Ethereum Foundationは、スピードよりもセキュリティを重視する方針に転換、2026年に厳格な128ビットルールを設定

zkEVMエコシステムは、1年間レイテンシの短縮に全力を注いできました。Ethereumブロックの証明時間は16分から16秒に短縮され、コストは45分の1に減少し、参加しているzkVMは現在、ターゲットハードウェア上で99%のメインネットブロックを10秒以内に証明しています。

Ethereum Foundation（EF）は12月18日に勝利を宣言しました：リアルタイム証明が機能しています。パフォーマンスのボトルネックは解消されました。今こそ本当の作業が始まります。なぜなら、健全性のないスピードは資産ではなく負債であり、多くのSTARKベースのzkEVMで使われている数学は、ここ数ヶ月静かに破綻しているからです。

7月、EFは「リアルタイム証明」に対して正式な目標を設定しました。これはレイテンシ、ハードウェア、エネルギー、オープン性、セキュリティをまとめたもので、10秒以内にメインネットブロックの少なくとも99%を証明し、約$100,000のコストで10キロワット以内のハードウェア上で、完全にオープンソースのコード、128ビットのセキュリティ、証明サイズが300キロバイト以下であることが求められます。

12月18日の投稿では、エコシステムがEthProofsベンチマークサイトで測定されたパフォーマンス目標を達成したと主張しています。

ここでのリアルタイムとは、12秒のスロットタイムと約1.5秒のブロック伝播時間に対して定義されています。基準は本質的に「バリデータがライブネスを損なうことなく証明を検証できるほど十分に速く証明が用意されている」ことです。

EFは現在、スループットから健全性へと軸足を移しており、その転換は明確です。多くのSTARKベースのzkEVMは、宣伝されているセキュリティレベルを達成するために未証明の数学的仮説に依存してきました。

過去数ヶ月間、これらの仮説のいくつか、特にハッシュベースのSNARKやSTARKの低次数テストで使われる「proximity gap」仮定は数学的に破られ、それに依存していたパラメータセットの実効ビットセキュリティが低下しました。

EFは、L1用途において唯一受け入れられる最終形は「証明可能なセキュリティ」であり、「仮説Xが成り立つと仮定したセキュリティ」ではないと述べています。

彼らは128ビットのセキュリティを目標に設定し、これは主流の暗号標準化団体や長寿命システムに関する学術文献、そして128ビットが攻撃者にとって現実的に到達不可能であることを示す実世界の記録計算と一致しています。

スピードよりも健全性を重視することは、質的な違いを反映しています。

誰かがzkEVM証明を偽造できれば、任意のトークンを発行したり、L1の状態を書き換えてシステムを虚偽にすることができ、単に1つのコントラクトから資金を抜くだけではありません。

これが、EFがL1 zkEVMに対して「交渉不可」と呼ぶセキュリティマージンを正当化する理由です。

三段階のロードマップ

この投稿では、3つの明確なマイルストーンを持つロードマップが示されています。まず、2026年2月末までに、競争中のすべてのzkEVMチームが、自身の証明システムと回路を「soundcalc」に接続します。これはEFが管理するツールで、現在の暗号解析的な限界とスキームのパラメータに基づいてセキュリティ推定値を計算します。

ここでのポイントは「共通の物差し」です。各チームが独自の仮定でビットセキュリティを主張する代わりに、soundcalcが標準的な計算機となり、新たな攻撃が現れるたびに更新できます。

次に、「Glamsterdam」は2026年5月末までにsoundcalcによる少なくとも100ビットの証明可能なセキュリティ、600キロバイト以下の最終証明、各チームの再帰アーキテクチャの簡潔な公開説明とその健全性の理由の概要を要求します。

これは、初期展開のための元々の128ビット要件を静かに後退させ、100ビットを暫定目標としています。

三つ目は、「H-star」で2026年末までにsoundcalcによる128ビットの証明可能なセキュリティ、300キロバイト以下の証明、再帰トポロジーに関する正式なセキュリティ論証が求められます。ここからはエンジニアリングというより、形式手法や暗号証明の領域になります。

技術的なレバー

EFは、128ビット・300キロバイト未満の目標を実現可能にするための具体的なツールをいくつか挙げています。彼らはWHIRを強調しており、これは新しいReed-Solomon proximityテストであり、多重線形多項式コミットメントスキームとしても機能します。

WHIRは、透過的でポスト量子セキュリティを提供し、同じセキュリティレベルの古いFRIスタイルのスキームよりも小さな証明と高速な検証を実現します。

128ビットセキュリティでのベンチマークでは、証明が約1.95倍小さくなり、検証もベースライン構造より数倍高速です。

彼らは「JaggedPCS」にも言及しており、これはトレースを多項式としてエンコードする際の過剰なパディングを回避する技術群であり、プローバーが無駄な作業を避けつつ簡潔なコミットメントを生成できます。

また、「grinding」についても触れており、これはプロトコルのランダム性を総当たりで探索し、健全性の範囲内でより安価または小さな証明を見つける手法です。「well-structured recursion topology」とは、多数の小さな証明を1つの最終証明に集約し、その健全性を慎重に論証する階層的なスキームを意味します。

エキゾチックな多項式数学や再帰的なトリックが、セキュリティを128ビットに引き上げた後に証明を再び小さくするために使われています。

Whirlawayのような独立したプロジェクトは、WHIRを用いて効率を改善した多重線形STARKを構築しており、より実験的な多項式コミットメント構造もデータ可用性スキームから構築されています。

数学は急速に進化していますが、6ヶ月前には安全に見えた仮定からも離れつつあります。

何が変わるのか、そして未解決の課題

証明が一貫して10秒以内に用意され、300キロバイト未満に収まるなら、Ethereumはバリデータがすべてのトランザクションを再実行することなくガスリミットを引き上げることができます。

バリデータは代わりに小さな証明を検証するだけで済み、ブロック容量を増やしつつ、ホームステーキングを現実的に保てます。これが、EFの以前のリアルタイム投稿でレイテンシと消費電力を「ホーム証明」予算（10キロワット、$100,000未満のリグ）に明示的に結びつけた理由です。

大きなセキュリティマージンと小さな証明の組み合わせこそが、「L1 zkEVM」を信頼できる決済レイヤーにします。これらの証明が高速かつ証明可能に128ビット安全であれば、L2やzk-rollupもプリコンパイルを通じて同じ仕組みを再利用でき、「rollup」と「L1 execution」の区別は厳密な境界ではなく、設定の選択肢に近づきます。

リアルタイム証明は現在、オフチェーンのベンチマークであり、オンチェーンの現実ではありません。レイテンシやコストの数値は、EthProofsが管理するハードウェアセットアップとワークロードから得られています。

これと、実際に何千もの独立したバリデータが自宅でこれらのプローバーを動かすこととの間には、まだギャップがあります。セキュリティの話も流動的です。soundcalcが存在する理由は、STARKやハッシュベースSNARKのセキュリティパラメータが、仮説が否定されるたびに変動し続けているからです。

最近の成果は、「確実に安全」「仮説的に安全」「確実に安全でない」パラメータ領域の境界線を引き直しており、今日の「100ビット」設定も新たな攻撃が現れるたびに再度見直される可能性があります。

すべての主要zkEVMチームが2026年5月までに100ビットの証明可能なセキュリティ、12月までに128ビットを証明サイズ制限内で達成できるかどうか、あるいは一部が静かにマージンを下げたり、より重い仮定に頼ったり、検証をより長くオフチェーンに押しやるかどうかは不明です。

最も難しい部分は、数学やGPUではなく、完全な再帰アーキテクチャを形式化し監査することかもしれません。

EFは、異なるzkEVMが多くの場合、多数の回路をかなりの「グルーコード」で組み合わせていること、そしてこれらのカスタムスタックの健全性を文書化し証明することが不可欠であると認めています。

これは、Verified-zkEVMや形式検証フレームワークのようなプロジェクトに長期的な課題をもたらしますが、これらはまだエコシステムごとに発展途上で不均一です。

1年前は、zkEVMが十分に速く証明できるかどうかが問題でした。その問いには答えが出ました。
新たな問いは、明日破られるかもしれない仮説に依存しないセキュリティレベルで十分に健全に証明できるか、証明がEthereumのP2Pネットワークを伝播できるほど小さいか、そして再帰アーキテクチャが数百億ドルを支えるほど正式に検証されているかどうかです。

パフォーマンス競争は終わりました。セキュリティ競争が今始まったのです。

この投稿「Ethereum Foundation refocuses to security over speed – sets strict 128-bit rule for 2026」はCryptoSlateに最初に掲載されました。