以太坊基金會重新聚焦於安全性而非速度，計劃在2026年採用128位標準

zkEVM生態系統在延遲方面經歷了一年全面加速。以太坊一個區塊的證明生成時間從16分鍾減少到僅16秒；成本降低了45倍；目前參與的zkVM可以在不到10秒的時間內在目標硬件上爲99%的主網區塊生成證明。

在12月18日，以太坊基金會(EF)正式宣布勝利：實時證明的創建已成爲可能。基本性能瓶頸已被解除。然而，更艱難的階段才真正開始，因爲如果速度不伴隨數學上的穩固，將會變成風險而不是優勢。更令人擔憂的是，許多基於STARK的zkEVM的數學基礎在過去幾個月中悄然出現了斷裂點。

“實時證明”的目標和安全性的轉折點

七月，EF正式設定了“實時證明”的目標，不僅涉及延遲，還包括硬件、能源、開放性和安全性。具體而言，系統必須在10秒內證明至少99%的主網區塊，使用價值約100,000美元的硬件，消耗不超過10kW的電力，完全使用開源代碼，安全性達到128位，證明大小不超過300千字節。

12月18日的帖子確認該生態系統已完成這一性能目標，基於來自EthProofs網站的數據。

這裏的“實時”概念是相對於以太坊的12秒槽週期和大約1.5秒的區塊傳輸時間進行定義的。換句話說，證明必須足夠快以便驗證者可以驗證，而不幹擾網路的活躍性(liveness)。

然而，EF迅速將重點從吞吐量轉向了穩健性(soundness)，這一轉變具有堅固性。許多基於STARK的zkEVM通過依賴尚未證明的數學假設達到了廣告宣傳的安全水平。

在最近幾個月，這些假設，特別是在基於哈希函數的SNARK和STARK的低度測試中的“接近差距”假設，已在數學上被破壞。這顯著降低了曾依賴於它們的參數集的實際安全性。

EF強調，對於L1，唯一可以接受的目標是“可證明的安全性”，而不是“如果假設X正確則安全”。

128位標準被選爲標準，符合主流密碼組織和有關長期存在系統的學術文獻，以及現實世界中的計算記錄顯示，128位超出了實際攻擊的能力。

優先考慮穩健性而非速度反映了本質上的差異。如果攻擊者能夠僞造 zkEVM 證明，他們不僅可以耗盡一個合約，還可以任意鑄造代幣，重寫 L1 狀態，使整個系統“撒謊”。因此，EF 將高安全邊際視爲任何在 L1 上使用的 zkEVM 不可妥協的條件。

三個裏程碑的路線圖

EF提出了一條明確的路線圖，包含三個強制性的裏程碑。

首先，到2026年2月底，所有參與的zkEVM團隊必須將其證明系統和電路集成到“soundcalc”中，這是由EF維護的一個工具，用於根據當前的密碼分析限制和每個方案的參數計算安全級別。

目標是建立一個“共同標準”。與其讓每個團隊根據各自的假設自行公布比特安全水平，不如讓soundcalc成爲一個標準工具，可以在新的攻擊方法出現時進行更新。

其次，“Glamsterdam” 裏程碑要求在 2026 年 5 月底之前達到至少 100-bit 的安全性，能夠通過 soundcalc 證明，證據大小不超過 600 千字節，並附有一份關於遞歸架構的公開、簡明的解釋以及其穩健性的基本論證。

這隱含地調整了最初的128位目標，以便於早期部署階段，將100位視爲中間水平。

第三，"H-star"在2026年底將是一個完整的標準：128位安全性可以通過soundcalc證明，最大證明大小爲300千字節，並且針對整個遞歸結構有一個正式的安全論證。在這個階段，挑戰不再純粹是技術性的，而是強烈傾向於形式方法和密碼證明。

技術槓杆

EF指出了一系列工具，以實現128位目標，證明在300千字節以下。突出的是WHIR，一種新的Reed-Solomon近似檢驗，同時充當一種多線性多項式承諾(multilinear polynomial commitment)。

WHIR提供透明的安全性，後量子，生成的證明比傳統的FRI方案更小且驗證速度更快，安全性相同。128位基準顯示證明大小減少約1.95倍，同時驗證速度比基礎結構快得多。

EF還提到了JaggedPCS，這是一種技術集合，幫助避免在將trace編碼爲多項式時的多餘(填充)，從而允許prover減少計算浪費，同時保持簡潔的承諾。

此外還有“grinding”，即在協議的隨機空間中進行暴力搜索，以獲得更便宜或更小的證明，同時仍然位於安全邊界內，以及設計嚴密的遞歸架構，其中多個小證明被匯總成一個最終證明，並附有堅實的論證。

越來越復雜的多項式和遞歸算法技巧正在被用來在將安全級別提升至128位後縮小證明.

獨立研究如Whirlaway利用WHIR構建更高效的多線性STARK，同時其他一些實驗性的多項式承諾結構正在從數據可用性方案中開發。

數學正在快速發展，但同時也逐漸遠離幾個月前被視爲安全的假設。

什麼改變了以及仍未解答的問題

如果證據始終在10秒內準備就緒並保持在300千字節以下，以太坊可以提高gas限制，而不需要驗證者重新執行整個交易。相反，他們只需要驗證一個小證據，從而允許擴展區塊容量，同時保持在家質押的能力。

這是之前文章中EF將延遲和電力與“家庭證明”預算（如10千瓦和10萬美元以下的硬件）緊密聯繫在一起的原因。

大型安全性與小型證明的結合，使得"L1 zkEVM"成爲值得信賴的支付層。如果這些證明既快速又能證明128位的安全性，L2和zk-rollup可以通過預編譯重用相同的機制，使得"rollup"與"L1執行"之間的界限變得更加靈活，具有配置性而非僵硬的分離。

目前，實時證明僅以離鏈基準的形式存在。關於延遲和成本的數據來自於在EthProofs上選擇的硬件配置和工作負載。兩者之間的差距與成千上萬的獨立驗證者在家中實際運行證明者之間仍然相當顯著。

安全問題仍未塵埃落定。soundcalc 誕生的原因是 STARK 和 SNARK 的安全參數基於哈希函數，隨着假設被駁回而不斷變化。最近的結果重新繪制了“確定安全”、“假設安全”和“確定不安全”之間的界限，這意味着今天的“100-bit”配置在未來可能需要調整。

尚不清楚所有大型 zkEVM 團隊是否能夠在 2026 年 5 月前達到 100 位，並在 2026 年底達到 128 位，同時仍遵守證明大小限制，還是某些團隊會接受較低的安全邊界，依賴更重的假設，或延長鏈外驗證。

最大的挑戰可能不在於數學或GPU，而在於形式化和審計整個遞歸架構。EF承認，zkEVM通常將多個電路連接在一起，並且需要大量的“膠水代碼”，而記錄和證明這些定制堆棧的穩健性是至關重要的。

這爲 Verified-zkEVM 和形式驗證框架等項目開闢了漫長的道路，這些項目仍處於起步階段，在生態系統中不均衡。

一年前，最大的疑問是zkEVM是否能夠證明足夠快。這個問題已經有了答案。

現在的問題是，它們是否能夠證明足夠的穩健性，在不依賴於可能在明天崩潰的假設的安全水平上，提供足夠小的證據以在以太坊的P2P網路上傳播，並且具有經過驗證的遞歸架構，其形式足夠嚴格，以支撐數千億美元的價值。

性能競賽已經結束。

安全競賽才剛剛開始。

王箭