zkEVM 竞速结束:下一站,128 位可证明安全 | ETHPanda 推荐
🔗 本期原文链接:https://blog.ethereum.org/2025/12/18/zkevm-security-foundations
感谢 EF 密码学团队的 Arantxa Zapico、Benedikt Wagner 和 Dmitry Khovratovich 的贡献,以及 Ladislaus、Kev、Alex 和 Marius 的细致审阅与反馈。
zkEVM 生态已全速奔跑了一年。我们成果显著!我们实现了实时证明的终极目标!
现在,下一个阶段来临:构建生产级、主网级别的产品。
从速度到安全
今年 7 月,我们发布了一个关于实时证明的核心定义。九个月后,生态体系交出了惊艳的答卷 :证明延迟从 16 分钟降至 16 秒,成本骤降 45 倍,并且 zkVM 现在能在目标硬件上于 10 秒内证明 99% 的以太坊区证明块。
虽然主要的性能瓶颈已被各个 zkEVM 团队清除,但安全性仍是一个亟待解决的关键问题。
支持 128 位可证明安全的理由
如今许多基于 STARK 的 zkEVM 依赖于未经证明的数学猜想来达成其安全目标。在过去的几个月里,STARK 的安全性经历了许多波折 ,基础性猜想已被研究人员从数学上证伪。每一个被推翻的猜想都会削弱安全性:原本宣传为 100 位的安全性实际上可能只有 80 位。
唯一合理的前进道路是可证明安全,而 128 位仍然是目标。这是标准化机构推荐 [7] 并经现实世界计算里程碑验证 [8] 的安全级别。
对于 zkEVM 而言,这并非学术空谈。可靠性问题不同于其他安全问题。如果攻击者能够伪造证明,他们就能伪造一切:凭空铸造代币、重写状态、窃取资金。对于一个保护着数千亿美元资产的 L1 zkEVM 来说,安全裕度不容妥协。
三大里程碑
对我们而言,安全性和证明大小都至关重要,但它们之间存在矛盾。更高的安全性通常意味着更大的证明,而证明必须足够小,以便能在以太坊的点对点网络中可靠且及时地传播。
我们设定了三个里程碑:
里程碑 1:Soundcalc 集成 截止日期:2026 年 2 月底
为了统一衡量安全性,我们创建了 soundcalc :一个基于最新的密码学安全界限和证明系统参数来评估 zkVM 安全性的工具。它是一个持续维护的工具,我们计划持续集成最新的研究和已知攻击。
在此截止日期前,参与的 zkEVM 团队应将其证明系统组件及所有电路集成到 soundcalc 中。这为我们后续的安全评估提供了共同基础。(可参考之前的集成示例:#1 、#2 )
里程碑 2:Glamsterdam 截止日期:2026 年 5 月底
100 位可证明安全性(由 soundcalc 估算)
最终证明大小 ≤ 600 KiB
递归架构的简明描述及其可靠性的概要论证
里程碑 3:H-star 截止日期:2026 年底
128 位可证明安全性(由 soundcalc 估算)
最终证明大小 ≤ 300 KiB
递归架构可靠性的正式安全论证
最近的密码学和工程进展使得实现上述里程碑成为可能:例如 WHIR 这样的紧凑多项式承诺方案、JaggedPCS 等技术、一点“研磨”以及精心设计的递归拓扑结构,都有助于形成一条可行的前进道路。
递归尤其值得强调。现代 zkEVM 涉及许多以自定义方式通过递归组合的电路,其间存在大量粘合逻辑。每个团队的做法各不相同。记录这种架构及其可靠性对于整个系统的安全至关重要。
前进之路
现在锁定 zkEVM 安全性有战略上的理由。
保护一个移动的目标是困难的。一旦各团队达成这些目标且 zkVM 架构稳定下来,我们一直投资的形式化验证工作就能发挥其全部潜力。到 H-star 阶段,我们期望证明系统层基本稳定。这不是永久冻结,而是足够稳定,以便对关键组件进行形式化验证、完成安全性证明,并编写与部署代码相匹配的规范。
这是构建安全的 L1 zkEVM 所需的基础。
夯实基础
一年前,问题是 zkEVM 能否证明得足够快。这个问题已经有了答案。现在的新问题是,它们能否证明得足够可靠。我们相信它们可以。
在我们这边:
1 月,我们将发布一篇文章,阐明并形式化上述里程碑。
我们将跟进一篇技术文章,概述达到安全性和证明大小目标所需的证明系统技术。
同时,我们将更新 Ethproofs 以反映这一转变:在关注性能的同时突出安全性。
我们在此提供全程支持。请联系 EF 密码学团队。
性能冲刺已经结束。现在,让我们来夯实基础。
作者 | George Kadianakis
翻译 | Quentina
整理 & 排版 | Quentina
👇 欢迎关注 ETHPanda 获取更多资讯!
