以太坊基金會重新聚焦安全勝於速度——為2026年設定嚴格的128位元規則

zkEVM 生態系統花了一年時間在延遲上衝刺。以太坊區塊的證明時間從 16 分鐘縮短到 16 秒,成本降低了 45 倍,參與的 zkVM 現在能在目標硬體上於 10 秒內證明 99% 的主網區塊。

以太坊基金會 (EF) 在 12 月 18 日宣布勝利:即時證明可行。效能瓶頸已清除。現在真正的工作開始了,因為沒有健全性的速度是一種負債而非資產,而許多基於 STARK 的 zkEVM 底層的數學已悄悄崩潰數月。

7 月,EF 為「即時證明」設定了正式目標,涵蓋延遲、硬體、能源、開放性和安全性:在成本約 10 萬美元且運行功率在 10 千瓦以內的硬體上,於 10 秒內證明至少 99% 的主網區塊,使用完全開源的程式碼,達到 128 位元安全性,且證明大小在 300 KB 或以下。

12 月 18 日的文章聲稱生態系統達成了效能目標,如 EthProofs 基準測試網站所測量。

這裡的即時是相對於 12 秒的時隙時間和約 1.5 秒的區塊傳播而定義的。標準本質上是「證明準備速度夠快,驗證者可以在不破壞活性的情況下驗證它們。」

EF 現在從吞吐量轉向健全性,這個轉變很明確。許多基於 STARK 的 zkEVM 依賴未經證明的數學猜想來達成宣稱的安全等級。

在過去幾個月中,其中一些猜想,特別是用於基於雜湊的 SNARK 和 STARK 低次測試的「接近性間隙」假設,已被數學破解,降低了依賴它們的參數集的有效位元安全性。

EF 表示,L1 使用唯一可接受的終局是「可證明的安全性」,而非「假設猜想 X 成立的安全性」。

他們將 128 位元安全性設為目標,使其與主流加密標準機構和關於長期系統的學術文獻保持一致,以及與現實世界的記錄計算相符,這些計算顯示 128 位元對攻擊者來說實際上是遙不可及的。

強調健全性而非速度反映了質的差異。

如果有人能偽造 zkEVM 證明,他們可以鑄造任意代幣或重寫 L1 狀態並讓系統說謊,而不僅僅是耗盡一個合約。

這證明了 EF 所謂任何 L1 zkEVM 的「不可協商」安全邊際的合理性。

三個里程碑路線圖

該文章列出了一個包含三個硬性截止點的清晰路線圖。首先,到 2026 年 2 月底,每個參與競賽的 zkEVM 團隊將其證明系統和電路接入「soundcalc」,這是一個由 EF 維護的工具,根據當前的密碼分析界限和方案參數計算安全估計。

這裡的重點是「共同標尺」。soundcalc 成為標準計算器,而不是每個團隊用定製假設引用自己的位元安全性,並且可以隨著新攻擊的出現而更新。

其次,到 2026 年 5 月底的「Glamsterdam」要求通過 soundcalc 達到至少 100 位元可證明安全性,最終證明在 600 KB 或以下,以及每個團隊遞迴架構的緊湊公開解釋,並簡要說明為何它應該是健全的。

這悄悄地放寬了早期部署的原始 128 位元要求,並將 100 位元視為過渡目標。

第三,到 2026 年底的「H-star」是完整的標準:通過 soundcalc 達到 128 位元可證明安全性,證明在 300 KB 或以下,加上遞迴拓撲的正式安全論證。這就是它變得不那麼關乎工程而更關乎形式化方法和密碼學證明的地方。

技術槓桿

EF 指出了幾個旨在使 128 位元、低於 300 KB 目標可行的具體工具。他們重點介紹了 WHIR,這是一種新的 Reed-Solomon 接近性測試,也可作為多線性多項式承諾方案。

WHIR 提供透明的後量子安全性,並產生比相同安全等級下舊式 FRI 風格方案更小且驗證更快的證明。

在 128 位元安全性下的基準測試顯示,證明大約小了 1.95 倍,驗證速度比基線構造快了數倍。

他們提到了「JaggedPCS」,這是一組在將追蹤編碼為多項式時避免過度填充的技術,讓證明者避免浪費工作同時仍產生簡潔的承諾。

他們提到了「研磨」,即對協議隨機性進行暴力搜索以找到更便宜或更小的證明同時保持在健全性界限內,以及「結構良好的遞迴拓撲」,意味著分層方案,其中許多較小的證明被聚合成一個單一的最終證明,並經過仔細論證的健全性。

異常的多項式數學和遞迴技巧正被用來在將安全性提高到 128 位元後縮小證明。

像 Whirlaway 這樣的獨立工作使用 WHIR 構建效率更高的多線性 STARK,並且正在從資料可用性方案中構建更多實驗性的多項式承諾構造。

數學發展迅速,但它也正在遠離六個月前看起來安全的假設。

變化與開放問題

如果證明能持續在 10 秒內準備好並保持在 300 KB 以下,以太坊可以增加 Gas 限制而無需強制驗證者重新執行每筆交易。

驗證者將改為驗證一個小證明,讓區塊容量增長同時保持家庭質押的現實性。這就是為什麼 EF 早期的即時文章將延遲和功率明確與「家庭證明」預算(如 10 千瓦和低於 10 萬美元的設備)聯繫起來。

大安全邊際和小證明的結合是使「L1 zkEVM」成為可信結算層的關鍵。如果這些證明既快速又可證明地達到 128 位元安全,L2 和 zk-rollup 可以通過預編譯重用相同的機制,「rollup」和「L1 執行」之間的區別將更像是一個配置選擇而不是嚴格的界限。

即時證明目前是鏈下基準測試,而非鏈上現實。延遲和成本數字來自 EthProofs 精心設置的硬體配置和工作負載。

這與數千個獨立驗證者實際在家運行這些證明者之間仍存在差距。安全故事正在變化。soundcalc 存在的全部原因是 STARK 和基於雜湊的 SNARK 安全參數隨著猜想被推翻而不斷變化。

最近的結果重新劃定了「絕對安全」、「猜想安全」和「絕對不安全」參數範圍之間的界線,這意味著今天的「100 位元」設定可能隨著新攻擊的出現而再次被修訂。

目前尚不清楚所有主要 zkEVM 團隊是否能在 2026 年 5 月前實際達到 100 位元可證明安全性,並在 2026 年 12 月前達到 128 位元,同時保持在證明大小上限以下,或者是否有些團隊會悄悄接受較低的邊際、依賴更重的假設或更長時間地將驗證推向鏈下。

最困難的部分可能不是數學或 GPU,而是將完整的遞迴架構形式化並進行審計。

EF 承認,不同的 zkEVM 經常組合許多電路,它們之間有大量的「膠合程式碼」,並且記錄和證明這些定製堆疊的健全性至關重要。

這為 Verified-zkEVM 和形式化驗證框架等專案開啟了大量的長尾工作,這些專案在各個生態系統中仍處於早期且不均衡。

一年前,問題是 zkEVM 能否證明得足夠快。這個問題已經得到解答。
新問題是它們能否證明得足夠健全,達到不依賴明天可能崩潰的猜想的安全等級,證明小到足以在以太坊的 P2P 網路上傳播,並且遞迴架構經過形式化驗證,足以支撐數千億美元。

效能衝刺已結束。安全競賽才剛開始。

本文《以太坊基金會將重點從速度轉向安全——為 2026 年設定嚴格的 128 位元規則》首次發表於 CryptoSlate。