Фонд Ethereum вновь сосредоточивается на безопасности, а не на скорости, применяя стандарт 128-бит для 2026 года.

Экосистема zkEVM прошла через год全面的 ускорения задержки. Время создания доказательства для блока Ethereum снизилось с 16 минут до всего 16 секунд; стоимость снизилась в 45 раз; и участвующие zkVM теперь могут создавать доказательства для 99% блоков на мейннете за менее чем 10 секунд при работе на целевом железе.

18 декабря Фонд Ethereum (EF) официально объявил о победе: создание доказательства в реальном времени стало возможным. Основные узкие места производительности были устранены. Однако действительно сложный этап только начинается, поскольку скорость, если она не сопровождается математической надежностью, станет риском, а не преимуществом. Более того, вызывает беспокойство, что математическая основа многих zkEVM, основанных на STARK, на протяжении нескольких месяцев незаметно проявляла точки разрушения.

Цель “доказательства в реальном времени” и поворотный момент в безопасности

В июле EF официально поставил цель для «доказательства в реальном времени», которая касается не только задержки, но и аппаратного обеспечения, энергии, открытости и безопасности. В частности, система должна доказать как минимум 99% блоков основной сети в течение 10 секунд, на оборудовании стоимостью около 100 000 долларов США, с потреблением не более 10 кВт электроэнергии, полностью использующим открытый исходный код, достигая уровня безопасности 128 бит и размером доказательства не превышающим 300 килобайт.

Пост от 18/12 утверждает, что экосистема достигла этой цели по производительности, основываясь на данных с сайта бенчмарка EthProofs.

Понятие “реального времени” здесь определяется относительно 12-секундного цикла слота Ethereum и примерно 1,5 секунды, отведенных на передачу блока. Другими словами, доказательство должно быть готово достаточно быстро, чтобы валидатор мог его проверить, не прерывая жизнеспособность (liveness) сети.

Тем не менее, EF быстро переключила внимание с пропускной способности на степень устойчивости (soundness), и это направление является жестким. Многие zkEVM на основе STARK достигли уровня безопасности, рекламируемого, полагаясь на неподтвержденные математические гипотезы.

В последние месяцы некоторые из этих гипотез, особенно предположения о «проксимитете» в низкоуровневых тестах (low-degree tests) SNARK и STARK, основанных на хэш-функциях, были математически опровергнуты. Это значительно снижает реальный уровень безопасности параметров, которые когда-либо на них полагались.

EF подчеркивает, что для L1 единственным приемлемым вариантом является “доказуемая безопасность”, а не “безопасность, если гипотеза X верна”.

128-битный уровень был выбран в качестве стандарта, соответствующего стандартным криптографическим организациям и научной литературе о системах долгосрочного существования, а также реальные вычислительные записи показывают, что 128 бит находятся за пределами возможности реальной атаки.

Приоритет прочности вместо скорости отражает сущностное различие. Если злоумышленник сможет подделать доказательства zkEVM, он не только истощит контракт, но и сможет выпускать произвольные токены, переписывать состояние L1 и заставить всю систему “лгать”. Поэтому EF считает высокий уровень безопасности неприемлемым для любого zkEVM, используемого на L1.

Дорожная карта из трех этапов

EF предоставляет четкий план с тремя обязательными вехами.

Во-первых, к концу февраля 2026 года все команды zkEVM должны интегрировать свои системы доказательств и цепей в “soundcalc”, инструмент, поддерживаемый EF для расчета уровня безопасности на основе текущих пределов криптоанализа и параметров каждой схемы.

Цель состоит в том, чтобы установить “общую меру”. Вместо того, чтобы каждая команда самостоятельно объявляла уровень бит-безопасности на основе собственных предположений, soundcalc станет стандартным инструментом, который можно будет обновлять по мере появления новых методов атак.

Во-вторых, веха “Glamsterdam” в конце мая 2026 года требует достижения минимум 100-битной безопасности, которая может быть подтверждена через soundcalc, размер доказательства не превышает 600 килобайт, а также публичное, краткое объяснение рекурсивной архитектуры и основные аргументы в ее пользу.

Это косвенно настраивает исходную цель 128-бит для ранней фазы развертывания, рассматривая 100-бит как промежуточный уровень.

Во-вторых, «H-star» к концу 2026 года станет полноценным стандартом: 128-битная безопасность, которую можно доказать с помощью soundcalc, максимальный размер доказательства - 300 килобайт, и официальное обоснование безопасности для всей рекурсивной структуры. На этом этапе вызов уже не чисто технический, а сильно смещается в сторону формальных методов и криптографических доказательств.

Технические рычаги

EF указывает на ряд инструментов, направленных на реализацию цели 128-бит с доказательством менее 300 килобайт. Выделяется WHIR, новый тест на близость Рида–Соломона, который одновременно служит многостепенной схемой обязательств (multilinear polynomial commitment).

WHIR предоставляет прозрачную безопасность, постквантовую защиту, создавая более мелкие доказательства и обеспечивая более быструю проверку по сравнению с традиционными схемами FRI при том же уровне безопасности. Бенчмарк на уровне 128 бит показывает, что размер доказательства уменьшается примерно в 1,95 раза, в то время как скорость проверки значительно выше по сравнению с базовой структурой.

EF также упоминает JaggedPCS, набор технологий, который помогает избежать избыточного (padding) при кодировании trace в многочлен, позволяя prover уменьшить затраты вычислений, сохраняя при этом компактное обязательство.

Кроме того, существует «гриндинг», то есть поиск brute-force в случайном пространстве протокола для получения более дешевых или меньших доказательств, которые все еще находятся в пределах безопасного диапазона, вместе с тщательно спроектированными рекурсивными архитектурами, где множество мелких доказательств объединяются в одно окончательное доказательство с убедительной аргументацией.

Все более сложные полиномиальные и рекурсивные математические приемы используются для уменьшения доказательства после повышения уровня безопасности до 128 бит.

Независимые исследования, такие как Whirlaway, используют WHIR для построения более эффективных многопоточных STARK, в то время как другие экспериментальные структуры полиномиальных обязательств разрабатываются на основе схем доступности данных.

Математика развивается очень быстро, но в то же время уходит от тех предположений, которые считались безопасными всего несколько месяцев назад.

Что изменилось и какие вопросы остаются открытыми

Если доказательство всегда доступно в течение 10 секунд и имеет размер менее 300 килобайт, Ethereum может увеличить лимит газа, не заставляя валидатора повторно выполнять всю транзакцию. Вместо этого им нужно только проверить небольшое доказательство, что позволяет увеличить ёмкость блока, сохраняя при этом возможность стейкинга на дому.

Это причина, по которой EF в предыдущих статьях жестко связал задержку и энергопотребление с бюджетом “home proving” в 10 кВт и аппаратным обеспечением стоимостью менее 100.000 долларов США.

Сочетание высокой безопасности и малых доказательств делает «L1 zkEVM» надежным платежным слоем. Если эти доказательства будут как быстрыми, так и обеспечивать 128-битную безопасность, которая может быть доказана, L2 и zk-rollup смогут повторно использовать один и тот же механизм через предкомпиляцию, что сделает границы между «rollup» и «исполнением L1» более гибкими, конфигурируемыми, а не жестко разделенными.

В настоящее время реальное доказательство в режиме реального времени существует только в виде бенчмарка вне цепи. Данные о задержках и затратах получены из выбранных конфигураций аппаратного обеспечения и рабочих нагрузок на EthProofs. Разрыв между этим и тем, что тысячи независимых валидаторов действительно запускают провайдеры у себя дома, по-прежнему значителен.

История безопасности еще не завершена. Причина появления soundcalc заключается в том, что параметры безопасности STARK и SNARK основаны на хэш-функциях, которые постоянно меняются, когда гипотезы опровергнуты. Недавние результаты пересмотрели границы между “абсолютно безопасно”, “безопасно по гипотезе” и “абсолютно небезопасно”, что означает, что конфигурации “100-бит” сегодня могут потребовать корректировки в будущем.

Неясно, смогут ли все крупные команды zkEVM достичь 100 бит в мае 2026 года и 128 бит к концу 2026 года, при этом соблюдая лимиты на размер доказательства, или некоторые из них примут более низкие границы безопасности, полагаясь на более тяжелые предположения или продлевая верификацию вне цепи.

Самой большой проблемой может быть не математика или GPU, а формализация и аудит всей рекурсивной архитектуры. EF признает, что zkEVM часто соединяет множество цепей с значительным количеством «glue code», и документирование, а также доказательство надежности этих настраиваемых стеков имеет жизненно важное значение.

Это открывает длинный путь для таких проектов, как Verified-zkEVM и фреймворков верификации форм, которые все еще находятся на ранней стадии и не равномерны между экосистемами.

Год назад большим вопросом было, сможет ли zkEVM доказать свою скорость. На этот вопрос уже есть ответ.

Теперь вопрос в том, смогут ли они доказать свою достаточную прочность на уровне безопасности, не зависящей от гипотез, которые могут рухнуть завтра, с доказательствами достаточно малыми, чтобы распространяться по P2P-сети Ethereum, и с проверенной рекурсивной архитектурой, достаточно строгой, чтобы удерживать сотни миллиардов долларов стоимости.

Соревнование по производительности завершено.

Гонка за безопасностью только началась.

Ван Тянь