零知识证明：隐私技术离主流还有多远？

作者：Castle Labs 翻译：善欧巴，金色财经

零知识证明，顾名思义，就像一场魔术，能够证明某个声明为真，却无需泄露声明背后的核心信息。验证者无需掌握信息本身，即可确认其真实性。

1985 年，零知识证明概念首次被提出，解答了一个关键问题：“证明者能否在不披露证据的前提下，让验证者相信某个声明的真实性？”

这一问题为如今的技术发展奠定了基础。从 1985 年到 21 世纪 10 年代，零知识证明一直是密码学领域的研究课题。

2013 年，区块链为零知识证明提供了实用化、大规模应用的场景：通过在不重复执行计算的情况下证明正确性，实现公有账本的隐私保护与网络扩容。

早期提案（如 Zerocoin）及后续演进（如 Zerocash），验证了在不暴露身份或余额的前提下证明资产所有权与交易有效性的可行性。

2016 年，Zcash 将这一理念落地为实际网络。

2018 年，零知识证明的核心应用重心从隐私保护转向吞吐量提升。以太坊的扩容路径表明，对于众多计算场景，验证过程比重复执行更具成本优势，零知识证明由此成为将大量计算压缩为小型证明的关键技术。这一浪潮推动了零知识 Rollup（ZK Rollup）与隐私系统的发展，通过为多个状态转换生成简洁证明，无需让每个验证者重复执行每一步操作。在 Rollup 架构中，计算过程在链下完成，有效性证明被提交至链上，使以太坊无需重播每笔交易即可确认新状态。

目前，Aztec Network 等协议，以及 zkSync、Starknet、Scroll 等通用型 Rollup 项目，正持续推动这一领域的发展。

到 21 世纪 20 年代中期，零知识证明的应用已从单一用途的电路主导，转向通用型证明基础设施。

具体而言，如今已出现能够证明任意程序的零知识虚拟机（zkVM）、可证明链上状态特定查询的协处理器，以及实现证明供给工业化的证明网络。这些技术由 Brevis、Axiom、Lagrange、Succinct、RISC Zero、Cysic 等团队研发。

如今，零知识证明已不再是单一功能，更像是为需要 “可验证声明且不泄露底层数据” 的系统提供支持的工具层。其应用场景包括：个人身份与成员资格证明、私密群组通信与投票、“邮件证明” 类认证（在不泄露额外信息的前提下，为现有 Web2 系统提供身份验证）等。

钱包利用它进行私密成员资格与资格审查，预测市场借助它实现隐藏持仓与可验证结算，众多其他系统则主要依靠它实现核心目标：在保护敏感输入数据隐私的同时，确保声明可被验证。

Worldcoin ID 采用零知识证明技术，确保用户可证明自身唯一性而无需披露身份，支持链下与链上双重验证；在 Sui Network 上，钱包可通过 zkLogin 功能，基于 OAuth 登录提交交易，同时防止观察者将钱包地址与 OAuth 标识符关联（例如 Sui 生态中首款 zkLogin 移动钱包 Surf Wallet）；同样，ZK Email 通过证明验证已签名的邮件声明（如 DKIM 验证消息），且不泄露邮件底层内容。

正如 0xjyjonathan 所指出的：“零知识证明正日益脱离学术理论范畴。在 Web2 领域，它已被用于隐私保护型身份验证（例如证明年龄或资格而不泄露个人数据），以及数据验证场景（在不暴露底层数据集的前提下验证特定条件）。

在区块链领域，零知识证明传统上与扩容（如基于零知识的二层网络）和隐私导向型公链相关联。零知识证明提供了高效的数据压缩与验证方式，但与 Optimistic Rollup 等早期扩容方案相比，往往存在前期成本较高、实现复杂度更大的问题。

随着时间推移，零知识证明可能会与现有技术形成互补。例如，零知识系统正被积极探索用于信任最小化跨链桥设计，包括采用 Optimistic SNARK 架构的比特币跨链桥。”

零知识证明从隐私原语向通用证明工具的扩展，导致其技术栈分化为多个专业层级。

下图展示了当前零知识证明技术栈的概览：

图 1：零知识证明技术栈已扩展为包含多个专业层级的生态系统

证明的成本

过去，链上验证任何内容通常需要耗费大量人力与资金成本，但如今这一成本已转移至 “证明生成” 环节。也就是说，无需再投入大量手动工作，只需通过零知识证明即可验证事实。因此，证明生成已成为验证的新成本载体，成本已转移至证明层。

具体流程如下：

1. 验证者执行快速检查；

2. 证明者承担大量计算工作；

3. 计算结果转化为证明；

4. 成本最终体现在硬件、能源与延迟上。

以太坊已明确这一权衡关系。2025 年 7 月，以太坊基金会发布了 L1 zkEVM 的 “实时证明” 目标：在开源软件、本地硬件成本上限约 10 万美元、功耗 10 千瓦的条件下，实现至少 99% 的主网区块在 10 秒内生成证明。

2025 年 12 月，基金会报告称该目标取得重大进展：证明延迟从约 16 分钟降至 16 秒，成本降低 45 倍，且 zkVM 在目标硬件配置下，99% 的区块可在 10 秒内生成证明。

图 2：证明通过让区块链无需重复执行即可验证工作，从而避免了重复计算

成本构成

证明生成成本之所以持续下降，是因为多个成本中心同时呈现下降趋势，只是降幅各不相同。

为便于理解，我们将成本拆分为三类：

1. 验证成本：链上验证证明的费用；

2. 证明生成成本：生成证明的开销（包括硬件、能源、编排与运行时间）；

3. 发布成本：提交数据的费用，以及区块链接受状态转换所需的成本。

验证成本

在以太坊上，验证 Groth16 类型的证明通常需要约 20 万 gas，且成本会随公开输入数量增加而上升。以太坊通过 EIP 1108 降低了配对预编译的gas，这是现代链上验证具备可行性的关键原因之一。

验证成本具有相对固定的基准，但通过将多个证明聚合为单个证明，可分摊基准验证成本，降低区块链面临的高额配对计算成本。

证明生成成本

证明生成是节点运营商的主要成本项，但从用户视角来看，它并非总是 Rollup 总成本的主要构成。在许多 Rollup 设计中，主要可变成本是向 L1 发布数据（calldata 或 blobs），而证明生成是节点运营商承担的重大计算开销。

哪项成本占主导，取决于 Rollup 的数据模型、流量水平、批处理效率与证明系统。

理解 Rollup 费用的实用方式是：L2 执行成本 + 向 L1 发布数据的成本 + 节点运营商的证明生成开销。

证明生成是性能竞争的核心领域，而数据发布则是 L1 费用市场影响用户定价的关键环节。

即使是中等吞吐量，也可能需要高性能的证明生成硬件，因为即使交易数量不大，证明生成本身也是计算密集型任务。例如，zkSync 公布了特定证明配置的最低硬件要求，RISC Zero 则发布了通过更大规模 GPU 配置降低证明时间的参考方案。

发布成本

证明生成并不能消除提交区块链所需数据的需求。Rollup 仍需支付数据发布费用，具体形式取决于系统设计（如 calldata、blobs 或其他可用性承诺）。

实际上，这意味着：如果数据发布仍是主导成本，即使证明生成成本快速下降，用户总费用也可能不会同等幅度降低。这是因为证明生成成本与发布成本受不同因素影响：证明生成受益于软件优化与硬件升级，而发布成本受 L1 数据定价（calldata 或 blob 费用）限制。因此，若 L1 数据成本仍是约束因素，即使证明生成成本降低，用户费用也可能保持刚性。

综上，用户费用是证明生成成本与数据成本的总和。证明生成成本虽已快速下降，但数据发布往往是更大的成本项（尤其是在区块空间需求旺盛时期）。这就是为什么证明生成成本降低后，用户仍会感受到明显费用，且证明成本下降时数据成本可能保持不变。评估零知识证明对用户而言是否更便宜，关键不仅在于证明本身的成本，还在于总费用是否主要由数据发布成本主导。

因此，当人们谈论零知识证明 “变得更便宜” 时，通常指以下三项成本的综合下降：

1. 每次证明验证的费用降低；

2. 证明生成的成本降低；

3. 提交以太坊所需数据的成本降低。

证明生成成本下降的原因

若证明生成成本高昂，Rollup 项目需补贴用户，导致运营亏损；若成本降低，则可在不压缩利润空间的前提下降低费用。本节将解释证明生成成本的来源、团队如何衡量进展，以及为何最快的技术改进并不总能直接转化为用户费用的降低 —— 核心是将基准指标与实际单位经济效益关联起来。

通过公开基准测试可以发现，随着各团队的技术突破与硬件探索，证明生成正从 “专业实验室级工作” 向 “通用基础设施” 转变。

Ethproofs 平台跟踪了不同 zkVM 与证明配置的证明延迟与成本估算。

其 2025 年回顾报告显示，2025 年 1 月下旬至 12 月中旬，平台整体平均延迟从 16 分 44 秒降至约 60 秒，平均成本从 1.69 美元降至 0.0376 美元。

该平台通过硬件价格指数，估算生成证明所需的 GPU 工作量及相应美元成本，为长期比较证明效率提供了方法。

Ethproofs 平台整体数据快照：

图 3：Ethproofs 平台整体数据快照

下图基于 “证明系统工程与硬件效率持续提升” 的假设场景，解释了为何各团队正竞相推动证明生成的通用化。

图 4：基于简化假设的证明生成成本趋势

zkVM 与 zkEVM

zkVM 能够证明任意程序的正确性，这也是它成为以太坊 “验证而非执行” 方向核心的原因。

Vitalik Buterin 近期指出，zkEVM 已进入 Alpha 阶段，意味着性能已达到生产级水平，剩余核心工作集中在安全性上。他将这一进展与主网 PeerDAS 协议并列，认为这是未来几年以太坊支持更高带宽去中心化共识的关键一步。因此，zkVM 的发展重点正日益转向可靠性与实际部署，而非单纯追求证明速度。

跟踪证明层进展的实用方式是：关注哪些 zkVM 正在积极落地、它们的优化重点，以及证明技术栈的演进。下表以 Ethproofs 跟踪的 zkVM 列表为基础，解释了其重要性。

图 5：Ethproofs 平台对网络的分类与跟踪

2026 年零知识证明领域值得关注的方向？

当指标难以被操纵时，进展最容易量化。以下是值得关注的关键发展方向：

1. 以太坊规模工作负载的中位数与尾部证明延迟；

2. 明确成本模型下的每区块证明成本，及其背后的硬件假设；

3. 可在单一供应商或单一数据中心级硬件之外运行的证明能力占比；

4. 实际依赖 zkVM 实现核心功能（而非仅用于营销）的生产级系统数量（包括协处理器与跨链桥）；

5. 隐私应用的实际采用情况（以用户隐私操作数量衡量，而非仅看协议上线）；

6. 费用在证明生成与数据发布之间的分配比例（因为即使证明成本降低，用户仍需支付数据费用）。

证明生成成本已降至足以成为默认工具的水平。

它不再是只为预算充足用户预留的特殊功能。当证明生成成本大幅下降后，团队可更频繁地使用证明技术、推出更多基于证明的产品，并依赖 zkVM 与协处理器处理实际工作负载。这也是零知识证明应用场景持续拓展的原因 —— 从 Rollup、钱包、资格审查，到可验证跨链逻辑，再到所有需要 “证明某事而不暴露输入数据” 的应用。

Vitalik Buterin 的路线图勾勒了后续发展蓝图：

1. 2026 年：zkEVM 节点的早期应用与更广泛的扩容措施；

2. 2026-2028 年：深化安全性与结构性变革；

3. 本十年后期：zkEVM 成为区块验证的主要方式。

下一阶段的核心是落地执行：证明节点的可靠运行难度、证明供给的去中心化程度，以及随着更多应用与网络依赖证明技术，定价是否会持续向通用计算成本收敛。

来源：金色财经