zkEVM 生态系统花了一年时间全力提升延迟。以太坊区块的证明时间从 16 分钟骤降至 16 秒,成本下降了 45 倍,参与的 zkVM 现在能够在目标硬体上于 10 秒内证明 99% 的主网区块。
以太坊基金会 (EF) 于 12 月 18 日宣布胜利:即时证明机制已成功运行,效能瓶颈已被清除。现在真正的挑战才刚开始,因为速度若缺乏可靠性则是一种负担而非优势,而且许多基于 STARK 演算法的零密钥以太坊虚拟机 (zkEVM) 的数学原理几个月来一直在悄然失效。
7 月,EF 为「即时证明」设定了一个正式目标,该目标将延迟、硬体、能源、开放性和安全性捆绑在一起:在 10 秒内证明至少 99% 的主网区块,硬体成本约为 10 万美元,运行功耗不超过 10 千瓦,程式码完全开源或更小程式码,安全性为 128 位元尺寸,证明大小为 300 千字节或更小。
12 月 18 日的贴文声称,根据 EthProofs 基准测试网站的测量结果,该生态系统达到了效能目标。
这里的「即时」是指相对于 12 秒时隙和大约 1.5 秒的区块传播时间而言的。该标准本质上是「证明准备就绪的速度足够快,验证者可以在不破坏活性的情况下对其进行验证」。
EF 现在从关注吞吐量转向关注可靠性,但这种转变十分生硬。许多基于 STARK 的零密钥交换虚拟机器 (zkEVM) 都依赖未经证实的数学猜想来达到其宣称的安全等级。
在过去的几个月里,其中一些推测,特别是基于哈希的 SNARK 和 STARK 低度测试中使用的「邻近差距」假设,在数学上已被打破,从而降低了依赖于这些假设的参数集的有效位元安全性。
EF 表示,L1 使用的唯一可接受的最终目标是“可证明的安全性”,而不是“假设猜想 X 成立的安全性”。
他们将 128 位元安全性设定为目标,使其与主流加密标准机构和关于长期系统的学术文献保持一致,也与现实世界的记录计算结果相符,这些结果表明 128 位对于攻击者来说实际上是遥不可及的。
重视可靠性而非速度体现了一种质的差异。
如果有人能够伪造 zkEVM 证明,他们就可以铸造任意代币或重写 L1 状态,使系统说谎,而不仅仅是耗尽一个合约。
这证明了 EF 所说的任何 L1 zkEVM 的「不可协商的」安全边际是合理的。
三阶段路线图
这篇文章列出了一个清晰的路线图,其中包含三个硬性要求。首先,到 2026 年 2 月底,所有参与 zkEVM 竞赛的团队都必须将其证明系统和电路连接到「soundcalc」——一个由 EF 维护的工具,该工具基于当前的密码分析界限和方案参数来计算安全性评估。
这里的关键在于「通用规则」。以往每个团队都基于各自的假设引用自己的位元安全性,而 soundcalc 则成为权威的计算器,并可根据新出现的攻击进行更新。
其次,「Glamsterdam」要求在 2026 年 5 月底之前至少透过 soundcalc 提供 100 位元可证明的安全性,最终证明档案大小不超过 600 千字节,并且每个团队都要对其递归架构进行简洁的公开解释,并简要说明其可靠性。
这悄悄推翻了最初对早期部署的 128 位元要求,并将 100 位元视为过渡目标。
第三,「H-star」标准在2026年底前达到,是最终目标:透过soundcalc实现128位元可证明安全性,证明档案大小不超过300千字节,并针对递归拓扑结构提供形式化的安全性论证。这标志著该标准不再仅仅关注工程技术,而是更关注形式化方法和密码学证明。
技术杠杆
EF 指出了一些旨在实现 128 位元、小于 300 KB 目标的具体工具。他们重点介绍了 WHIR,这是一种新的 Reed-Solomon 邻近性测试,同时也是多线性多项式承诺方案。
WHIR 提供透明的后量子安全,并且产生的证明比相同安全等级的旧式 FRI 方案更小、验证速度更快。
128 位元安全性的基准测试表明,证明过程比基线构造小约 1.95 倍,验证速度快数倍。
他们提到了“JaggedPCS”,这是一套在将轨迹编码为多项式时避免过度填充的技术,它可以让证明者避免浪费工作,同时也能产生简洁的承诺。
他们提到了“研磨”,即通过暴力搜索协议随机性来找到更便宜或更小的证明,同时保持在可靠性范围内;以及“结构良好的递归拓扑”,指的是分层方案,其中许多较小的证明被聚合到一个最终证明中,并经过仔细论证其可靠性。
在将安全性提升到 128 位元之后,人们利用奇特的多项式数学和递归技巧来缩小证明的规模。
像 Whirlaway 这样的独立研究利用 WHIR 建构了效率更高的多线性 STARK,并且正在利用数据可用性方案来建构更多实验性的多项式承诺结构。
数学发展日新月异,但也逐渐偏离了六个月前看似安全的假设。
有哪些变化以及尚未解决的问题
如果验证结果始终在 10 秒内准备就绪,并且大小保持在 300 千字节以下,以太坊就可以提高 gas 限制,而无需强制验证者重新执行每笔交易。
验证者只需验证一个小型证明,即可在确保家庭质押可行性的前提下,实现区块容量的成长。这就是为什么EF早期的即时报告将延迟和功耗明确地与「家庭证明」预算(例如10千瓦和低于10万美元的矿机)挂钩的原因。
正是由于具备较大的安全裕度和较小的证明空间,L1 zkEVM 成为一个可信的结算层。如果这些证明既快速又可证明是 128 位元安全的,那么 L2 和 zk-rollup 就可以透过预编译重用相同的机制,「Rollup」和「L1 执行」之间的区别就更体现为一种配置选择,而非一条僵化的界限。
即时证明目前仍是链下基准测试,而非链上实际应用。延迟和成本数据来自 EthProofs 精心设计的硬体配置和工作负载。
目前,距离成千上万的独立验证者实际在家中运行这些证明器之间仍然存在差距。安全性问题Flux。 SoundCalc 存在的意义就在于,随著猜想被证伪,STARK 和基于杂凑的 SNARK 安全参数也在不断变化。
最近的研究结果重新界定了「绝对安全」、「推测安全」和「绝对不安全」的参数范围,这意味著随著新的攻击出现,今天的「100 位元」设定可能会再次被修改。
目前尚不清楚所有主要的 zkEVM 团队是否都能在 2026 年 5 月之前实现 100 位可证明安全性,并在 2026 年 12 月之前实现 128 位可证明安全性,同时保持在证明大小上限之内假设将验证到一些团队是否会悄悄接受较低的安全裕度,依赖更重的链下更长时间验证。
最困难的部分可能不是数学或 GPU,而是形式化和审核完整的递归架构。
EF 承认,不同的 zkEVM 通常构成许多电路,它们之间有大量的“粘合代码”,因此记录和证明这些定制堆叠的可靠性至关重要。
这为 Verified-zkEVM 和形式化验证框架等项目开辟了一条漫长的工作道路,这些项目目前仍处于早期阶段,并且在各个生态系统中发展不均衡。
一年前,人们还在讨论零金钥执行虚拟机器(zkEVM)的速度是否够快。现在这个问题已经有了答案。
新的问题是,他们能否以足够可靠的方式进行证明,达到不依赖于明天可能失效的猜想的安全级别,证明足够小以便在以太坊的 P2P 网路中传播,并且递归架构经过充分的形式验证,足以锚定数千亿美元的资产。
性能冲刺阶段已经结束,安全竞赛才刚开始。
