Fundacja Ethereum skupia się na bezpieczeństwie zamiast na szybkości – ustala ścisłą zasadę 128-bitową na 2026 rok

Ekosystem zkEVM spędził rok intensywnie pracując nad opóźnieniami. Czas dowodzenia dla bloku Ethereum skrócił się z 16 minut do 16 sekund, koszty spadły 45-krotnie, a uczestniczące zkVM dowodzą teraz 99% bloków mainnet w mniej niż 10 sekund na docelowym sprzęcie.

Fundacja Ethereum (EF) ogłosiła zwycięstwo 18 grudnia: dowodzenie w czasie rzeczywistym działa. Wąskie gardła wydajności zostały usunięte. Teraz zaczyna się prawdziwa praca, ponieważ szybkość bez poprawności jest zobowiązaniem, a nie atutem, a matematyka wielu zkEVM opartych na STARK cicho zawodzi od miesięcy.

W lipcu EF wyznaczyła formalny cel dla "dowodzenia w czasie rzeczywistym", który łączył opóźnienia, sprzęt, energię, otwartość i bezpieczeństwo: dowodzić co najmniej 99% bloków mainnet w ciągu 10 sekund, na sprzęcie kosztującym około 100 000 USD i działającym w zakresie 10 kilowatów, z w pełni otwartym kodem źródłowym, przy 128-bitowym bezpieczeństwie i rozmiarach dowodów nie większych niż 300 kilobajtów.

Post z 18 grudnia twierdzi, że ekosystem osiągnął cel wydajnościowy, zmierzony na stronie benchmarkingowej EthProofs.

Czas rzeczywisty jest tutaj zdefiniowany względem 12-sekundowego czasu slotu i około 1,5 sekundy na propagację bloku. Standard brzmi zasadniczo "dowody są gotowe wystarczająco szybko, aby walidatorzy mogli je zweryfikować bez naruszania żywotności".

EF przechodzi teraz od przepustowości do poprawności, a przejście jest bezpośrednie. Wiele zkEVM opartych na STARK polegało na nieudowodnionych hipotezach matematycznych, aby osiągnąć reklamowane poziomy bezpieczeństwa.

W ciągu ostatnich miesięcy niektóre z tych hipotez, szczególnie założenia "luki bliskości" używane w testach niskiego stopnia SNARK i STARK opartych na hashu, zostały matematycznie złamane, obniżając efektywne bezpieczeństwo bitowe zestawów parametrów, które na nich polegały.

EF twierdzi, że jedynym akceptowalnym rezultatem końcowym dla użycia L1 jest "dowodliwe bezpieczeństwo", a nie "bezpieczeństwo zakładające, że hipoteza X jest prawdziwa".

Ustalili 128-bitowe bezpieczeństwo jako cel, dostosowując je do głównych organów standardów kryptograficznych i literatury akademickiej dotyczącej długowiecznych systemów, a także do rzeczywistych rekordowych obliczeń, które pokazują, że 128 bitów jest realistycznie poza zasięgiem atakujących.

Nacisk na poprawność nad szybkością odzwierciedla jakościową różnicę.

Jeśli ktoś może sfałszować dowód zkEVM, może wybić dowolne tokeny lub przepisać stan L1 i sprawić, że system kłamie, a nie tylko opróżnić jeden kontrakt.

To uzasadnia to, co EF nazywa "niepodlegającym negocjacjom" marginesem bezpieczeństwa dla każdego zkEVM L1.

Mapa drogowa z trzema kamieniami milowymi

Post przedstawia przejrzystą mapę drogową z trzema twardymi punktami zatrzymania. Po pierwsze, do końca lutego 2026 roku każdy zespół zkEVM w wyścigu podłącza swój system dowodowy i obwody do "soundcalc", narzędzia utrzymywanego przez EF, które oblicza oszacowania bezpieczeństwa na podstawie aktualnych granic kryptanalitycznych i parametrów schematu.

Historia tutaj to "wspólna miara". Zamiast cytowania przez każdy zespół własnego bezpieczeństwa bitowego z niestandardowymi założeniami, soundcalc staje się kanonicznym kalkulatorem i może być aktualizowany w miarę pojawiania się nowych ataków.

Po drugie, "Glamsterdam" do końca maja 2026 roku wymaga co najmniej 100-bitowego dowodliwego bezpieczeństwa przez soundcalc, ostatecznych dowodów o rozmiarze nie większym niż 600 kilobajtów i zwięzłego publicznego wyjaśnienia architektury rekurencji każdego zespołu ze szkicem, dlaczego powinna być poprawna.

To po cichu cofa pierwotny wymóg 128 bitów dla wczesnego wdrożenia i traktuje 100 bitów jako cel przejściowy.

Po trzecie, "H-star" do końca 2026 roku to pełna poprzeczka: 128-bitowe dowodliwe bezpieczeństwo przez soundcalc, dowody o rozmiarze nie większym niż 300 kilobajtów, plus formalny argument bezpieczeństwa dla topologii rekurencji. To tam staje się to mniej o inżynierii, a bardziej o metodach formalnych i dowodach kryptograficznych.

Dźwignie techniczne

EF wskazuje na kilka konkretnych narzędzi mających na celu uczynienie celu 128-bitowego, poniżej 300 kilobajtów wykonalnym. Podkreślają WHIR, nowy test bliskości Reeda-Solomona, który podwaja jako schemat zobowiązania wieloliniowego wielomianu.

WHIR oferuje przejrzyste, postkwantowe bezpieczeństwo i produkuje dowody, które są mniejsze, a weryfikacja szybsza niż te ze starszych schematów typu FRI przy tym samym poziomie bezpieczeństwa.

Testy porównawcze przy 128-bitowym bezpieczeństwie pokazują dowody około 1,95 razy mniejsze i weryfikację kilka razy szybszą niż konstrukcje bazowe.

Odwołują się do "JaggedPCS", zestawu technik unikania nadmiernego wypełniania podczas kodowania śladów jako wielomianów, które pozwalają dowodzącym uniknąć zmarnowanej pracy, nadal produkując zwięzłe zobowiązania.

Wspominają "grinding", czyli brutalną siłę przeszukiwania losowości protokołu w celu znalezienia tańszych lub mniejszych dowodów, pozostając w granicach poprawności, oraz "dobrze ustrukturyzowaną topologię rekurencji", oznaczającą schematy warstwowe, w których wiele mniejszych dowodów jest agregowanych w jeden końcowy dowód z ostrożnie argumentowaną poprawnością.

Egzotyczna matematyka wielomianowa i sztuczki rekurencji są używane do zmniejszenia dowodów po zwiększeniu bezpieczeństwa do 128 bitów.

Niezależne prace, takie jak Whirlaway, wykorzystują WHIR do budowy wieloliniowych STARK o poprawionej wydajności, a bardziej eksperymentalne konstrukcje zobowiązań wielomianowych są budowane ze schematów dostępności danych.

Matematyka rozwija się szybko, ale także odchodzi od założeń, które wyglądały bezpiecznie sześć miesięcy temu.

Co się zmienia i otwarte pytania

Jeśli dowody są konsekwentnie gotowe w ciągu 10 sekund i pozostają poniżej 300 kilobajtów, Ethereum może zwiększyć limit gazu bez zmuszania walidatorów do ponownego wykonywania każdej transakcji.

Walidatorzy zamiast tego weryfikowaliby mały dowód, pozwalając pojemności bloku rosnąć, zachowując jednocześnie realistyczny home-staking. Dlatego wcześniejszy post EF w czasie rzeczywistym wiązał opóźnienia i moc wyraźnie z budżetami "home proving", takimi jak 10 kilowatów i zestawy poniżej 100 000 USD.

Połączenie dużych marginesów bezpieczeństwa i małych dowodów jest tym, co czyni "L1 zkEVM" wiarygodną warstwą rozliczeniową. Jeśli te dowody są zarówno szybkie, jak i dowodliwie 128-bitowo bezpieczne, L2 i zk-rollupy mogą ponownie wykorzystać tę samą maszynerię przez prekompilacje, a rozróżnienie między "rollupem" a "wykonaniem L1" staje się bardziej wyborem konfiguracji niż sztywną granicą.

Dowodzenie w czasie rzeczywistym jest obecnie benchmarkiem off-chain, a nie rzeczywistością on-chain. Liczby opóźnień i kosztów pochodzą z wyselekcjonowanych konfiguracji sprzętowych i obciążeń EthProofs.

Nadal istnieje luka między tym a tysiącami niezależnych walidatorów faktycznie uruchamiających te dowodzące w domu. Historia bezpieczeństwa jest w ruchu. Całym powodem istnienia soundcalc jest to, że parametry bezpieczeństwa STARK i SNARK oparte na hashu ciągle się zmieniają, ponieważ hipotezy są obalane.

Ostatnie wyniki przeredagowały linię między "zdecydowanie bezpiecznym", "przypuszczalnie bezpiecznym" i "zdecydowanie niebezpiecznym" reżimami parametrów, co oznacza, że dzisiejsze ustawienia "100-bitowe" mogą zostać ponownie zrewidowane w miarę pojawiania się nowych ataków.

Nie jest jasne, czy wszystkie główne zespoły zkEVM faktycznie osiągną 100-bitowe dowodliwe bezpieczeństwo do maja 2026 roku i 128-bitowe do grudnia 2026 roku, pozostając jednocześnie poniżej limitów rozmiaru dowodów, czy też niektóre po cichu zaakceptują niższe marginesy, będą polegać na cięższych założeniach lub będą dłużej przesuwać weryfikację off-chain.

Najtrudniejszą częścią może nie być matematyka czy GPU, ale formalizowanie i audytowanie pełnych architektur rekurencji.

EF przyznaje, że różne zkEVM często składają wiele obwodów z znacznym "kodem łączącym" między nimi i że dokumentowanie i dowodzenie poprawności dla tych niestandardowych stosów jest niezbędne.

To otwiera długi ogon pracy dla projektów takich jak Verified-zkEVM i frameworki formalnej weryfikacji, które są nadal wczesne i nierówne w ekosystemach.

Rok temu pytanie brzmiało, czy zkEVM mogą dowodzić wystarczająco szybko. Na to pytanie udzielono odpowiedzi.
Nowym pytaniem jest, czy mogą dowodzić wystarczająco poprawnie, na poziomie bezpieczeństwa, który nie zależy od hipotez, które mogą się jutro załamać, z dowodami wystarczająco małymi, aby rozprzestrzeniać się w sieci P2P Ethereum, i z architekturami rekurencji formalnie zweryfikowanymi wystarczająco, aby zakotwiczać setki miliardów dolarów.

Sprint wydajności się skończył. Wyścig bezpieczeństwa właśnie się rozpoczął.

Post Fundacja Ethereum skupia się na bezpieczeństwie zamiast szybkości – ustala ścisłą zasadę 128-bitową na 2026 rok pojawił się po raz pierwszy na CryptoSlate.