以太坊基金会制定了128位安全标准：从速度竞赛到正确性竞赛

从时间到正确性：范式的转变

在过去的一年里，zkEVM生态系统主要应对延迟问题。取得了令人瞩目的进展：以太坊区块的证明生成时间从16分钟缩短到16秒，成本降低了45倍，参与的zkVM目前在目标硬件上为99%的主网区块生成证明，时间不到10秒。

12月18日，以太坊基金会宣布了一个突破性成果：实时生成证明实际上已经实现。然而，这一胜利的时刻也成为了一个转折点。性能瓶颈已被消除，但也引发了更深层次的问题。速度而非正确性并非技术优势，而是系统性威胁。同时，基于STARK的多种zkEVM背后的数学基础在几个月来静默崩溃——这正是将焦点从性能转向安全的必要性，不仅是建议，更是不可避免的。

数学差异与假设问题

迄今为止，许多基于STARK的zkEVM依赖未被证明的数学假设，以实现声称的安全水平。近年来，特别是在科研工作中，诸如“邻近差距（proximity gap）”等假设——在低阶SNARK和基于哈希的STARK测试中使用的——已被数学反驳。这一发现具有重要意义：依赖这些假设的参数集的比特安全性被大幅降低。

以太坊基金会明确表态：L1应用的唯一可接受方案是“经过证明的安全性”，而非“条件安全性”，后者假设某个假设X为真。这一数学差异——规范与实际证明之间的差异——对于处理数百亿美元资产的系统至关重要。

设定的目标是128位安全性——符合主要密码学指南和关于密码系统长寿命的学术文献。实际上，128位超出了攻击者的实际计算能力范围，符合当前的计算记录。

三阶段路线图：从部署到形式验证

以太坊基金会提出了一个清晰的路线图，设有三个关键节点：

第一阶段——2026年2月底：
每个zkEVM团队将其证明系统和电路整合到“soundcalc”——由EF维护的工具，用于根据当前的密码分析界限和方案参数估算安全性。这成为统一的安全度量，取代了每个团队提供自己比特安全性数字的做法。soundcalc将成为标准计算器，随着新攻击的发现不断更新。

第二阶段——“Glamsterdam”至2026年5月底：
要求soundcalc提供至少100比特的已证明安全性，证明大小不超过600KB，以及公开说明每个团队的递归架构和其正确性证明的草图。此阶段为过渡期，放弃了早期部署的128比特方案。

第三阶段——“H-star”至2026年底：
实现完整的128比特证明安全性，证明大小不超过300KB，以及递归拓扑的正式安全性论证。此阶段不再关注工程实现，而是关注形式方法和严密的密码学证明。

技术工具：从WHIR到递归拓扑

以太坊基金会指出了实现128比特安全目标、同时保持证明紧凑（小于300KB）的具体工具。

WHIR——一种基于Reed-Solomon的邻近测试——同时作为多项式承诺方案。它提供透明性、抗量子计算的安全性，并生成比旧的FRI方案更小、更快验证的证明，安全级别相同。在128比特安全性下，基准测试显示证明约为传统方案的1.95倍小，验证速度快数倍。

“JaggedPCS”是一套技术，用于避免在将轨迹编码为多项式时的过度填充——证明生成器节省了不必要的工作，同时保持紧凑的承诺。

“Grinding”——对协议的随机性进行暴力搜索——可以找到成本更低或更小的证明，同时保持正确性边界。

“良好组织的递归拓扑”是分层方案，多个较小的证明汇聚成一个最终证明，且具有可验证的正确性。像Whirlaway这样的独立项目利用WHIR构建高效的多项式STARK。

实际影响与未解之谜

如果证明能在10秒内持续生成，且大小低于300KB，以太坊将能够提升gas限制，而无需验证者完全重新执行每笔交易。验证者将验证微型证明，从而增加区块容量，同时在家庭环境中实现实际的质押——因此，“home proving”预算为10千瓦能源，设备成本低于10万美元。

这种高安全裕度与紧凑证明的结合，将“L1 zkEVM”转变为可信赖的结算层。如果速度快且达到128位确认，L2和zk-rollup可以通过预编译共享基础设施——“rollup”与“L1执行”之间的界限变得更像配置问题，而非硬性架构限制。

同时，仍存在重大不确定性。实时生成证明目前仍是链下基准，而非链上现实。关于延迟和成本的数据来自精选的EthProofs硬件配置。与数千个独立验证者在家中实际运行证明生成器的差距依然存在。

安全历史表明，正处于变革阶段。soundcalc的存在正是因为基于哈希的STARK和SNARK参数不断演变，随着假设被推翻。最新的结果再次划定了“绝对安全”、“默认安全”与“极不安全”之间的界限，这意味着当前的100比特设置可能随着新攻击而重新调整。

尚不确定所有主要的zkEVM团队是否能在2026年5月实现100比特的已证明安全性，以及到2026年12月达到128比特，是否会低于大小限制，或部分团队会接受更低的裕度、依赖更重的假设，或延长链下验证。

最早的障碍可能不是数学或GPU算力，而是完整递归架构的形式化和审计。EF承认，不同的zkEVM结合了多个电路和大量“胶水代码”，验证这些非标准堆栈的正确性至关重要。这为Verified-zkEVM等项目以及形式验证框架提供了广阔的研究空间，目前仍处于早期阶段，且在不同生态系统中的发展不平衡。

结论：一场终结，另一场开始

一年前的问题是：zkEVM是否能快速生成证明？答案已知。新的问题是：它们是否能在安全性不依赖于明天可能被推翻的假设下，生成足够正确、证明足够小、能在P2P网络中传播、且递归架构经过形式验证以保障数百亿资产安全？

性能竞赛已结束。数学正确性与安全性的竞赛正正式开启。