以太坊基金会调整优先级：安全优先于速度，128位将成为2026年前的不可撤销要求

zkEVM 生态系统已经解决了速度难题。在过去的一年中，证明生成时间从16分钟缩短到16秒，手续费降低了45倍，大多数网络参与者现在可以在10秒内用标准设备验证99%的区块。以太坊基金会于12月18日正式宣布这一胜利——带宽压力终于得以缓解。但速度的成功背后隐藏着可靠性危机。

从速度到可靠性：转折点

基于许多STARK的结构的数学基础在过去几个月开始崩溃。设计者所依赖的假设被证明是站不住脚的。尤其是关于哈希基础的SNARK和STARK协议中的“邻近间隙（proximity gap）”假设——这些假设已被学术界推翻。结果是：某些参数的有效安全性大大低于宣称的水平。

以太坊基金会得出结论：隐藏的数学不信任——对于L1系统来说是不可接受的。它们不再采用“安全性依赖”策略，而是提出了明确的要求：证明安全性，且比特数至少为128。这与学术标准和终身密码学实践保持一致——这是攻击者即使在理论上也无法达到的水平。

逻辑很简单：如果有人伪造zkEVM证明，他将重写整个L1状态，创造空中Token，迫使协议撒谎。这不仅是普通的合约漏洞——而是对整个系统信任的崩溃。这也是为什么EF坚持“无争议”的安全裕度。

三个阶段的实施与严格的截止日期

第一阶段——2026年2月：
每个zkEVM团队必须将其证明系统接入“soundcalc”——由EF支持的通用安全计算工具。不是每个项目都公布基于独特假设的比特安全性，而是所有项目都使用同一标准。soundcalc将在发现新攻击时更新，确保评估的时效性。

第二阶段——2026年5月 (“Glamsterdam”)：
最低证明安全性为100比特，最终证明的大小不超过600千字节，以及公开解释每个堆栈递归架构。这是一个较为宽松的门槛，作为最终要求的缓冲——一个中间目标，将条件性地区分为“基本可靠”与“明显不足”。

第三阶段——2026年12月 (“H-star”)：
完全目标：128比特的证明安全性，证明大小不超过300千字节，正式的递归拓扑结构的密码学证明。在此阶段，工程将转向形式验证——进入证明的世界，而非假设。

实现不可能的技术工具

以太坊基金会不仅提出了要求，还指出了实现128比特和300千字节证明的工具。

WHIR——一种基于Reed-Solomon的相似性测试，同时也是多项式承诺方案。与之前的FRI结构相比：在相同安全级别下，证明缩小了1.95倍，验证速度快数倍。这确保了后量子抗性，无需在大小上做出妥协。

JaggedPCS——一种避免在多项式编码轨迹时过度填充的方法。证明者减少了不必要的工作，保持了承诺的简洁。

Grinding（磨削）和结构化递归拓扑——对协议参数进行粗略搜索，以找到更便宜、更小的证明方案，结合多层次方案，将数百个小证明聚合成一个最终证明，确保安全性。

独立团队如Whirlaway已在试验WHIR，用于多线性STARK，效率显著提升。数学在快速演变，但也在逐步放弃半年前还被视为“保证”的假设。

巨大的赌注，未解的问题

如果证明能在10秒内生成，且大小保持在300千字节以下，以太坊可能会大幅提高gas限制，而无需验证者重复执行每笔交易。它们将验证紧凑的证明——迈向高吞吐量的现实路径。

但现实仍落后于EthProofs的测试环境。实时证明——目前仍是链外标准，依赖于硬件配置和受控负载。数千个独立验证者在家中启动验证的差距仍然很大。

最难的可能不是数学本身，而是完整递归架构的形式化。许多zkEVM由几十个结构拼凑而成，粘合在“胶水代码”中。对这些堆栈的安全性进行文档化和验证，是像Verified-zkEVM这样的项目的早期工作内容。

此外，当前的100比特安全性可能会随着新攻击的出现而调整。soundcalc会不断“演进”，随着密码分析的进步持续更新。

从速度竞赛到可靠性竞赛

一年前的问题是：zkEVM能否足够快地证明？答案已揭晓。现在真正的问题是：它们能否足够可靠地证明——达到不依赖可能被攻破假设的安全水平，证明体积小到可以在P2P网络中传播，架构经过形式验证，能保障数百亿美元的资产安全？

带宽的竞赛已结束。可靠性的不朽竞赛才刚刚开始。