的数学题。
  • 只有那个“超级审计员”（构建者）需要 GPU。
  • 结果：开分行的门槛降低了 30%-50%，更多人能参与，网络更去中心化。

C. 未来安全：自带“防量子盾牌”

• 旧世界：如果量子计算机来了，现在的签名系统会失效，换系统会导致数据量暴增 38 倍，系统崩溃。
• ACE 世界：
  • 它的“工牌”系统（基于 HMAC 和哈希）天生就抗量子攻击。
  • 即使未来真的要用抗量子的签名算法，因为所有的签名都被压缩成了那张小小的“总收据”，数据量不会变大，系统依然跑得飞快。

4. 它是如何工作的？（三步走流程）

想象一个流水线工厂：

1. 第一阶段：安检与执行（Attest + Execute）

   • 客户拿着“工牌”（轻量级证明）进来。
   • 安检员（CPU）快速扫一眼，确认工牌格式对、没过期。
   • 如果没问题，直接办理业务（执行交易）。
   • 特点：这一步极快，不需要 GPU，普通电脑就能跑。

2. 第二阶段：打包与广播（Block Publish）

   • 把办好的业务打包成一个“包裹”（区块），发给全网。
   • 这时候大家看到包裹，投票确认“软最终性”。

3. 第三阶段：后台审计（Prove）

   • 在后台，专门的“审计员”（GPU）开始工作。他拿着所有客户的原始数据，计算出一个数学魔法证明（零知识证明）。
   • 这个证明只有几百字节大小，却证明了包裹里 10 万笔业务全是真的。
   • 审计员把这个证明发出来，全网验证一下这个证明（只需 0.5 毫秒）。
   • 特点：这一步是异步的，不卡住前面的流水线。

5. 总结：为什么这很重要？

这篇论文提出的 ACE Runtime 就像是给区块链世界换了一套全新的操作系统：

• 以前：每笔交易都要“大动干戈”地验签名，导致速度慢、成本高、怕量子黑客。
• 现在：把“验签名”变成了“刷工牌”，把复杂的计算移到了后台。
• 结果：
  • 快：确认时间从 12 秒缩短到 0.6 秒（快了 20 倍）。
  • 省：普通节点不需要显卡，成本大降。
  • 强：无论交易多少，验证成本几乎不变（从 O(N) 变成了 O(1)），且天生抗量子。

简单来说，ACE Runtime 通过**“身份与授权分离”**的巧妙设计，让区块链变得像刷信用卡一样快，同时还能让普通人也能轻松参与维护网络，是下一代区块链基础设施的一次重大飞跃。

技术摘要

1. 核心问题 (Problem)

现有的高性能 Layer 1 区块链（以 Solana 为代表）虽然实现了高吞吐量（如 400ms 出块时间），但其架构存在三个根本性缺陷：

1. O(N) 签名验证瓶颈：每笔交易都需要在关键执行路径上进行独立的密码学签名验证（如 Ed25519）。随着区块大小增加，验证成本线性增长（$O(N)$）。例如，一个包含 10 万笔交易的区块，仅签名验证就需要 200ms，占用了半个出块间隔，严重限制了吞吐量上限。
2. 高昂的硬件成本与中心化风险：为了加速签名验证，所有验证节点（不仅仅是出块者）都必须配备高性能 GPU。这导致验证节点的最小硬件预算高达约 7,500 美元，提高了参与门槛，加剧了验证者集合的中心化。
3. 抗量子脆弱性：向抗量子签名方案（如 ML-DSA-44）迁移会导致单笔交易数据量膨胀约 38 倍（从 96 字节增至 3,732 字节），使得基于当前架构的区块传播和验证变得不可行。

2. 方法论 (Methodology)

ACE Runtime 的核心创新在于引入了 ACE-GF（原子加密实体生成框架） 中的 “身份 - 授权分离” (Identity-Authorization Separation) 原语，并构建了一个 Attest–Execute–Prove（验证 - 执行 - 证明） 的三阶段流水线架构。

2.1 身份与授权分离

• 传统模式：每笔交易附带完整的公钥和签名。
• ACE 模式：
  • 身份 (Identity)：链上仅存储一个基于 Poseidon 哈希的 身份承诺 (id_com)，由用户的根熵值 (REV) 生成，不暴露公钥，天然抵抗“先收集后解密”的量子攻击。
  • 授权 (Authorization)：交易不再使用公钥签名，而是使用基于 HMAC 的轻量级 凭证 (Attestation)。该凭证由用户的 REV 通过 HKDF 派生出的密钥生成。

2.2 Attest–Execute–Prove 流水线

该架构将验证过程解耦为两个并行阶段：

1. 关键路径 (Critical Path)：
   • AttestCheck (验证)：验证器仅检查 HMAC 凭证的格式和绑定关系（轻量级 CPU 操作，约 1-5 µs/交易），无需进行完整的密码学签名验证。
   • Execute (执行)：并行执行交易并更新状态。
   • Block Publish (出块)：广播包含交易和凭证的区块。此时达成 软最终性 (Soft Finality)。
2. 非关键路径 (Off-Critical Path)：
   • Prove (证明)：专门的出块者（Builder）在 GPU 上异步生成零知识证明。
   • Aggregation (聚合)：使用树状结构递归聚合所有交易的证明，最终生成一个单一的 Groth16 证明。
   • Finality Certificate (最终性证书)：广播包含该证明的证书。验证器仅需验证这一个证明（约 0.5ms），即可达成 硬最终性 (Hard Finality)。

2.3 双层级最终性模型

• 软最终性：基于 BFT 投票（约 400ms），提供快速活性保证。
• 硬最终性：基于零知识证明验证（约 600ms），提供计算上不可逆转的密码学保证。若出块者未能按时提交证明，系统有备份机制（Backup Window）允许验证者集合协作生成证明，否则回滚区块。

3. 主要贡献 (Key Contributions)

1. 流水线架构设计：首次将轻量级 HMAC 凭证验证置于关键路径，将耗时的 ZK 证明生成完全移出关键路径，实现了 400ms 出块时间和约 600ms 的硬最终性。
2. O(1) 区块验证成本：通过每区块单个 Groth16 证明聚合所有交易的授权，将区块验证复杂度从 $O(N)$ 降低至 $O(1)$，无论区块包含多少交易，验证时间恒定（约 0.5ms）。
3. 消除非出块节点的 GPU 需求：普通验证节点仅需 CPU 即可运行，大幅降低了硬件门槛。
4. 抗量子就绪 (Post-Quantum Readiness)：
   • 身份层基于哈希承诺，无公钥暴露。
   • 授权层基于 HMAC，抗量子攻击能力达 128-bit。
   • 支持无缝迁移至抗量子签名（ML-DSA-44），且不会增加区块验证的额外开销（因为证明大小固定）。
5. 形式化安全分析与量化评估：提供了完整的算法描述、安全假设证明（基于知识指数假设和哈希碰撞抗性）以及基于原型实现的基准测试数据。

4. 实验结果与性能指标 (Results)

基于标准服务器硬件和原型实现（Rust, Apple M3 Pro）的评估显示：

• 吞吐量 (TPS)：
  • 保守估计：~16,000 TPS。
  • 优化后潜力：~32,000 TPS。
  • 带宽限制下的理论上限：由于去除了每笔交易的签名和公钥，单区块数据量减少约 5 倍，带宽受限的 TPS 上限可达 ~512,000 TPS（Solana 约为 101,000 TPS）。
• 最终性延迟：
  • 硬最终性：~600ms。
  • 对比 Solana：快约 20 倍（Solana 需 31 个确认槽，约 12 秒）。
  • 对比 Ethereum：快约 1,500 倍。
• 验证成本：
  • 区块验证时间：恒定 0.5ms。
  • 对比 Solana：在 10 万笔交易规模下，验证速度快约 4,000 倍。
• 硬件成本：
  • 非出块验证节点无需 GPU，硬件成本降低 30%-50%（从 ~$7,500 降至 ~$3,500-$5,000）。
• 数据效率：
  • 单交易授权数据从 Solana 的 ~1,232 字节（含签名和公钥）减少至 ACE 的 ~244 字节（凭证）。
  • 抗量子迁移场景下，ACE 保持每区块 256 字节的证明大小，而 Solana 数据量将膨胀 38 倍。

5. 意义与影响 (Significance)

ACE Runtime 提出了区块链设计中一个被忽视的架构维度——身份与授权的分离。其意义在于：

1. 突破性能瓶颈：证明了通过密码学原语的重构，可以在不牺牲安全性的前提下，将硬最终性从秒级提升至亚秒级，同时消除线性增长的验证成本。
2. 促进去中心化：通过移除对 GPU 的强制依赖，显著降低了验证节点的运营门槛，有助于构建更去中心化的网络。
3. 面向未来的架构：从设计之初就考虑了抗量子安全性，并提供了平滑的迁移路径，解决了当前公链在量子计算威胁下的生存焦虑。
4. 范式转变：展示了零知识证明不仅可以用于 Layer 2 的状态压缩，更可以深度集成到 Layer 1 的授权层，从根本上改变区块链的交易处理模型。

总结：ACE Runtime 通过创新的“验证 - 执行 - 证明”流水线，成功将区块链的硬最终性延迟降低至亚秒级，同时实现了验证成本的常数化（O(1)）和硬件要求的平民化，为下一代高性能、抗量子区块链提供了可行的架构蓝图。