Ethereum Foundation змінює пріоритети: безпека замість швидкості, 128-bit як невідклична вимога до 2026 року

zkEVM екосистема вже розв’язала головоломку швидкості. За останній рік час генерації доказів скоротився з 16 хвилин до 16 секунд, комісії впали у 45 разів, а більшість учасників мережі тепер верифікують 99% блоків за 10 секунд на стандартному обладнанні. Ethereum Foundation офіційно оголосила про цю перемогу 18 грудня — тиск на пропускну здатність нарешті відступив. Але за успіхом в швидкості криється криза в надійності.

Від швидкості до надійності: поворотний момент

Математика багатьох STARK-базованих конструкцій почала розсипатися протягом останніх місяців. Припущення, на яких спиралися проектанти, виявилися неспроможними. Особливо це стосується “proximity gap” в хеш-базованих SNARK та STARK протоколах — припущення, які академічне середовище вже спростувало. Результат: ефективна безпеко́сть деяких параметрів впала значно нижче заявленої.

Ethereum Foundation висновує, що прихована математична недовіра — неприйнятна для L1 системи. Замість стратегії “безпеки за умови” вони встановили категоричну вимогу: доведена безпека, набір біт яких складає мінімум 128. Це вирівнювання з академічними стандартами та довічною криптографічною практикою — рівень, якого атакуючи не зможуть досягти навіть теоретично.

Логіка простая: якщо хтось підробить доказ zkEVM, він переписує весь стан L1, створює токени з нічого, змушує протокол брехати. Це не звичайна уразливість контракту — це розпад довіри до всієї системи. Саме тому EF наполягає на “недискутованому” запасі безпеки.

Три етапи впровадження з жорсткими крайтермінами

Перший рубіж — лютий 2026: Кожна команда zkEVM має підключити свою систему доказів до “soundcalc” — універсального інструменту розрахунку безпеки, підтримуваного EF. Замість того щоб кожен проект оголошував власну бітову безпеку на основі унікальних припущень, всі працюють з однією лінійкою. soundcalc оновлюватиметься при виявленні нових атак, що гарантує актуальність оцінок.

Другий рубіж — травень 2026 (“Glamsterdam”): Обов’язкова мінімальна доведена безпеко́сть у 100 біт, розмір фіналь­них доказів до 600 кілобайт, плюс публічне пояснення архітектури рекурсії кожного стека. Це м’ягший вхід перед фінальною вимогою — проміжна ціль, яка розділяє умовно надійних від явно недостатніх.

Третій рубіж — грудень 2026 (“H-star”): Повна ціль: 128-бітова доведена безпека, докази розміром не більше 300 кілобайт, формальне криптографічне обґрунтування топології рекурсії. На цьому етапі інженерія переходить у формальну верифікацію — світ доказів, а не припущень.

Технічний арсенал для досягнення неможливого

Ethereum Foundation не просто видала вимоги — вони вказали на інструменти, які роблять 128-bit та 300-кілобайтні докази реальними.

WHIR — новий тест на близькість Reed-Solomon, що одночасно є схемою зобов’язання для багатолінійних многочленів. Порівняно з попередніми FRI конструкціями: докази в 1,95 разу менші при тому ж рівні безпеки, верифікація у кілька разів швидша. Це забезпечує постквантову стійкість без штрафів на розмір.

JaggedPCS — методика, що уникає надмірного заповнення при кодуванні трас як многочленів. Доказувачі скорочують непотрібну роботу, залишаючи лаконічність зобов’язань.

Grinding та добре структурована топологія рекурсії — грубий перебір параметрів протоколу для пошуку дешевших, менших доказів у межах надійності, плюс багаторівневі схеми, де сотні дрібних доказів агрегуються в один фінальний з ретельно обґрунтованою безпеко­ю.

Незалежні команди, як Whirlaway, вже експериментують з WHIR для багатолінійних STARK з підвищеною ефективністю. Математика еволюціонує швидко, але й відходить від припущень, які ще половину року тому видавалися гарантованими.

Великі ставки, невирішені питання

Якщо докази готуються менше ніж за 10 секунд і залишаються під 300 кілобайт, Ethereum може радикально збільшити лімит gas без необхідності для домашніх валідаторів повторно виконувати кожну транзакцію. Вони замість цього верифікуватимуть компактний доказ — шлях до реалістичного стейкінгу при великій пропускній здатності.

Але реальність відстає від тестових навколишків EthProofs. Доведення в реальному часі — поки що позаланцюговий еталон, залежить від налаштованого обладнання і контрольованих навантажень. Розрив до тисяч незалежних валідаторів, які мають запустити це вдома, все ще значний.

Найскладнішим може виявитися не сама математика, а формалізація повних архітектур рекурсії. Багато zkEVM складаються з дюжини схем, скаталися разом “клейовим кодом”. Задокументувати та верифікувати безпеку таких стеків — цілий фронт роботи для проектів на кшталт Verified-zkEVM, які все ще перебувають на ранніх стадіях.

Крім того, сьогоднішній набір біт у 100 може бути переглянутий завтра, якщо з’являться нові атаки. soundcalc постійно “рухається”, оновлюючись у міру того як криптоаналіз прогресує.

От змагання у швидкості до змагання у надійності

Рік тому питання звучало так: чи можуть zkEVM доводити досить швидко? Відповідь отримана. Тепер справжнє питання: чи можуть вони доводити досить надійно — на рівні безпеки, який не залежить від припущень, що можуть зламатися, з доказами малими для P2P розповсюдження, з архітектурами, формально верифікованими для сотень мільярдів доларів?

Гонка за пропускною здатністю завершена. Гонка за невідкличною безпеко­ю тільки починається.