SNARKs是什么？和STARKs有什么区别？一文彻底搞懂币圈零知识证明

更新时间：2026-06-22 17:02

零知识证明这个词在币圈被反复提及，但真正搞明白它是什么、为什么重要的人并不多，它几乎是web3这两年最值得深入了解的底层技术，从zkSync到Starknet，从Layer2扩容到隐私支付，背后都在用同一套密码学逻辑解决区块链最头疼的问题。

SNARK全称Zero-Knowledge Succinct Non-interactive Argument of Knowledge，翻译过来就是"简洁非交互式零知识证明"，名字看起来复杂，拆开其实很好理解。

零知识（Zero-Knowledge）

意思是你可以向别人证明某件事是真的，但完全不用透露细节，比如你可以证明"我已满18岁"，但不需要亮出身份证，对方相信你的结论，却看不到你的任何隐私信息。

简洁（Succinct）

说的是证明文件非常小，哪怕背后对应几百万次计算，最终提交到链上的证明可能只有几百字节，验证速度极快。

非交互（Non-interactive）

意味着证明者生成一次证明发过去就行，不需要来来回回多轮沟通，对区块链这种异步环境天然友好。

把这三点合在一起，SNARKs做到的事情其实很简单，就是：我做了一件事，我能证明我做了，但我不用告诉你具体怎么做的。

以太坊的根本问题在于，每一笔交易都得让全网节点重新执行一遍，这也是Gas贵、TPS低的直接原因。

ZK证明改变了这个逻辑，把思路变成：

1、一个节点在链下完成所有计算。

2、生成一个数学证明。

3、其他节点只验证这个证明，不重复执行所有交易。

在ZK Rollup里，数千笔交易被打包到链下处理，最终只往以太坊提交一个简短的有效性证明，以太坊验证这个证明只需要毫秒级时间，一旦证明被接受，整批交易就立刻获得最终确认，不需要等欺诈证明的挑战窗口期。

在EIP-4844引入blob数据之后，主流ZK Rollup上简单转账的Gas成本已经降到了个位数美分的量级，相比以太坊L1便宜50到100倍。

这是目前最主要的用途，zkSync Era、Polygon zkEVM、Scroll、Linea都是基于SNARK证明系统的zkEVM，它们让开发者可以把以太坊上的Solidity合约直接迁移过来，学习成本很低。

Zcash是最早的实际应用案例，用SNARKs实现完全隐私交易，发送方、接收方、金额全部隐藏，但可以对外证明这笔交易是合法的，没有双花。

未来web3身份系统里，你可以用ZK证明自己完成了KYC，或者证明自己满足某个条件，而不需要把原始信息交给任何人，这是一种真正意义上的隐私保护。

ZKP已经成为区块链扩容与链上隐私保护的核心基础设施，并开始延伸到可验证计算领域，证明某段AI推理真的跑过了，结果没有被篡改，是AI上链的重要基础。

STARKs全称Scalable Transparent Arguments of Knowledge，和SNARKs最大的两个不同点是"透明"和"可扩展"。

不需要Trusted Setup（可信初始化）

SNARKs需要一个可信设置过程来生成初始密钥，如果这个密钥生成时的秘密没有被彻底销毁，理论上可以被用来伪造合法证明，凭空创造代币，而且由于零知识的特性，这种伪造根本无法被发现，STARKs直接绕过了这个问题，用公开的随机性替代，更透明也更容易审计。

抗量子计算

STARKs使用抗碰撞哈希值进行加密，而不是像SNARKs那样依赖椭圆曲线方案，在量子计算威胁下更具安全性。

两者的核心对比如下：