Ethereum Foundation переорієнтовується на безпеку замість швидкості – встановлює суворе правило 128-біт на 2026 рік

Екосистема zkEVM провела рік у спринті щодо затримки. Час доведення для блоку Ethereum скоротився з 16 хвилин до 16 секунд, витрати знизилися у 45 разів, а учасники zkVM тепер доводять 99% блоків основної мережі менш ніж за 10 секунд на цільовому обладнанні.

Ethereum Foundation (EF) оголосив про перемогу 18 грудня: доведення в режимі реального часу працює. Вузькі місця продуктивності усунуто. Тепер починається справжня робота, адже швидкість без надійності є зобов'язанням, а не активом, і математика під багатьма zkEVM на основі STARK тихо руйнується вже кілька місяців.

У липні EF встановив формальну мету для "доведення в режимі реального часу", яка об'єднала затримку, обладнання, енергію, відкритість та безпеку: довести щонайменше 99% блоків основної мережі протягом 10 секунд на обладнанні вартістю приблизно 100 000 доларів США, яке працює в межах 10 кіловат, з повністю відкритим вихідним кодом, зі 128-бітною безпекою та з розміром доказів не більше 300 кілобайт.

Публікація від 18 грудня стверджує, що екосистема досягла цільового показника продуктивності, виміряного на сайті тестування EthProofs.

Режим реального часу тут визначається відносно 12-секундного часу слота та приблизно 1,5 секунди для поширення блоку. Стандарт по суті полягає в тому, що "докази готові достатньо швидко, щоб валідатори могли їх перевірити без порушення активності".

EF тепер переходить від пропускної здатності до надійності, і цей перехід є категоричним. Багато zkEVM на основі STARK покладалися на недоведені математичні припущення для досягнення заявлених рівнів безпеки.

Протягом останніх місяців деякі з цих припущень, особливо припущення "розриву близькості", що використовуються в тестах низького ступеня SNARK та STARK на основі хешів, були математично спростовані, знизивши ефективну бітову безпеку наборів параметрів, які залежали від них.

EF стверджує, що єдиним прийнятним кінцевим результатом для використання L1 є "доведена безпека", а не "безпека за припущення, що припущення X виконується".

Вони встановили 128-бітну безпеку як цільовий показник, узгодивши його з основними органами стандартів криптовалют та академічною літературою про довгострокові системи, а також із реальними рекордними обчисленнями, які показують, що 128 біт реально недосяжні для атакуючих.

Акцент на надійності, а не на швидкості відображає якісну різницю.

Якщо хтось може підробити доказ zkEVM, він може створити довільні токени або переписати стан L1 і змусити систему брехати, а не просто виснажити один контракт.

Це виправдовує те, що EF називає "непідлягаючою обговоренню" межею безпеки для будь-якого L1 zkEVM.

Дорожня карта з трьома етапами

Публікація викладає чітку дорожню карту з трьома жорсткими зупинками. По-перше, до кінця лютого 2026 року кожна команда zkEVM у гонці підключає свою систему доказів та схеми до "soundcalc" — інструменту, який підтримується EF і обчислює оцінки безпеки на основі поточних криптоаналітичних меж та параметрів схеми.

Суть тут — "спільна лінійка". Замість того, щоб кожна команда цитувала власну бітову безпеку з індивідуальними припущеннями, soundcalc стає канонічним калькулятором і може оновлюватися в міру появи нових атак.

По-друге, "Glamsterdam" до кінця травня 2026 року вимагає щонайменше 100-бітну доведену безпеку через soundcalc, остаточні докази не більше 600 кілобайт і компактне публічне пояснення архітектури рекурсії кожної команди з нарисом того, чому вона має бути надійною.

Це тихо відступає від початкової вимоги 128-біт для раннього розгортання і розглядає 100 біт як проміжну мету.

По-третє, "H-star" до кінця 2026 року є повною планкою: 128-бітна доведена безпека за допомогою soundcalc, докази не більше 300 кілобайт, плюс формальний аргумент безпеки для топології рекурсії. Саме тут це стає менше про інженерію і більше про формальні методи та криптографічні докази.

Технічні важелі

EF вказує на кілька конкретних інструментів, призначених для того, щоб зробити 128-бітну ціль менше 300 кілобайт реалістичною. Вони виділяють WHIR, новий тест близькості Reed-Solomon, який також служить схемою зобов'язання багатолінійного поліному.

WHIR пропонує прозору постквантову безпеку і створює докази, які є меншими, а верифікація швидшою, ніж у старих схем типу FRI на тому самому рівні безпеки.

Контрольні показники при 128-бітній безпеці показують докази приблизно в 1,95 рази менші, а верифікацію в кілька разів швидшу, ніж базові конструкції.

Вони посилаються на "JaggedPCS" — набір методів для уникнення надмірного заповнення при кодуванні слідів як поліномів, які дозволяють доказуючим уникнути марної роботи, продовжуючи створювати стислі зобов'язання.

Вони згадують "grinding" — пошук грубою силою випадковості протоколу для пошуку дешевших або менших доказів, залишаючись у межах надійності, та "добре структуровану топологію рекурсії", тобто багатошарові схеми, в яких багато менших доказів агрегуються в єдиний кінцевий доказ з ретельно аргументованою надійністю.

Екзотична математика поліномів і трюки рекурсії використовуються для зменшення доказів після підвищення безпеки до 128 біт.

Незалежна робота, як-от Whirlaway, використовує WHIR для створення багатолінійних STARK з покращеною ефективністю, і більш експериментальні конструкції зобов'язань поліномів створюються на основі схем доступності даних.

Математика розвивається швидко, але вона також відходить від припущень, які здавалися безпечними шість місяців тому.

Що змінюється та відкриті питання

Якщо докази постійно готові протягом 10 секунд і залишаються менше 300 кілобайт, Ethereum може збільшити ліміт газу без примусу валідаторів повторно виконувати кожну транзакцію.

Валідатори натомість перевірятимуть невеликий доказ, дозволяючи збільшувати ємність блоку, зберігаючи домашній стейкінг реалістичним. Ось чому попередня публікація EF у режимі реального часу прив'язала затримку та потужність явно до бюджетів "домашнього доведення", таких як 10 кіловат і установки менше 100 000 доларів США.

Поєднання великих запасів безпеки та невеликих доказів — це те, що робить "L1 zkEVM" надійним рівнем розрахунків. Якщо ці докази швидкі та доведено 128-бітно захищені, L2 і zk-rollup можуть повторно використовувати ту саму систему через прекомпіляцію, і відмінність між "rollup" та "виконанням L1" стає більше вибором конфігурації, ніж жорсткою межею.

Доведення в режимі реального часу наразі є офчейн контрольним показником, а не ончейн реальністю. Показники затримки та вартості походять від курованих налаштувань обладнання та робочих навантажень EthProofs.

Все ще існує розрив між цим і тисячами незалежних валідаторів, які фактично запускають ці доказуючі вдома. Історія безпеки перебуває в русі. Вся причина існування soundcalc полягає в тому, що параметри безпеки STARK і SNARK на основі хешів постійно змінюються в міру спростування припущень.

Останні результати перемалювали лінію між "точно безпечними", "гіпотетично безпечними" та "точно небезпечними" режимами параметрів, що означає, що сьогоднішні налаштування "100-біт" можуть бути переглянуті знову в міру появи нових атак.

Незрозуміло, чи всі основні команди zkEVM фактично досягнуть 100-бітної доведеної безпеки до травня 2026 року і 128-бітної до грудня 2026 року, залишаючись нижче обмежень розміру доказів, чи деякі тихо прийматимуть нижчі межі, покладатимуться на важчі припущення або відсуватимуть верифікацію офчейн на довше.

Найскладнішою частиною може бути не математика чи GPU, а формалізація та аудит повних архітектур рекурсії.

EF визнає, що різні zkEVM часто складають багато схем із значним "клейовим кодом" між ними, і що документування та доведення надійності для цих індивідуальних стеків є важливим.

Це відкриває довгий шлейф роботи для проектів, таких як Verified-zkEVM, і структур формальної верифікації, які все ще перебувають на ранній стадії та нерівномірні в різних екосистемах.

Рік тому питання полягало в тому, чи можуть zkEVM довести достатньо швидко. На це питання відповіді отримано.
Нове питання полягає в тому, чи можуть вони довести достатньо надійно на рівні безпеки, який не залежить від припущень, які можуть зруйнуватися завтра, з доказами достатньо малими, щоб поширюватися через P2P мережу Ethereum, і з архітектурами рекурсії, формально верифікованими достатньо, щоб закріпити сотні мільярдів доларів.

Спринт продуктивності закінчився. Гонка безпеки щойно почалася.

Публікація Ethereum Foundation переорієнтується на безпеку замість швидкості – встановлює суворе правило 128-біт на 2026 рік вперше з'явилася на CryptoSlate.