イーサリアム財団、zkEVMの速度競争に終止符。2026年末までに「証明可能な」128ビットセキュリティを要件として提示

イーサリアム財団がzkEVMのセキュリティ基準を厳格化
関連ニュース

イーサリアム財団がzkEVMのセキュリティ基準を厳格化

イーサリアム財団（Ethereum Foundation）が、zkEVMエコシステムに対して速度よりもセキュリティを優先する方針転換を12月18日に発表した。財団は2026年末までに「証明可能な」128ビットセキュリティの達成を必須要件とし、形式的に検証された健全性なしでは攻撃者が状態を書き換える可能性があると警告している。

なおzkEVMとは、EVM（イーサリアムバーチャルマシン）のトランザクション実行が正しかったことを、ゼロ知識証明（ZKP）で証明できるシステムのこと。

zkEVMエコシステムはこの1年間、レイテンシ（遅延時間）の短縮に注力してきた。イーサリアムブロックの証明時間は16分から16秒に短縮され、コストは45分の1に低下し、zkVMが「全イーサリアムブロックの約99%」を目標ハードウェア上で10秒以内にメインネットブロックを証明できるようになったという。イーサリアム財団はリアルタイム証明が機能することを確認し、パフォーマンスのボトルネックは解消されたと宣言した。しかし速度だけでは不十分であり、健全性を欠いた速度は資産ではなく負債であると指摘している。

多くのSTARKベースのzkEVMは、宣伝されているセキュリティレベルを達成するために未証明の数学的推測に依存してきた。過去数カ月間で、特にハッシュベースのSNARK（Succinct Non-interactive Argument of Knowledge）/SNARGやSTARK系で用いられるリード・ソロモン近接テスト周辺の「近接ギャップ（Proximity Gaps）予想」など、一部の推測が数学的に破られ、それらに依存していたパラメータセットの実効的なビットセキュリティが低下したとのことだ。財団はL1（レイヤー1）での使用において唯一受け入れ可能な最終形態は「証明可能なセキュリティ」であり、「推測Xが成り立つと仮定した場合のセキュリティ」ではないと述べている。

財団は128ビットセキュリティを目標として設定し、主流の暗号標準化団体や長期運用システムに関する学術文献と整合させた。また現実世界の記録的計算量が128ビットは攻撃者にとって現実的に到達不可能であることを示していると説明している。

財団は3つの明確なマイルストーンを含むロードマップを提示した。

第一段階では、2026年2月末までに競争に参加するすべてのzkEVMチームが自身の証明システムと回路を「soundcalc（サウンドカルク）」に接続する必要があるという。「soundcalc」は財団が維持するツールで、現在の暗号解析の限界とスキームのパラメータに基づいてセキュリティ推定値を計算するものだ。各チームが独自の仮定で自身のビットセキュリティを引用する代わりに、標準的な計算機となり、新しい攻撃が出現するたびに更新できるという。

第二段階として、2026年5月末には「soundcalc」による少なくとも100ビットの証明可能なセキュリティ、600キロバイト以下の最終証明、および各チームの再帰アーキテクチャの簡潔な公開説明と健全性の概略が求められるという。これは初期展開の128ビット要件を緩和した、100ビットを暫定目標として扱うものだ。第三に、2026年末には完全な基準となり、「soundcalc」による128ビットの証明可能なセキュリティ、300キロバイト以下の証明、さらに再帰トポロジーの形式的なセキュリティ論証が必要になる。ここでは工学というよりも形式手法と暗号証明が重要になるとのことだ。

財団は128ビット、300キロバイト以下の目標を実現可能にするための具体的なツールをいくつか示している。特に新しいリード・ソロモン近接テスト「WHIR」を強調している。「WHIR」は透明性がありポスト量子（耐量子）セキュリティを提供し、同じセキュリティレベルの古いFRI（Fast Reed-Solomon IOP of Proximity）スタイルのスキームよりも小さく、検証が速い証明を生成するという。128ビットセキュリティでのベンチマークでは、証明は約1.95倍小さく、検証は基本構成の数倍速いとのことだ。

また「JaggedPCS」という技術セットにも言及している。これは、証明者が簡潔なコミットメントを生成しながら無駄な作業を避けられるようにする技術だ。さらにプロトコルのランダム性に対するブルートフォース検索により、健全性の範囲内でより安価または小さい証明を見つける手法である「グラインディング」についても触れた。多数の小さな証明を慎重に論証された健全性を持つ単一の最終証明に集約する階層化スキーム「適切に構造化された再帰トポロジー」についても触れている。

証明が一貫して10秒以内に準備され300キロバイト以下に収まれば、イーサリアムはバリデータにすべてのトランザクションを再実行させることなくガスリミットを引き上げられるという。バリデータは代わりに小さな証明を検証するだけで済み、ホームステーキングを現実的に保ちながらブロック容量を拡大できるとのことだ。これが財団の以前のリアルタイム投稿が、レイテンシと電力を明示的に10キロワットや10万ドル以下のリグなどの「ホーム証明」予算と結びつけた理由だという。

なおセキュリティ状況は流動的であり、soundcalcが存在する理由は、STARKとハッシュベースのSNARKのセキュリティパラメータが推測が反証されるにつれて変化し続けているためだという。最近は、安全性の境界線を引き直されており、現在の「100ビット」設定は新しい攻撃が出現するにつれて再び修正される可能性があるとのことだ。すべての主要zkEVMチームが実際に2026年5月までに100ビットの証明可能なセキュリティを達成し、2026年12月までに128ビットを達成しながら証明サイズの上限を守れるかどうかは不明だという。

別の発表では、イーサリアム財団の研究者らは「ステートブロート（状態の肥大化）」による保存負担について警告し、ノードのボトルネックを緩和する経路を12月16日に提案した。イーサリアムの「状態」には、アカウント残高、コントラクトストレージ、アプリケーションを動かすコードなど、ネットワークが現在知っているすべてが含まれる。財団によるとこのシステムは「数十億ドルの価値を決済する」グローバルインフラストラクチャの重要な部分となったが、状態は増加するだけで決して縮小しないという問題が生じているとのことだ。

研究者らは3つの潜在的なアプローチを提案した。1つ目の「ステートエクスパイアリー（State Expiry）」は、非アクティブなデータをアクティブセットから削除しながら、ユーザーが証明で復活させられるようにするものだ。チームによると「状態の約80%は1年以上触れられていない」にもかかわらず、すべてのノードが今日でもそれを保存しなければならないという。第二の「ステートアーカイブ（State Archive）」は、ホットな状態とコールドな状態を分離するもので、ホットデータは制限されたままで高速アクセスが可能だが、コールドデータは履歴と検証可能性のために保存される。第三の「パーシャルステートレスネス（Partial Statelessness）」は、ノードが状態のサブセットのみを保存できるようにし、ウォレットとライトクライアントが依存するデータをキャッシュするというものだ。

参考：イーサリアム財団ブログ
画像：PIXTA