What would it take to do DAS with inner product arguments (IPAs)?

Vitalik ButerinPublié le 2022-02-22Dernière mise à jour le 2022-02-22

Résumé

Data availability sampling (DA-sampling or DAS) today is planned to be done with KZG commitments.

Data availability sampling (DA-sampling or DAS) today is planned to be done with KZG commitments. KZG commitments have the advantage that they are very easy to work with, and have some really nice algebraic properties:

The first is a nice efficiency guarantee. The second ensures that producing a blob that can be DA-sampled is easy: if it takes O(N2) time to generate all proofs, then it would require either highly centralized actors or a complicated distributed algorithm to make it DAS-ready.

The third and the fourth are very valuable for 2D sampling, and enabling distributed block producers and efficient self-healing:

A block producer only needs to know the original M commitments to “extend the columns” with an FFT-over-the-curve and generate 2M commitments that are on the same deg<M polynomial.

You can do not only per-row reconstruction but also per-column reconstruction: if some values and proofs on a column are missing (but more than half are still available), you can do an FFT to recover the missing values and proofs.

However, KZG has a weakness: it relies on complicated pairing cryptography, and on a trusted setup. Pairings have been understood for over 20 years, and the trusted setup is a 1-of-N trust assumption with N being hundreds of participants, so the risk in practice is high and this author believes that proceeding with KZG is perfectly acceptable. However, it is worth asking the question: if we don’t want to pay the costs of KZG, can we use inner product arguments (IPAs) instead?

IPAs have the following properties:

  1. An evaluation proof has logarithmic size and can be verified in linear time (roughly 40ms for a size-4096 polynomial)
  2. There is no known efficient multi-proof generation algorithm.
  3. Commitments are elliptic curve points and you can linearly combine them just like KZG commitments
  4. There is no known way to linearly combine proofs.

Hence, we keep some properties and we lose some. In fact, we lose enough that our “current approach” to generating, distributing and self-healing proofs is no longer possible. This post describes an alternative approach that, while somewhat more clunky, still achieves the goals.

An alternative approach

First, instead of generating 2N independent proofs for a deg<N polynoial, we generate a proof tree. This looks as follows:

Blue: chunk 3, yellow: proof for chunk 3.

Note that to improve efficiency, each chunk does not need to be a single evaluation; instead, we can crop the tree so that eg. a chunk is a set of 16 evaluations. Given the combined size of the proofs will be larger than this regardless, we lose little from making chunks larger like this.

Generating these proofs takes O(N∗log(N)) time. Verifying a proof takes O(N) time, but note that verification of many proofs can be batched: the O(N) step of verifying an IPA is an elliptic curve linear combination, and we can check many of these with a random linear combination. O(N) field operations per proof would still be required, but this takes <1 ms.

Extension: fanout greater than 2

Instead of having a fanout of 2 at each step, we can have a higher fanout, eg. 8. Instead of one proof per commitment, we would have 7 proofs per commitment. At the bottom level, for example, we would have a proof of {1,2,3,4,5,6,7} , {0,2,3,4,5,6,7} , {0,1,3,4,5,6,7} , etc. This increases total proof generation effort by ≈(7∗7/4)/3 x (7 proofs per node, each proof 1.75x the size of the original, but 3x fewer layers, so ~4.08x more effort total), but it reduces proof size by 3x.

Proof size numbers

Suppose that we are dealing with N=128 chunks of size 32 (so we have deg<4096 polynomials), and a fanout of (4x, 4x, 8x). A single branch proof would consist of 3 IPAs, of total size 2∗(7+9+12)=56 curve points (~1792 bytes) plus 512 bytes for the chunk. This compares to 48 byte proofs for a 256 byte or 512 byte chunk today.

Generating the proofs would require a total of 2∗8192∗(3∗2+7) curve multiplications (3 * 2 for the two fanout-4 layers and 7 for the fanout-8 layer), or a total of ~212992 multiplications. Hence, this would require either a powerful computer to do quickly (a regular computer can do one multiplication in ~50 us, so this would take 10 seconds which is a little too long) or a distributed process where different nodes focus on generating proofs for different chunks.

Verifying the proofs is easy, as proof verification can be batched and only a single elliptic curve multiplication done. Hence, it should not be much slower than with KZG proofs.

Self-healing

Self-healing could not effectively be done column-by-column. But can we avoid requiring a single healer to have all of the data (all 2N chunks from each of all 2M polynomials)?

Suppose that a single row is entirely missing. It’s easy to use any column to reconstruct the value in the missing row in that column. But how to prove it?

The simplest technique is cryptoeconomic: anyone can simply post a bond claiming a value, and someone can later take that claim together with a branch proof proving a different value to slash that validator. As long as enough legitimate claims are available, someone on that row subnet can combine together the claims and reconstruct the commitment and the proofs. Validators could even be required to publish such claims for sample indices that they are assigned to.

A cryptoeconomics-free but more technically complicated and slow alternative is to pass along M branch proofs for values along that column, along with a Halo-style proof that the proofs verify correctly.

Lectures associées

Les actions de logiciels, effrayées par l'IA, sont-elles soudainement devenues les stars du marché américain ?

Après une période de crainte où le marché redoutait que l'IA ne rende les logiciels obsolètes, les actions du secteur logiciel ont connu une reprise spectaculaire, affichant en mai leur plus forte hausse mensuelle depuis des années. Des sociétés comme Snowflake et Datadog ont vu leurs cours bondir de plus de 50% en quelques jours. Cette volte-face s'explique principalement par deux facteurs. Premièrement, les résultats trimestriels ont infirmé les craintes d'un impact négatif de l'IA. Au contraire, des entreprises ont démontré que l'IA générative créait une demande accrue pour leurs plateformes, comme en témoigne l'accord majeur de Snowflake avec AWS. Deuxièmement, la position très faible des investisseurs institutionnels dans ces titres a amplifié le rebond dès que les perspectives se sont améliorées. L'article remet en cause l'hypothèse initiale selon laquelle des agents IA autonomes remplaceraient les logiciels. En réalité, ces agents deviendraient eux-mêmes d'importants consommateurs de services logiciels (gestion des identités, bases de données, etc.), potentiellement augmentant la demande. De plus, un fossé persiste entre l'intelligence générale des modèles et les besoins complexes des entreprises. La valeur des éditeurs de logiciels réside dans leur capacité à intégrer l'IA dans des workflows métier spécifiques, en gérant les coûts, la gouvernance et en capitalisant sur une expérience sectorielle approfondie que les pure-players de l'IA ne possèdent pas. En conclusion, l'IA ne tue pas le secteur logiciel mais le redéfinit. Les gagnants seront les entreprises qui sauront combler le fossé entre la puissance de l'IA et la fourniture de résultats fiables et gouvernables pour les entreprises.

marsbitIl y a 22 mins

Les actions de logiciels, effrayées par l'IA, sont-elles soudainement devenues les stars du marché américain ?

marsbitIl y a 22 mins

Pourquoi ne pas vendre à découvert même si l'on est baissier ? Munger a calculé un « compte à perte ».

Même si l'on est pessimiste sur un actif, il est souvent préférable de s'abstenir de le vendre à découvert, car cette opération présente un déséquilibre fondamental entre risque et récompense. Comme l'explique Charlie Munger, en achetant une action (position longue), la perte maximale est de 100 % tandis que le gain potentiel est illimité. À l'inverse, en vendant à découvert, le gain maximum est plafonné à 100 % (si le cours tombe à zéro), mais la perte potentielle est, elle, illimitée. De plus, Munger souligne que les entreprises problématiques ou frauduleuses peuvent maintenir artificiellement leur cours boursier longtemps grâce à de nouveaux arguments, épuisant ainsi les ressources des vendeurs à découvert avant que la vérité n'éclate. L'expérience de Stanley Druckenmiller en est une illustration frappante : il avait identifié douze sociétés qui ont finalement fait faillite, mais des mouvements de marché extrêmes ont forcé la clôture de ses positions à découvert en trois semaines, lui faisant perdre son capital initial et au-delà. Par conséquent, tout comme pour les produits dérivés complexes tels que les contrats à terme, les investisseurs ordinaires devraient éviter le short selling. Les échecs répétés, même chez des maîtres reconnus, montrent qu'il s'agit d'un outil particulièrement dangereux et difficile à maîtriser pour quiconque n'est pas un génie en la matière. La prudence et la patience sont de meilleures stratégies.

marsbitIl y a 25 mins

Pourquoi ne pas vendre à découvert même si l'on est baissier ? Munger a calculé un « compte à perte ».

marsbitIl y a 25 mins

Préserver son capital avec l'or et le pétrole, viser l'explosion avec l'IA, le Bitcoin "passé de mode" entre en marché baissier

L'auteur de l'article suggère que le bitcoin traverse actuellement un marché baissier, perdant du terrain dans la concurrence avec d'autres actifs. Malgré une inflation persistante aux États-Unis, le bitcoin ne profite plus de sa narration de "valeur refuge numérique". Les investisseurs cherchent désormais à se couvrir contre l'inflation via l'or ou les actions énergétiques, et à rechercher la croissance via les entreprises d'IA génératrice de revenus. Même au sein de l'univers crypto, les stablecoins et les infrastructures gagnent en popularité. Le bitcoin se trouve ainsi dans une "zone intermédiaire inconfortable", n'étant ni le meilleur actif refuge, ni le meilleur actif de croissance, ni la seule option d'exposition aux cryptomonnaies. Les sorties de fonds des ETF et les ventes de sociétés comme MicroStrategy sont davantage des symptômes que des causes : ils reflètent un changement structurel où les investisseurs, ayant plus de choix, deviennent plus exigeants. La nouvelle logique baissière n'est plus que le bitcoin est une "arnaque", mais que sa rareté seule ne suffit plus à justifier un investissement.

marsbitIl y a 41 mins

Préserver son capital avec l'or et le pétrole, viser l'explosion avec l'IA, le Bitcoin "passé de mode" entre en marché baissier

marsbitIl y a 41 mins

SaaS : La Grande Évasion - Les Gagnants Qui Survivent Ont Un Point Commun

L'article analyse l'impact de l'IA sur le secteur SaaS, à la suite d'une période de forte volatilité boursière surnommée "SaaSpocalypse". Il met en lumière une divergence majeure entre les entreprises selon leur modèle de facturation. Les gagnants, comme Snowflake et Datadog, qui facturent à la consommation (calcul, données, surveillance), voient leurs revenus dopés par l'IA, car celle-ci génère plus d'activité sur leurs plateformes. À l'inverse, les entreprises avec un modèle traditionnel de facturation "par utilisateur" ou "par tâche" (Intuit, Workday, etc.) sont sous pression, la crainte étant que l'IA remplace les emplois humains et réduise ainsi le nombre de licences logicielles nécessaires. Des sociétés comme Salesforce tentent une transition en introduisant des crédits flexibles basés sur la consommation de leurs agents IA (Agentforce), mais le marché récompense pour l'instant les modèles déjà établis. La conférence Microsoft Build 2026 a apporté des signaux forts : l'IA évolue d'un assistant à un "collègue" autonome, et Microsoft consolide son écosystème tout en décrochant un énorme contrat gouvernemental, montrant que certains modèles par siège restent solides. En conclusion, le marché entre dans une phase de tri : il récompense les plateformes que l'IA "nourrit" par une consommation accrue, et sanctionne celles qu'elle pourrait "remplacer". La frontière entre ces deux modèles est désormais cruciale pour évaluer les acteurs du SaaS.

marsbitIl y a 56 mins

SaaS : La Grande Évasion - Les Gagnants Qui Survivent Ont Un Point Commun

marsbitIl y a 56 mins

Le XRP recule face à son rival XLM : Pourquoi les traders de détail abandonnent l'un pour l'autre

La rivalité entre XRP et Stellar (XLM) s'intensifie, notamment en Corée du Sud où les traders de détail abandonnent massivement le XRP au profit du XLM. Sur la plus grande plateforme locale, Upbit, le volume d'échange du XLM (252,3 millions de dollars) a largement dépassé celui du XRP (125,7 millions de dollars) sur 24 heures, une première. Cet engouement est alimenté par l'intérêt croissant pour le rôle de Stellar dans la finance tokenisée, renforcé par des projets récents liés au DTCC. Conséquence : le XLM a grimpé de plus de 55% en une semaine, tandis que le XRP est en difficulté, tombant sous les 1,3 dollar malgré sa popularité historique en Asie. Parallèlement, certains analystes anticipent un possible rallye bull pour le XRP, arguant qu'il pourrait suivre la trajectoire haussière du XLM, avec des objectifs de prix très ambitieux à long terme.

bitcoinistIl y a 59 mins

Le XRP recule face à son rival XLM : Pourquoi les traders de détail abandonnent l'un pour l'autre

bitcoinistIl y a 59 mins

Trading

Spot
Futures

Articles tendance

Comment acheter ETC

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Ethereum Classic (ETC) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Ethereum Classic (ETC).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Ethereum Classic (ETC)Après avoir acheté vos Ethereum Classic (ETC), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Ethereum Classic (ETC)Tradez facilement Ethereum Classic (ETC) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

262 vues totalesPublié le 2024.12.10Mis à jour le 2026.06.02

Comment acheter ETC

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de ETC (ETC) sont présentées ci-dessous.

活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow