zkEVM生态系统在延迟方面经历了一年全面加速。以太坊一个区块的证明生成时间从16分钟减少到仅16秒;成本降低了45倍;目前参与的zkVM可以在不到10秒的时间内在目标硬件上为99%的主网区块生成证明。
在12月18日,以太坊基金会(EF)正式宣布胜利:实时证明的创建已成为可能。基本性能瓶颈已被解除。然而,更艰难的阶段才真正开始,因为如果速度不伴随数学上的稳固,将会变成风险而不是优势。更令人担忧的是,许多基于STARK的zkEVM的数学基础在过去几个月中悄然出现了断裂点。
七月,EF正式设定了“实时证明”的目标,不仅涉及延迟,还包括硬件、能源、开放性和安全性。具体而言,系统必须在10秒内证明至少99%的主网区块,使用价值约100,000美元的硬件,消耗不超过10kW的电力,完全使用开源代码,安全性达到128位,证明大小不超过300千字节。
12月18日的帖子确认该生态系统已完成这一性能目标,基于来自EthProofs网站的数据。
这里的“实时”概念是相对于以太坊的12秒槽周期和大约1.5秒的区块传输时间进行定义的。换句话说,证明必须足够快以便验证者可以验证,而不干扰网络的活跃性(liveness)。
然而,EF迅速将重点从吞吐量转向了稳健性(soundness),这一转变具有坚固性。许多基于STARK的zkEVM通过依赖尚未证明的数学假设达到了广告宣传的安全水平。
在最近几个月,这些假设,特别是在基于哈希函数的SNARK和STARK的低度测试中的“接近差距”假设,已在数学上被破坏。这显著降低了曾依赖于它们的参数集的实际安全性。
EF强调,对于L1,唯一可以接受的目标是“可证明的安全性”,而不是“如果假设X正确则安全”。
128位标准被选为标准,符合主流密码组织和有关长期存在系统的学术文献,以及现实世界中的计算记录显示,128位超出了实际攻击的能力。
优先考虑稳健性而非速度反映了本质上的差异。如果攻击者能够伪造 zkEVM 证明,他们不仅可以耗尽一个合约,还可以任意铸造代币,重写 L1 状态,使整个系统“撒谎”。因此,EF 将高安全边际视为任何在 L1 上使用的 zkEVM 不可妥协的条件。
EF提出了一条明确的路线图,包含三个强制性的里程碑。
首先,到2026年2月底,所有参与的zkEVM团队必须将其证明系统和电路集成到“soundcalc”中,这是由EF维护的一个工具,用于根据当前的密码分析限制和每个方案的参数计算安全级别。
目标是建立一个“共同标准”。与其让每个团队根据各自的假设自行公布比特安全水平,不如让soundcalc成为一个标准工具,可以在新的攻击方法出现时进行更新。
其次,“Glamsterdam” 里程碑要求在 2026 年 5 月底之前达到至少 100-bit 的安全性,能够通过 soundcalc 证明,证据大小不超过 600 千字节,并附有一份关于递归架构的公开、简明的解释以及其稳健性的基本论证。
这隐含地调整了最初的128位目标,以便于早期部署阶段,将100位视为中间水平。
第三,"H-star"在2026年底将是一个完整的标准:128位安全性可以通过soundcalc证明,最大证明大小为300千字节,并且针对整个递归结构有一个正式的安全论证。在这个阶段,挑战不再纯粹是技术性的,而是强烈倾向于形式方法和密码证明。
EF指出了一系列工具,以实现128位目标,证明在300千字节以下。突出的是WHIR,一种新的Reed-Solomon近似检验,同时充当一种多线性多项式承诺(multilinear polynomial commitment)。
WHIR提供透明的安全性,后量子,生成的证明比传统的FRI方案更小且验证速度更快,安全性相同。128位基准显示证明大小减少约1.95倍,同时验证速度比基础结构快得多。
EF还提到了JaggedPCS,这是一种技术集合,帮助避免在将trace编码为多项式时的多余(填充),从而允许prover减少计算浪费,同时保持简洁的承诺。
此外还有“grinding”,即在协议的随机空间中进行暴力搜索,以获得更便宜或更小的证明,同时仍然位于安全边界内,以及设计严密的递归架构,其中多个小证明被汇总成一个最终证明,并附有坚实的论证。
越来越复杂的多项式和递归算法技巧正在被用来在将安全级别提升至128位后缩小证明.
独立研究如Whirlaway利用WHIR构建更高效的多线性STARK,同时其他一些实验性的多项式承诺结构正在从数据可用性方案中开发。
数学正在快速发展,但同时也逐渐远离几个月前被视为安全的假设。
如果证据始终在10秒内准备就绪并保持在300千字节以下,以太坊可以提高gas限制,而不需要验证者重新执行整个交易。相反,他们只需要验证一个小证据,从而允许扩展区块容量,同时保持在家质押的能力。
这是之前文章中EF将延迟和电力与“家庭证明”预算(如10千瓦和10万美元以下的硬件)紧密联系在一起的原因。
大型安全性与小型证明的结合,使得"L1 zkEVM"成为值得信赖的支付层。如果这些证明既快速又能证明128位的安全性,L2和zk-rollup可以通过预编译重用相同的机制,使得"rollup"与"L1执行"之间的界限变得更加灵活,具有配置性而非僵硬的分离。
目前,实时证明仅以离链基准的形式存在。关于延迟和成本的数据来自于在EthProofs上选择的硬件配置和工作负载。两者之间的差距与成千上万的独立验证者在家中实际运行证明者之间仍然相当显著。
安全问题仍未尘埃落定。soundcalc 诞生的原因是 STARK 和 SNARK 的安全参数基于哈希函数,随着假设被驳回而不断变化。最近的结果重新绘制了“确定安全”、“假设安全”和“确定不安全”之间的界限,这意味着今天的“100-bit”配置在未来可能需要调整。
尚不清楚所有大型 zkEVM 团队是否能够在 2026 年 5 月前达到 100 位,并在 2026 年底达到 128 位,同时仍遵守证明大小限制,还是某些团队会接受较低的安全边界,依赖更重的假设,或延长链外验证。
最大的挑战可能不在于数学或GPU,而在于形式化和审计整个递归架构。EF承认,zkEVM通常将多个电路连接在一起,并且需要大量的“胶水代码”,而记录和证明这些定制堆栈的稳健性是至关重要的。
这为 Verified-zkEVM 和形式验证框架等项目开辟了漫长的道路,这些项目仍处于起步阶段,在生态系统中不均衡。
一年前,最大的疑问是zkEVM是否能够证明足够快。这个问题已经有了答案。
现在的问题是,它们是否能够证明足够的稳健性,在不依赖于可能在明天崩溃的假设的安全水平上,提供足够小的证据以在以太坊的P2P网络上传播,并且具有经过验证的递归架构,其形式足够严格,以支撑数千亿美元的价值。
性能竞赛已经结束。
安全竞赛才刚刚开始。
王箭
相关文章
Whale Liquidated 6 Times for $4.9M After Adding 500 ETH, Largest On-Chain Liquidation Today
