ZK 证明：隐私是否已经足够廉价到可以主流化？

撰文：Castle Labs

编译：Block unicorn

零知识（Zero Knowledge，简称 ZK），顾名思义，就像一种魔术：无需泄露底层信息本身就能证明某个声明为真。你不需要绝对掌握该信息就能验证它的存在。1985 年，ZK首次被提出，它回答了这样一个问题：「证明者能否在不透露证人身份的情况下，说服验证者相信某个陈述为真？」

这个问题为如今的发展奠定了基础。从 1985 年到 2010 年代，ZK一直是密码学领域的研究课题。

2013 年，区块链为ZK提供了一个切实可行的、面向大众市场的理由：通过无需重放计算即可证明正确性，从而实现公共账本的隐私性和可扩展性。

早期的提案，例如Zerocoin，以及后来的项目，例如 Zerocash，都展示了如何在不暴露身份或余额的情况下证明所有权和有效性。Zcash于 2016 年将这一理念部署到实际网络中。

2018 年，关注的焦点从隐私转向吞吐量。以太坊的扩容方案使得许多工作负载的验证成本低于重新执行，零知识证明 (ZK) 成为将大量计算压缩成小型证明的一种手段。这一趋势通过支持对许多状态转换进行简洁的证明，而非强制每个验证者重新执行每一步，从而推动了 ZK Rollup 和隐私系统的发展。因此，在 Rollup 中，执行发生在链下。有效性证明被发布到链上，以便以太坊可以接受新的状态而无需重放每笔交易。

我们现在有诸如Aztec之类的协议以及ZKsync、Starknet和Scroll之类的通用 Rollup，它们都在推动这一发展。

到 2020 年代中期，ZK 的采用从单一用途电路的主导地位转向了通用证明基础设施。

也就是说，我们曾经拥有能够证明任意程序的零知识虚拟机（zkVM）、能够证明链上状态特定查询的协处理器，以及能够实现供应证明产业化的证明网络。这些技术由 Brevis、Axiom、Lagrange、Succinct、RISC Zero 和 Cysic 等团队开发。

如今，ZK不再仅仅是一项单一功能，而更像是一个实用层，适用于那些需要在不泄露底层数据的情况下验证声明的系统。我们现在拥有身份证明（proof of personhood）和成员资格证明、私有群组信号和投票，以及类似「验证电子邮件」的认证机制，这些机制可以在不泄露额外信息的情况下为现有的 Web2 系统提供身份验证。

钱包利用ZK进行私密的成员资格和资格检查，预测市场利用ZK进行可验证结算的隐藏头寸，许多其他系统也利用ZK来实现一个核心目标：在确保敏感输入的私密性的同时，使声明可验证。

Worldcoin ID 使用零知识证明来确保用户能够在不泄露身份的情况下证明其唯一性，并且它同时支持链下和链上验证。在 SuiNetwork 上，钱包可以使用OAuth登录（通过 zkLogin）提交交易，同时防止观察者将地址与 OAuth 标识符关联起来。例如，Surf Wallet 是 Sui 上最好的 zkLogin 移动钱包。同样，ZK Email使用证明来验证已签名的电子邮件声明（例如 DKIM 验证邮件），而无需泄露邮件的实际内容。

正如 0xjyjonathan 指出的那样：「零知识证明正日益超越学术理论的范畴。在 Web 2.0 中，它已被用于保护隐私的身份验证，例如在不泄露个人数据的情况下证明年龄或资格，以及用于数据验证，在不暴露底层数据集的情况下验证特定条件。

在区块链领域，零知识证明传统上与可扩展性相关，例如基于零知识证明的 Layer 2 层以及注重隐私的区块链。零知识证明提供了一种高效的数据压缩和验证方法，但与乐观系统等早期可扩展性方法相比，它们通常具有更高的前期成本和更大的实现复杂性。

随着时间的推移，零知识证明很可能与现有技术形成互补。例如，人们正在积极探索将零知识系统应用于信任最小化的跨链桥设计，包括使用乐观 SNARK 式构造的比特币桥。」

零知识证明从隐私原语扩展到通用证明工具，导致了整个技术栈分裂成多个专业化层。

下图是对当前 ZK 技术栈的一个概览：

图 1：ZK 技术栈已扩展成为一个拥有众多专业化层的生态系统。

证明的成本

过去，验证链上的任何内容通常都需要耗费大量人力和财力。然而，这些成本已转移到证明层。也就是说，人们不再需要耗费人力，只需使用 ZK 证明即可验证这些事实。因此，证明层成为新的验证机制，因为成本已转移到证明层。

流程如下：

验证者进行一次快速检查，
然后证明者完成繁重的计算，
计算结果被转化为一个证明，
而成本被转移到了硬件、能源和延迟上。

以太坊已经明确地阐述了这种权衡。2025 年 7 月，以太坊基金会发布了 L1 zkEVM 的「实时证明」目标，旨在开源软件上，在 10 秒内完成至少 99% 主网区块的证明，同时将本地硬件成本限制在 10 万美元左右，功耗限制在 10 千瓦。

到 2025 年 12 月，基金会报告称，在实现该目标方面取得了重大进展：证明延迟从约 16 分钟降至 16 秒，成本降低了 45 倍，并且在目标硬件配置下，zkVM 能够在 10 秒内完成 99% 区块的证明。

图 2：证明通过让链验证工作而无需重复执行，从而避免重复执行。

成本堆栈

证明的成本正在降低，因为多个成本中心同时下降，但下降速度各不相同。

为了更好地理解，我们将成本堆栈分为三类费用：

验证费用：在链上验证证明所需的费用。
证明者费用：生成证明所需的费用，包括硬件、能源、编排和正常运行时间。
发布费用：发布数据所需的费用，以及链接受状态转换所需的费用。

验证费用

在以太坊上，验证一个 Groth16 风格的证明通常需要大约 20 万 gas，并且费用会随着公共输入数量的增加而增加。以太坊通过 EIP 1108 降低了配对预编译 gas 的成本，这也是现代链上验证得以实现的原因之一。

验证具有相对固定的基础成本。然而，通过将多个证明聚合成一个单一证明，可以将基础验证成本分摊到多个用户身上，从而降低链承担高昂配对成本的风险。

证明者费用

证明是运营商成本曲线中的主要组成部分，但从用户的角度来看，它并非总是占总汇总成本的大头。在许多汇总设计中，主要的可变成本是将数据发布到 L1 层（calldata 或 blob），而证明则是运营商承担的一项重要的计算费用。哪一项成本占主导地位取决于汇总的数据模型、流量水平、批处理效率和证明系统。

一种理解汇总费用的实用方法是：L2 层上的执行成本，加上将数据发布到 L1 层的成本，再加上运营商的证明开销。性能竞争主要集中在证明环节，而发布环节则是 L1 层费用市场渗透到用户定价中的地方。

即使吞吐量不大，也可能需要强大的证明硬件，因为即使交易数量不多，证明也是计算密集型的。例如，zkSync 公布了某些证明器配置的最低硬件目标，而 RISC Zero 则发布了一条参考路径，利用更大的 GPU 配置来缩短证明时间。

发布费用

证明并不能消除发布链所需数据的必要性。Rollup 仍然需要付费发布数据，无论是调用数据、blob 还是其他可用性承诺，具体取决于系统的构建方式。

实际上，这意味着如果数据发布仍然是主要成本，那么证明成本可能会快速下降，而用户总费用下降的幅度则相对较小。这是因为证明成本和发布成本的走势不同。证明成本受益于软件优化和硬件进步，而发布成本则受到 L1 数据定价（调用数据或 blob 费用）的限制。因此，如果 L1 数据仍然是主要成本，那么证明成本可能会降低，而用户费用则保持不变。

因此，用户费用是证明成本和数据成本的混合体。证明成本一直在快速下降，但数据发布通常是更大的支出项，尤其是在区块空间需求高峰期。这就是为什么即使用户仍然需要支付费用，证明成本也能降低，而数据成本却居高不下。评估 ZK 是否对用户而言更经济实惠时，正确的问题不仅在于证明成本有多低，还在于总费用是否主要由数据发布成本构成。

因此，当人们谈论 ZK 「变得更便宜」时，通常指的是以下三个指标的某种组合在下降：

每次证明检查的费用降低
生成证明的成本降低
发布以太坊所需数据的成本降低

是什么让证明成本降低？

如果证明成本高昂，Rollup 就会补贴用户并增加运维成本；而当证明成本低廉时，费用可以在不破坏利润率的情况下下降。本节将解释证明成本的来源、团队如何衡量进展，以及为什么最快的改进并不总是能直接转化为用户费用的降低。目标是将基准与实际的单位经济效益联系起来。

在审视公开基准测试时，前沿领域正在各个团队和硬件之间转移，这可以告诉你，验证是否正在从「专门的实验室工作」转向「商品化基础设施」。

Ethproofs 跟踪了各个 zkVM 和证明器配置的证明延迟和成本估算。在其 2025 年回顾中，Ethproofs 报告称，从 2025 年 1 月下旬到 12 月中旬，全站平均延迟从 16 分 44 秒降至约 60 秒，全站平均成本从 1.69 美元降至 0.0376 美元。他们使用硬件价格指数估算证明所需的 GPU 工作量和大致成本。这是一种比较证明效率随时间变化的方法。

Ethproofs 全站概览

图 3：Ethproofs 全站概览

下图展示了一个假设证明系统工程和硬件效率持续提升的场景，并说明了如果这些假设成立，为什么各团队都在竞相将证明商品化。

图 4：基于简化假设的证明成本轨迹。

zkVMs 与 zkEVMs

zkVM 使任意程序变得可证明，因此它们是以太坊「验证而非执行」方向的核心。Vitalik Buterin 近期指出，zkEVM 已达到 alpha 阶段，这意味着其性能已达到生产级水平，剩余的主要工作集中在安全性方面。他提到，zkEVM 与主网上的 PeerDAS 一起，是以太坊未来几年向更高带宽的去中心化共识转型的一部分。因此，zkVM 的发展越来越侧重于可靠性和实际部署，而不仅仅是更快的证明速度。

追踪证明层的一个实用方法是观察哪些 zkVM 正在积极发布、它们的优化方向以及它们的证明栈如何演进。下表以 Ethproofs 追踪的 zkVM 列表为基准，并解释了其重要性。

图 5：Ethproofs 对网络的分类与跟踪

2026 年 ZK 需要关注什么？

当指标难以被操纵时，进展最容易追踪。值得关注的几个进展包括：

以太坊规模工作负载的中位数和尾部证明延迟。
在清晰的成本模型下，每个已证明区块的成本，以及其背后的硬件假设。
能够在单一供应商或单一数据中心级硬件之外运行的证明容量占比。
依赖 zkVM 进行实际工作（而非仅用于营销）的生产系统数量，包括协处理器和跨链桥。
隐私采用以实际的私有用户行为来衡量，而不仅仅是协议的推出。
费用在证明和数据发布之间分配，因为证明成本可以降低，而用户仍然需要为数据付费。

证明的成本正在降低到足以作为默认工具的程度。

它们不再是预算充足用户的专属功能。当证明成本大幅下降时，团队可以更频繁地进行证明，发布更多基于证明的产品，并依靠 zkVM 和协处理器来处理实际工作负载。这就是为什么零知识 (ZK) 的应用越来越广泛，例如 Rollup、钱包、资格检查、可验证的跨链逻辑，以及需要在不暴露输入的情况下证明某些内容的应用程序。

Vitalik Buterin 的路线图概述了未来的发展方向：

2026 年的早期：zkEVM 节点的使用和更广泛的扩展
2026 年至 2028 年：更深层次的安全性和结构性变革
未来十年，zkEVM 将成为区块验证的主要方式的路径

下一阶段是运行阶段。它关注的是证明器运行的可靠性、证明供应去中心化的程度，以及随着越来越多的应用程序和网络依赖证明，定价是否会继续向商品计算靠拢。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。