ZK 证明：隐私是否已经足够廉价到可以主流化？

作者：Castle Labs；编译：Block unicorn

零知识（Zero Knowledge，简称 ZK），ZK 首次被提出，它回答了这样一个问题：“证明者能否在不透露证人身份的情况下，说服验证者相信某个陈述为真？”

这个问题为如今的发展奠定了基础。从 1985 年到 2010 年代，现在有诸如 Aztec 之类的协议以及 ZKsync、Starknet 和 Scroll 之类的通用 Rollup，它们（proof of personhood）和成员资格证明、私有群组ZK 进行可验证结算的隐藏头寸，许多其他系统也利用 使用证明来验证已签名的电子邮件声明（例如 DKIM 验证邮件），而无需泄露邮件的整个。

下图是对当前 ZK 技术栈的一个概览：

图 1：ZK 技术栈已扩展成为一个拥有众多专业化层的生态系统。

证明的成本

过去，验证链上的任何内容通常都需要耗费大量人力和财力。然而，这些成本已转移到证明层。也就是说，人们不再需要耗费人力，只需使用 ZK 证明即可验证这些事实。因此，证明层成为新的验证机制，因为成本已转移到证明层。

流程如下：

• 验证者进行一次快速检查，  

• 然后证明者完成繁重的计算，  

• 计算结果被转化为一个证明，  

• 而成本被转移到了硬件、能源和延迟上。

以太坊已经明确地阐述了这种权衡。2025 年 7 月，以太坊基金会发布了 L1 zkEVM 的“实时证明”目标，旨在开源软件上，在 10 秒内完成至少 99% 主网区块的证明，同时将本地硬件成本限制在 10 万美元左右，功耗限制在 10 千瓦。

到 2025 年 12 月，基金会报告称，在实现该目标方面取得了重大进展：证明延迟从约 16 分钟降至 16 秒，成本降低了 45 倍，并且在目标硬件配置下，zkVM 能够在 10 秒内完成 99% 区块的证明。

图 2：证明通过让链验证工作而无需重复执行，从而避免重复执行。

成本堆栈

证明的成本正在降低，因为多个成本中心同时下降，但下降速度各不相同。

为了更好地理解，我们将成本堆栈分为三类费用：

1. 验证费用：在链上验证证明所需的费用。

2. 证明者费用：生成证明所需的费用，包括硬件、能源、编排和正常运行时间。

3. 发布费用：发布数据所需的费用，以及链接受状态转换所需的费用。

验证费用

在以太坊上，验证一个 Groth16 风格的证明通常需要大约 20 万 gas，并且费用会随着公共输入数量的增加而增加。以太坊通过 EIP 1108 降低了配对预编译 gas 的成本，这也是现代链上验证得以实现的原因之一。

验证具有相对固定的基础成本。然而，通过将多个证明聚合成一个单一证明，可以将基础验证成本分摊到多个用户身上，从而降低链承担高昂配对成本的风险。

证明者费用

证明是运营商成本曲线中的主要组成部分，但从用户的角度来看，它并非总是占总汇总成本的大头。在许多汇总设计中，主要的可变成本是将数据发布到 L1 层（calldata 或 blob），而证明则是运营商承担的一项重要的计算费用。哪一项成本占主导地位取决于汇总的数据模型、流量水平、批处理效率和证明系统。

一种理解汇总费用的实用方法是：L2 层上的执行成本，加上将数据发布到 L1 层的成本，再加上运营商的证明开销。性能竞争主要集中在证明环节，而发布环节则是 L1 层费用市场渗透到用户定价中的地方。

即使吞吐量不大，也可能需要强大的证明硬件，因为即使交易数量不多，证明也是计算密集型的。例如，zkSync 公布了某些证明器配置的最低硬件目标，而 RISC Zero 则发布了一条参考路径，利用更大的 GPU 配置来缩短证明时间。

发布领域正在各个团队和硬件之间转移，这可以告诉你，验证是否正在从“专门的实验室工作”转向“商品变得可证明，因此它们是以太坊“验证而非执行”方向的核心。Vitalik Buterin 近期指出，zkEVM 已达到 alpha 阶段，这意味着其性能已达到生产级水平，剩余的主要工作集中在安全性方面。他提到，zkEVM 与主网上的 PeerDAS 一起，是以太坊未来几年向更高带宽的去中心化共识转型的一部分。因此，zkVM 的发展越来越侧重于可靠性和实际部署，而不仅仅是更快的证明速度。

追踪证明层的一个实用方法是观察哪些 zkVM 正在积极发布、它们的优化方向以及它们的证明栈如何演进。下表以 Ethproofs 追踪的 zkVM 列表为基准，并解释了其重要性。

图 5：Ethproofs 对网络的分类与跟踪

2026 年 ZK 需要关注什么？

当指标难以级硬件之外运行的证明容量占比。

• 依赖 zkVM 进行实际工作（而非仅用于营销）的生产系统数量，包括协处理器和跨链桥。

• 隐私采用以实际的私有用户行为来衡量，而不仅仅是协议的推出。

• 费用在证明和数据发布之间分配，因为证明成本可以降低，而用户仍然需要为数据付费。

证明的成本正在降低到足以作为默认工具的程度。

它们不再是预算充足用户的专属功能。当证明成本大幅下降时，团队可以更频繁地进行证明，发布更多基于证明的产品，并依靠 zkVM 和协处理器来处理实际工作负载。这就是为什么零知识 (ZK) 的应用越来越广泛，例如 Rollup、钱包、资格检查、可验证的跨链逻辑，以及需要在不暴露输入的情况下证明某些内容的应用程序。

Vitalik Buterin 的路线图概述了未来的发展方向：

• 2026 年定价是否会继续向商品计算靠拢。

• 2026 年至 2028 年：更深层次的安全性和结构性变革

• 未来十年，zkEVM 将成为区块验证的主要方式的路径

下一阶段是运行阶段。它关注的是证明器运行的可靠性、证明供应去中心化的程度，以及随着越来越多的应用程序和网络依赖证明，定价是否会继续向商品计算靠拢。