Fondation Ethereum établit la norme de sécurité 128 bits : de la course à la vitesse à la course à la précision

Du temps jusqu’à la correction : un changement de paradigme

Au cours de la dernière année, l’écosystème zkEVM a principalement lutté contre les retards. Les progrès ont été impressionnants : la génération de preuves pour les blocs Ethereum est passée de 16 minutes à 16 secondes, les coûts ont été réduits de 45 fois, et les zkVMs participants produisent actuellement des preuves pour 99 % des blocs du mainnet en moins de 10 secondes sur le matériel cible.

Le 18 décembre, la Fondation Ethereum a annoncé un résultat révolutionnaire : la génération de preuves en temps réel fonctionne réellement. Cependant, ce moment de triomphe s’avère être un tournant. Les goulets d’étranglement de performance ont été éliminés, mais cela a soulevé de nouvelles questions plus profondes. La rapidité sans correction n’est pas une force technique, mais une menace systémique. Par ailleurs, la mathématique derrière de nombreux zkEVM basés sur STARKs, qui était silencieusement en train de se fissurer depuis des mois, montre que le déplacement de l’accent de la performance vers la sécurité n’est pas seulement conseillé, mais devient une nécessité inévitable.

La différence mathématique et le problème des hypothèses

De nombreux zkEVM basés sur STARKs reposaient jusqu’à présent sur des hypothèses mathématiques non prouvées pour atteindre le niveau de sécurité déclaré. Ces derniers mois, notamment lors de travaux de recherche, des hypothèses telles que le « proximity gap » utilisées dans les tests SNARK et STARK à faible degré basés sur des hash ont été mathématiquement réfutées. Cette découverte a des conséquences importantes : la sécurité binaire efficace des paramètres, qui dépendait de ces hypothèses, a été considérablement abaissée.

La Fondation Ethereum a clairement défini sa position : la seule solution acceptable pour les applications L1 est la « sécurité prouvée », et non la « sécurité conditionnelle, qui suppose que l’hypothèse X est vraie ». Cette différence mathématique entre la spécification et la preuve réelle est cruciale pour les systèmes manipulant des centaines de milliards de dollars de valeur.

L’objectif fixé est une sécurité de 128 bits – une norme conforme aux principales directives cryptographiques et à la littérature scientifique traitant de la longévité des systèmes cryptographiques. De manière réaliste, 128 bits sont hors de portée pratique des attaquants, conformément aux records de calculs actuels.

Feuille de route en trois étapes : de la mise en œuvre à la vérification formelle

La Fondation Ethereum a présenté une feuille de route claire avec trois étapes clés :

Phase première – fin février 2026 :
Chaque équipe zkEVM combine son système de preuve et ses circuits dans « soundcalc » – un outil maintenu par la EF, qui calcule une estimation de la sécurité basée sur les limites actuelles de la cryptanalyse et les paramètres du schéma. Cela constitue une mesure commune de la sécurité, remplaçant la situation où chaque équipe fournissait ses propres chiffres de sécurité binaire. Soundcalc devient le calculateur canonique, mis à jour au fur et à mesure de la découverte de nouvelles attaques.

Phase deux – « Glamsterdam » d’ici fin mai 2026 :
Nécessite au moins 100 bits de sécurité prouvée par soundcalc, des preuves ne dépassant pas 600 ko, et une explication publique de l’architecture de récursion de chaque équipe avec un schéma de preuve de sa correction. Cette étape est transitoire, abandonnant la version initiale à 128 bits pour une mise en œuvre précoce.

Phase trois – « H-star » d’ici fin 2026 :
Seuil complet : sécurité prouvée de 128 bits, preuves ne dépassant pas 300 ko, et argument formel de sécurité pour la topologie de la récursion. À ce stade, il ne s’agit plus d’ingénierie, mais de méthodes formelles et de preuves cryptographiques rigoureuses.

Arsenal technique : de WHIR à la topologie de la récursion

La Fondation Ethereum indique des outils concrets permettant d’atteindre la sécurité de 128 bits tout en maintenant la taille compacte des preuves en dessous de 300 ko.

WHIR – un nouveau test de proximité de Reed-Solomon – joue également le rôle de schéma d’engagement pour des polynômes multilinéaires. Il offre transparence, sécurité résistante aux calculs quantiques, et génère des preuves plus petites et plus rapides à vérifier que les anciens schémas FRI pour un niveau de sécurité équivalent. Les benchmarks à 128 bits montrent des preuves environ 1,95 fois plus petites et une vérification plusieurs fois plus rapide que les constructions de base.

JaggedPCS – un ensemble de techniques permettant d’éviter le remplissage excessif lors du codage des traces en tant que polynômes – des générateurs de preuves économisent du travail inutile tout en conservant des engagements compacts.

Grinding – une recherche par force brute de la randomisation du protocole – permet de trouver des preuves moins coûteuses ou plus petites tout en maintenant les limites de correction.

Une topologie de la récursion bien organisée – des schémas en couches où plusieurs petites preuves sont agrégées en une preuve finale avec une correction justifiée. Des projets indépendants comme Whirlaway utilisent WHIR pour construire des STARKs multilinéaires à haute performance.

Implications pratiques et questions ouvertes

Si les preuves sont systématiquement prêtes en 10 secondes et ont une taille inférieure à 300 ko, Ethereum pourra augmenter la limite de gaz sans obliger les validateurs à réexécuter entièrement chaque transaction. Les validateurs vérifieront alors de petites preuves, ce qui permettra d’augmenter la capacité des blocs tout en maintenant la faisabilité du staking à domicile – d’où un budget « home proving » de 10 kilowatts d’énergie et un matériel inférieur à 100 000 dollars.

Cette combinaison de marges de sécurité importantes et de preuves compactes transforme le « L1 zkEVM » en une couche de règlement fiable. Si elles sont à la fois rapides et vérifiées à 128 bits, les L2 et zk-rollups pourront utiliser la même infrastructure via des précompilations – la frontière entre « rollup » et « exécution L1 » devient davantage une question de configuration qu’une limite architecturale rigide.

Par ailleurs, des incertitudes subsistent. La génération de preuves en temps réel est aujourd’hui un benchmark off-chain, et non une réalité on-chain. Les chiffres concernant les retards et coûts proviennent de configurations matérielles sélectionnées d’EthProofs. L’écart entre cela et des milliers de validateurs indépendants qui exécutent réellement des générateurs de preuves chez eux reste réel.

L’histoire de la sécurité est en phase de changement. Soundcalc existe précisément parce que les paramètres des STARKs et SNARKs basés sur des hash évoluent constamment à mesure que leurs hypothèses sont réfutées. Les résultats récents ont redéfini la frontière entre les régimes « résolument sûrs », « par défaut sûrs » et « résolument dangereux », ce qui signifie que les paramètres actuels à 100 bits peuvent à nouveau être révisés face à de nouvelles attaques.

Il n’est pas certain que toutes les principales équipes zkEVM atteindront effectivement une sécurité prouvée de 100 bits d’ici mai 2026, et 128 bits d’ici décembre 2026, tout en restant sous les limites de taille, ou si certaines accepteront des marges plus faibles, s’appuieront sur des hypothèses plus lourdes ou prolongeront la vérification off-chain.

Le plus grand obstacle pourrait ne pas être la mathématique ou la puissance GPU, mais la formalisation et l’audit des architectures récursives complètes. La EF reconnaît que différents zkEVM combinent plusieurs circuits avec un « glue code » important, et documenter la correction de ces stacks non standard est crucial. Cela ouvre un vaste champ de travail pour des projets comme Verified-zkEVM et le cadre de vérification formelle, qui sont encore à un stade précoce et peu développés dans différents écosystèmes.

Conclusions : la fin d’une course, le début d’une autre

Il y a un an, la question était : les zkEVM peuvent-ils générer des preuves suffisamment rapidement ? La réponse est connue. La nouvelle question est : peuvent-ils les générer avec suffisamment de correction, à un niveau de sécurité résistant aux hypothèses qui s’effondrent demain, avec des preuves suffisamment petites pour se propager via le réseau P2P d’Ethereum, et avec des architectures récursives formellement vérifiées pour sécuriser des centaines de milliards de valeur ?

La course à la performance est terminée. La course à la correction mathématique et à la sécurité commence sérieusement.