Ethereum Foundationは128ビットのセキュリティ標準を設定：速度競争から正確性競争へ

2026-01-12 08:15:01

正確性への移行：パラダイムシフト

過去1年間、zkEVMエコシステムは主に遅延と戦ってきました。進展は目覚ましく、Ethereumのブロックの証明生成時間は16分から16秒に短縮され、コストは45倍削減され、現在参加しているzkVMは、ターゲットハードウェア上で99％のメインネットブロックの証明を10秒未満で生成しています。

12月18日、Ethereum Foundationは画期的な成果を発表しました：リアルタイム証明生成が実現可能になったのです。しかし、この勝利の瞬間は、むしろ転換点となることが判明しました。性能のボトルネックは解消されましたが、新たでより深い疑問を生み出しました。速度だけでは正確性を保証できず、それは技術的な強みではなくシステムの脅威となり得ます。同時に、多くのSTARKベースのzkEVMに関わる数学は、黙って崩れつつあります。これこそ、性能から安全性への重点移行を推奨するだけでなく、避けられないものにしています。

数学的前提と仮定の問題

これまで多くのSTARKベースのzkEVMは、安全性の宣言レベルを達成するために証明されていない数学的仮定に依存してきました。近月の研究活動の中で、「proximity gap」などの仮定は、SNARKやハッシュを用いたSTARKの低次テストにおいて数学的に反証されました。この発見は重要な意味を持ちます。これらの仮定に依存していたパラメータセットのビット安全性は大きく低下しました。

Ethereum Foundationは明確な立場を示しています：L1アプリケーションにとって唯一受け入れられる解決策は、「証明された安全性」であり、「仮定Xが真であると仮定した条件付き安全性」ではありません。この数学的差異は、数百億ドルの価値を扱うシステムにとって極めて重要です。

目標は128ビットの安全性です。これは、暗号学の主要な指針や長期的な暗号システムの耐久性に関する学術文献に準拠した標準です。現実的には、128ビットの安全性は、実際の計算記録に基づき、攻撃者の実行範囲を超えています。

3段階のロードマップ：導入から正式検証まで

Ethereum Foundationは、3つの厳格なマイルストーンを設定した明確なロードマップを提示しています。

フェーズ1 – 2026年2月末まで：
各zkEVMチームは、自身の証明システムと回路を「soundcalc」に統合します。これはEFが管理するツールで、現行の暗号解析の境界とスキームのパラメータに基づき、推定安全性を計算します。これにより、各チームが独自に安全ビット数を提示する必要がなくなり、soundcalcが新たな攻撃の発見に応じて更新される標準的な計算機となります。

フェーズ2 – 「Glamsterdam」まで2026年5月末：
soundcalcによる証明された安全性が少なくとも100ビットであること、証明のサイズが600KBを超えないこと、各チームの再帰アーキテクチャの設計とその正当性のスケッチを公開することが求められます。この段階は移行期であり、初期導入のために128ビットの安全性から一歩引いた形となります。

フェーズ3 – 「H-star」まで2026年末：
完全な目標は、128ビットの証明された安全性、証明サイズが300KB以下、再帰トポロジーの安全性に関する正式な議論です。この段階では、エンジニアリングよりも形式的手法と暗号学的証明に焦点が移ります。

技術的アーセナル：WHIRと再帰トポロジー

Ethereum Foundationは、証明サイズ300KB未満で128ビットの安全性を達成できる具体的なツールを示しています。

WHIR – リード・ソロモン距離検査の新しいテストであり、多層多項式のコミットメントスキームとしても機能します。透明性、量子耐性の安全性、そして従来のFRIスキームよりも小さく高速な証明を提供します。128ビットの安全性において、証明は約1.95倍小さく、検証は数倍高速です。

JaggedPCS – 多項式の符号化において過剰な埋め込みを避ける技術。証明生成器は不要な作業を省きつつ、コンパクトなコミットメントを維持します。

Grinding – プロトコルのランダム性を総当たりで探索し、より安価または小さな証明を見つける手法です。

階層的再帰トポロジー – 複数の小さな証明を層状に集約し、最終的な証明と正当性を保証します。Whirlawayのような独立したプロジェクトは、WHIRを用いて高効率の多層STARKを構築しています。

実用的な影響と未解決の課題

証明が10秒以内に一貫して生成され、サイズが300KB未満であれば、Ethereumはガスリミットを引き上げることが可能となり、バリデータは各取引の完全な再実行を避けて、ミニマルな証明だけを検証できます。これにより、ブロック容量の増加と、家庭用環境でのステーキングの現実性を維持しつつ、証明の「home proving」予算は10kWの電力と10万ドル未満のハードウェアに抑えられます。

この安全性の余裕とコンパクトな証明の組み合わせにより、「L1 zkEVM」は信頼できるレイヤー1の決済層へと変貌します。高速かつ128ビットレベルで証明されるなら、L2やzk-rollupは同じインフラをプリコンパイルを通じて利用できるため、「rollup」と「L1実行」の境界は、アーキテクチャの硬直性よりも設定の問題となるでしょう。

一方で、多くの不確実性も残っています。リアルタイム証明生成は現状、オフチェーンのベンチマークであり、オンチェーンの実現ではありません。遅延やコストに関する数字は、選択されたハードウェア構成に基づいています。実際に家庭で証明生成器を稼働させるためのギャップは依然として存在します。

安全性の歴史は変革のフェーズにあります。soundcalcは、ハッシュベースのSTARKやSNARKのパラメータが仮定の崩壊とともに進化し続けるために存在します。最近の結果は、「絶対に安全」「デフォルトで安全」「絶対に危険」といった区分を再定義し、今日の100ビット設定も新たな攻撃により再検討される可能性があります。

すべての主要なzkEVMチームが2026年5月までに100ビットの証明された安全性を達成し、2026年12月までに128ビットを達成し、サイズ制限を超えないかどうかは不確かです。一部はより低い余裕を受け入れ、より重い仮定に依存し、オフチェーン検証を長引かせる可能性もあります。

最も早い障壁は、数学やGPUの性能ではなく、完全な再帰アーキテクチャの形式化と監査です。EFは、さまざまなzkEVMが多くの回路と「グルーコード」を結合していることを認めており、その正当性のドキュメント化は重要です。これは、Verified-zkEVMや形式的検証フレームワークのようなプロジェクトにとって大きな研究課題を開きます。これらは現在、初期段階にあり、エコシステムごとに発展度合いが異なります。