Фонд Ethereum устанавливает 128-битный стандарт безопасности: от гонки за скорость к гонке за правильность

От времени до корректности: смена парадигмы

За последний год экосистема zkEVM боролась в основном с задержками. Прогресс был впечатляющим: генерация доказательств для блоков Ethereum сократилась с 16 минут до 16 секунд, расходы снизились в 45 раз, а участвующие zkVMы в настоящее время производят доказательства для 99% блоков мейннета менее чем за 10 секунд на целевом оборудовании.

18 декабря Ethereum Foundation объявила о прорывном результате: генерация доказательств в реальном времени действительно работает. Однако этот момент триумфа оказался поворотным пунктом. Узкие места в производительности были устранены, но это породило новые, более глубокие вопросы. Скорость без корректности — не техническое преимущество, а системная угроза. В то же время математика, лежащая в основе многих zkEVM, основанных на STARKах, месяцами молчаливо рушится — именно это делает смещение акцентов с производительности на безопасность не только рекомендуемым, но и неизбежным.

Математическая разница и проблема с предположениями

Многие zkEVM, основанные на STARKах, до сих пор опирались на неподтвержденные математические предположения для достижения заявленного уровня безопасности. В последние месяцы, особенно в ходе научно-исследовательских работ, такие предположения, как «proximity gap», используемые в тестах низкого уровня SNARK и STARK, основанных на хешах, были математически опровергнуты. Это имеет важные последствия: эффективная битовая безопасность параметров, основанных на этих предположениях, значительно снизилась.

Ethereum Foundation ясно обозначила свою позицию: единственным допустимым решением для приложений L1 является «подтвержденная безопасность», а не «условная безопасность, предполагающая, что предположение X истинно». Эта математическая разница между спецификацией и фактическим доказательством кардинальна для систем, обрабатывающих сотни миллиардов долларов.

Поставленная цель — 128-битная безопасность — стандарт, соответствующий основным криптографическим рекомендациям и научной литературе, занимающейся долговечностью криптографических систем. Реалистично, 128 бит находятся за пределами практического диапазона атакующих, согласно реальным рекордам вычислительных возможностей.

Трехэтапная дорожная карта: от внедрения до формальной верификации

Ethereum Foundation представила прозрачную дорожную карту с тремя жесткими остановками:

Фаза первая — конец февраля 2026: Каждая команда zkEVM объединяет свою систему доказательства и цепи в «soundcalc» — инструмент, поддерживаемый EF, который вычисляет ориентировочную безопасность на основе текущих границ криптоанализа и параметров схемы. Это становится общим мерилом безопасности, заменяя ситуацию, когда каждая команда указывала свои собственные цифры битовой безопасности. Soundcalc становится каноническим калькулятором, обновляемым по мере обнаружения новых атак.

Фаза вторая — «Glamsterdam» до конца мая 2026: Требуется как минимум 100-битная подтвержденная безопасность по soundcalc, доказательства размером не более 600 килобайт и публичное объяснение архитектуры рекурсии каждой команды с наброском доказательства её корректности. Эта фаза — переходный этап, отход от первоначального варианта 128-битной безопасности для ранних внедрений.

Фаза третья — «H-star» до конца 2026: Полный порог: 128-битная подтвержденная безопасность, доказательства не более 300 килобайт и формальный аргумент безопасности для топологии рекурсии. На этом этапе речь уже не о инженерии, а о формальных методах и твердых криптографических доказательствах.

Технический арсенал: от WHIR до топологии рекурсии

Ethereum Foundation указывает на конкретные инструменты, позволяющие достичь цели в 128-битной безопасности при сохранении компактности доказательств менее 300 килобайт.

WHIR — новый тест близости Reed-Solomon — одновременно выполняет функцию схемы обязательства для многочленов. Обеспечивает прозрачность, устойчивость к квантовым вычислениям и генерирует доказательства меньшего размера и более быстрой верификацией по сравнению со старыми схемами типа FRI при одинаковом уровне безопасности. Бенчмарки при 128-битной безопасности показывают доказательства примерно в 1,95 раза меньшие и верификацию в несколько раз быстрее по сравнению с базовыми конструкциями.

„JaggedPCS" — набор техник, позволяющих избегать чрезмерного заполнения при кодировании следов как многочленов — генераторы доказательств экономят ненужную работу, сохраняя лаконичные обязательства.

„Grinding" — грубая переборка случайности протокола — позволяет находить более дешевые или меньшие доказательства при сохранении границ корректности.

„Хорошо организованная топология рекурсии" — многоуровневые схемы, где множество меньших доказательств агрегируются в одно итоговое с обоснованной корректностью. Независимые проекты, такие как Whirlaway, используют WHIR для построения многочленных STARKов с повышенной производительностью.

Практические последствия и открытые вопросы

Если доказательства будут последовательно готовы за 10 секунд и иметь размер менее 300 килобайт, Ethereum получит возможность увеличивать лимит газа без необходимости заставлять валидаторов полностью повторно выполнять каждую транзакцию. Валидаторы вместо этого будут проверять миниатюрные доказательства, что позволит увеличить пропускную способность блоков при сохранении реалистичных условий стейкинга — отсюда бюджет «home proving» — 10 киловатт энергии и оборудование стоимостью менее 100 000 долларов.

Эта комбинация высокого уровня безопасности и компактных доказательств превращает «L1 zkEVM» в надежный слой расчетов. Если они будут как быстрыми, так и подтверждаемыми на уровне 128 бит, L2 и zk-rollup смогут использовать ту же инфраструктуру через предкомпиляции — граница между «rollup» и «выполнением L1» становится скорее вопросом конфигурации, чем жестким архитектурным ограничением.

При этом остаются важные неопределенности. Генерация доказательств в реальном времени сегодня — это бенчмарк off-chain, а не реальность on-chain. Числа, касающиеся задержек и затрат, взяты из специально подобранных конфигураций аппаратного обеспечения EthProofs. Разрыв между этим и тысячами независимых валидаторов, реально запускающих генераторы доказательств дома, остается реальным.

История безопасности — это фаза перемен. Soundcalc существует именно потому, что параметры STARK и SNARK, основанных на хешах, постоянно эволюционируют по мере опровержения предположений. Последние результаты вновь определили границу между режимами «категорически безопасного», «по умолчанию безопасного» и «крайне опасного», что означает, что текущие настройки в 100 бит могут быть пересмотрены при появлении новых атак.

Неясно, достигнут ли все основные команды zkEVM действительно 100-битной подтвержденной безопасности к маю 2026 и 128-битной к декабрю 2026, оставаясь в пределах лимитов размера, или некоторые примут более низкие границы, будут опираться на более тяжелые предположения или затянут проверку off-chain.

Самым ранним препятствием могут стать не математика или мощности GPU, а формализация и аудит полных рекурсивных архитектур. EF признает, что разные zkEVM объединяют множество цепей с существенным «клеевым кодом», а документирование корректности этих нестандартных стеков — ключевая задача. Это открывает обширную область работы для проектов вроде Verified-zkEVM и рамок формальной верификации, которые пока находятся на ранней стадии и развиты неравномерно в различных экосистемах.

Итоги: конец одной гонки — начало другой

Год назад вопрос звучал так: могут ли zkEVM генерировать доказательства достаточно быстро? Ответ известен. Новый вопрос: могут ли они генерировать их достаточно корректно, на уровне безопасности, не зависящем от завтра рушащихся предположений, с доказательствами достаточно малыми, чтобы распространяться по P2P-сети Ethereum, и с формально проверяемыми рекурсивными архитектурами, чтобы обеспечить сотни миллиардов стоимости?

Гонка за производительностью завершилась. Гонка за математическую корректность и безопасность только начинается.