標準雜湊,
也能跑進證明裡

ZK proof system 過去常為了速度,使用比較「好證明」的專用雜湊。Benedikt Bünz 在 Episode 404 談的 Flock,訊號正好相反:如果標準雜湊也能被快速證明,post-quantum 升級就不必把安全性押在比較新、比較有結構的密碼學元件上。

來源:Zero Knowledge Podcast Episode 404 | 2026 年 6 月 24 日

SCROLL
PART 1 | 從 Espresso 到真實吞吐量

證明系統的問題,
已經不是「能不能做」

Benedikt Bünz 這次回到 Zero Knowledge Podcast,身分有兩個:他是 Espresso Systems 的 chief scientist,也是 NYU 的教授。這兩個身分在訪談裡不是分開的。Espresso 正在做一個非常快的 consensus system,角色是 rollup 的 fast finality layer:sequencer 決定交易順序後,不必等到資料慢慢上 Ethereum,先把交易順序送進一個輕量、低延遲的 finality layer,取得「這些交易不會再改」的共識戳記。

他描述 Espresso 最近的效能推進:在便宜機器上,consensus 可以處理每秒約 20–30 MB 的資料,延遲很低。這不是跑分遊戲。Espresso 正和大型金融機構談真實應用,Benedikt 提到 DTCC 公開談過想處理每秒一百萬筆交易。當需求變成這種量級,ZK 的問題就從「我們能不能做一個漂亮 proof system」變成更直接的工程題:要用多少機器、多少成本,才能把這些執行結果證明出來?

20–30 MB/s
Espresso consensus
Benedikt 描述近期便宜機器上的資料吞吐量
1M TPS
機構想像
DTCC 曾公開談過每秒一百萬筆交易的目標
只排序
輕量 consensus
節點同意交易順序,不預設執行全部交易
ZK
執行證明
proof system 承擔「這些交易照規則執行」的檢查

這也解釋了為什麼隱私又回到桌面上。Espresso 早期曾做可選擇揭露的隱私交易模型 Cape,後來轉向 shared sequencer。Benedikt 說那個時間點可能太早,但現在機構客戶談 money market funds、金融產品與公鏈整合時,反而很在意隱私。不是每個應用都需要 Monero 或 Zcash 等級的完全隱私,但今天的公鏈隱私比傳統金融更差:同一個地址橫跨多條鏈、甚至綁到 ENS,資產與交易路徑都被看見。機構要的是至少接近傳統金融的遮蔽,而 proof system 正好卡在這個速度與隱私的交界處。

PART 2 | Folding 的位置改變了

folding 不只是研究熱點,
而是把證明拆開計算的工具

主持人問 Benedikt,folding 和 IVC 是否仍是他的研究焦點。他的回答很務實:folding 仍重要,但重大突破可能不像前幾年那樣集中在這裡。它更像是工具箱裡的基礎工具,特別適合把一個 proof system 從單機、單核心,擴到二十台、一百台,甚至由不同地區的不同節點各自做一部分,再用樹狀方式組合起來。

這讓衡量標準也改變。過去大家問「最快 prover 是什麼」,Benedikt 說接下來也該問「最便宜 prover 是什麼」。如果 folding 能把計算切成小塊,那 proving 就可以用雲端最便宜、最零碎的閒置算力完成。你不一定要同時啟動所有核心,也不一定要一台巨大機器。任何便宜的小機器都能先證一塊,之後再摺疊合併。

folding 在這集裡扮演的角色
① 切塊把大計算分成許多小 proof 任務
② 平行不同機器、地區或節點各證一部分
③ 低溝通理想情況下各節點不必頻繁同步
④ 樹狀合併小 proof 逐層摺成少量 proof
⑤ 成本最佳化從最快硬體,改問最便宜可用硬體

他也談到 hash-based folding。傳統 folding 很依賴橢圓曲線的加法同態性:兩個 proof 可以用隨機線性組合合成新的 proof。但標準雜湊沒有這種同態性。你不能把 hash(2) 和 hash(3) 加起來得到 hash(5)。Arc、Warp 等研究線,就是要在沒有同態性的 hash world 裡,把 folding 的好處帶過去。Benedikt 喜歡 hash-based 路線的原因很直白:雜湊是最小、最標準、最少結構的密碼學。結構越少,攻擊面通常越少;實作上也越容易在軟硬體裡跑快。

PART 3 | Golden DKG

非互動 DKG 像「反過來的 MPC」

訪談中段轉到 Golden,這是 Benedikt 共同參與的 non-interactive distributed key generation(DKG)研究。DKG 的問題很基本:threshold signature 或 multi-sig 要讓三個人裡任兩個能簽名,但不能有任何一個人一開始就知道完整 secret。不能叫某個人先產生 secret 再分給大家,因為那等於 trusted setup。

Anna Rose 在訪談裡給了一個好比喻:這像是反過來的 MPC。一般 MPC 是大家把私密輸入丟進去,共同算出輸出;DKG 是一開始沒有輸入,協議跑完後,每個人各自拿到 secret share,而且沒有人曾經知道完整 secret。Golden 的目標是把這件事做成非互動:每個人只送一次訊息,就結束。

傳統互動式 DKG
來回溝通,容易卡住
多方需要多輪交換訊息。如果有人離線或掉線,協議可能得重來。對大規模或非同步網路不友善。
Golden 的方向
每人送一次,晚點也能取回
可以把訊息想成放進收件匣。只要足夠多人送出訊息,少數離線者之後仍可取回自己的 share。

主持人追問量子電腦風險,因為 Golden 仍用到橢圓曲線技巧。Benedikt 的回答不是「沒問題」,而是分層看風險。公開掛在鏈上的 public key,任何人都能長期攻擊,因此應該是 post-quantum 優先事項。相較之下,一次性的 DKG 訊息如果只在小群體裡短時間交換,風險權重可能不同。但他也承認,一旦 DKG 訊息被公開上鏈、長期可見,量子攻擊的威脅就更嚴重。這段的重點不是淡化風險,而是提醒:post-quantum 遷移也有優先順序,不能只用一句「全部今天都要後量子」結束討論。

PART 4 | Flock

Flock 的野心:
用標準雜湊也能高速證明

這集的主角是 Flock。Benedikt 說,他和 Ran Raz Bloom、William Wang 一開始問的是:同一台硬體上,證明一個計算會比直接執行慢多少?不是拿一台 CPU 跟兩百張 GPU 比,而是單核心對單核心的 apples-to-apples 比較。Flock 得到的 headline 是約 250x overhead。如果你想要 proving 跟 computing 一樣快,粗略地說就需要約 250 倍平行度,或利用計算本身的結構。

他們選的 benchmark 不是 Poseidon 這類為 SNARK 友善而設計的雜湊,而是 SHA-256、Blake3、Keccak 這類標準雜湊。這裡的取捨很重要。Poseidon 這些雜湊為了好證明,帶有更多結構;結構讓 proving 更快,也可能提供攻擊者更多可利用的入口。Benedikt 說,他在 ePrint 搜尋 Poseidon attack papers,能看到不少近年的攻擊論文。Flock 想證明的是:如果標準雜湊已經夠快可證明,Ethereum 或 Bitcoin 在 post-quantum 過渡時,就可以把選擇權拿回來,不必只為了 proving 速度而選更有結構、更年輕的雜湊。

250x
proving overhead
訪談中提到的單核心對單核心比較
200k/s
Ethereum 目標
Vitalik 曾估算 post-quantum 過渡需要的 hash proving 量級
BLAKE3
標準雜湊
Flock 訊號是標準雜湊也可能夠快
batch
關鍵限制
Flock 擅長大量重複同一類計算,不是任意計算萬靈丹

Flock 的限制也很清楚。它是針對 batch computation:同一種計算重複很多次,例如大量 hash、大量 signature verification、或 VM 裡重複的 machine step。這不是任意計算都直接變快。但密碼學與區塊鏈裡,許多重要負載本來就是重複的:hash-based signatures、state access、proof verification、precompile、VM step。這也是為什麼 Flock 即使不是完整 ZK、不處理所有計算,仍然有強訊號。

Flock 目前「不是 ZK」這點,Benedikt 在訪談裡講得很明確。要讓它保護隱私不難,難的是不要為了 zero knowledge 特性犧牲太多效能。可能路線是最後用 recursive proof 包一層。這也提醒我們:這裡的「ZK podcast」語境裡,proof system 有時指的是可驗證計算,有時才是隱私意義上的 zero knowledge。

PART 5 | AI 寫程式,但 verifier 是錨點

AI 可以寫 prover,
但不能取代審計錨點

Flock 最值得注意的另一層,是實作方式。Benedikt 說,這個專案如果照傳統方式做,可能要六個工程師半年;他們從開始實作到跑出來,約一兩個月。原因是大量程式碼由 AI 寫成。他特別強調,這不是一句「Claude 幫我實作」就結束,而是不斷 benchmark、追問「這裡應該更快」、提出演算法想法、讓 coding agent 迭代。

那如果 AI 寫錯怎麼辦?這裡剛好是 proof system 的特殊性:真正需要信任的是 verifier。Prover 可以很複雜,可以由 AI 寫出很多碼;只要 verifier 正確,錯的 prover 產不出會被接受的假證明。Benedikt 說,他們最後人工檢查的是 verifier,確認沒有被 AI 騙。這段話把 AI coding 的安全邊界說得比「AI 寫程式很快」更清楚:AI 能加速探索,但系統必須有一個小而硬的審計錨點。

🧮
速度變成研究問題
proof system 的競爭不是只看數學漂亮,而是能不能在消費硬體上接近真實需求。
🧱
標準元件勝過專用捷徑
如果標準雜湊也能快證明,協議就能少依賴為 proving 特化、但結構更多的元件。
🔎
verifier 是錨點
AI 寫出大量 prover code 不等於可直接信任;可審計的小 verifier 才是安全核心。

把整集放在一起看,Benedikt 的主線其實很一致:proof system 要進入真實世界,必須回答速度、成本、標準化、隱私與審計五個問題。Espresso 的機構需求說明吞吐量壓力;folding 提供分散計算與成本最佳化;Golden 顯示 threshold cryptography 的可用性問題;Flock 則把焦點推到 post-quantum 時代最常見的標準雜湊。這不是「某個 proof system 又快了一點」而已,而是 ZK 工程從實驗室走向基礎設施時,開始碰到的真問題。

證明系統真正要跨過的門檻,不是把理論做出來,而是用標準元件、便宜算力與可審計的 verifier,把它跑進真實基礎設施。

Flock 的訊號是:速度、安全假設與審計方式,正在變成同一個問題。

這集最值得追的線索,
你會選哪一個?

選完之後,分享你的觀點

你的觀點

想看原始訪談?

這頁整理自 Zero Knowledge Podcast Episode 404。原始訪談完整保留 Benedikt Bünz 對 Espresso fast finality、folding、Golden DKG、Flock、post-quantum hash proving 與 AI-written proof system 的技術細節與不確定性。

前往 YouTube →