ABCDE：为什么我们要投资Cysic？

撰文：Siyuan Han

Cysic是行业领先的ZK硬件加速项目，致力于设计先进的ASIC芯片来帮助减少ZK证明生成时间。Cysic组建了一流的硬件设计研发团队，目前已经完成了基于FPGA的POC设计工作。根据POC结果可以证明Cysic的ZK硬件加速能力已经处于行业领先的位置。

ABCDE于Seed轮投资了Cysic，同时本轮的投资机构还有Polychain、A&T、Hashkey，以及Web3.com Venture。

1. 为什么我们需要ZK硬件加速

ZK证明的生成 (ZK Proof Generation)是在ZK项目中最核心步骤之一。不幸的是，在现有的ZK 证明系统下，生成ZK证明通常需要大量的计算。随着项目的复杂度的升高，ZK电路规模的增大，ZK证明生成需要的计算量会指数级上升。例如，对于Scroll, zkSync等大型zkEVM/zkVM项目，如果其完全通过CPU来生成ZK证明，可能会需要数小时，甚至数天的计算。在实际业务中，大多数项目需要将ZK证明的生成限制在数秒和数分钟内。数小时或者更久的计算时间对于大部分ZK项目，尤其是对于zkEVM/zkVM等扩容类项目来说是完全不可接受的。

此外，ZK证明的生成的计算复杂度在未来ZK项目正式上线前的2年左右的时间窗口内，难有从理论层面降低的可能性。因此，为了保证项目的可用性，在项目正式上线前，ZK项目方必须采用“加速ZK证明生成”的技术方案，将ZK证明生成加速到秒级或者分钟级。而通过高性能硬件加速ZK证明生成的方式是目前的首选。

硬件加速了什么?

在ZK证明生成的过程中，主要耗时的计算可以分为两种类型，1. 基于多项式的NTT (Number Theoretic Transform)计算和2. 在椭圆曲线上进行的MSM (Multi-Scalar Multiplication)计算，如下图所示[1]。通常来说，在一次ZK证明生成的计算中，NTT类型的计算任务约占到全部计算任务的 25% 左右，MSM类型的计算任务约占到60–70 % 左右[2]。

幸运的是，这两种类型的计算任务存在：

1. 逻辑相对简单，

2. 大量重复相同的计算逻辑，

3. 可并行的特点 (类似Bitcoin Mining 计算)。因此，使用高性能硬件加速这两类计算是理论上可行的。

如下图所示，我们可以发现NTT计算(左上部分)和MSM计算(右边)在ZK证明生成的工作流中轻耦合的。因此，ZK项目方可以根据实际需求选:

1. 单独加速 NTT计算 或

2. 单独加速MSM计算，或者

3. 整体加速NTT和MSM，三种方案。

General ZK证明生成过程的Workflow [1]

注1: 上图来自于Scroll co-founder Zhang Ye的论文: PipeZK: Accelerating Zero-Knowledge Proof with a Pipelined Architecture。这是行业中最早研究zk硬件加速的论文之一。

注2: 在某些文献/文章中声称ZK证明生成最耗时的是FFT (Fast Fourier Transform)和MSM两种。虽然FFT和NTT原理相似，但是由于ZK的中涉及到的密码学计算多是在有限域(Finite Field)上进行的，因此在实际中的计算应为NTT。因此我们以多数学术文章中采用的NTT为准[1][2][3]。

使用什么硬件加速?

与挖矿的解决方案相同，目前ZK硬件加速的方案主要通过下面三种硬件实施:

• u GPU
• u FPGA
• u ASIC

目前，市面上可用的硬件加速方案主要有GPU和FPGA两种。使用GPU/FPGA的加速方案相对容易实现。因此，为了更快的抢占市场，大部分厂商都会首先实现GPU/FPGA的方案。由于GPU和FPGA的硬件成本较高，功耗相对大，绝对性能也有限制。因此ASIC方案是ZK硬件加速生态中不可忽视的一环。

硬件加速如何服务ZK项目方

ZK硬件加速提供商可以通过两种方式提供ZK证明生成加速服务：

1. 通过SaaS API。

2. 通过销售硬件(整机/芯片)来提供加速服务(类似卖矿机)。

正如我们上面提到的，在ZK证明的生成过程中，NTT和MSM计算是轻耦合的。因此，根据服务粒度的不同，硬件加速服务商可以提供下面三种粒度的服务。

1. 专用NTT 加速 (专用NTT 加速API/硬件设备)

2. 专用MSM加速 (专用MSM 加速API/硬件设备)

3. 一体化加速方案，同时加速NTT和MSM

硬件加速提供商的差异

NTT和MSM计算问题已经被广泛研究多年。各大厂商难以短时间内在计算理论层面实现突破。因此，各个厂商之间的技术上的差异，更多在于工程实现能力，对算法细节的把控能力，技术栈(硬件)的选择，硬件生产的成本控制，和产品设计能力。客户在选择加速厂商的时候，会重点考虑下面三个因素：

1. 硬件/服务的性能，同样的计算任务下，厂商的计算时间。

2. 硬件加速成本，同样的计算任务下，厂商的计算成本。

3. API/设备的易用程度。

2. 我们为什么投资Cysic

Cysic由Leo Fan和Bowen Huang于2022年8月末创办。Cysic的主要目标是为ZK 项目的ZK证明生成过程提供硬件加速服务。美国加州以及中国大陆。这些创始成员的背景主要来自于美国Top20大学计算机系的博士以及中科院计算所的芯片设计团队。现阶段，项目已经实现了基于FPGA的MSM计算的POC验证，项目代号SolarMSM。在本阶段，SolarMSM会通过SaaS的方式对外提供服务。目前Cysic以及与多家头部ZK项目方达成了合作意向，并会在近期为他们提供测试服务。根据行业多位权威人士的佐证，SolarMSM在加速MSM计算性能处于行业的Top-Tier的位置。

创始团队概况

两位创始人拥有极强的技术背景，分别是密码学和硬件设计方面的专家。Leo博士毕业于康奈尔大学，师从国际著名的密码学教授Elaine Shi。在加入罗格斯大学担任助理教授之前，Leo曾在Algorand担任密码学研究员。

另一位创始人Bowen Huang，在创办Cysic之前，曾在中科院计算所工作6年，并赴耶鲁大学攻读博士学位，此前参与过其他若干知名大型科技企业的芯片研发工作，并有多项专利和设计落地。

POC结果

目前，Cysic已经实现了基于赛灵思的公版FPGA的MSM加速方案的POC设计工作，代号SolarMSM。在POC验证中，对于输入规模是2³⁰ MSM计算任务，SolarMSM可以将其加速到一秒钟以内[2]。这是目前业界所有公开数据结果中的最强水平，对比ZPrize竞赛的冠军性能还要高1–2个数量级。

SolarMSM的快速实现证明了：

1. Cysic团队高效的研发实力和技术能力。可以在短时间内设计并实现了比ZPrize第一名高1–2个数量级的性能，展现了压倒性的速度优势。

2. Cysic团队稳健的供应链整合管理能力。可以在PCB，散热，供电，PCIE连接件，机箱结构全部平行定制设计的情况下，仍然能够在2–3个月时间里面快速完成交付，这个基本上是行业标准的2–3倍速度。

同时，本阶段的POC也是对于Cysic硬件设计/研发工作的内部验证。由于ASIC芯片纠错成本相比于FPGA方案要高。通过SolarMSM在高带宽，高功耗，高互联水平下充分的实机验证可以大大降低未来ASIC芯片出错的风险。

技术路线图

Cysic计划提供包括NTT和MSM计算在内的全套ASIC硬件加速解决方案。目前，项目方采取两阶段研发策略。

第一阶段：基于FPGA的POC

项目的第一阶段，基于赛灵思的公版FPGA实现MSM和NTT加速的POC版本: SolarMSM。目前，MSM计算加速的模块已经完成，对于2³⁰规模的MSM计算可以在小于一秒内完成，是目前所有公开的FPGA-MSM硬件加速结果中性能最高，领先竞对1–2个数量级以上。如无意外，在ASIC芯片问世前，SolarMSM将一直保持MSM硬件加速的最高性能记录。Cysic已经和若干头部的ZK项目达成了合作意向，将会为这些项目首先提供MSM加速服务。

未来几个月内，Cysic计划在SolarMSM基础上，完成NTT计算加速模块SolarNTT。SolarNTT将和SolarMSM部署在同一台服务器上，基于同一套大规模FPGA互联系统进行加速计算。这两套实现将通过Cysic设计的高速互联架构整合在一起，成为一体化全套的加速方案SolarZKP。SolarZKP将通过SaaS的方式对外提供API服务。

第二阶段：12nm ASIC

在POC阶段之后，Cysic会开启12nm ASIC研制阶段。目标实现单颗ASIC芯片的算力达到整台SolarZKP的性能 (同时支持MSM和NTT计算和项目方指定的其他核心函数)，同时单颗芯片功耗降低到两个数量级。

3. 市场分析

客户会如何选择硬件加速方案

在实际生产中，不同的ZK客户对于硬件加速的需求是不同的，这取决于ZK项目对证明生成时间的敏感程度。例如：

u 对于基于zkEVM/zkVM的Layer-2项目来说，他们的核心需求是：快速，稳定的生成ZK证明。因此他们会更倾向于选择更快，更稳定的一体化加速方案。

u 对于一些对ZK证明生成时间不敏感的ZK项目来说，他们不需要以最快的速度生成Proof，例如交易所的财产证明。在这种场景下，客户可以灵活的选择例如单独MSM计算加速，或者可以组合不同服务商提供的MSM计算和NTT计算在可接受的时间内，选择最优的价格。

我们认为市场未来会出现组合不同硬件加速厂商方案来选择帮助客户生成最优方案的工具。

4. 项目风险

目前，已经有多家企业参与了ZK硬件加速的赛道的竞争。对于基于ASIC的ZK硬件加速项目存在项目开发延期风险和市场风险。

项目开发延期风险

ZK项目方和ZK硬件加速厂商之间是一种相互合作，相互成就的关系。作为ZK项目方，会首先选择最先可用的硬件加速方案，来抢占ZK项目自身的市占率。对于zkEVM/zkVM项目来说，能稳定的提供L2的区块证明是最重要的考量因素之一。因此，某些ZK项目方会在早期就和硬件加速厂商达成长期合作意向。如果项目开发过慢，可能会在前期丢失掉一部分市场占有率。同时，ASIC 流片存在失败风险。受芯片制造商产能限制的影响，流片失败会使得项目被迫重新进行一轮的流片排期，造成项目延迟。

市场风险

ZK项目方可以分为隐私类，和扩容类两种。对于隐私类项目，使用硬件加速虽然可能在某种程度上可以减少旁路攻击的风险，但是考虑到隐私的问题，隐私类的项目会更加谨慎的选择ZK硬件加速方案，例如选择直接购买硬件而不是通过SaaS服务。

5. 竞品项目

项目头部竞对

目前行业中还有三家有实力的竞争对手, 分别Supranational , Ulvantanna, 以及Auradine。

Supranational

Supranational从2019年就进入了GPU加速ZK赛道，最近开始涉及FPGA/ASIC领域。Supranational已经有非常成熟的开源基于GPU加速方案，性能处于行业前列。同时，我们预计Supranational还有一套性能更好的商业化的闭源方案。Supranational进入的市场较早，有一定的行业资源和很好的现金流。

Ulvantanna

创始团队来自Jump crypto，拿到了paradigm和bain crypto的投资，其实力不容小觑。

Auradine

创始团队比较Senior，有着丰富的创业经验，有顶级厂商与资本的站台。

其他硬件加速团队

其余的团队例如：Ingonyama，Jump Crypto，虽然先于他们进入赛道，但是目前在公开数据上看性能不如现阶段的SolarMSM。

ZK项目内部硬件加速团队

目前，除了专门的硬件加速团队，不少ZK项目方也在内部探索硬件加速的解决方案，例如zkSync和Scroll。

zkSync

zkSync 选择了GPU/FPGA的加速方案。根据ZPrice上公开的结果，zkSync的GPU方案在计算输入规模是2²⁶ MSM时耗费2.528 seconds。这个性能不到Cysic SolarMSM方案的十分之一 (2³⁰ MSM计算时耗费小于1 second)。

Scroll

Scroll在内部进行了基于GPU的加速研究。同时，Scroll和一些学术机构正在合作探索更优的解决方案，他们最新的学术研究成果在发表计算机体系结构领域的顶级会议ASPLOS 2023会议上[3]。作为头部的zkEVM项目，值得期待和追踪他们的后续的进展。

原文链接