membership proof + nullifier hash를 zkSNARK circuit에 private key를 제공하지 않고 wallet에서 안전하게 생성할 수 있는가?
unique(per identity and message), deterministic, anonymous nullifier hash
secure, deterministic ECDSA, RFC6979
how to derive randomness deterministically, and uniquely but can be verified without private key?
recursive SNARK
too high cost for hardware wallet?
DDH-VRF from 0xPARC
Incremental Binary Merkle Tree보다 insertion cost 측면에서 압도적으로 좋으며, verification cost도 좋음.
위의 것들을 많이 고려한 건 아니지만, proving time과 verification cost라는 두 가지 측면에서 성능 향상을 위해 recursive STARK verifier inside SNARK를 구현 중이다.