zkEVM 生態系統花了一年時間全力提升延遲。以太坊區塊的證明時間從 16 分鐘驟降至 16 秒,成本下降了 45 倍,參與的 zkVM 現在能夠在目標硬體上於 10 秒內證明 99% 的主網區塊。
以太坊基金會 (EF) 於 12 月 18 日宣布勝利:即時證明機制已成功運行,效能瓶頸已被清除。現在真正的挑戰才剛開始,因為速度若缺乏可靠性則是一種負擔而非優勢,而且許多基於 STARK 演算法的零密鑰以太坊虛擬機 (zkEVM) 的數學原理幾個月來一直在悄然失效。
7 月,EF 為「即時證明」設定了一個正式目標,該目標將延遲、硬體、能源、開放性和安全性捆綁在一起:在 10 秒內證明至少 99% 的主網區塊,硬體成本約為 10 萬美元,運行功耗不超過 10 千瓦,程式碼完全開源或更小程式碼,安全性為 128 位元尺寸,證明大小為 300 千字節或更小。
12 月 18 日的貼文聲稱,根據 EthProofs 基準測試網站的測量結果,該生態系統達到了效能目標。
這裡的「即時」是指相對於 12 秒時隙和大約 1.5 秒的區塊傳播時間而言的。該標準本質上是「證明準備就緒的速度足夠快,驗證者可以在不破壞活性的情況下對其進行驗證」。
EF 現在從關注吞吐量轉向關注可靠性,但這種轉變十分生硬。許多基於 STARK 的零密鑰交換虛擬機器 (zkEVM) 都依賴未經證實的數學猜想來達到其宣稱的安全等級。
在過去的幾個月裡,其中一些推測,特別是基於哈希的 SNARK 和 STARK 低度測試中使用的「鄰近差距」假設,在數學上已被打破,從而降低了依賴於這些假設的參數集的有效位元安全性。
EF 表示,L1 使用的唯一可接受的最終目標是“可證明的安全性”,而不是“假設猜想 X 成立的安全性”。
他們將 128 位元安全性設定為目標,使其與主流加密標準機構和關於長期系統的學術文獻保持一致,也與現實世界的記錄計算結果相符,這些結果表明 128 位對於攻擊者來說實際上是遙不可及的。
重視可靠性而非速度體現了一種質的差異。
如果有人能夠偽造 zkEVM 證明,他們就可以鑄造任意代幣或重寫 L1 狀態,使系統說謊,而不僅僅是耗盡一個合約。
這證明了 EF 所說的任何 L1 zkEVM 的「不可協商的」安全邊際是合理的。
三階段路線圖
這篇文章列出了一個清晰的路線圖,其中包含三個硬性要求。首先,到 2026 年 2 月底,所有參與 zkEVM 競賽的團隊都必須將其證明系統和電路連接到「soundcalc」——一個由 EF 維護的工具,該工具基於當前的密碼分析界限和方案參數來計算安全性評估。
這裡的關鍵在於「通用規則」。以往每個團隊都基於各自的假設引用自己的位元安全性,而 soundcalc 則成為權威的計算器,並可根據新出現的攻擊進行更新。
其次,「Glamsterdam」要求在 2026 年 5 月底之前至少透過 soundcalc 提供 100 位元可證明的安全性,最終證明檔案大小不超過 600 千字節,並且每個團隊都要對其遞歸架構進行簡潔的公開解釋,並簡要說明其可靠性。
這悄悄推翻了最初對早期部署的 128 位元要求,並將 100 位元視為過渡目標。
第三,「H-star」標準在2026年底前達到,是最終目標:透過soundcalc實現128位元可證明安全性,證明檔案大小不超過300千字節,並針對遞歸拓撲結構提供形式化的安全性論證。這標誌著該標準不再僅僅關注工程技術,而是更關注形式化方法和密碼學證明。
技術槓桿
EF 指出了一些旨在實現 128 位元、小於 300 KB 目標的具體工具。他們重點介紹了 WHIR,這是一種新的 Reed-Solomon 鄰近性測試,同時也是多線性多項式承諾方案。
WHIR 提供透明的後量子安全,並且產生的證明比相同安全等級的舊式 FRI 方案更小、驗證速度更快。
128 位元安全性的基準測試表明,證明過程比基線構造小約 1.95 倍,驗證速度快數倍。
他們提到了“JaggedPCS”,這是一套在將軌跡編碼為多項式時避免過度填充的技術,它可以讓證明者避免浪費工作,同時也能產生簡潔的承諾。
他們提到了“研磨”,即通過暴力搜索協議隨機性來找到更便宜或更小的證明,同時保持在可靠性範圍內;以及“結構良好的遞歸拓撲”,指的是分層方案,其中許多較小的證明被聚合到一個最終證明中,並經過仔細論證其可靠性。
在將安全性提升到 128 位元之後,人們利用奇特的多項式數學和遞歸技巧來縮小證明的規模。
像 Whirlaway 這樣的獨立研究利用 WHIR 建構了效率更高的多線性 STARK,並且正在利用數據可用性方案來建構更多實驗性的多項式承諾結構。
數學發展日新月異,但也逐漸偏離了六個月前看似安全的假設。
有哪些變化以及尚未解決的問題
如果驗證結果始終在 10 秒內準備就緒,並且大小保持在 300 千字節以下,以太坊就可以提高 gas 限制,而無需強制驗證者重新執行每筆交易。
驗證者只需驗證一個小型證明,即可在確保家庭質押可行性的前提下,實現區塊容量的成長。這就是為什麼EF早期的即時報告將延遲和功耗明確地與「家庭證明」預算(例如10千瓦和低於10萬美元的礦機)掛鉤的原因。
正是由於具備較大的安全裕度和較小的證明空間,L1 zkEVM 成為一個可信的結算層。如果這些證明既快速又可證明是 128 位元安全的,那麼 L2 和 zk-rollup 就可以透過預編譯重用相同的機制,「Rollup」和「L1 執行」之間的區別就更體現為一種配置選擇,而非一條僵化的界限。
即時證明目前仍是鏈下基準測試,而非鏈上實際應用。延遲和成本數據來自 EthProofs 精心設計的硬體配置和工作負載。
目前,距離成千上萬的獨立驗證者實際在家中運行這些證明器之間仍然存在差距。安全性問題Flux。 SoundCalc 存在的意義就在於,隨著猜想被證偽,STARK 和基於雜湊的 SNARK 安全參數也在不斷變化。
最近的研究結果重新界定了「絕對安全」、「推測安全」和「絕對不安全」的參數範圍,這意味著隨著新的攻擊出現,今天的「100 位元」設定可能會再次被修改。
目前尚不清楚所有主要的 zkEVM 團隊是否都能在 2026 年 5 月之前實現 100 位可證明安全性,並在 2026 年 12 月之前實現 128 位可證明安全性,同時保持在證明大小上限之內假設將驗證到一些團隊是否會悄悄接受較低的安全裕度,依賴更重的鏈下更長時間驗證。
最困難的部分可能不是數學或 GPU,而是形式化和審核完整的遞歸架構。
EF 承認,不同的 zkEVM 通常構成許多電路,它們之間有大量的“粘合代碼”,因此記錄和證明這些定制堆疊的可靠性至關重要。
這為 Verified-zkEVM 和形式化驗證框架等項目開闢了一條漫長的工作道路,這些項目目前仍處於早期階段,並且在各個生態系統中發展不均衡。
一年前,人們還在討論零金鑰執行虛擬機器(zkEVM)的速度是否夠快。現在這個問題已經有了答案。
新的問題是,他們能否以足夠可靠的方式進行證明,達到不依賴於明天可能失效的猜想的安全級別,證明足夠小以便在以太坊的 P2P 網路中傳播,並且遞歸架構經過充分的形式驗證,足以錨定數千億美元的資產。
性能衝刺階段已經結束,安全競賽才剛開始。
