イーサリアム財団、スピードよりもセキュリティを重視 – 2026年に向けて厳格な128ビットルールを設定

zkEVMエコシステムは1年間、レイテンシの改善に全力を注いできた。イーサリアムブロックの証明時間は16分から16秒に短縮され、コストは45分の1に低下し、参加するzkVMは現在、対象ハードウェア上でメインネットブロックの99%を10秒未満で証明している。

イーサリアム財団（EF）は12月18日に勝利を宣言した。リアルタイム証明は機能する。パフォーマンスのボトルネックは解消された。しかし、本当の作業はここから始まる。なぜなら、健全性を欠いたスピードは資産ではなく負債であり、多くのSTARKベースのzkEVMの基盤となる数学は数ヶ月にわたって静かに破綻してきたからだ。

7月、EFは「リアルタイム証明」の正式な目標を設定し、レイテンシ、ハードウェア、エネルギー、オープン性、セキュリティーをまとめた。メインネットブロックの少なくとも99%を10秒以内に、約10万ドルのコストで10キロワット以内で動作するハードウェアで、完全なオープンソースコードで、128ビットセキュリティで、300キロバイト以下の証明サイズで証明することを目標とした。

12月18日の投稿によれば、EthProofsベンチマークサイトで測定された結果、エコシステムはパフォーマンス目標を達成したという。

ここでのリアルタイムとは、12秒のスロット時間と約1.5秒のブロック伝播に対して定義される。基準は本質的に「バリデーターが活性を損なうことなく検証できる速さで証明が準備される」ということだ。

EFは現在、スループットから健全性へと焦点を移しており、その転換は明確だ。多くのSTARKベースのzkEVMは、広告されているセキュリティレベルを達成するために、証明されていない数学的予想に依存してきた。

過去数ヶ月間、これらの予想のいくつか、特にハッシュベースのSNARKとSTARKの低次数テストで使用される「近接ギャップ」仮定が数学的に破られ、それらに依存していたパラメータセットの実効的なビットセキュリティが低下した。

EFは、L1使用における唯一の受け入れ可能な最終形態は「証明可能なセキュリティ」であり、「予想Xが成立すると仮定したセキュリティ」ではないと述べている。

彼らは128ビットセキュリティを目標として設定し、主要な暗号資産標準団体や長寿命システムに関する学術文献、そして128ビットが攻撃者にとって現実的に到達不可能であることを示す実世界の記録計算と整合させた。

スピードよりも健全性を重視する姿勢は、質的な違いを反映している。

もし誰かがzkEVM証明を偽造できれば、任意のトークンを発行したり、L1の状態を書き換えてシステムに嘘をつかせることができ、単一のコントラクトを枯渇させるだけでは済まない。

これが、EFがあらゆるL1 zkEVMに対して「交渉不可能な」セキュリティマージンと呼ぶものを正当化する。

3つのマイルストーンロードマップ

この投稿は、3つの明確な節目を持つロードマップを提示している。第一に、2026年2月末までに、レースに参加するすべてのzkEVMチームが、現在の暗号解析の境界とスキームのパラメータに基づいてセキュリティ推定値を計算するEF管理ツール「soundcalc」に、自らの証明システムと回路を接続する。

ここでの要点は「共通の物差し」だ。各チームが独自の前提で自身のビットセキュリティを引用する代わりに、soundcalcが標準的な計算機となり、新たな攻撃が現れるにつれて更新できる。

第二に、2026年5月末までの「Glamsterdam」では、soundcalcによる少なくとも100ビットの証明可能なセキュリティ、600キロバイト以下の最終証明、そして各チームの再帰アーキテクチャの簡潔な公開説明と、それがなぜ健全であるべきかのスケッチを要求する。

これは、早期展開のための当初の128ビット要件を静かに後退させ、100ビットを暫定目標として扱っている。

第三に、2026年末までの「H-star」が完全な基準となる。soundcalcによる128ビットの証明可能なセキュリティ、300キロバイト以下の証明、さらに再帰トポロジーの正式なセキュリティ論証。ここが、エンジニアリングよりも形式的手法と暗号証明が重要になる地点だ。

技術的レバー

EFは、128ビット、300キロバイト未満の目標を実現可能にするいくつかの具体的なツールを指摘している。彼らは、多重線形多項式コミットメントスキームとしても機能する新しいReed-Solomon近接テストであるWHIRを強調している。

WHIRは透明性のあるポスト量子セキュリティを提供し、同じセキュリティレベルで古いFRIスタイルのスキームよりも小さく、検証が高速な証明を生成する。

128ビットセキュリティでのベンチマークでは、証明が約1.95倍小さく、検証がベースライン構成よりも数倍高速であることが示されている。

彼らは「JaggedPCS」に言及しており、これはトレースを多項式としてエンコードする際の過剰なパディングを回避する技術のセットで、証明者が簡潔なコミットメントを生成しながら無駄な作業を回避できるようにする。

彼らは「グラインディング」について述べており、これは健全性の境界内に留まりながら、より安価または小さな証明を見つけるためにプロトコルのランダム性をブルートフォース検索することだ。また「適切に構造化された再帰トポロジー」とは、多数の小さな証明が慎重に論証された健全性を持つ単一の最終証明に集約される階層化スキームを意味する。

エキゾチックな多項式数学と再帰トリックが、セキュリティを128ビットに引き上げた後、証明を縮小するために使用されている。

Whirlawayのような独立した取り組みは、WHIRを使用して効率が改善された多重線形STARKを構築しており、さらに実験的な多項式コミットメント構成がデータ可用性スキームから構築されている。

数学は急速に進化しているが、6ヶ月前に安全に見えた前提からも離れつつある。

何が変わるのか、そして未解決の疑問

証明が一貫して10秒以内に準備され、300キロバイト未満に収まれば、イーサリアムはバリデーターにすべてのトランザクションを再実行させることなく、ガスリミットを増やすことができる。

バリデーターは代わりに小さな証明を検証することになり、ホームステーキングを現実的に保ちながら、ブロック容量を拡大できる。これが、EFの以前のリアルタイム投稿が、レイテンシと電力を10キロワットや10万ドル未満のリグのような「ホーム証明」予算に明示的に結びつけた理由だ。

大きなセキュリティマージンと小さな証明の組み合わせが、「L1 zkEVM」を信頼できる決済レイヤーにするものだ。これらの証明が高速かつ証明可能な128ビットセキュアであれば、L2とzk-rollupはプリコンパイルを介して同じ仕組みを再利用でき、「ロールアップ」と「L1実行」の区別は硬直的な境界というよりも構成の選択になる。

リアルタイム証明は現在、オフチェーンのベンチマークであり、オンチェーンの現実ではない。レイテンシとコストの数値は、EthProofsが厳選したハードウェアセットアップとワークロードから得られている。

それと、実際に何千もの独立したバリデーターが自宅でこれらの証明者を実行することの間には、まだギャップがある。セキュリティの状況は流動的だ。soundcalcが存在する理由の全ては、STARKとハッシュベースのSNARKセキュリティパラメータが、予想が反証されるにつれて変動し続けるためだ。

最近の結果は、「確実に安全」、「予想的に安全」、「確実に危険」なパラメータ体制の間の境界線を引き直しており、今日の「100ビット」設定は新たな攻撃が現れるにつれて再び修正される可能性がある。

すべての主要なzkEVMチームが実際に2026年5月までに100ビットの証明可能なセキュリティを達成し、2026年12月までに128ビットを達成しながら証明サイズの上限内に収まるかどうか、あるいは一部が静かに低いマージンを受け入れるか、より重い前提に依存するか、または検証をより長期間オフチェーンにプッシュするかどうかは明確ではない。

最も困難な部分は、数学やGPUではなく、完全な再帰アーキテクチャの形式化と監査かもしれない。

EFは、異なるzkEVMがしばしば多くの回路をそれらの間に実質的な「接着コード」で構成しており、これらのオーダーメイドスタックの健全性を文書化し証明することが不可欠であることを認めている。

これにより、Verified-zkEVMや形式検証フレームワークのようなプロジェクトに長い尾の作業が開かれるが、これらはまだ初期段階でありエコシステム全体で不均一だ。

1年前、問題はzkEVMが十分に速く証明できるかどうかだった。その問題は解決された。
新しい問題は、明日破綻するかもしれない予想に依存しないセキュリティレベルで、イーサリアムのP2Pネットワーク全体に伝播するのに十分小さな証明で、数千億ドルを支えるのに十分形式的に検証された再帰アーキテクチャで、十分に健全に証明できるかどうかだ。

パフォーマンスの全力疾走は終わった。セキュリティの競争が始まったばかりだ。

この投稿「イーサリアム財団、スピードよりもセキュリティに焦点を移す – 2026年に厳格な128ビット規則を設定」は、CryptoSlateに最初に掲載されました。