零知识虚拟机进展：零知识虚拟机持续改进

1. zkVMs 进展

自从零知识（ZK）证明被引入以来，该领域已经从理论加速发展到生产系统。通用 zkVM 已经成为可验证计算的关键抽象：程序在对证明友好的虚拟机上运行并发出简洁的证明，从而减少了开发人员的摩擦并扩大了部署范围。通过公开的基准测试和工程竞赛，该生态系统正朝着实时证明的目标迈进。

里程碑

1985 — ZK 理论的诞生：交互式 ZK

零知识被形式化为在不泄露额外信息的情况下证明正确性。非交互式技术很快将这个想法转化为一个实用的范例。

2018 — zk-STARKs：透明性和可扩展性

STARKs 带来了无需可信设置、强大的可扩展性和并行性以及后量子鲁棒性——扩大了可验证计算的可行范围并为基于 STARK 的 zkVM 提供动力。

2021 — Miden VM：性能优先的开源 STARK zkVM

Miden 优先考虑并行性和吞吐量，展示了一条不同于严格 EVM 等效性的路径，并推动了 ISA、执行模型和证明流水线的多样性。

2022 — zkEVM 分类法：设计指南针

Vitalik 的分类法构建了以太坊等效性和证明者成本/延迟之间的核心权衡，为社区提供了 zkEVM/zkVM 架构选择的通用语言。

2022 — RISC Zero zkVM：通往通用证明的开发者友好途径

RISC Zero 以 RISC-V 为目标，证明以主流语言（例如，Rust/C++）编写的程序，其工具链（guest、prover、verifier）的外观和感觉类似于传统的系统开发。

2023 — zkEVM 主网：生产落地

两个具有里程碑意义的发布将 ZK 有效性的字节码级执行带给真正的用户和价值：zkSync Era 向公众开放；Polygon zkEVM 进入主网 Beta。

2024 — EthProofs：公开基准和可比性

EthProofs 充当区块证明浏览器，发布跨团队的时间/延迟/成本指标，并支持 apples-to-apples 的比较——收紧反馈循环并标准化方法。

2025 — zkVMs 加速发展：目标是实时证明

以单Slot（约 12 秒）作为实际阈值，多个团队正在推进证明系统、VM ISA 和运算符库以及集群/硬件并行性——共同朝着实时证明的方向发展。

2. EthProofs: zkVM 性能的基准

随着零知识虚拟机 (zkVM) 的快速发展，一个名为 EthProofs 的行业基准已经出现，作为跟踪其进展的公益事业。EthProofs 本质上是以太坊的区块证明浏览器——它聚合来自各种 zkVM 团队的数据，并记录每个 zkVM 在证明以太坊区块方面的性能。

在 EthProofs 网站上，可以找到一个活跃 zkVM 实现的列表（目前有六个），包括 SP1 Turbo、ZisK、R0VM、Ziren、Pico 和 SP1 Hypercube。

对于每一个，EthProofs 都提供官方指标和详细信息，例如：

• 证明时间（延迟）： 为给定区块生成 ZK 证明所需的时间。
• 证明成本： 产生证明的成本估算。
• 开源状态： zkVM 的验证器/证明器代码是否为开源。
• 许可证和审计： 关于许可的信息，以及 zkVM 的协议和实现是否经过了健全性和安全性的审计。
• 硬件配置： 关于证明设置的详细信息——例如，许多团队目前使用高端 GPU 来运行证明。EthProofs 跟踪证明器是使用单台机器还是多 GPU 集群

EthProofs 仪表板允许用户按区块比较证明，并探索元数据，例如每个 zkVM 的证明大小和验证时间（毫秒级）。目标是建立一个跨 zkVM 的以太坊区块证明的标准数据集。总而言之，EthProofs 提供了在真实以太坊区块上 zkVM 性能的统一视图，从而可以更轻松地评估和比较不同方法在关键指标上的表现，例如每个证明的成本、每个 gas 的成本以及每个区块的证明延迟。

3. 领先 zkVM 的性能比较

以下部分比较了 EthProofs 上跟踪的领先 zkVM 的性能和属性。我们侧重于证明时间、证明成本、开源和审计状态，以及每个 zkVM 的其他相关详细信息。请注意，多个团队可能会在同一个 zkVM 上运行证明，因此性能可能会在同一个 zkVM 内有所不同。这里我们介绍两个典型的 zkVM：

R0VM 是 RISC Zero 的 zkVM，其特点是使用了基于 STARK 的证明系统。与其他 zkVM 类似，它使用 RISC-V ISA，但与基于 SNARK 的 zkVM 不同，R0VM 的证明依赖于基于哈希的密码学，这带来了一些后量子优势。

SP1 是 Succinct Labs 开发的 zkVM，它使用基于 RISC-V 的架构来证明以太坊的状态转换。它在 EthProofs 上有两种变体：SP1 Turbo（早期版本）和 SP1 Hypercube（具有新证明系统的优化版本）。两者都是具有主网能力的 zkEVM（旨在完全执行以太坊区块），并且其代码以双 Apache/MIT 许可证提供。

然后，我们将基于每个性能维度对不同的 zkVM 进行横向比较。

3.1 证明时间

“实时”以太坊证明——在链的 12 秒Slot内为 主网 区块生成有效性证明——已成为零知识社区的新登月计划。如果持续下去，如此低的延迟证明将显着影响以太坊的路线图：它们指向在不放弃可验证性的情况下扩展 L1，加强有效性 rollup 的安全性，以及更流畅的跨 stack 互操作性。

下图总结了 50 个以太坊主网区块在 单个 RTX 4090 上的证明性能。

注释：P50 表示证明时间位于前 50% 的区块所需的时间，其他类似符号也是如此（例如 P95、P99）。

SP1 Hypercube — Succinct 的下一代 zkVM，旨在实现实时以太坊证明。在大约 160 个 RTX 4090 GPU 的测试中，93% 的区块在 12 秒内得到证明，平均为 10.3 秒。单个 RTX 4090 大约在 1 分 55 秒内证明一个区块，显示出极低的规模延迟和强大的单 GPU 性能。

SP1 Turbo — 早期版本的 SP1，在最快的 zkVM 中名列前茅。单个 RTX 4090 每个区块需要大约 3.5-4 分钟。通过多 GPU 并行，延迟降至 40 秒以下，但 Hypercube 仍实现了大约五倍更低的延迟。

Pico — Brevis 的模块化 zkVM。在一个 GPU 上，平均证明时间约为 2 分 30 秒。多 GPU Pico Prism 使用 64 个 RTX 5090 在12 秒内完成 99.6% 的 4500 万 gas 区块，平均为 6.9 秒，是目前报告的最快结果。单 GPU 性能保持在 2-3 分钟左右，而可扩展性已得到证明。

ZisK — Polygon Hermez 的基于 STARK 的 zkVM。单个 RTX 4090 平均每个区块约 4 分 13 秒。在具有 8 个 RTX 4090 的服务器上，平均延迟降至约 37.1 秒，某些区块接近 10 秒，使其在多 GPU 设置下接近实时。

R0VM — RISC Zero 的通用 zkVM。在一个 RTX 4090 加上一个 96 核 CPU 上，一个区块平均约 19 分 15 秒。一个具有 48 个 RTX 4090 的 12 服务器集群将延迟缩短到 40 秒以下，但要达到 12 秒可能需要进一步的优化；单节点速度仍然落后于同行。

Ziren — 以太坊基金会 ZKM 团队的 MIPS 架构 zkVM。在一个 RTX 4090 和一个 8 核 CPU 上，平均证明时间约为 4 分 2 秒。它在单卡上大致与 ZisK 相当，但落后于 Hypercube 和 Pico；尚未披露多 GPU 数据，并且当前结果仍处于几分钟范围内。

3.2 证明成本

延迟赢得头条新闻，但 成本 决定了谁可以可持续地证明区块。低且可预测的证明成本扩大了参与范围，实现了具有竞争力的证明市场，并使实时目标在少数超大规模集群之外保持可行。

在给定的单个 GPU RTX 4090 上，为 一个 区块生成一个证明的总美元支出，包括硬件时间和单价。

SP1 Hypercube — 每个区块的单节点成本约为 0.02 美元。即使在实时规模下，硬件总支出估计为 30 万美元到 40 万美元，优化接近 10 万美元。每个证明的成本保持在几美分范围内。

SP1 Turbo — 每个区块的单节点成本约为 0.08 美元到 0.11 美元。并行性降低了延迟，但成本仍然在 0.08 美元到 0.10 美元左右，因为节点线性扩展。

Pico — 每个区块的单 GPU 成本约为 0.028 美元，是最低的之一。具有 64 个 RTX 5090 的 Pico Prism 以约 12.8 万美元的集群成本达到 6.9 秒的证明，约为 Hypercube 的一半。在二级延迟下，每个证明的成本可以保持在两到三美分以下。

ZisK — 在一个 RTX 4090 上，每个证明的平均成本约为 0.0487 美元。使用八个 GPU，成本略有上升至约 0.057 美元，而性能却显着提高。每百万 gas 的成本约为 0.0025 美元，显示出良好的全节点经济性。

R0VM — 由于运行时间长，每个区块的单节点成本约为 0.24 美元。一个大型集群将延迟降低到约 40 秒，但将每个证明的成本提高到约 0.38 美元，是这些系统中最高的。

Ziren — 每个区块的单节点成本约为 0.0659 美元。它略高于 Turbo 和 Pico，但仍然可以接受，并且随着运行时间缩短和并行性提高，还有下降的空间。

总的来说——Hypercube 和 Pico 将成本降低到每个区块几美分。ZisK 和 SP1 Turbo 通常介于 0.05 美元到 0.10 美元之间，具有均衡的性价比。由于大量的计算开销，R0VM 明显更昂贵。教训很明确：低延迟必须与成本控制相匹配。在算法上获胜的设计，例如 Hypercube 和 Pico，可以在不增加支出的情况下提高速度，而一些大规模并行方法面临着收益递减的成本，并且需要进一步的优化。

3.3 审计与安全

安全审计和密码学强度是衡量 zkVM 成熟度的关键指标。项目在协议完整性、实现正确性和抵抗攻击方面有所不同。

SP1 Turbo / SP1 Hypercube — 这些在安全方面处于领先地位。SP1 zkVM 已经过全面的第三方审计，涵盖了证明协议和实现，并且结果已被标记为已完全审计。用于以太坊状态转换逻辑的组件仍在进行审计。SP1 的目标是至少 100 位的安全性，并且使用椭圆曲线密码学。该团队还运行了一个漏洞赏金计划，并与外部研究人员合作对 Hypercube 的 RISC-V 电路进行形式化验证。

R0VM — RISC Zero 同样优先考虑安全性。证明系统和实现都经过了独立审计。它的目标是 ≥100 位的安全性，并且使用基于哈希和格的 STARK 设计，避免了经典的椭圆曲线假设，并且更符合后量子目标。公开的漏洞赏金计划进一步激励了强化。

ZisK — 尚未宣布完整的外部审计。可靠性目前依赖于内部测试。ZisK 采用保守的 128 位安全级别和透明的、基于哈希和格的 STARK stack，提供面向后量子的属性。尚未公布正式的赏金计划，这为加强外部审查留下了空间。

Ziren — 与 ZisK 类似，迄今为止尚未发布完整的独立审计。它的目标是至少 100 位的安全性，并且使用基于椭圆曲线的证明方法，该方法紧凑但不如纯 STARK 设计那样对后量子友好。该项目提供赏金计划以鼓励社区审查，并希望随着它的成熟引入专业的审计员。

Pico — 尚未发布公开的第三方审计。目前的保证依赖于内部审查和开源反馈。Pico 的目标是 ≥100 位的安全性，并且使用完全透明的、基于哈希和格的 STARK 系统，而无需可信设置。在没有正式审计的情况下，未发现的实施问题仍然是一种可能性；更广泛的测试和独立审查将进一步提高信心。

总结 — SP1 和 R0VM 目前通过已完成的审计和正在进行的形式化方法工作设定了更高的标准。ZisK、Ziren 和 Pico 依赖于保守的参数和透明的证明系统，但仍然需要更广泛的第三方验证才能达到相同的保证水平。基于 STARK 的设计避免了可信设置，并且与后量子目标更具前瞻性兼容性，而基于椭圆曲线的系统紧凑，但需要迁移路径才能实现长期的后量子弹性。

3.4 硬件配置

硬件选择决定了性能上限和部署成本，并且每个 zkVM 都强调不同的权衡。

SP1 Hypercube — 专为大规模 GPU 并行而设计。使用大约 160 个 RTX 4090 GPU 的集群已经证明了大多数以太坊区块的实时证明。该系统还极大地推动了内存：一个具有代表性的单机设置结合了一个多核 CPU、一个 4090 级别的 GPU 和大约 1 TB 的 RAM，这反映了无状态执行和大型见证缓存的需求。

SP1 Turbo — 也是基于 RISC-V 的，但更多地针对 GPU 可扩展性而非极端的 RAM 进行了调整。典型的设置使用高核心数的 CPU、一个 24 GB 级别的 GPU 和大约几百 GB 的 RAM。Turbo 将执行跟踪分片为大约 200 万个周期段以进行并行证明，因此添加 GPU 几乎成比例地降低了延迟，而云部署可以实现横向扩展。

Pico — 一种模块化的 STARK 设计，可在 CPU 上运行并受益于 GPU 加速。公共部署显示一个高核心的 CPU、一个 4090 级别的 GPU 和数百 GB 的 RAM，表明在更大的程序中以及在主机到设备数据移动期间大量使用内存。为了实现二级延迟，Pico Prism 可以扩展到数十个下一代 GPU。

ZisK — 优化用于在单个服务器中高效使用多 GPU。已知最快的配置是将八个 4090 级别的 GPU 与一个非常高核心的 CPU 和接近 1 TB 的 RAM 放在一个盒子中，让 GPU 在内存中共享状态并避免机器间通信。可以使用具有适度 CPU 和 RAM 的较轻的单 GPU 配置文件，以速度换取占用空间。

R0VM — 倾向于分布式、集群优先的方法。社区部署使用具有数十个 GPU、数千个 CPU 核心和数 TB RAM 池的多服务器集群来降低延迟，但代价是更高的复杂性和支出。单机配置文件比同行需要更多的 CPU，这反映了 CPU 绑定的组件，其中 GPU 加速产生的收益较小。

Ziren — 目前显示出最小的公共占用空间，运行在一个高端 GPU、一个适中的 CPU 和数十 GB 的 RAM 上。重点是算法调整而不是硬件规模，尽管更苛刻的工作负载可以将内存推到更高的级别，并且未来的版本可能会探索多 GPU 并行。

总结 — SP1 Hypercube 和 Pico Prism 推向了 GPU 并行的极端，ZisK 倾向于密集的单服务器多 GPU，R0VM 依赖于更大的分布式集群，而 Ziren 在继续优化时保持精简。总的来说，区块级别的证明受益于至少一个具有 24 GB VRAM 以及充足的 CPU/RAM 的高端 GPU，而软硬件协同设计决定了每个系统的扩展性。

4. 总结

zkVM 生态系统已经跨越了一个门槛，从分散的原型到对性能、正确性和可操作性具有共同期望的统一领域。团队现在将证明器视为生产系统：构建管道是确定性的，遥测是一流的，并且困难工作负载上的尾部延迟与头条中位数同样重要。这种文化转变与任何单一的技术技巧一样重要，因为它将证明从一次性特技转变为运营商可以围绕其进行计划的可靠基础设施。

开放性是第二个支柱。代码、电路和验证器越来越可见，不仅作为存储库，而且作为与测试向量、持续集成和有据可查的威胁模型相关联的活动制品。形式化方法正在从学术练习转变为实际的护栏；独立的审计和正在进行的赏金计划创建了反馈循环，可以在实施风险变成事故风险之前将其捕获。

标准化是下一个重要的解锁。需要预先说明明确的安全目标和后量子姿态，以便集成商可以推理长期风险。在协议方面，改进数据可用性、简化验证器预编译或阐明轻客户端职责的客户端和 EIP 工作降低了部署有效性证明的操作负担。

前景既务实又雄心勃勃。期望对最坏情况下的区块有更严格的保证，具有毫秒级验证的更小证明，以及通过更好的调度和内存控制实现更经济的硬件占用空间。期待“设计上无聊”的操作手册，以便可以像任何其他关键服务一样推出、监控和升级证明器。最重要的是，期望在研究波动之上形成一个以标准驱动的层，将 zkVM 从单个产品转变为共享能力。当这种情况发生时，开发人员将像今天选择数据库引擎一样选择证明器：通过将延迟、成本和可靠性与工作负载相匹配，并确信生态系统的规范使一切都具有互操作性、可审计性和面向未来性。

• 原文链接： medium.com/@CFrontier_La...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～