zkEVMエコシステムは、遅延の全面的な加速の1年を経験しました。イーサリアムのブロックの証明作成時間は16分からわずか16秒に短縮され、コストは45倍削減されました。そして、現在参加しているzkVMは、ターゲットハードウェア上で実行する際に、メインネットの99%のブロックに対して10秒未満で証明を作成できます。
12月18日、イーサリアム財団 (EF) は正式に勝利を宣言しました:リアルタイム証明の作成が可能であることが証明されました。基本的な性能のボトルネックは解消されました。しかし、実際にはより困難な段階が始まったばかりであり、速度が数学的な堅牢性を伴わない場合、それはリスクとなり、利点ではなくなります。さらに懸念すべきことは、多くのzkEVMの数学的基盤がSTARKに基づいているため、数ヶ月にわたって静かに破綻点が現れているということです。
7月、EFはレイテンシだけでなく、ハードウェア、パワー、オープン性、セキュリティを中心に展開する「リアルタイム証明」の公式目標を設定しました。具体的には、システムは、約100,000ドル相当のハードウェアで、メインネットブロックの少なくとも99%を10秒以内に証明し、消費電力が10kW以下であること、完全にオープンソースコードを使用すること、128ビットのセキュリティレベルを達成すること、および300キロバイト以下の証明サイズを達成する必要があります。
12月18日の投稿は、EthProofsのベンチマークページからのデータに基づいて、エコシステムがこの性能目標を達成したことを確認しています。
ここでの「リアルタイム」という概念は、イーサリアムの12秒のスロット周期およびブロック伝送にかかる約1.5秒に対して相対的に定義されています。言い換えれば、証明はバリデーターがネットワークの生存性(liveness)を中断することなく確認できるように、十分に迅速に準備されなければなりません。
しかし、EFは迅速にスループットから(サウンドネス)への焦点を移し、この方向転換は堅固なものです。多くのSTARKベースのzkEVMは、未証明の数学的仮説に基づいて広告されたセキュリティレベルを達成しました。
ここ数ヶ月で、これらの仮説の一部、特にSNARKとSTARKのハッシュベースの低次数テスト(低次tests)の「近接ギャップ」の仮定は、数学的に破られました。これにより、それらに依存していたパラメータセットの実際のセキュリティレベルが大幅に低下します。
EFは、L1において唯一受け入れ可能な目的は「証明可能なセキュリティ」であり、「仮定Xが正しい場合のセキュリティ」ではないことを強調しています。
128ビットのレベルが標準として選ばれ、従来の暗号標準機関や長期的なシステムに関する学術文献に適合し、実世界の計算記録も128ビットが実際の攻撃能力の範囲外であることを示しています。
堅牢性を速度よりも優先することは、本質的な違いを反映しています。攻撃者がzkEVMの証明を偽造できる場合、彼らは契約を枯渇させるだけでなく、任意のトークンを鋳造し、L1の状態を書き換え、システム全体を「嘘つかせる」ことができます。したがって、EFはL1で使用されるすべてのzkEVMに対して高いセキュリティ基準を交渉不可能なものと見なしています。
EFは必須の3つのマイルストーンを持つ明確なロードマップを提供します。
まず、2026年2月末までに、参加するすべてのzkEVMチームは、自身の証明と回路を「soundcalc」に統合する必要があります。これは、現在の暗号分析の制限と各スキームのパラメータに基づいて安全性のレベルを計算するためにEFが維持しているツールです。
目標は「共通の測定基準」を確立することです。各チームが独自の仮定に基づいてビットセキュリティのレベルを自己申告するのではなく、soundcalcは新たな攻撃手法が出現する際に更新可能な標準ツールとなります。
第二に、2026年5月末の「グラムスタン」マイルストーンでは、soundcalcを通じて証明可能な最低100ビットのセキュリティを達成することが求められ、証明のサイズは600キロバイトを超えてはならず、再帰的アーキテクチャとその堅牢性に関する基本的な論理についての簡潔な公開説明が必要です。
これは、早期展開段階のための128ビットの初期目標を暗黙的に調整し、100ビットを中間レベルと見なすものです。
火曜日、「H-star」は2026年末に完全な基準となる:128ビットのセキュリティはsoundcalcを通じて証明可能で、証明の最大サイズは300キロバイトであり、全体の再帰構造に対する公式なセキュリティ論証が必要です。この段階では、課題はもはや純粋に技術的なものではなく、形式的な手法と暗号証明に大きく傾いています。
EFは、300キロバイト未満の証明で128ビットの目標を実現するための一連のツールを指し示しています。特に注目すべきは、近接性リード–ソロモンの新しい検査であるWHIRであり、同時に(多項式コミットメント)のマルチリニアコミットメントスキームとして機能します。
WHIRは、従来のFRIスキームと同じセキュリティレベルで、より小さな証明を生成し、より迅速な検証を提供する、透明性のある量子後のセキュリティを提供します。128ビットのベンチマークにより、証明のサイズが約1.95倍減少し、基盤構造に比べて検証速度がはるかに速くなります。
EFは、トレースを多項式にエンコードする際の冗長な(padding)バッファリングを回避するのに役立つ一連の手法であるJaggedPCSについても言及しており、証明者は短いコミットメントを維持しながら計算の無駄を減らすことができます。
さらに、「グラインディング」という、プロトコルのランダム空間でブルートフォース検索を行い、セキュリティの範囲内に留まるより安価または小さな証明を達成する手法がある。また、厳密に設計された再帰的アーキテクチャでは、多くの小さな証明が、堅固な論拠を伴う最終的な証明に統合される。
多項式数学と再帰のテクニックがますます複雑になり、128ビットのセキュリティレベルを引き上げた後の証明を縮小するために使用されています。
Whirlawayのような独立した研究は、WHIRを利用してより効果的なマルチ線形STARKを構築する一方で、データの可用性スキームから開発されている他の実験的な多項式コミットメント構造が存在します。
数学は非常に速く進んでいますが、同時に数ヶ月前まで安全と見なされていた仮定からも遠ざかっています。
もし証明が常に10秒以内に利用可能で、サイズが300キロバイト未満であれば、イーサリアムはガスリミットを引き上げることができ、バリデーターが全ての取引を再実行することを強いる必要はありません。その代わりに、彼らは小さな証明を確認するだけで済み、ブロックの容量を拡張しつつ、家庭でのステーキングの能力を維持することができます。
これは、以前の投稿でEFが遅延と電力を「ホームプルービング」予算として10 kWおよび100,000 USD未満のハードウェアに密接に関連付けた理由です。
大きなセキュリティ境界と小さな証明の組み合わせは、「L1 zkEVM」を信頼できる決済レイヤーにする要因です。これらの証明が迅速で、かつ128ビットのセキュリティを証明できる場合、L2やzk-rollupはprecompileを通じて同じメカニズムを再利用でき、「rollup」と「L1実行」の境界がより柔軟になり、ハードに分離するのではなく、構成可能になります。
現在、リアルタイム証明はオフチェーンのベンチマーク形式にのみ存在しています。遅延とコストに関するデータは、EthProofs上で選ばれたハードウェア構成とワークロードから得られます。それと、何千もの独立したバリデーターが実際に自宅でプロバーを実行することとの間には、まだかなりのギャップがあります。
セキュリティの話はまだ決着がついていません。soundcalcが誕生した理由は、STARKとSNARKのセキュリティパラメータが、仮説が棄却されるとともに連続的に変化するハッシュ関数に基づいているためです。最近の結果は、「確実に安全」、「仮説的に安全」、および「確実に安全でない」の境界を再描写しました。これは、今日の「100ビット」の構成が将来的に調整が必要になる可能性があることを意味します。
すべての大手 zkEVM チームが 2026 年 5 月までに 100 ビット、2026 年末までに 128 ビットに達するかどうかは不明です。証明のサイズ制限を遵守しながら、あるチームはより低いセキュリティマージンを受け入れるか、よりヘビーな仮定に依存するか、オフチェーンの検証を延ばす可能性があります。
最大の課題は数学やGPUにあるのではなく、再帰的なアーキテクチャ全体を形式化し、監査することにあるかもしれません。EFは、zkEVMが通常、多くの回路をかなりの「グルーコード」と共に接続していることを認識しており、これらのカスタムスタックの文書化と堅牢性の証明は極めて重要です。
それは、Verified-zkEVMのようなプロジェクトや形式検証フレームワークにとって長い道のりを開くものであり、まだ初期段階にあり、エコシステム間で均等ではありません。
一年前、大きな疑問はzkEVMが十分に速く証明できるかどうかでした。その疑問には答えがありました。
今、問題は、それらが明日崩壊する可能性のある仮定に依存しないセキュリティレベルで十分に堅牢であることを証明できるかどうか、イーサリアムのP2Pネットワーク上で広がるのに十分小さな証拠を持ち、数百億USDの価値を保持するために十分に厳密に検証された再帰的アーキテクチャを持つかどうかです。
パフォーマンスの競争は終了しました。
セキュリティの競争はまだ始まったばかりです。
ワン・ティエン
関連記事
BTC と ETH は新しい時代に入ったのか?アナリストは「そうだ」と言う――このプラットフォームはすでに実際のBTC報酬を支払っています
