關於 ethereum block size ，我們在網路上蒐集到這些相關的討論、資訊與評價

📜 [專欄新文章] EIP2929, EIP2930 簡介
✍️ Anton Cheng
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Opcode 加油Proposal，會不會讓以太坊變更貴呢

昨天在同事的推薦下發現了這個YouTube系列：Peep an EIP，也聽了Vitalik和Martin介紹EIP2929 + 2930的這一期。這兩個EIP都已經被列入下一次的硬分岔(Berlin Hardfork)，所以我就來寫個學習筆記。先打個預防針，本人對EVM可以說是非常不熟，但也希望藉著這個機會逼自己學習，如果有錯誤的話也希望懂的更多的各路大神可以不吝賜教。

Berlin without hardfork. (By Claudio Schwarz on Unsplash)

EIP2929: Gas cost increases for state access opcodes

乍看之下這是一個極為恐怖的Proposal。在Gas已經高到爆炸的2021年，理論上不應該再通過這種「加油」類的方案。不過不用緊張，其實這個EIP真正改變的是第一次access的價格，如果一筆交易內要執行一樣Opcode動作輛次，那麼gas cost 將降低為100。

Increases gas cost for SLOAD, *CALL, BALANCE, EXT* and SELFEDESTRUCT when used for the first time in a transaction.

大家都知道，合約最終會被Compile成一堆Opcode，這些Opcode也是用來計算最終交易手續費的依據：理論上越是花時間的的Opcode，應該要收越高的手續費。

但是一直以來，state access opcode 太便宜都是一個已知的問題：在2016年的上海DOS攻擊中，其中幾個攻擊的手法就是透過惡意交易大量讀取帳戶資訊、大量的創造合約再銷毀，或是不斷用 EXTCODESIZE 來讀合約大小等等，讓Client必須花大量的IO資源處理交易(需要讀寫disk的動作特別慢)，最終使Client程式Crash或是延長出塊時間。儘管大部分的弱點已經透過EIP150中大量提升gas cost獲得改善（還有其後的EIP1884），但在EIP2929中，也引用的這篇Paper的數據：現在replay所有以太坊上的交易，當時那些惡意交易中的worst case還會需要~80秒才能完成。這跟以太坊所定義的13秒出塊時間有著很大的差距，也代表這個潛在的攻擊是可行的。

透過增加這些opcode所需要的gas cost，可以降低每個區塊最大可能的讀取數。以下是偷抄Vitalik PPT 的數據：(12,500,000 為gas limit上限)

Pre-EIP 2929:

BALANCE spam: 12,500,000 / (400 cost + 320 address size + 50 boilerplate) = 16,233 accesses per block

CALL spam: 12,500,000 / (700 + 320 + 50) = 11,682 accesses per block

SLOAD spam: 12,500,000 gas / (800 + 25 boilerplate) = 15,151 accesses per block (but of a smaller tree)

Post-EIP 2929:

BALANCE spam: 12,500,000 / (2,600 + 320 + 50) = 4,280 accesses per block

CALL spam: 12,500,000 / (2,600 + 320 + 50) = 4,280 accesses per block

SLOAD spam: 12,500,000 / (2,100 + 25) = 5,882 accesses per block

說實在的這個數據的解釋也很廢話，就是把Opcode變得用貴，能Spam的數量越少。平均來說Gas cost 變高3倍，所以之前worst case的80秒執行時間可以被下降到大概 ~27秒。

SSTORE changes

在實作層，EVM會維繫一個本筆交易讀取過所有交易的 Set。每次有尚未讀取過的slot時，就會先收取一筆 CLOD_SLOAD_COST (2100) ，然後把這個slot加入這個set中，下次讀寫就會比較便宜。

對於已經讀取過的Slot，再次寫入的Opcode SSTORE 之gas cost為會降低為

5000 — COLD_SLOAD_COST (2100) = 2900

簡單的說，單純只操作一次 SSTORE 的總gas 會維持一樣在 5000 。但如果這個slot是之前有讀過的，則寫入的gas cost就會降低。近一步來說，一個 x += 100 ，其實會變得更便宜:

Pre-EIP-2929: 800 SLOAD + 5000 SSTORE = 5800
Post-EIP-2929: 2100 SLOAD + 2900 warm SSTORE = 5000

其他Side effects

這個改動除了降低了最高能夠spam的次數以外，也降低了以太坊想要做到stateless client，理論上最大的witness 大小。其實這裡的原理跟前面很類似，下圖的表格比較的是目前使用hexary tree所需要的witness大小：若12.5M的區塊全部塞滿該Opcode的witness，理論上最大會佔多少空間。在EIP2929之後由於gas cost增加，就壓縮了最大可能的witness size.

這裡單純只比較增加gas cost後，對於max witness size的影響。影片中有提到其他許多方法旨在減少Witness bytes，包括使用binary tree而不是hexary tree，以及用Code Merklization等等。這些其他方法也能夠降低最後的Max Witness size，但跟這個EIP沒有直接相關。不過可以注意的一點是，這些其他在witness size上面的優化跟 gas cost 所帶來的優化的效果是可以相乘的，例如 SLOAD，更改gas price已經能夠讓max size 縮小2.6倍，若是改用Binary tree可以將 Witness bytes降低到 288 bytes，就會是再3~倍的優化。

對用戶的影響

依照Martin Swende 給出的數據，這個EIP對於一般交易的影響僅有提高0.3~0.4%。理由很簡單，雖然第一次access storage變貴了，但是後面幾次讀寫就會變得便宜。大部分應用的程式邏輯都是類似的幾個變數進行讀寫，因此可能有不少的動作反而會變得更便宜。一個最簡單的例子就是ERC20 Transfer，兩個餘額的 +=和 -= 都會變便宜，所以總共的花費也是變便宜的。

這其中也會對於Solidity的開發pattern有著一定程度的影響，我目前想到的影響可能有兩個：

由於多次的storage access變便宜，永遠cache state variables不再是一個最佳策略。以前我們會盡量想辦法減少寫入state storage的次數，現在可能會基於coding style考量減少一些的memory cache。

之前寫合約都會盡量避免external call，甚至會寫一些一次把所有 variable都回傳回來的笨函示，來避免多次的external calls。這有一部分原因是因為每次external call都會需要使用到 EXTCODESIZE 這個Opcode所以很貴。但如果 EXT 系列的Opcode也變得越call越便宜，那麼這個一次全部call 回來cache 住的pattern也可能改變。

以上兩個想法都還沒有經過實證，如果之後看到更有證據的分析的話，也會來這裡分享。

EIP2930: Optional access lists

EIP2929可能會影響一些鏈上的合約，因為有些合約有hardcode external call的gas 上限。對於這方面的問題，EIP2930提出一個新的交易類型，讓交易中多帶一個access list，即所有這筆交易即將讀寫的storage slot，並且先幫忙付掉第一次讀寫的gas，而真正交易讀寫該storage時，只會被要求付100 gas。

這不但可以避免這次EIP2929帶來的副作用，也可以被使用在其他因為gas price 改變的硬分岔升級而壞掉的合約，例如在EIP1184 增加 SLOAD gas price 時影響到的 Aragon 和Kyber 等等。儘管當時升級前各大專案都有幫助用戶提出migration 方案，但如果有人曾經卡錢在裡面，也可以Follow一下這次柏林Hardfork。

小結

新的一年就用一篇簡單的文章來開頭。最近發現自己以前的學習習慣有點亂無章法，所以新年整理了reading list，逼自己做筆記，順便發想一些想要寫的主題。今年的期許就是學更多Ethereum底層一點的知識，當然還有上層一點Defi的知識。也歡迎大家分享一下自己都是怎麼follow這麼多東西的><

EIP2929, EIP2930 簡介 was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] The next generation Ethereum Virtual Machine — Ewasm VM
✍️ Peter Lai
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

The next generation Ethereum Virtual Machine — Ewasm VM

The next generation Ethereum Virtual Machine — Crosslink 2019 Taiwan

這篇文章是 Crosslink 2019 Taiwan 的一個議程紀錄：The next generation Ethereum Virtual Machine，由來自 Second State 的工程部 VP Hung-Ying Tai 分享 Ewasm VM 目前研究內容及未來的方向，內容非常精彩，包含了 EVM bytecode 、 Webassembly、Ewasm1.0 以及 Ewasm2.0 。

EVM bytecode 及 Webassembly（WASM）

以太坊的智能合約交易在執行時，例如 ：轉 Token 到別的地址，我們是將 EVM bytecode 讀進以太坊的虛擬機執行，而 EVM bytecode 有以下幾點特色：

256 位元且堆疊式（staked-based）的虛擬機

很多高階的指令，例如：SSTORE, SLOAD, SHA3, EC, Call/Create contract

與實體系統架構（通常是 32/64 位元）有差異，而 256 位元則需要靠模擬來完成

較少程式語言（Vyper, Solidity, …）

Webassembly（WASM）是為了讓不同程式語言開發的套件都能在瀏覽器使用的一種二進位程式語言，WASM 有以下幾點特色：

堆疊式（staked-based）的虛擬機：有獨立的區域空間（暫存器或是記憶體），存取堆疊前 3 個物件（EVM 存取 16 個）

支持 32 / 64 位元的操作

沒有高階的指令

RISC 指令集也可以對應到 CPU ISA

較大的社群：主流的瀏覽器都支援，也有較多的程式語言（C++, Rust, GO, …）

Ewasm 1.0

接下來看看以太坊 Ewasm 的特性：

Ewasm 是 wasm 的子集合

因為不能有誤差，所以不支援浮點數運算

只能 import 以太坊的函式庫，避免 importㄒ系統函式庫

在每段指令之前插入 useGAS 來計算 GAS 的花費

Ethereum Environment Interface

EVM 裡有很多像是 SSLOAD, SHA3 的高階指令，這些指令在 Ewasm 1.0 裡，因為 WASM 可以動態讀取函式庫（模組），以太坊定義了 Ethereum Environment Interface 讓客戶端可以用不同的語言實作相對應的函示庫，而且也更容易完成 prototype 跟升級。

下圖是 Ethereum Environment Interface 定義的函數列表。

Ethereum Environment Interface Definition.

如何移除非法的指令？

Ewasm 使用 system contract 移除非法指令以及加入 useGas 的 bytecode，像是浮點數或是非法的 import，有以下兩種做法：

使用 smart contract 檢查合約的 bytecode

像目前的 precompiles 運行在客戶端上，在部署前先檢查合約

下圖是 Ewasm 1.0 的 stack，在部署合約前 Ewasm bytecode 會先經過 Sentinal 的檢查，成功部署後客戶端如果要執行合約會透過 EVM-C 跟 Heru（Wasm Engine）溝通。

Ewasm Stack

效能問題

究竟使用 Ewasm 效能真的會比較快嗎？講者分享各 EVM 執行 Sha1 以及 BN128mul 的結果，可以發現 EVM 在運行 BN128mul 時會是最快，主要是因為 WASM 支持 32 / 64 位元的操作，256 位元則需要另外模擬（1 個 256 位元的運算可以換成 25 個 64 位元的運算），所以 WASM 在跑 BN128mul 時才會比較慢。

Ewasm 2.0

Ewasm 2.0 的智能合約改叫 Execution Environments（EE），與 Ewasm 1.0 不一樣的有下列幾點

EE 全部都是 WASM 寫的

因為支援 cross shard，每個 EE 都是在一個 shard 上執行

EE 只能拿到 state root，而在合約的執行寫法也跟原來不一樣

EE 是 stateless

下圖可以看到 ERC20 Token 在 Ewasm 2.0 跟 Ewasm 1.0 storage 的比較，Ewasm 1.0 每個 data 都會有相對應的 key，而 Ewasm 2.0 只有存 state root，所以只能跟 state root 互動。

Ewasm 2.0 vs Ewasm 1.0

Phase One and Done

目前 Ewasm 2.0 到 phase one and done 的階段，也有測試的網路可以在 shard block 執行 EE，以太坊也有開源 Ewasm 2.0 的測試工具 Scout。

Hello World for Ewasm 2.0

上圖是 Eth 2 的 Hello World EE，可以看到 main 函數裡第一行讀取 pre state root，接下來驗證 block data size 是不是為 0，最後再將 state root 存回去，Eth 2 的智能合約寫起來都會像這樣。

結論

Ewasm 1.0 目前已經支援 EVM 1 大部分的功能也有測試鏈了，second state 開發一個編譯器 soll，能將 solidity 編譯成 Ewasm，想研究的人可以參考看看。

Ewasm 2.0 目前還在研究中，下圖是講者給大家分享的研究及貢獻的方向。

A MAYBE Roadmap

參考

Crosslink 簡報

webassembly.org

scout

soll

Ewasm overview and the precompile problem: Alex Beregszaszi and Casey Detrio @ Ethereum \\ Part 1 — YouTube

Ewasm overview and the precompile problem: Alex Beregszaszi and Casey Detrio @ Ethereum \\ Part 2 — YouTube

Wasm for blockchain&Eth2 execution: Paul Dworzanski,Alex Beregszaszi,Casey Detrio@Ethereum \\ Part 2 — YouTube

Ewasm for sharding

Ewasm updates

Ewasm design

wasm-intro

The next generation Ethereum Virtual Machine — Ewasm VM was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

📜 [專欄新文章] Fraud and Data Availability Proofs
✍️ Brian Po-han Chen
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

這篇文章是被Kimi啟發，所以去研讀並且節錄一些重點還有我對這篇paper的理解

輕節點(Light clients, SPV clients)在整個區塊鏈網路中只下載少部分的資料來驗證區塊是否合法，而這個做法相比於全節點驗證全部資料來說，必須假設共識演算法中只有包含有效的區塊資料同時也假設大部分的全節點是誠實的．

如果讓全節點能夠產生 Fraud Proofs 來證明區塊確實違反了共識協定的規則同時搭配概率抽樣的方法來驗證全部的區塊資料可供下載，就可以大大的降低誠實節點的數量假設；藉由能夠保證鏈上資料都是可得並且有效，Fraud and Data Availability Proofs會是擴容技術(e.g., sharding, bigger blocks)的一大重點．

Erasure code and Reed-Solomon Codes

糾刪碼是將原來長度為k的訊息編碼成為長度為k+m的訊息，而原來的訊息可取編碼後的訊息子集來還原，也就是說這個技術可以容忍m個分散式節點故障，這邊就不詳述了，可參考Kimi的文章

Fraud Proofs

Block Structure

一個block header應該要包含以下元素

prevHash: 前一個block header的hash

dataRoot: 資料(e.g., transactions)組成Merkle tree的root hash

dataLength: 資料樹的葉節點數量

stateRoot: 狀態樹的root hash

additionalData: 額外的任意資料，像是nonce或是難度等等

2. State Root and Execution Trace Construction

transition function: 給一個state S並且去執行transaction T，成功則返回新的state S’ , 或者失敗了返回error

state witness: state tree中只有部分被transaction讀取或者改變的merkle proofs

rootTransition: 使用Merkle proofs來有效地表達一個子樹(root hash會跟整棵狀態樹一樣)

interRoot: rootTransition在一個區塊中執行每個transaction時產生暫時的state root，denote成trace

3. Data Root and Periods

shares: 資料樹的葉節點，包含一個完整個transaction, 部分的前一個transaction跟後一個transaction以及完整的transaction，這樣做法的好處是message parser不需要全部的message就可以建立message boundaries

利用parser將transactions取出之後就可以去驗證state transition是否正確

4. Proof of Invalid State Transition

一個不正常或者惡意的礦工可能會給出一個不正確的stateRoot，我們可以利用dataRoot下的資料(包含trace)來驗證部分的執行是有問題的；一個Fraud Proof 包含不正確state transition相關的shares, 這些shares的merkle proofs, 以及shares中的state witnesses

Verify function要檢查1. block hash跟client端存的是一樣的. 2. 每一個shares都在dataRoot底下. 3. parseShare執行完是整個區塊transition的子集. 4. 確認執行transaction後，trace_x會變成 trace_(x+1)，執行無誤

Data Availability Proofs

惡意的區塊產生者為了避免全節點產生Fraud Proof，可能會扣留著資料而只送出block header，等到過了很久之後才送出資料，這樣可能會造成未來的transactions rollback，所以對於輕節點來說，高度保證正確的資料可得性是非常必要的

這篇paper提出一個基於Reed-Solomon erasure coding的data availability scheme，這個scheme假設網路上有足夠多的輕節點可以產生足夠數量shares來恢復完整資料

Strawman 1D Reed-Solomon Availability Scheme

首先，block producer將區塊資料編碼成k個shares並且利用RS編碼將資料擴展成2k個new_shares，在前面的RS coding中得知我們只需要隨機取得k個new_shares就可以恢復原來的資料．

如果block producer沒有正確的利用RS coding來擴展資料，則就算new_shares資料都可得，也無法正確的恢復原來的資料，也就是說客戶端必須把所有的資料重新編碼一次來判斷block producer有沒有正確產生dataRoot，也因此需要區塊大小的空間O(n)資料．
PS: 我認為要讓其他的全節點做驗證，因為輕節點沒有全部transaction資料

如果使用多維度的編碼則可以將proof size降到O(n^(1/d))，d為維度大小，簡單用2維空間來做解釋，但是實際的scheme是可以用到更高維

2. 2D Reed-Solomon Encoded Merkle Tree Construction

首先，將raw data 切成 k * k 個 new_shares

利用RS coding 將原來的資料水平以及垂直擴展，再將垂直擴展的shares再做一次RS coding就像fig 4.圖示，最後產生一個Matrix M_i for block i

計算每一個row, column所組成Merkle tree的root hash

最後計算rowRoot跟columnRoot的hash

最後資料樹的資料長度會是 2 * (2k)² 元素(經過編碼的new_shares)，前半段的葉子點路徑包含row root，而後面一半則是包含column root；輕節點或是全節點可以透過所有的row root跟column root 去驗證 data root 是否正確，為了獲得資料可得性的保證，所有的輕節點都至少要下載區塊所有的row 及 column root，這樣才有辦法產生Fraud Proof

3. Random Sampling and Network Block Recovery

輕節點跟全節點協定如下

輕節點收到block header 以及 raw roots, column roots，驗證data root 是否正確，否則reject header

輕節點隨機取幾組座標(x, y)，並且寄給一個或多個全節點

全節點如果有這組座標的shares以及相關的merkle proof就回傳給輕節點

輕節點檢查這個shares 以及相應的 merkle proof是否屬於相應的row root樹或者是 column樹

輕節點把shares 跟相應的merkle proof gossip給其他與他相連並且沒有這些shares資料的全節點

如果所有的proofs 都通過檢驗，則這個block被認為是可得的

4. Selectively Share Disclosure

如果區塊產生者有選擇性的釋出shares，儘管這些shares是unrecoverable，但是這個區塊還是會被認為是available；所以可以藉由假設網路上有足夠多的誠實節點並且有超過(k+1)²個shares 會被匿名的sample request呼叫來解決這個問題，也可以利用enhanced network model來強制不同sample的request不能給同一個client，請求順序也是隨機分布的．

5. Fraud Proofs of Incorrectly Generated Extended Data

如果一個全節點拿到足夠多的shares去recover特定的row或是column，並且發現recovered data不正確，那他就必須提出一個merkle proof包含足夠的shares可以recover那個data．(包含每個shares的merkle proof)

結論

這篇paper提出了一個data availabilty的方法，在額外的一些假設下(至少有一個誠實的節點會提出Fraud Proof，一定數量的輕節點會共同來恢復區塊)，來讓輕節點的安全保證幾乎跟全節點一樣

Fraud and Data Availability Proofs was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌