За последний год экосистема zkEVM претерпела драматическое ускорение в производительности. Время генерации доказательства для блока Ethereum сократилось с 16 минут до всего 16 секунд. Затраты снизились более чем на 45×, и современные zkVM теперь способны доказывать 99% блоков Ethereum mainnet за менее чем 10 секунд при запуске на целевом оборудовании.
18 декабря Фонд Ethereum (EF) официально объявил о достижении вехи: доказательство в реальном времени теперь возможно. Основные узкие места производительности были устранены.
Но EF ясно дало понять, что самая сложная фаза только начинается. Скорость без математической обоснованности не является преимуществом — это риск. Еще более тревожно, что части математических основ, лежащих в основе многих zkEVM на базе STARK, тихо начали разрушаться за последние месяцы.
Доказательства в реальном времени никогда не были просто вопросом задержки
Назад в июле EF определил «доказательства в реальном времени» как многомерную цель — не просто уменьшение задержки, но оптимизацию по стоимости оборудования, потреблению энергии, открытости и криптографической безопасности.
Целевые требования были четкими:
Доказать, что по крайней мере 99% блоков основной сети подтверждаются в течение 10 секунд
Работать на оборудовании стоимостью около $100,000
Потребление не более 10 кВт энергии
Будьте полностью с открытым исходным кодом
Достигнуть 128-битной криптографической безопасности
Держите размеры доказательств ниже 300 КБ
Пост в блоге EF от 18 декабря подтвердил, что цели производительности были достигнуты на основе данных бенчмарков от EthProofs. «В реальном времени» здесь определяется относительно времени слота Ethereum в 12 секунд, при этом примерно 1,5 секунды зарезервировано для распространения блоков. Доказательства должны быть готовы достаточно быстро, чтобы валидаторы могли их проверить, не компрометируя активность сети.
Тем не менее, EF немедленно сместил фокус с пропускной способности на обоснованность — и этот сдвиг является непоколебимым.
Почему скорость без подтвержденной безопасности опасна
Многие реализации zkEVM утверждают о высоких уровнях безопасности, полагаясь на неподтвержденные математические предположения. В последние месяцы несколько из этих предположений, особенно предположения о «проксимитете» в тестах низкой степени, используемых хэш-основанными SNARK и STARK, были математически опровергнуты.
Результат очевиден: наборы параметров, когда-то рекламируемые как «128-битная безопасность», могут предлагать гораздо меньшую реальную безопасность, чем заявлено.
Для Ethereum L1 позиция EF абсолютна:
Только доказуемая безопасность приемлема — не «безопасно, если предположение X выполняется».
Вот почему EF стандартизировал 128-битную безопасность. Уровень соответствует установленным криптографическим стандартам, долгосрочным моделям безопасности и эмпирическим доказательствам, показывающим, что 128-битная безопасность превышает разумные возможности атак сегодня.
Логика проста, но сурова. Если злоумышленник может подделать доказательство zkEVM, ущерб будет экзистенциальным:
Произвольное создание токенов
Переписывание состояния L1
Разрушая глобальный консенсус Ethereum
Это не уровень контракта — это сбой на уровне протокола. В результате EF считает высокий запас безопасности непереговорным для любого zkEVM, предназначенного для использования на L1.
Три обязательных этапа Фонда Ethereum
EF разработал четкую дорожную карту с тремя обязательными контрольными точками.
1. Интеграция soundcalc — февраль 2026
К концу февраля 2026 года все участвующие команды zkEVM должны интегрировать свои системы доказательства и схемы в soundcalc, инструмент, поддерживаемый EF, который вычисляет конкретные уровни безопасности на основе последних криптоаналитических границ и параметров схемы.
Это устанавливает единую общую метрику. Команды больше не будут самостоятельно сообщать о битовой безопасности на основе частных предположений. По мере развития криптоанализа soundcalc может быть обновлен, заставляя требования к безопасности развиваться вместе с ним.
2. «Гламстердам» – май 2026
Этап Гламстердама требует:
По крайней мере 100-битная доказуемая безопасность через soundcalc
Размеры доказательств менее 600 КБ
Публичное, лаконичное объяснение рекурсивной архитектуры и ее довода о soundness
Это эффективно переосмысливает 128-битную безопасность как окончательную цель, рассматривая 100-битную как переходный порог развертывания.
3. «H-star» – конец 2026
Окончательный стандарт требует:
Полная 128-битная доказуемая безопасность
Размеры доказательств ограничены 300 КБ
Формальный довод о безопасности, охватывающий весь рекурсивный стек
На этом этапе задача больше не является чисто инженерной — это формальная криптографическая логика и верификация.
Технические рычаги, позволяющие 128-битную безопасность
EF выделяет несколько ключевых инноваций, делающих эту цель реалистичной.
Одним из самых важных является WHIR, новый тест близости Рида — Соломона, который также функционирует как схема обязательства многомерного полинома. WHIR предлагает:
Прозрачная, постквантовая безопасность
Меньшие доказательства
Быстрая верификация, чем FRI на эквивалентных уровнях безопасности
Бенчмарки при 128-битной безопасности показывают, что размеры доказательств уменьшены примерно на 1,95×, а скорости верификации улучшены в несколько раз.
EF также указывает на JaggedPCS, который избегает избыточной подгонки при кодировании следов в полиномы, уменьшая накладные расходы доказателя, сохраняя при этом лаконичные обязательства.
Дополнительные методы включают:
Гриндинг, который принудительно генерирует случайность протокола, чтобы получить более дешевые или меньшие доказательства в пределах пределов безопасности
Тщательно спроектированные рекурсивные архитектуры, агрегирующие множество малых доказательств в одно окончательное доказательство с единым доводом о soundness
Исследовательские усилия, такие как Whirlaway, используют WHIR для создания более эффективных многомерных STARK, в то время как экспериментальные схемы обязательств из области доступности данных продолжают оказывать влияние на дизайн zk.
Математика быстро развивается — но она также отказывается от предположений, которые казались безопасными всего несколько месяцев назад.
Что это меняет — и что остается неопределенным
Если доказательства всегда доступны в течение 10 секунд и остаются ниже 300 КБ, Ethereum может повысить свой лимит газа, не заставляя валидаторов повторно выполнять транзакции. Валидаторы просто проверят компактное доказательство, что позволит увеличить пропускную способность, сохраняя домашнюю ставку.
Это объясняет настойчивость EF в строгих бюджетах по мощности и оборудованию. zkEVM, требующий инфраструктуры дата-центра, подрывает гарантии децентрализации Ethereum.
Безопасный, малый доказательный L1 zkEVM также размывает грань между выполнением L1 и роллапами. L2 могут повторно использовать ту же инфраструктуру доказательства через прекомпиляции, превращая сегодняшние жесткие архитектурные границы в настраиваемые варианты проектирования.
Однако доказательства в реальном времени сегодня существуют только в оффчейн-бенчмарках. Преодоление разрыва до тысяч независимых валидаторов, работающих с провайдерами на дому, остается серьезной задачей.
Предположения о безопасности также остаются изменчивыми. Самая причина существования soundcalc заключается в том, что параметры безопасности на основе хэша SNARK и STARK меняются по мере разрушения предположений. Система «100-бит» сегодня может требовать переоценки завтра.
Все еще неясно, смогут ли все основные команды zkEVM соответствовать как требованиям безопасности, так и ограничениям по размеру доказательств в срок — или некоторые из них будут компрометировать, принимая более слабые предположения или расширенную оффчейн-верификацию.
Сама EF признает, что самой сложной задачей может быть не GPU или математика, а формализация и аудит рекурсивных архитектур. Многие zkEVM состоят из слоистых схем, соединенных значительным количеством клеевого кода. Документирование и доказательство soundness этих пользовательских стеков критически важно.
Здесь проекты, такие как Verified-zkEVM и рамки формальной проверки, становятся необходимыми — но они остаются ранними и неравномерными по экосистемам.
От гонки производительности к гонке безопасности
Год назад определяющим вопросом было, могут ли zkEVM доказать достаточно быстро.
Этот вопрос уже получил ответ.
Новый вопрос заключается в том, могут ли они доказать soundness на уровнях безопасности, которые не зависят от хрупких предположений, с доказательствами, достаточно малыми для P2P-сети Ethereum, и с формально проверенными рекурсивными архитектурами, способными защитить сотни миллиардов долларов в ценности.
Гонка за производительностью завершена.
Гонка за безопасностью только начинается.
📌 Подписывайтесь на углубленный анализ Ethereum, zk-доказательства, криптографию и будущее децентрализованной инфраструктуры.
