实现LatticeFold：专访Nethermind工程师

原播客：https://zeroknowledge.fm/podcast/361/

编译：Kurt Pan

Anna Rose：
欢迎收听 Zero Knowledge，我是主持人 Anna Rose。在本节目中，我们探索零知识研究、去中心化网路，以及那些有望改变线上互动与交易方式的新典范。

本週，Nico 与我邀请到 Nethermind 的 Matthew 与 Albert，一起谈谈他们正在研究的主题。在深入讨论 lattice-based ZK 系统之前，Matthew 与 Albert 已着手实作 LatticeFold —— 一个依赖格理论的 folding 方案。今天我们将探讨这类系统带来的挑战与契机。

Anna Rose：
今天，我和 Nico 一起邀请到 Nethermind 的 Matthew 及 Albert。

Anna Rose：
欢迎你们，Matthew、Albert！

Matthew Klein：
很高兴来到这里。

Albert Garreta：
谢谢邀请，很荣幸参加。

Anna Rose：
太棒了。嗨，Nico！

Nicolas Mohnblatt：
嗨，Anna、Albert、Matthew。

Anna Rose：
我们最近邀请了 IBM Research 的 Vadim 一起讨论 lattice-based ZK 系统。在那集里，我们为听众介绍了「格」及其与 SNARK 结合的挑战与潜在红利。

今天，我们将更深入目前最前沿的构造：LatticeFold —— 一套高度依赖格理论的 folding 方案。我们会谈谈实作这类系统的难题，并期待一窥未来发展方向。

可以这样理解：上一集是「从格的角度看 ZK」，这一集则是「从 ZK 的角度看格」。另外，Nethermind 近来产出丰富研究成果，我们稍后也会聊聊。

那就让我们开始吧！

Anna Rose：
Albert，你曾在节目里谈 FRI 的安全性。这次主题相当不同，先和听众分享一下你近况及目前的研究重点吧。

Albert Garreta：
上回录节目时，我们除了聊 FRI 与 STARK 的 Fiat–Shamir 安全性，也谈到「在环上证明陈述」这个问题；我们已研究三年，最近完成并发布了成果 —— Zinc，欢迎线上查阅。

• https://eprint.iacr.org/2025/316

此外，我们实作了 LatticeFold，并做了许多内部研究；也研究 lookup argument 的 folding，发表了 FLI。

• https://github.com/NethermindEth/latticefold
• https://eprint.iacr.org/2024/1531

我们同时着手 zkML。有不少计画进行中，其中一支工程团队致力于用 folding 来做「推理证明」。原因是 ML 模型的电路通常包含大量重複计算（层层相似），非常适合 folding。

Nicolas Mohnblatt：
很酷！我记得早期有个专案 Zator 用 Nova + R1CS 做过类似方向。如今工具更多元，很期待你们成果。

Albert Garreta：
我们也在探索不用证明整个模型、而是用更聪明方法达成同样目标 —— 因为对某些应用而言，完整推理证明永远太慢；若谈训练证明就更可怕了。我们还持续研究 FRI 的安全议题。

Nicolas Mohnblatt：
还有一件大事：你录製了 ZK Whiteboard Session！

Anna Rose：
对，那集已在第二季上线；我们会附连结。

• https://www.youtube.com/watch?v=4alOna5X3ro

Anna Rose：
Matthew，第一次上节目，请介绍你在 Nethermind 的工作以及你与 lattice 系统的交集。

Matthew Klein：
大家好，我是 Matthew，Nethermind 的密码工程师。去年大学毕业后以实习生身份加入并留任至今。实习期间与工作初期，我参与 LatticeFold 的实作，也研究后量子签章方案。最近与 Albert 合作 Zinc。

Nicolas Mohnblatt：
首先想请教如今 lattice-based ZK 的版图：是否全都聚焦于 folding？还是有其他截然不同的技术？整体与 pairing-based 或 hash-based 系统相比如何？

Albert Garreta：
这问题可讲很久……简要说：

• 折叠（folding） 确实是热点；一系列基于格的 folding 方案引起广泛兴趣。

• 但折叠之外，LaBRADOR 与 Greyhound 也是令人振奋的进展。

LaBRADOR 是建立在格上的 SNARK（严格说是小型证明系统，因验证者仍为线性时间），特色是证明极小。Greyhound 则是以 LaBRADOR 为外包装的多项式承诺方案，无论产证、验证或证明大小，论文数据都很亮眼。

Nicolas Mohnblatt：
听起来有点像离散对数世界的 Bulletproofs：证明小但验证者线性。

Albert Garreta：
没错；LaBRADOR 其实可视为「格版 Bulletproof」，利用 Johnson–Lindenstrauss 引理来做范数界证明。Greyhound 则在此基础上缩短了证明。

Anna Rose：
刚才你提到 LaBRADOR 与 Greyhound「挺格味」；那 LatticeFold 呢？LatticeFold 也是延续这条路线，还是纯粹对它们的实作？

Albert Garreta：
LaBRADOR 是一个证明系统（虽不算简洁），Greyhound 是一个可用于构建格 SNARK 的承诺方案。至于 LatticeFold、LatticeFold+、Neo、Lova 这些则属于 folding 方案：它们本身不是证明系统，而是把两个（或多个）instance – witness 配对，折叠成一个新配对；若最后那个配对正确，则先前所有配对正确的机率极高。
因此，你可以先用 LatticeFold 把许多陈述折成一个，再用 LaBRADOR 或 Greyhound 去证明那个折叠后的陈述 —— 组成「全格化」堆栈。

Nicolas Mohnblatt：
那 LatticeFold 能嵌进现有系统吗？例如先用 LatticeFold 折叠，再用 STARK 或别的证明系统做最后证明？

Albert Garreta：
完全可以。我们自己就研究过：在 STARK 流程里先用 LatticeFold 折叠，再用 STARK 证明折叠后的结果。也有人在用杂凑型（Arc、WARP 等）folding，但 lattice-based 给了另一条路。

Nicolas Mohnblatt：
说到实作，若开发者想动手用格，他们能靠哪些工具？和 Arkworks、Plonky2 类库相比，目前格工具成熟度如何？

Matthew Klein：
核心原语（签章、加密）当然有 NIST 标准的参考实作，但多数仍停留在「学术原型」。我们做 LatticeFold 时，大量功能得自己写。虽借助 Arkworks 的域库，但格需要用「环」，所以新增了一整个 stark-rings 库。
总体来说，除了同态加密领域因大型企业投入而工具较完备，其他 lattice-ZK 工具目前都还很基础。

Nicolas Mohnblatt：
那麽 LatticeFold 的核心设计 —— 与 Hypernova 的差异 —— 能再解释一下吗？

Albert Garreta：
Hypernova 折叠时，关键步骤是把两个见证的承诺做随机线性组合；因为使用群同态承诺（例如 Pedersen），加法同态让验证者轻松得到新承诺。
在格世界，我们用 Ajtai 承诺：把矩阵  乘以向量  得到承诺。但这承诺只在  係数「小」时才具绑定性；若直接线性组合，係数会暴增、破坏安全。因此 LatticeFold 必须额外：

1. 分解（decomposition）
   把大向量拆成多个小范围块。

2. 范数检查
   证明每块范数在安全界内。

整体流程仍像 Hypernova，但多了这两步；这就是 LatticeFold 的额外成本。

Nicolas Mohnblatt：
这额外成本如何影响效能？有量化过吗？

Albert Garreta：
我们跑了基准：对长度 、膨胀因子 2 的向量——

• 用 Poseidon2 Merkle 承诺需约 1.8 秒；

• Keccak Merkle 约 0.39 秒；

• Ajtai 承诺约 0.6 秒。

虽比 Keccak 慢，但 Ajtai 对递迴友好；Keccak 在电路中极大，基本无法递迴。若改用 LatticeFold+，它将「范围检查」换成更巧妙的格技巧（把  映成  等），只需少量分块；成本下降显着。Neo 进一步改进「如何对域元素做承诺」，两者又能叠加，理论上会超越现有杂凑折叠。

• https://eprint.iacr.org/2025/247
• https://eprint.iacr.org/2025/294

Anna Rose：
Neo 具体改了什麽？

Albert Garreta：
Neo 提出一种「按位付费」的承诺：若见证係数本就小，承诺开销也小。与 LatticeFold+ 不冲突，两者可合成「LatticeFold+ Neo」；概念上实作不难，因为我们的库已涵盖大部分基础。

Nicolas Mohnblatt：
说说其他正在做的项目吧。

Matthew Klein：
我们另一重点是 后量子签章聚合，为以太坊最终性设计 PQ 方案。目前聚焦 Falcon：

• 研究如何用 LaBRADOR 为多个 Falcon 签章做聚合证明；
• 也在尝试「折叠 Falcon 签章」，将多签章压成单签章。

虽仍属原型，但为以太坊后量子化铺路。

Albert Garreta：
另一条线是 轻量化 zkML。完整推理证明太重，我们改用「水印 + ZK」策略：
模型所有者将词彙分为绿/红清单并签名隐藏；推理时产生 ZK 证明「输出含更多绿词」，用户即可验证服务端确为原模型。这只需做 lookup argument，比整模型推理小很多，工程团队正在开发中。

最后是 Zinc：一套对「整数电路」做简洁证明的框架。因许多 VM 指令天然在  取模，若用域电路需昂贵 foreign-field 技巧；Zinc 直接在整数上表达，电路大小近乎原生，并以杂凑型 PCS 实现。初步基准显示，对  大小多线性多项式，承诺+验证耗时仅约 Poseidon Breakdown 的两倍，但电路可缩小 16 倍以上，性价比极高；相关程式码和详测即将公开。

Nicolas Mohnblatt：
没错；若同样电路尺寸，整数版能承载的「真实运算」比 域版多得多。

Matthew Klein：
我们估算，相同证明时间下，整数电路可比传统域电路大约快  到  倍；因此即便承诺步骤慢一倍，整体仍优。

Anna Rose：
非常棒！好，节目也差不多到尾声。Albert、Matthew，再次感谢你们分享 lattice-folding 的最新进展、轻量 zkML、Zinc，以及 Nethermind 的多项研究。这次梳理了「格 × ZK」的全貌，对我帮助很大。恭喜你们持续推出这麽多成果，也祝后续实作顺利！

Albert Garreta：
谢谢邀请，能来聊这些真的很开心。

Matthew Klein：
非常感谢，和你们对谈收穫良多。

Nicolas Mohnblatt：
谢谢两位，内容深具启发。

Anna Rose：
最后感谢我们的製作团队 Rachel、Henrik、Tanya 和 Kai，也谢谢各位听众收听。