Boojum ist ein Ansatz, der die Verifikationskosten von SNARK-Beweisen drastisch senkt, indem er mehrere Beweise zu einem einzigen aggregierten Beweis zusammenfasst. Durch eine hierarchische, predicate-agnostische Aggregation können sowohl die Gas-Kosten auf der Blockchain als auch die Laufzeit der Verifikation erheblich reduziert werden – ein entscheidender Fortschritt für die Skalierbarkeit von Blockchain-Anwendungen.

Was ist Boojum und warum ist es relevant?

Boojum wurde entwickelt, um die Kosten für die Verifikation von SNARKs zu reduzieren. Der zentrale Claim lautet, dass Boojum eine predicate-agnostische Lösung zur Aggregation von SNARK-Gütesiegeln bietet und das Aggregationsprotokoll hierarchisch durchgeführt werden kann. Im Vergleich zu herkömmlichen Methoden sind die Gas-Kosten pro zusätzlichem SNARK signifikant niedriger.

Predicate-agnostische Aggregation

Im Boojum-Protokoll wird kein spezielles Prädikat vorausgesetzt – das System kann beliebige ppzk-SNARK-Beweise (für unterschiedliche Schaltkreise) aggregieren. Die Aggregation erfolgt über zwei Schaltkreise, die auf unterschiedlichen elliptischen Kurven (MNT4-MNT6) definiert sind, wodurch rekursive Verifikation möglich wird.

Technische Grundlagen: elliptische Kurven und Sicherheit

Die Wahl geeigneter elliptischer Kurven ist für die Sicherheit und Effizienz von SNARKs von entscheidender Bedeutung. Aktuelle Forschungen fordern mindestens 128 Bit Sicherheit für Kurvenzyklen, um die Integrität der Verifikationsprozesse zu gewährleisten.

Effizienz von elliptischen Kurven im Boojum-Protokoll

• Sicherheitsniveau: 128 Bit (2023, Quelle S2)
• Empfohlene Kurvenzyklen: MNT4-MNT6, die beide für rekursive SNARKs geeignet sind
• Die Kurvenwahl beeinflusst sowohl die Verifikationszeit (200-300 ms pro Beweis) als auch die Möglichkeit der Parallelisierung

Die Analyse von Elliptic Curve Security Levels (Schulze, 2023) unterstützt die Argumentation, dass sichere Kurven die Basis für die Kosteneffizienz von Boojum bilden.

Hierarchische Aggregation von SNARKs – Funktionsweise

Die Aggregation erfolgt in einer Baumstruktur, bei der Blatt-Knoten die einzelnen SNARK-Beweise darstellen und Eltern-Knoten aggregierte Beweise enthalten. Jeder Eltern-Knoten verwendet den Hash der vorherigen Beweise als primäre Eingabe, sodass beim Verifizieren des Wurzel-Beweises die Zwischenschritte rekursiv nachgeprüft werden.

Baumstruktur und On-Chain-Verifikation

Der Verifikationsprozess läuft wie folgt ab:

1. Leaf-Node: Eingabe von Verifikations-Key, Beweis und primärem Input
2. Parent-Node: Hash der Kind-Beweise wird als primärer Input verwendet
3. Root-Node: Rekursive Rekonstruktion der Eingaben durch Hash-Verkettung und abschließende Verifikation

Dieses Verfahren ermöglicht eine konstante Verifikationszeit (plus ein kleiner linearer Aufwand pro Beweis).

Gas-Kosten und Größenanalyse

Die aktuelle Schätzung (Quelle S1) liefert folgende Kennzahlen:

• Durchschnittliche Größe eines SNARKs: 355 Bytes (2023)
• Größe eines Verifikations-Keys (nur MNT4): 717 Bytes
• Gesamtgröße pro aggregiertem Beweis: 355 B + 337 B (MNT6) + 717 B = 1 409 Bytes
• Gas-Kosten pro zusätzlichem SNARK: 88 641 Gas (2023)

Im Vergleich zu den geschätzten ~90 k Gas pro extra Beweis ist der Overhead durch die hierarchische Aggregation deutlich geringer.

Off-Chain Aggregation und Parallelisierung

Ein wesentlicher Kostenfaktor wird durch die Möglichkeit der Off-Chain-Aggregation reduziert. Durch parallele Verarbeitung können große Mengen von Beweisen in kurzer Zeit aggregiert werden.

Leistungsdaten zur Off-Chain-Aggregation

• Aggregationszeit für 1 024 Beweise: < 3 Minuten (2023)
• Parallelisierung mit 512 Arbeitern pro Aggregation
• Ein Aggregationsschritt dauert etwa 20 Sekunden; mit 512 Arbeitern reduziert sich die Gesamtdauer auf rund 3 Minuten

Diese Ergebnisse zeigen, dass Boojum zu einer der kosteneffizientesten Lösungen für die Blockchain-Aggregation werden kann.

Risiken und Gegenmaßnahmen

Bei der Aggregation von SNARKs gibt es potenzielle Risiken, die adressiert werden müssen:

• Unzureichende Datenverfügbarkeit: Die Aggregation kann das Risiko erhöhen, dass die zugrunde liegenden Daten nicht mehr verfügbar sind.
• Hash-Funktion: Der aktuell genutzte „subset sum hash“ ist kryptanalysiert; mögliche Alternativen sind Pedersen-Hash, MiMC und David-Meyers-Hash.
• Proof-of-Stake-basierte Leader-Election: Ein vorgeschlagenes Design nutzt PoS, um Sybil-Angriffe zu verhindern und die Aggregation resilient gegenüber fehlerhaften oder bösartigen Arbeitern zu machen. Jeder Worker erhält eine Adresse im Aggregationsbeweis, um Belohnungen zu erhalten.

Die Kombination aus robusten Hash-Algorithmen und einem Anreiz-mechanismus soll die Sicherheit und Verfügbarkeit der aggregierten Beweise gewährleisten.

FAQ zu Boojum

• Was sind die Vorteile von Boojum gegenüber traditionellen SNARKs?
  Boojum aggregiert mehrere SNARK-Beweise in einem einzigen, wodurch sowohl die Kosten gesenkt als auch die Verifikationsgeschwindigkeit erhöht wird.

Fazit

Boojum demonstriert, wie hierarchische, predicate-agnostische Aggregation von SNARKs die Verifikationskosten auf der Blockchain erheblich reduzieren kann. Durch den Einsatz sicherer elliptischer Kurven (mindestens 128 Bit Sicherheit), eine effiziente Baumstruktur für On-Chain-Verifikation und die Möglichkeit der Off-Chain-Parallelisierung werden sowohl Gas-Kosten als auch Durchlaufzeiten optimiert. Gleichzeitig adressiert das Protokoll bekannte Risiken – insbesondere Datenverfügbarkeit und kryptographische Schwächen des Hash-Mechanismus – durch geplante Gegenmaßnahmen wie alternative Hash-Algorithmen und PoS-basierte Leader-Election. Die präsentierten Kennzahlen (88 641 Gas pro extra SNARK, < 3 Minuten Aggregationszeit für 1 024 Beweise) belegen, dass Boojum ein vielversprechender Baustein für skalierbare, sichere und kosteneffiziente Zero-Knowledge-Proof-Lösungen in modernen Blockchain-Umgebungen ist.