加密隐私应用前景广阔，未来将大量涌现。

撰文：Derek Walkush，Variant Fund 投资合伙人
编译：Luffy，Foresight News

未来，大多数链上交易可能都是隐私的。

加密货币的透明性束缚了许多应用程序开发人员。开发人员可以使用敏感用户数据构建应用程序的设计空间非常广阔，从游戏到隐私订单簿再到 MEV 基础设施。

从 2015 年到 2022 年，数据泄露事件增加了一倍多，科技消费者现在更加关注个人数据的保护。虽然对隐私的关注可能会起起落落，但一个更大的趋势逐渐清晰：随着海量数据收集和数据商业化的增长，线上足迹越来越容易追溯到大型科技巨头和针对这些蜜罐的外部对手。

在成熟的应用类别中，一些现有应用正面临新的隐私优先挑战者，看看 2019 年至 2021 年加密消息应用（例如 Telegram 和 Signal）的崛起就知道了。在加密货币领域，Brave 在最近的熊市中取得了令人印象深刻的增长，在 2023 年 11 月攀升至 6600 万 的 ATH MAU。从长远来看，这大约占 Firefox 2022 年用户群的 15%。因此，许多加密项目现在竞相提供引人注目的产品化工具和解决方案，使构建隐私应用程序尽可能简单。

在加密货币中利用隐私技术的例子数不胜数。在消费者方面，我们看到了令人兴奋的扑克和战争迷雾等全链隐私游戏的实验。在 DeFi 领域，一些人正在构建「暗订单簿（dark order books）」，这是公开市场参与者无法查看的交易环境。（补充一点背景，2019 年 4 月，暗池执行的交易量大约占传统股票交易量的 40%）暗池流动性还可以通过降低 MEV 来推动更有效的市场结果。由于区块链的完全公开性质，许多成熟的交易公司被禁止执行复杂的策略，因此隐私交易可以为更专业的金融参与者进入加密生态系统打开大门。

加密货币缺乏用户隐私仍然是扩大采用的瓶颈。为了适应新的隐私期望，加密应用程序构建者必须从一开始就优先考虑隐私。

那么，加密应用程序构建者应该如何驾驭隐私解决方案？

保护用户隐私的方法

目前构建私有应用程序的主要通用方法是可信执行环境（TEE）、零知识（ZK）、多方计算（MPC）和完全同态加密（FHE）。下面简要概述每种方法以及代表性项目。

整个领域还处于非常早期的阶段，因此以下比较只是对未来几年每种技术发展的预测。这些方法也不等同或可以互换；概括起来，它们可以大致分为专用硬件（TEE）和密码学（ZK、MPC、FHE）。此外，其中许多实际上是重叠的。例如，FHE 必须与 ZK 或 MPC 结合使用。话虽如此，但通过研究每种方法的发展轨迹，我们可以得出关于更广泛的隐私如何发展的见解。

TEE

描述：可信、安全的链下计算环境

项目：ARM TrustZone、AWS Nitro、Intel SGX、Secret Network

ZK

描述：应用零知识加密技术验证私有数据和计算

项目：Aleo、Aztec、Mina、Nocturne、Privacy Pools

MPC

描述：对私有数据的单独片段进行联合计算

项目：Nillion

FHE

描述：加密数据的计算

项目：Fhenix、Inco、Sunscreen、Zama

选择基础设施的两个关键因素是隐私信任假设和性能。这些都是非常微妙的术语，下面的图表解释了这两个概念。它们展示了数据保持隐私的假设（它们对于考虑构建隐私应用程序的开发人员极其重要）以及实现特定性能水平所涉及的权衡。

随着时间的推移，我们可以预期市场力量将为其中许多技术带来更高效的成果。硬件加速和其他催化剂可能会显着提高新技术的性能，尽管时间范围仍相当不清楚。从长远来看，这些方法中的每一种都可以在市场占有一席之地。

下图比较了每个关键维度，包括：可组合性，意味着其他应用程序与隐私状态交互的能力；技术复杂性；创建去中心化协议的潜力；当前性能水平，意味着潜在的吞吐量；以及基于前面提到的维度的最佳用例。该图表可以被视为每种方法对其性能水平所做的权衡。

如上所示，每种方法都有不同的权衡。任何一个都不会完胜其他方法，但每个都有合适的特定类别的应用程序。例如，构建更加中心化的暗订单簿的公司可以使用 TEE，而构建隐私借贷协议的项目可以选择 FHE 或 ZK。

请注意，许多技术可以组合起来，它们的交叉点通常是一些最有趣的方法。例如，ZKP 可用于去除基于 TEE 的暗订单簿的算子功能，而 MPC 通常用于在 FHE 中分发加密密钥。这些分类的目的是提炼每种独立方法的最高级别技术考虑因素。最后，该类别对潜在非法活动具有明显的监管影响；对于基础设施建设者来说，注意合规性至关重要。

每种方法的优缺点

TEE

可信执行环境（TEE）涉及可信、安全环境中的链下计算。TEE 已被许多加密组织用于各种任务，而隐私应用程序只是其中一个小的用例。它们可以是基于软件或硬件的，但是硬件最为普遍。由于该基础设施处于链下且处于孤立的环境中，因此交易对公共市场参与者来说仍然是隐藏的。

实际上，这可能看起来像交易者在不知道完整订单簿的情况下发布订单，并且如果池中该交易的另一方有流动性则进行匹配，而没有任何一方透露他们的出价或要价。

到目前为止，TEE 的一个显着应用是暗订单簿，TradFi 中已经存在类似的基础设施：「暗池」，这是公开市场之外的隐私交易场所，由一些世界上最大的金融机构运营：高盛的 Sigma X 和摩根士丹利的 MS Pool 就是两个例子。暗池用于限制大额交易对市场的影响。

虽然 TEE 性能很高，它是本文中提到的唯一有效的中心化方法，但它存在各种缺点。一种批评是，与大多数传统硬件相比，它们仅是微小的改进，并且具有类似的风险。 旁路攻击是一个值得注意的问题，并且过去曾发生过；开发人员还需要非常依赖制造商的代表。话虽如此，它们依然非常实用、易于构建且性能卓越。

优点：

• 基础设施功能强大、经过测试且已运行

• 与当前替代品相比性能优异

缺点：

• 通常需要为暗池等应用程序引导足够的流动性

• 依赖 AWS、Intel 等中心化供应商，这些供应商虽偶尔会遭到攻击，并引入了审查 / 去平台化风险

ZK

零知识（ZK）可以用来在不泄露任何信息的情况下证明计算的正确性。 ZK 是一项影响极其深远的技术，隐私只是一个很小的用例。迄今为止，ZK 主要应用于区块链扩展——将密集计算移至链下，然后使用 ZKP 来验证计算的正确性。隐私领域有多种 ZK 应用，大致分为三类：通用 ZK、ZK L1/L2 和隐私池。

首先，利用 ZK 进行隐私应用的开发人员可以从头开始自行构建证明电路，或者使用 zkVM。 zkVM 为任意代码提供执行环境，并生成 ZKP 收据，验证代码是否诚实执行，而不会泄露任何有关实际计算的数据。重要的是，可泛化的 zkVM 必须与 Zexe 等去中心化隐私计算 (DPC) 方案相结合。

其次，ZK L1 和 L2 允许用户在一个生态系统中与隐私状态进行交易，或者将隐私链上操作转移到这些网络。他们有效地构建了隐私优先的 zkVM。例如 Aleo、Aztec、Mina 等。

最后，隐私矿池掩盖了公共链上的交易。他们使用 ZK 来验证用户的存款地址，隐藏资金流向新的提款地址。隐私池不仅供用户使用，还可以与某些应用程序集成。

重要的是，ZK 本质上是验证隐私状态，所以仍然必须有一个隐私的执行环境来生成证明。在许多情况下，这是客户端并直接在用户的设备上（其中存储原始形式的实际隐私数据）。 ZK 在隐私方面的一个早期例子是去中心化身份，用户可以证明其身份的敏感方面，而无需在链上公开实际数据。

优点：

• 具有很强的通用性，适用于许多隐私用例

• 可组合性强，这意味着应用程序可以进入被动隐私状态

缺点：

• 计算强度大，技术仍处于早期阶段（尽管比 FHE 更进一步）

• 通常需要了解不同的编程语言或 ZK 电路

MPC

安全多方计算（MPC）使多方能够联合对隐私数据进行计算，其中每一方仅持有隐私数据的一部分。一方无法访问私有数据，而不同的各方也无法访问其余数据。 MPC 在加密领域有很多用例（密钥管理是一个值得关注的例子），但隐私应用程序才开始出现。

实际上有两种方法可以构建此类 MPC：1）用户是联合计算的参与者，或者 2）用户将交易委托给另一方。从信任假设的角度来看，第一种是理想的，但在逻辑上更难以执行；大多数项目采用第二种方法。还应该提到的是，MPC 的一个明显风险是各方之间的合谋，他们可能会组合他们的分片来查看隐私数据。

MPC 最适合用于涉及多方参与的隐私计算。 FHE 等其他技术方法通常依赖于 MPC，因此如果参与方数量很大且分布适当，同时计算是一次性的且不是非常复杂，那么 MPC 可能就足够了。去中心化扑克游戏是 MPC 很好的用例。

优点：

• 可应用于许多涉及一次性计算的隐私用例

缺点：

• 不能很好地适应参与方的数量

• 不能用于高吞吐量应用程序，因为执行速度相当慢

FHE

全同态加密 (FHE) 允许在加密的隐私状态上进行计算。换句话说，用户可以在链上进行交易，而无需透露任何有关交易的信息。当用户在 DEX 上交换代币或存入贷款池时，不会透露交换哪些代币或存入多少代币的信息。

但只依靠 FHE 不足以保护隐私。大多数方法都使用与 MPC 的某种组合来对加密密钥进行分片，因此没有一个中心化方能够解密所有隐私状态。 ZK 还经常用于验证交易，包括输出和输入的有效性，因此合约可以在不泄露信息的情况下与隐私状态交互。

该技术仍处于非常早期的阶段，TFHE 等方案在几年前才发布，可实现所有四种主要数学运算的精确输出和近似输出。此外，硬件加速对于任何合理的性能水平都是必需的。 FHE 在连续轮次计算中的扩展性也不是特别好，加密数据中有随机噪音，随着计算的增加，数据会非线性增长。虽然 FHE 处于比其他提到的方法更早的开发阶段，但它对于需要少量参与方的高可组合性的计算来说是最佳的，例如隐私借贷市场和大额消费者应用程序。

优点：

• 链上共享隐私状态的唯一方法

• 可应用于大多数隐私用例

缺点：

• 当前状态下性能很差

• 依赖于 ZK 和 MPC 等其他技术，这些技术都有自己的缺点和信任假设

期待

隐私基础设施和应用程序现在是加密货币的必需品，并且仍处于开发的初始阶段。我们预计这些解决方案会快速发展，而且前景广阔。

这里介绍的每个隐私解决方案都有不同的权衡，并且适合不同的应用程序场景。隐私类别出现得如此之早且规模如此之大，单一方法将获胜的说法言之过早。

长远来看，许多与隐私相关的新技术将不可避免地出现。这一类别是加密货币领域最具活力和快速发展，但不透明的类别之一。而当前阶段显然还只是创新的第一个时代。

特别感谢 Ravital Solomon (Sunscreen)、Sam Trautwein (Tristero)、Shumo Chu(Nebra)、Weiking、Nicola Greco (Protocol Labs) 和 Aztec、Aleo 团队。本文中表达的观点不一定代表他们的观点。