研究员：0X123, Crypto Ocean

研究机构：Puppet

问题导览：

1.什么是AZTEC？它要解决的问题是什么？

2.为什么AZTEC值得我们关注？亮点有哪些？

3.项目当前的进度如何？都有哪些产品？

4.AZTEC所处的赛道是否有前景？

文章概要：

• ETH主网昂贵的Gas费以及缓慢的交易速度一直是令用户头疼的缺陷，网络扩展性无法提高将严重限制区块链技术的普及使用；并且，由于区块链网络的透明特性，当前用户没有好的途径来隐藏链上活动，毫无隐私可言。使用ZK-Rollup技术的AZTEC是同时针对隐私和可扩展性这两大用户痛点从而开发出来的产品。

• AZTEC的团队实力强劲，他们创新的Plonk算法被许多项目方引用。项目自创建以来备受资本瞩目，截止目前共融资1.19亿美金；代码更新频率高，且参与人数多。AZTEC使用ZK-Snark作为其底层技术，利用团队创新的Plonk算法，提高了运算效率和安全性，结合递归ZK-Rollup和UTXO网络结构实现隐私和可扩展性，将资产在UTXO结构下转换成为票据的形式，即ZKAsset，通过零知识证明保证票据切分合并和其所有权归属的正确性，实现隐私交易；扩大内外部汇总处理事务数提高可扩展性。

• 目前项目已推出隐私转账应用程序ZK.money及隐私智能合约平台Aztec connect，均已上线主网。2022年10月已推出隐私可编程语言Noir。

• 隐私赛道一直备受资本和用户关注，而技术方面一直是赛道难点。随着零知识证明近年来的蓬勃发展，许多项目方针对不同的隐私应用场景开发了各自的技术。Aztec扎根于以太坊生态，定位清晰，只要顺利完成与现有DeFi协议的连接，同时完善技术，提高用户体验，相信Aztec能在隐私赛道有一席之位。

1. 基本概况

1.1 项目简介

Aztec是基于以太坊，同时具备可扩展性和隐私性的开源二层网络。协议使用零知识证明对交易进行加密和隐藏，用户可使用Aztec协议在公共主网上实现隐私交易。目前Aztec推出了ZK.Money和Aztec Connect两个产品，用户可分别使用这两种产品进行隐私转账和与Layer1的DeFi协议进行隐匿交互。目前项目仍未发币。

1.2 基本信息

项目官网：

2. 项目详解

2.1 团队

Aztec最初由数学家Tom Pocock以及核物理学家Zachary Williamson于2017年12月份共同创建，而Tom Pocock在Aztec作为CEO效力近3年半后，离开了团队，之后创立了另一家专注于零知识技术的投研公司——Geometry，目前Aztec的CEO由联合创始人Zachary Williamson担任。

团队位于英国伦敦，但同时接受远程办公，团队成员主要来自英国、波兰以及印度。团队主要由技术人员组成，在2019年发明了零知识证明系统Plonk，为以太坊上Layer2带来了多项研发突破。

Zachary Williamson：创始人兼CEO，毕业于英国牛津大学，核物理博士学位，曾在欧洲CERN(欧洲核子研究中心，即知名的大型强子对撞机所在地)担任物理学家，是Plonk证明的发明者。

2015年1月—2017年9月，在卡拉隆担任软件开发人员。

2017年11月-至今，担任Aztec创始人、CEO及CTO。

EF9 Cohort 成员，EF9 Cohort 即Enterpreneur First，位于伦敦的风险投资和私募股权投资机构。

Joe Andrews：Aztec Protocol 产品负责人, 伦敦帝国理工学院材料科学学士。

2014年8月 - 2017年9月，担任硅谷食品科技初创公司 Radish 的 CTO。

EF9 Cohort 成员，具有丰富的开发经验。

Ariel Gabizon：AZTEC Protocol首席科学家, 魏茨曼科学研究所计算机科学博士。曾在Filecoin（Protol Labs）担任研究员，也曾是Zcash的工程师，Plonk 证明发明者。

2016年7月 - 2019年1月，担任Zcash的加密工程师。

2019年3月 - 2019年12月，担任Research Labs的研究员。

2020年1月 - 至今，担任AZTEC Protocol首席科学家。

团队原班人马曾经在2018年创立过一个To-B的借贷项目Creditmint，董事和顾问来自Consensys、Park Square Capital等知名机构，该项目从官网来看，Creditmint产品并未实际落地，可能与团队转型做Aztec有关。

2019年，Ariel Gabizon、Zachary Williamson发布了论文《PLONK: Permutations over Lagrange-Bases for Oecumenical Noninteractive arguments of Knowledge》。综合来看，Aztec团队技术实力强，发明了零知识证明系统Plonk，同时有不错的外部资源。

2.2 资金

2018年11月29日，作为初创公司，Aztec获得由ConsenSys领投的210万美金种子轮融资。

2021年12 月 16 日，Paradigm 领投其1700万美元的A轮融资，IOSG Ventures、 Variant Fund、Nascent、imToken、Scalar Capital、Defi Alliance、ZK Validator以及天使投资人Anthony Sassano、Stani KulecFhov、Bankless、Defi Dad、Mariano Conti、Vitalik Buterin 参投。项目方声称，该笔资金除了用于资助开发者以外，还将用于推动个人加密货币交易的合法性进程。

2022年12 月 16 日，基于 ZK Rollup 的隐私和扩容解决方案 Aztec Network 宣布完成 1 亿美元 B 轮融资，Andreessen Horowitz（a16z）领投，A Capital、King River Capital、Variant Fund、SV Angel、HashKey Capital、Fenbushi Capital、Alumni Ventures 等参投。

详情如下：

从种子轮、A轮及B轮融资的阵容来看，不仅乏像A16Z，Consensys，Paradigm，Iosg等优质机构，另外还获得了的Vitalik 投资，较为罕见。

2.3 代码

总体代码提交情况：

自2021年9月以来，代码提交数量及开发者活跃程度均呈现递增趋势，在2022年6-7月份达到顶峰。

​由以上两图可知，团队在2019年到2020年4月主要更新AZTEC协议层的代码。

从2022年2月开始更新Aztec Connect的代码，原定于6月9日上线，但由于技术问题推迟，团队为尽快完善产品使其能够顺利上线而不断更新代码，以至于代码的更新达到峰值，最终Aztec Connect于7月7日在ETH主网成功上线。

2.4 技术

2.4.1核心技术

要想将DeFi流动性带入Aztec，降低主网的手续费是要面对的最关键的问题。Aztec团队发明了现在的行业标准：PLONK验证系统。该证明系统不仅增加了用户隐私，还提高了速度和吞吐量。

当前主流的零知识证明算法有两种，Zk-STARKs（零知识可扩展透明知识论证）和Zk-SNARKs（零知识简洁非交互式知识论证）。以下为两种算法的主要区别：

虽然ZK-STARKs解决了ZK-SNARKs的部分缺点，但由于ZK-SNARKs更加成熟，在代码成熟度与开发者生态上仍占有一定优势，因此目前这两种技术在市场上均被采用。

传统的ZK-Rollup通过使用零知识证明对数据进行缩放，以此来提高以太坊的可扩展性，但这种方式无法保证数据的隐私性。

如果要实现交易的隐私性，必须使用零知识证明对单个交易进行进一步加密和验证，无法使用ZK-Rollup对交易列表进行简单处理。要同时提高可扩展性和实现隐私，需要使用递归零知识证明汇总，即ZK-ZK-Rollup。

递归零知识证明汇总包含两个电路，隐私电路和汇总电路，要实现递归零知识证明汇总需要解决两个问题：

1. 隐私证明必须由用户计算，不能委托给第三方。

2. Rollup电路必须有效地验证数百个隐私证明的正确性。

这就使得汇总计算量呈指数级增长，对零知识证明算法的效率有很高要求。Aztec使用的是SNARKs算法，而传统的ZK-SNARKs的计算效率不够高效，并且需要单独的信任设置，安全性得不到保障。因此Aztec使用团队发明的PLONK算法。

PLONK属于ZK-SNARKs的一种，PLONK算法主要在zk-SNARK的基础上进行了两点改进：

1. 引用通用的可信设置（Trusted Setup）。采用这种方法有两个优点：第一，单独的信任设置可用于整个方案，方案中任何程序都可使用该信任设置。即，整个方案只需设置一个单独的可信设置；第二，信任设置通过MPC（多方安全计算）确定，由此提高安全性。即，多方可参与可信设置，并非由单方控制。

2. 使用“多项式承诺”方案代替原先的零知识验证步骤，提高计算效率。

引用V神在其论文中的图表可知，PLONK算法可以均衡调整证明字节大小和安全性，位于两种基础算法之间。

Previous Snarks（即早期使用Snarks技术的项目），虽然证明大小仅占0.2kb，但是每一次都需要提前进行可信设置（Trusted Setup），因此无法进行大规模使用。

而Plonk仅需要Pairing，即椭圆曲线的配对后，可以达到最小化的可信设置（Trusted Setup），即只需要一次设置即可。

零知识证明技术并不能直接应用于任何计算问题，需要将具体问题或者形式转换成正确的“形式”，才能进一步操作。因此，Aztec需将要具体的交易转换成Plonk算法电路，从而进行零知识证明。

Plonk算法电路中，由乘法门、加法门、常数门三种逻辑门以及连接各门之间的电线组成，通过门约束和复制约束（门约束用于确定同一门输入输出值之间的关系，复制约束用于保证确定逻辑门之间的约束关系）确定电路关系。并通过创建一个结构化的方程系统来对多项式进行压缩，简化系统和提高运算效率。

Aztec在PLONK算法基础上进行改进迭代，先后发明了Turbo-Plonk和Ultra-Plonk两种Plonk算法变体。

Turbo-Plonk指的是使用了Custome Gate（自定义门）的Plonk算法；Ultra Plonk指的是在Turbo-Plonk基础上使用Lookup的Plonk算法。Custom gate和Lookup的作用均为减少电路规模，灵活设计电路，由此减少计算量，提高运算效率。

2.4.2 隐私

Aztec是一个聚焦于隐私的以太坊二层, 致力于为以太坊主网上的协议提供低成本的交互和流动性，采用“ZK-ZK-Rollup”架构，目前仅支持3种代币分别是：DAI、ETH、renBTC，为了实现隐私交易，Aztec上的资产以Note（票据）形式存在，其隐私的技术架构主要包括以下几个方面：

1.使用UTXO（未花费交易支出）记账模型：Aztec使用比特币的UTXO的记账模型；不过在具体的隐私设计上，Aztec在各个方面都模仿了Zcash，例如用户需要在本地生成隐私证明，用Merkle Tree用来记录状态等。当用户将资金存入Aztec后，用户的资产与之前在以太坊主网相比，出现形式上的变化：

在以太坊主链上，每一个账户对应着一个余额，所谓交易， 指的是两个账户之间余额状态的变化。

在Aztec上，每一个Note（票据）对应着一个Owner，所谓交易，指的是Note的Owner的变化，是所有权的转移。

2.Notes（票据）的状态存储分别两个Merkle tree模型中：Note Tree 记录所有生成的票据 Nullifier Tree 记录所有销毁的票据。

如果某个地址有Note，则说明Note tree上有该地址的Note数据 ，而Nullifier Tree不曾记录过该地址的Note数据。

如果某个地址销毁一个Note，则意味着系统在Nullifier Tree上记录Note数据，而不需要在Note Tree上删除Note数据。

3.设计5种电路实现节约成本、隐私转账：

• Joinsplit Circuit：Notes逻辑，支持隐私转账

• Account Circuit：进行密钥管理，支持账户抽象成用户名。

• Rollup Circuit：用来管理聚合的Rollup逻辑

• Escape-Hatch Circuit：允许用户在没有Rollup证明的情况下提取资金

• Root Rollup Circuit：聚合多个Rollup证明。

其中，前面三个是内部电路，后面两个是外部电路；外部电路依赖主网验证，内部电路通过Zk证明在外部电路上验证。

在Aztec 2.0中，每一次交易都会生成证明，证明第一次聚合在Rollup电路，然后打包到Root Rollupp电路再次生成证明。

需要说明的是，由于证明运算的需要，电路（Circuit）是由程序转化而来，系统还要再将电路转化为多项式，最终由多项式进行证明运算。

如图所示，28笔交易被聚合形成Inner Rollup证明，然后4个Inner Rollup被聚合形成Outer Rollup证明。目前单次Rollup交易笔数从原来的4 * 28=112 上升到了28 * 32 = 896，吞吐量提高了8倍。

关于UTXO架构的补充：

Aztec受比特币启发，使用UTXO（Unspent Transaction Output，未使用的交易输出）结合零知识证明作为其隐私架构的基础。当前的区块链环境中，记录账户的保存方式主要有两种：

• 一是UTXO，典型的代表是BTC；

• 二是账户/余额类型，也叫公共分类账，典型的代表是ETH。那么两者的区别在哪呢？

UTXO是对（BTC）所有权的更改，公共分类账则是改变两个账户的状态。

首先，在账户/余额类型的记账方式中，账户内余额是作为整体存在的。在转账支付或收款时，变动的仅仅是余额，一个账户余额的增加数等于另一个账户余额的减少数。

在以太坊上，用户转账的所有信息，比如转账金额、资产总额、交易哈希以及收款地址均透明地记录在区块链上。

因此交易双方的账户状态及交易行为均毫无隐私可言。

UTXO模型更类似于现金交易，某个账户有多少资产，需要将其账户内资产求和才能得知。

如果Alice有5个BTC并要向Bob发送2.5BTC，在UTXO的基础上流程如下：

首先，Alice的会拿出3个BTC，然后其中的1个BTC将“销毁”掉，重新生成0.5个BTC，最后再将2个BTC和0.5个BTC发送至Bob，而此时，Alice和Bob账户的余额均为1+1+0.5=2.5个BTC。

UTXO 的核心设计思路是：它记录交易事件，不记录最终状态。最终用户的总资产，是账户内拥有所有权的资产总和。

Aztec对交易过程进行加密，交易金额和交易双方对于其他人来说不可见，网络重新分配资产的所有权。而为了防止双花（Double spend），用户在转移资产的过程中，需要生成零知识证明，用于证明所有权和资产的真实价值。

例如，Alice账户总资产为100个DAI，并需要通过Aztec向Bob转移50个DAI，根据UTXO的原理，100个DAI需要被“销毁”转换成2个50个DAI的形式。

Alice在发起这笔交易的时候，需要通过零知识证明证明其对于该笔资产拥有所有权，同时需要证明其销毁的100个DAI的价值等于2个50个DAI的价值。

交易成功后，更新的网络状态将储存在两棵默克尔树中。这两棵默克尔树分别记载网络当前有效的资产凭据和经过转移所销毁的无效资产凭据。

由此可知，Aztec是利用零知识证明来确定用户账户内UTXO的所有权，从而确认用户的总资产和交易。

2.4.3 协议流动性

1） 通过隐私架构实现隐私转账，并不足以支撑Aztec的实际使用价值，Aztec下一个面临的挑战是：如何让Aztec有着像以太坊主网的流动性？

从Optimism，Arbitrum上线后的表现来看，其流动性匮乏的原因在于，对Gas敏感的用户转而使用BNB Chain、Polygon、Solana等公链，对Gas不敏感的用户则没有去二层的需求，并且DeFi协议在二层上需要重新部署，导致二层的生态进展缓慢等多种原因造成了流动性割裂。

而Aztec设计了一个新的协议Aztec Connect，通过Aztec Connect引入以太坊主网的流动性，让有隐私需求的用户可以实现DeFi协议的隐私交互。

Aztec Connect添加了两个电路引入了主网的流动性：

1. DeFi Deposit Circuit

2. DeFi Withdrawal Circuit

通过这两个电路，用户可以将资产存储到Layer1，然后将其取出回到Aztec到ZkRollup。

另外，为了降低开发者的门槛，通过以下两个工具可以实现对Aztec Connect部署访问：

1. Bridge Contracts: 连接以太坊智能合约与Aztec的Rollup合约

2. SDK: 前端的工具包可以让用户访问Aztec Connect

2）Aztec Connect本质上是DeFi的代理服务，于2022年7月7日正式上线，目前仅支持Element和Lido，后续将支持更多DeFi协议。其主要操作流程如下：

1. 用户创建交易后，提交交易至Aztec。

2. Aztec的Rollup provider将用户的交易进行汇总。

3. 汇总后，Aztec通过桥合约将汇总后的交易成批的与Layer1上的协议进行交互。

从以上流程可知，本质上Aztec Connect是用户与Layer1上协议交互的桥，通过批量处理和零知识证明实现了低成本和隐私。

Aztec通过Rollup汇总用户的交易，当汇总的事务数达到一定数量或者到达规定汇总时间，Aztec将这些交易与协议进行批量交互，当然，如果用户希望马上交易，只需要支付更高的费用即可。

如下图所示：两个用户需要通过Uniswap将ETH兑换成DAI并保证隐私性。

首先，两个用户需要各自将兑换交易及5个ETH提交至Aztec，Aztec将两笔交易绑定并汇总，发送交易至一层的Uniswap，通过Uniswap将10个ETH兑换成10,000个DAI，该笔交易记录在主网的区块上。

之后，Aztec Connect将DAI按比例分拆分配给用户。该机制存在以下优缺点：

优点：

1. 协议不用单独部署于Aztec上，协议仍然可以维持在Layer1上建立的生态关系，不需要考虑流动性分散问题。

2. 用户需要承担的DeFi费用与批量大小成反比，可长期享受低廉的DeFi成本（Aztec和其合作伙伴会承担部分费用）。

3. 用户执行的交互是隐私的，为隐私服务支付的成本低。

缺点：

1. 当Aztec上整体用户不活跃时，成本将分摊至较低水平，并且汇总时间慢，执行交易将会存在时间成本（有可能特别的长）。若需要即时交易，则用户需要单独承担整个汇总的成本。

2. 支持的协议少，使用存在较大的局限性。

3. 实质上仍然非常依赖以太坊的性能（本质上是Aztec合约与Layer1上的协议进行交互）。

4. 用中继的方式对智能合约进行处理，存在以下系统性风险：无法保护合约的隐私，整条链的运行速度将降低，无法有效记录全局状态，增大了被攻击的可能性。

2.4.4扩展性

Aztec采用零知识证明汇总来提高扩展性。

在区块链的环境中，要提高可扩展性，意味着交易的边际成本随着每笔增量交易而下降，边际成本下降得越快，可扩展性则越大。

首先，零知识证明汇总的总成本由数据上链的成本和固定汇总成本两部分构成，数据上链这部分成本主要根据以太坊自身的性能来确定，因此Aztec提高扩展性的主要途径是降低汇总成本。

下图是ZkRollup的可扩展性方程，由公式可知，能够提高可扩展性的方法有两种：

• 一是降低发布汇总的总成本；

• 二是增加每次汇总所能处理的事务数上限。

在降低发布汇总的总成本方面，Aztec团队通过使用最新的UltraPLONK算法，将向以太坊发布证明的成本降至 550,000 Gas，这比首次发布运行Zk.Money时要便宜约30%。

而在Aztec文档中，团队表明接下来会继续更新技术使得这一数值降至约 180,000 Gas。

在增加处理事务数上线方面，Aztec使用Zk-Zk Rollup，即递归零知识汇总的方法，提高单次汇总所能处理的事务数上限。

该技术的运行原理是将用户的交易请求生成证明，将一定数量的用户证明聚合成内部证明，接下来将内部证明聚合成外部证明，然后发布汇总。

目前团队通过优化外部汇总电路的容量，使外部证明能够同时包含32个内部证明，而当前内部证明可以包含28个用户证明，因此当前单次汇总可提交896个事务数。而根据Aztec文档，内部证明和外部证明均可以进行扩容，因此Aztec的扩展性仍有上升空间。

总结：

Aztec的核心技术是PLONK算法，其相对于SNARK的主要改进是：引用通用的Trust Setup，使用“多项式承诺”方案。

优化了SNARK算法的计算效率和安全性，在保证隐私性和提高可扩展性方面均有应用。

使用UTXO模型将用户资产转移成票据形式，根据所有权确认用户资产，由两个Merkle tree记录现有票据和已销毁票据，通过3个内部电路和2个外部电路实现节约成本和隐私转账。

使用Aztec Connect连接主网的DeFi协议，通过批量处理和零知识证明实现了低成本和隐私DeFi交互。递归处理汇总交易数，提高内外部电路的容量，降低边际成本，提高可扩展性。

2.5 产品——Zk.Money

Zk.Money是Aztec上用于隐私转账的智能合约。

目前，Zk.Money支持的资产只有DAI、ETH和renBTC，单次存款金额最大为10,000DAI或5ETH，最少为0.01ETH。

根据Dune数据显示，截止2023年2月21日，共132.726个地址使用ZK.Money，自2022年7月上线以来，ETH总流入随时间不断增长，当前累计流入ETH 99,246个，平均每个地址流入0.33个ETH。其中34.2%的地址流入金额为0.01~0.1ETH，45.3%的地址流入金额为0.1~1ETH，20.5%的地址流入金额大于1个ETH。

根据Dune数据，Zk.Money自21年3月份开始运行，21年9月汇总数开始逐渐增加，在22年3月份左右达到鼎盛水平，持续到22年6月份后逐渐下降。

3. 发展

3.1 历史

3.2 现状

2022年7月7日，ZK.Money与Aztec Connect上线主网。当前Aztec Connect TVL分别为1487万美金，在L2中排名位列13。项目暂时无发币计划。

Aztec区块浏览器于2022年6月9日开始运行，截止2023年2月21日，当前出块共4,167个，总交易260,009笔。

Aztec的出块时间取决于汇总时间和汇总事务数：目前网络的出块时间为每4小时发布一次汇总块，同时出块时间与交易笔数呈反比关系，即网络越活跃，事务数越快达到提交汇总所需数量，出块时间越短。

存在以下特殊情况：如果某用户希望立即提出资产，则可以通过增加交易费用，承担整个汇总的费用，从而立即构建和发布汇总块，通过该方式在主网上发布一个区块并完成提款大约需要10分钟。

3.3 未来

目前Aztec Connect连接协议上线的已有Lido、Yearn、AAVE、Element等可EARN的协议，根据目前官网披露的生态中，将会有更多的收益协议接入，并且会接入UNISWAP等DEX。

团队正着手探索基于Rust语言的隐私可编程语言Noir，开发者可通过Noir在Aztec上根据不同的需求和应用场景部署应用， 在PLONK Rollup 中实现可编程的隐私保护，从而创建出下一代隐私的去中心化金融服务。据官方信息披露，2022年10月8日，Aztec Network 宣布推出零知识证明语言 Noir，方便开发者开发隐私应用。

4. 竞争

4.1 赛道概况

4.1.1 Layer2

2021年，众多公链横空出世，其中不乏Solana、Avax等号称“以太坊杀手”的公链，却依然无法撼动以太坊的地位。

但以太坊的网络性能却是以太坊自身进一步发展的主要障碍。其可扩展性一直被用户所诟病，性能差、费用高的缺点已经成为急需解决的用户痛点。在此状况下，Layer2扩容方案在中短期内被市场寄予希望。

目前市场上二层项目的基础技术主要有四种：ZK Rollup、Optimistic Rollup、Validium和Plasma。

通过查看L2 TVL排名可知，当前受到广泛采用的技术主要为ZK Rollup和Optimistic Rollup。

ZK Rollup和Optimistic Rollup采用不同的技术（ZK Rollup采用有效性证明，Optimistic Rollup则采用欺诈证明），两者主要有以下区别：

• 资产在L1和L2之间往返的时间不同。由于欺诈证明的特性，将资产从采用Optimistic Rollup的L2上提取到主网必须要等待7天，而在采用ZK Rollup的L2上不必付出这个时间成本，提取资产是即时的。

• EVM兼容性。Optimistic Rollup与EVM的兼容性能达到95%以上，而ZK Rollup目前在这方面落后于Optimistic Rollup。由于EVM目前是使用最广泛的链上工具，大多数开发人员已经习惯EVM，所以Optimistic Rollup在这一点上领先于ZK Rollup。

• 费用和可见性。O

• ptimistic Rollup会将更新的状态上传至主网，而ZK Rollup则依赖于某一方发布简洁的密码证明，通过这个“证明”确定特定状态结尾区块链的有效性，因此验证较便宜，但完整性会较弱。

通过以上特点，我们发现两种Rollup各有千秋，而由于当前Optimistic Rollup兼容EVM的优势明显，目前Optimistic Rollup的市场占有率略大于ZK Rollup。

Aztec则是属于ZK Rollup类型，由于Aztec更加注重隐私方面，因此相较于其他ZK Rollup方案，例如Starkware和ZK-Sync，其TPS相对较低。

下图是主流L2某一时点的Gas费用，可以明显看到，Aztec费用相较于其他L2仍较高，并不具备成本优势，但相比主网成本明显下降。

市场份额情况：

DYDX、Immutable X是基于使用Zk-STARK技术的StarkNet构建的交易所和游戏平台。

DYDX是订单簿模式的衍生品DEX，占据L2市场份额约12.6%，TVL达到7.35亿美金，官方公布的年收入共4.5亿美金。

Immutable X是专注NFT和链游的L2平台，当前市场份额为1.17%，TVL达到4557万美金。

Matter Labs 开发的ZkSync也是使用Zk-SNARKs技术的成功案例之一，当前TVL达到6051万美金，现目前ZkSync 生态已有70多个项目，包括Argent、ZigZag、imToken等。

4.1.2 隐私

Aztec要解决的另一个问题是隐私。

由于区块链特有的数据公开性，用户在使用区块链转账、交易或者与协议交互时，均会被记录在链上，这意味着所有用户的行为都有可能被监控。而这可能将引发恶意行为，用户的交易信息可能被恶意敌手进行分析和利用，从而给用户带来潜在的风险。

无论是公司还是个人，都不热衷于将所有信息发布到公共数据库中，这些数据库可以不受限制地被自己的政府、外国政府、家人、同事和商业竞争对手随意阅读。

因此，保证用户数据的链上隐私性是非常有必要的。

隐私赛道当前可划分为四个板块，分别为隐私计算网络、隐私交易网络、隐私应用、隐私币。

• 隐私计算网络：属于底层基础设施，具体的交易信息（币种类型与数量等）往往可以通过区块浏览器公开查看，但更强调用户使用数据的隐私，如Oasis Network、PlatON。但由于当前技术不成熟和被采用不足，目前隐私计算网络的应用场景有限。

• 隐私交易网络：主要针对链上交易数据，通过零知识证明等技术保证隐私交易。自2021年以来，至少数十个主打隐私交易的区块链网络出现并获得a16z、红杉资本等主流投资机构的支持，是最受资本市场看好的赛道之一。目前大部分项目仍处于测试与开发阶段，仅Aztec等少数项目上线主网。

• 隐私应用：指基于区块链协议上，根据不同的应用场景为用户提供隐私处理方案的应用。例如Tornado Cash。

• 隐私币：指原生支持隐私性的加密货币，外界无法查看交易双方的具体交易类型、金额等信息，通常不支持智能合约及相关应用，导致其发展受限。

Aztec属于隐私交易网络，该赛道具有广阔前景，存在真实的用户需求，并且Aztec目前已上线主网，具有一定先发优势。

目前隐私币板块包括Monero，其全稀释市值达到25.7亿美金；Zcash全稀释市值达到11.5亿美金，也是属于隐私币板块。

Secret Network全稀释市值达到1.8亿美金，属于隐私计算网络。Tornado Cash全稀释市值达到2.3亿美金，属于隐私应用。

4.2 核心竞争因素

4.2.1 保留可组合性

众所周知，二层网络当前面临的一个很大的问题就是：破坏协议之间的可组合性。

单独的协议迁移至二层可能很简单，但是可组合性并不会随之迁移，要想完全复制以太坊上的可组合性，则需要一系列协议同时迁移至二层，这将极大的增加成本和难度。

其他不以以太坊作为底层设施的协议，协议生态环境与以太坊相比有非常大的差距。以太坊作为当前生态最繁荣的公链，仍然是大多数用户进行DeFi操作的主要场所。而作为以太坊二层隐私协议，使用Aztec Connect能够在保留以太坊协议现有生态的前提下，保留可组合性同时提供隐私服务，将是Aztec一个非常大的优势。

而作为以太坊二层隐私协议，使用Aztec Connect能够在保留以太坊协议现有生态的前提下，保留可组合性同时提供隐私服务，将是Aztec一个非常大的优势。

4.2.2 扩展性

Aztec所使用的ZK-ZK-Rollup零知识证明，能够在整个网络活跃度高的情况下，大幅降低汇总的成本以及速度，可极大的提高用户体验。

并且Zk-Zk Rollup能够在现有的基础上进一步改进，当前单笔汇总最大事务数为28 * 32=896，根据官方提供的信息，事务数上限可提升至128 * 32=4096，因此成本还可以大幅降低。

4.3 竞品分析

目前，Aztec作为唯一的隐私二层，伴随着Aztec Connect不断接入现有的以太坊DeFi生态协议，相信Aztec将会获得可观的市场份额。

然而，隐私赛道一直备受资本关注，市场上仍有许多团队针对不同的隐私应用场景，开发不同的技术。以下简要介绍Anoma Network、Aleo及NYM，并将以上项目与Aztec进行对比。

4.3.1 NYM

NYM网络是新一代的隐私基础设施，其愿景不仅仅是为区块链提供隐私服务，而是要改变整个互联网的隐私现状。

NYM主要由三个组件构成：Mixnet（混合网络）、隐私凭证（Privacy Credentail）及NYM代币。

NYM主要通过Mixnet为用户提供隐私服务，其基本运行原理如下：

1. 使用Sphinx技术使单个信息具有隐私性。当数据及信息传输进入Mixnet后，将由Sphinx进行包裹，所有信息都将形成相同的Sphinx数据包，由此形成匿名集，使得单个信息难以辨认，数据包的数量与隐私程度成正比。

2. 由Mixnodes打乱数据离开Mixnet的顺序。数据信息在进入Mixnet时存在先后顺序，为防止端对端的分析攻击，由Mixnodes为Sphinx数据包增加随机传输延迟，打乱数据包离开网络的数据。

3. 生成虚假流量掩护真实数据。启用NYM网络后，NYM会针对用户或应用程序自动生成虚假流量，而真实数据夹杂在其中，增加匿名性。

隐私凭证是NYM网络数据的使用凭证，证明谁有权访问数字服务，同时保有隐私，用户可使用凭证赋予其他人访问权限，或利用凭证参与在线投票。

NYM代币最大供应为1,000,000,000，初始供应为6350万，当前市值为26,249,734U，其底层区块链为Cosmos。

作为NYM网络的原生代币，为了保证网络的去中心化、可持续性和弹性，NYM代币主要有四个作用：

• 使用Mixnet（混合网络）保护隐私，需要持有NYM。

• 委托质押，将NYM委托给混合节点，分取收益。

• 运行节点需要持有NYM。

• 区块链交易费用，保证节点积极运行网络，防止作恶。

4.3.2 Aleo Network

Aleo旨在成为兼具隐私性和可编程性的隐私公链，其共识机制为PoSW（简洁工作证明）。

当前区块链是默认透明，无法修改；而绝对隐私消除了开放网络最显著的好处之一：可组合性。

Aleo采用将网络设置为默认隐私状态，但可以通过实际情况选择公开信息，用户掌握数据的最终控制权，可自由选择保留隐私或是公开信息。Aleo使用特定的零知识解决方案Zexe，支持完整的可编程性和隐私性。

• LEO：Leo是Aleo团队开发的编程语言，将低级别的密码学概念抽象出来，方便开发者将隐私应用程序方便地集成至堆栈中。

• ZkCloud：Aleo堆栈的组件之一，是一种链下、去信任的执行环境，ZkCloud描述了一种点对点、去中心化、隐私计算的模型，在其中，被屏蔽的身份可以直接（资产转移）或以编程方式（通过智能合约）进行交互。

为了保证隐私，同时提高交易吞吐量，Aleo的计算同样也是放在链下，计算将在ZKCloud的执行环境下进行，通过加密证明向Aleo证明其交易有效性，由Aleo 区块链存储这些交易的记录，并根据记录来确定应用程序在任何给定时间的全局状态。

智能合约方面，Aleo开发独特的编程语言LEO，并通过激励计划引导开发者使用LEO在其上部署应用程序，目前项目仍处于测试网阶段。

4.3.3 Anoma Network

Anoma Network是基于POS共识机制的L1，同样采用零知识证明提供隐私保护，其主要特点是可供多个交易方完成隐私交易，且不受资产类型的约束。

Anoma Network是通用的协调机制，可促进各种形式的协调，主要旨在解决三个问题：个人金融隐私权、地方金融主权以及大规模协调。

Anoma Network的第一个版本是Namada，允许不同公链的用户将持有的任意类型资产进行隐私转移。

Namada将所有资产（货币、可替代或不可替代资产、商品、服务等）放置于多资产屏蔽池（MASP）中，资产通过在多资产屏蔽池中相互转换从而实现隐私，并且多资产屏蔽池中的资产越多，用户使用越多，隐私保证越强。

网络工作原理如下：首先，用户需要将资产将放置于MASP中，根据需求创建交易意图（Intend），然后将意图提交至意图八卦节点。

意图八卦节点由节点运营者管理操作，而意图八卦节点共同构成意图池。匹配者会积极监控意图池，一旦发现存在彼此相符合的交易，匹配者可将双方或者多方的意图相匹配，从而达成交易。

4.3.4 项目对比

总结：由于技术新颖且难度较大，隐私赛道的项目大部分处于初期，但是资本关注度高，融资金额非常可观，市场整体为蓝海。Aztec主要依附于以太坊，战略定位明确，可以借助以太坊成熟的生态和用户基础占领一定的市场份额。

同时，虽然作为L2的Aztec在成本方面与其他L2相比不具备优势，但其核心竞争因素（隐私，引入主网DeFi流动性）很好地避开了L2赛道的主要竞争。因此，只要Aztec能够成功实现为DeFi协议提供隐私保护的同时，又能够保证协议的安全性，那么应该能够获得一定的市场份额。

5. 项目信息更新

1. 2023年1月20日，基于 ZK Rollup 的隐私和扩容解决方案 Aztec Network 宣布，为以太坊隐私 DeFi 解决方案 Aztec Connect 开发者启动本地开发环境，开发者可以通过 Aztec Connect 本地开发者测试网在自己的电脑上运行以太坊主网分叉，并可实现更多的控制、更高的可配置性和更快的测试周期。

2. 根据L2BEAT数据显示，2023年1月10日，以太坊隐私 DeFi 解决方案 Aztec Connect 锁仓额现已突破 1000 万美元，创下自去年 7 月份推出以来的新高。

3. 2022年10月8日，基于 ZK Rollup 的隐私和扩容解决方案 Aztec Network 宣布推出零知识证明语言 Noir。Noir 是一种基于 Rust 的领域特定语言（DSL），用于创建和验证零知识证明。

参考文献：

Understanding PLONK，vitalik：

<https://vitalik.ca/general/2019/09/22/plonk.html >

零知识证明：STARKs vs SNARKs：

Aztec文档：

Aztec Yellow Paper：

v神论文：理解plonk :

<https://vitalik.ca/general/2019/09/22/plonk.html >

plonk原理：

zk-snark和zk-stark：

投资风险与免责声明：

• 本文表达的所有观点均为作者个人观点，他们可能是木偶師或其公司关联人，不代表木偶師的观点、意见及立场。

• 本文仅用于一般教育目的，不构成对金融产品的投资建议或其他任何建议；木偶師及作者不对用户的投资结果负责。木偶師不对文中引用的所有信息的准确性、完整性、及时性、适用性或有效性作任何陈述，并且不对本信息中的任何错误、遗漏或延迟或由此造成的任何损失、伤害或损害承担责任。

• 本网站包含第三方网站或其他内容的链接，仅供参考。第三方网站不受木偶師控制，木偶師对其内容不承担任何责任。包含任何链接并不意味着木偶師认可、批准或推荐该网站或与其运营商有任何关联。

• 展示或使用。本报告版权归本公司所有，未经许可，任何机构或者个人不得以其他任何形式展示或者使用本报告内容。

木偶師是一个深耕区块链行业的全能型团队，对区块链前沿技术和创新项目进行深度挖掘和分析研究，当前对外提供“云群控”一体化操作平台，服务更多Web3用户。

了解更多空投有关资讯及行业深度研究报告：

Twitter：@Puppet_Fi

Discord：木偶師