Ethereum Foundation將重心轉向安全性而非速度——為2026年設定嚴格的128位元規則

zkEVM 生態系統花了一年時間在延遲上衝刺。以太坊區塊的證明時間從 16 分鐘縮短到 16 秒，成本下降了 45 倍，參與的 zkVM 現在能在目標硬體上於 10 秒內證明 99% 的主網區塊。

Ethereum Foundation（EF）於 12 月 18 日宣布勝利：即時證明已經實現。效能瓶頸已被清除。現在真正的工作才開始，因為速度若沒有健全性，反而是負債而不是資產，而許多基於 STARK 的 zkEVM 其底層數學在過去幾個月裡已經悄悄地出現問題。

今年 7 月，EF 為「即時證明」設定了正式目標，涵蓋延遲、硬體、能源、開放性和安全性：在大約 10 萬美元、耗電不超過 10 千瓦的硬體上，使用完全開源的程式碼，在 128 位元安全性下，證明至少 99% 的主網區塊於 10 秒內完成，且證明大小不超過 300 KB。

12 月 18 日的文章聲稱，根據 EthProofs 基準測試網站的數據，生態系統已達到效能目標。

這裡的「即時」是相對於 12 秒的區塊時槽和約 1.5 秒的區塊傳播時間來定義的。標準基本上是「證明產生得夠快，驗證者能在不影響活性的情況下驗證它們」。

EF 現在從吞吐量轉向健全性，這個轉向非常直接。許多基於 STARK 的 zkEVM 為了達到宣稱的安全等級，依賴於尚未被證明的數學猜想。

過去幾個月，這些猜想中的一些，特別是用於基於雜湊的 SNARK 和 STARK 低次多項式測試的「proximity gap」假設，已被數學上破解，導致依賴這些假設的參數組的實際位元安全性下降。

EF 表示，L1 應用唯一可接受的終局是「可證明的安全性」，而不是「假設猜想 X 成立時的安全性」。

他們將 128 位元安全性設定為目標，這與主流加密標準組織和長壽系統的學術文獻一致，也與現實世界的紀錄計算相符，這些計算顯示 128 位元對攻擊者來說實際上是遙不可及的。

對健全性而非速度的強調，反映出質的不同。

如果有人能偽造 zkEVM 證明，他們就能鑄造任意代幣或重寫 L1 狀態，使系統說謊，而不僅僅是盜取某個合約的資金。

這正是 EF 所謂任何 L1 zkEVM「不可協商」安全邊際的理由。

三階段路線圖

這篇文章提出了一個明確的三個關鍵節點的路線圖。首先，到 2026 年 2 月底，所有參與競賽的 zkEVM 團隊都要將其證明系統和電路接入「soundcalc」，這是一個由 EF 維護的工具，能根據當前密碼分析界限和方案參數計算安全性評估。

這裡的重點是「共同標尺」。不再是每個團隊根據自己的假設報告位元安全性，而是以 soundcalc 作為標準計算器，並可隨新攻擊出現而更新。

第二，「Glamsterdam」階段要求在 2026 年 5 月底前，通過 soundcalc 達到至少 100 位元可證明安全性，最終證明大小不超過 600 KB，並公開簡明說明每個團隊的遞迴架構及其健全性理由。

這實際上對早期部署放寬了原本的 128 位元要求，將 100 位元作為過渡目標。

第三，「H-star」階段，於 2026 年底前達到完整標準：通過 soundcalc 達到 128 位元可證明安全性，證明大小不超過 300 KB，並對遞迴拓撲給出正式安全論證。這時，重點將從工程轉向形式方法和密碼學證明。

技術槓桿

EF 指出多項具體工具，旨在讓 128 位元、300 KB 以下的目標變得可行。他們特別強調 WHIR，一種新的 Reed-Solomon proximity 測試，同時也是多線性多項式承諾方案。

WHIR 提供透明、後量子安全性，並能產生比舊有 FRI 方案更小、驗證更快的證明，且安全等級相同。

在 128 位元安全性下的基準測試顯示，證明大約縮小 1.95 倍，驗證速度比基線方案快數倍。

他們提到「JaggedPCS」，這是一組在將追蹤資料編碼為多項式時避免過度填充的技術，讓證明者能避免無謂的工作，同時產生簡潔的承諾。

他們還提到「grinding」，即對協議隨機性進行暴力搜尋，以在保持健全性範圍內找到更便宜或更小的證明，以及「良好結構的遞迴拓撲」，即多層方案，將多個較小的證明聚合為單一最終證明，並對其健全性進行嚴謹論證。

各種特殊多項式數學和遞迴技巧正被用來在將安全性提升至 128 位元後，將證明縮小回來。

像 Whirlaway 這樣的獨立項目利用 WHIR 構建效率更高的多線性 STARK，還有更多實驗性的多項式承諾方案正從數據可用性方案中誕生。

數學進展迅速，但也正遠離六個月前看似安全的假設。

變化與未解問題

如果證明能持續在 10 秒內完成且小於 300 KB，以太坊就能提高 gas 上限，而無需驗證者重新執行每筆交易。

驗證者只需驗證一個小證明，即可讓區塊容量增長，同時讓家庭質押成為現實。這也是 EF 早前即時證明文章明確將延遲和功耗與「家庭證明」預算（如 10 千瓦和低於 10 萬美元設備）掛鉤的原因。

大安全邊際與小證明的結合，正是讓「L1 zkEVM」成為可信結算層的關鍵。如果這些證明既快又可證明有 128 位元安全性，L2 和 zk-rollup 也能通過預編譯重用同樣的機制，「rollup」與「L1 執行」的區別將更像是一種配置選擇，而不是嚴格的界線。

即時證明目前還只是鏈下基準，而非鏈上現實。延遲和成本數據來自 EthProofs 精選的硬體配置和工作負載。

這與數千名獨立驗證者實際在家運行這些證明器之間仍有差距。安全性情況仍在變動。soundcalc 存在的全部原因，就是因為 STARK 和基於雜湊的 SNARK 安全參數隨著猜想被推翻而不斷變化。

近期的研究結果重新劃分了「絕對安全」、「猜想安全」和「絕對不安全」的參數區間，這意味著今天的「100 位元」設定可能會隨新攻擊出現而再次修正。

目前還不清楚所有主要 zkEVM 團隊是否真能在 2026 年 5 月前達到 100 位元可證明安全性、12 月前達到 128 位元，且證明大小不超標，還是有些團隊會默默接受較低邊際、依賴更重的假設，或將驗證推遲到鏈下更久。

最難的部分可能不是數學或 GPU，而是將完整的遞迴架構形式化並審計。

EF 承認，不同 zkEVM 通常會組合多個電路，並在它們之間有大量「膠水代碼」，而對這些專屬堆疊進行文件化和健全性證明至關重要。

這為 Verified-zkEVM 和形式驗證框架等項目打開了長期工作的大門，而這些項目在各生態系統中仍處於早期且發展不均。

一年前，問題是 zkEVM 能否足夠快地產生證明。這個問題已經有了答案。
現在的新問題是，他們能否足夠健全地證明，在不依賴明天可能被推翻的猜想的安全等級下，證明足夠小以便在以太坊 P2P 網路中傳播，並且遞迴架構經過足夠形式化驗證，能夠承載數千億美元的價值。

效能衝刺已經結束。安全競賽才剛剛開始。

本文 Ethereum Foundation refocuses to security over speed – sets strict 128-bit rule for 2026 首發於 CryptoSlate。