以太坊基金會制定 128 位元安全標準：從速度競賽轉向正確性競賽

從時間到正確性：範式轉變

過去一年，zkEVM 生態系統主要在與延遲作戰。進展令人印象深刻：以太坊區塊證明生成時間從 16 分鐘縮短到 16 秒，成本降低了 45 倍，參與的 zkVM 現在能在不到 10 秒內在目標硬體上為 99% 的主網區塊產生證明。

12 月 18 日，以太坊基金會宣布一個突破性成果：實時生成證明的技術已經實現。然而，這一勝利的時刻卻成為轉折點。性能瓶頸已被消除，但也引發了更深層次的新問題。速度而非正確性，並非技術優勢，而是系統性威脅。同時，基於 STARK 的多數 zkEVM 背後的數學支撐，數月來在沉默中崩潰——這正是將焦點從性能轉向安全，不僅是建議，更是必然的原因。

數學差異與假設問題

許多基於 STARK 的 zkEVM 之前依賴未被證明的數學假設，以達到聲稱的安全水平。近幾個月，特別是在科學研究工作中，像“proximity gap”這樣在 SNARK 和基於哈希的 STARK 測試中使用的假設已被數學反駁。這一發現具有重要意義：依賴這些假設的參數集的比特安全性已大幅降低。

以太坊基金會明確表態：L1 應用的唯一可接受方案是“經過證明的安全性”，而非“條件安全性，即假設 X 為真”。這一數學差異——規格與實際證明之間的差異，對於處理數百億美元資產的系統來說，是根本性的。

設定的目標是 128 位安全性——符合主要加密標準和長期系統安全性研究的標準。現實情況是，128 位超出攻擊者的實際能力範圍，根據現有的計算記錄。

三階段路線圖：從實施到正式驗證

以太坊基金會提出了一個清晰的路線圖，包含三個關鍵階段：

第一階段——2026 年 2 月底：
每個 zkEVM 團隊將其證明系統與“soundcalc”整合——由 EF 維護的工具，用於根據當前的密碼分析界限和方案參數估算安全性。這提供了一個共同的安全性衡量標準，取代各團隊自行提供的比特安全性數據。soundcalc 成為標準計算器，隨著新攻擊的發現而更新。

第二階段——“Glamsterdam” 直到 2026 年 5 月底：
需要 soundcalc 至少證明 100 位元的安全性，證明大小不超過 600 KB，並公開解釋每個團隊的遞歸架構及其正確性證明草圖。這是過渡階段，放棄早期實施的 128 位元方案。

第三階段——“H-star” 直到 2026 年底：
完整目標：128 位元的證明安全性，證明不超過 300 KB，並提供正式的遞歸拓撲安全性證明。在此階段，重點不再是工程實作，而是正式方法和嚴格的密碼學證明。

技術工具：從 WHIR 到遞歸拓撲

以太坊基金會指出，為達到 128 位元安全性且證明壓縮到 300 KB 以下，有具體的工具支持。

WHIR——一種基於 Reed-Solomon 的新型接近性測試，同時也是多項式承諾方案。它提供透明性、抗量子計算的安全性，並產生比 FRI 更小、更快驗證的證明，安全等級相同。以 128 位元安全性測試，證明約比傳統方案小 1.95 倍，驗證速度也快數倍。

“JaggedPCS”——一套技術，用於避免在將證明記錄編碼為多項式時的過度填充，證明生成器能節省不必要的計算，保持證明緊湊。

“Grinding”——一種暴力搜索協議隨機性的技術，可在保持正確性界限的同時，找到更便宜或更小的證明。

“良好組織的遞歸拓撲”——分層結構，將多個較小的證明聚合成一個最終證明，並具有合理的正確性保證。獨立項目如 Whirlaway 利用 WHIR 建構高效的多項式 STARK。

實務影響與未來問題

如果證明能在 10 秒內一貫生成，且大小低於 300 KB，以太坊將能提升 gas 限額，無需驗證者完全重複執行每筆交易。驗證者只需驗證微型證明，便能增加區塊容量，並在家庭條件下實現“home proving”——預算約 10 千瓦能源，硬體成本低於 10 萬美元。

這種安全裕度大、證明緊湊的方案，將“L1 zkEVM” 轉變為可信的結算層。如果速度快且達到 128 位安全，L2 和 zk-rollup 可通過預編譯共用基礎設施——“rollup” 與“L1 執行”之間的界限，將更多變成配置問題而非架構限制。

同時，仍存在重大不確定性。實時證明生成目前仍是鏈下基準，並非鏈上實現。關於延遲和成本的數據來自選定的硬體配置，與數千個獨立驗證者在家中運行證明生成器的現實差距依然存在。

安全歷史正處於變革階段。soundcalc 正是因為基於哈希的 STARK 和 SNARK 參數在不斷演進、假設被推翻的過程中而存在。最新結果再次界定了“絕對安全”、“預設安全”與“極不安全”之間的界線，這意味著當前的 100 位元設置可能隨著新攻擊而重新調整。

尚不確定所有主要 zkEVM 團隊是否能在 2026 年 5 月前達到 100 位元的證明安全性，以及在 2026 年 12 月前達到 128 位元，或是否會接受較低的裕度、依賴更重的假設，或延長鏈下驗證時間。

最早的障礙可能不是數學或 GPU 計算能力，而是完整遞歸架構的正式化與審核。EF 承認，不同 zkEVM 結合了多個電路與大量“膠水碼”，驗證這些非標準堆疊的正確性是關鍵。這為 Verified-zkEVM 和正式驗證框架等項目提供了廣闊的研究空間，這些項目目前仍處於早期階段，且在不同生態系統中發展不均。

結論：一場終點與另一場開始

一年前，問題是：zkEVM 是否能快速生成證明？答案已經明確。現在的新問題是：它們是否能在不依賴明天可能崩潰的假設下，達到足夠的正確性，證明足夠小以在 P2P 網絡中傳播，並且架構經過正式驗證以保障數百億美元資產？

性能競賽已經結束。數學正確性與安全性的競賽，才剛剛正式啟動。