主持:@suki
联合主持:@Julie
文档整理:@Axer
文章排版:@Coucou @满意my
我们在创立之初和理想状态下,区块链是匿名的。用户为公钥的一串字母和数字字符识别。但是现实随着应用的逐渐广泛和规范化,人们对安全的需求是要远大于隐私的需求。各类链上分析工具也是层出不穷,加密货币的隐私性正在逐渐瓦解。但是隐私始终是保护用户和扩大加密货币使用的基本要求,并被认为是 web 3.0 最重要的方向之一,这也是我们今晚聚集的主题 - 隐私赛道。
注:仅代表个人观点,不构成任何投资意见
嘉宾及项目简介
Victor
@victorJi15|Manta network co-founder
Manta Network 一直在做隐私技术相关的基础设施,在其上用户将有两套地址,一个是 public 地址,一个是隐私地址,叫 zkAddress,这之上的资产也是隐私资产,可以自由转移。主要运用了零知识证明的技术原理。
William
@liukaikobe24|OASIS network 生态产品经理
OASIS network 是一条专注隐私的 layer1 公链,刚推出一套 EVM 兼容并且具有隐私保护功能的开发环境。主要运用了可信执行环境 TEE 的隐私计算技术。
w3tester
@xiao_zcloak|zClock network 创始人
zCloak Network 是一个基于 W3C、DID 标准和零知识证明的这样子的一套隐私计算的基础设施。希望帮助用户解决将 web2 的数据以保护隐私的形式在链上将它使用起来的问题,通过“数据可用而不可见”的方式让数据重新回到用户手中。
James
@have2changeA|PlatON network CTO
PlatON 有一个比较高远的一个目标,就是做隐私 AI,通过研究各种算法、框架以搭建做隐私计算的 infrastructure,吸引各方面的专家和用户加入生态,最后达成隐私 AI network 的愿景。使用户可以在数据保护的前提下更多的将数据贡献出来,一起协作产生更大的价值。
TL:DR
▪ 21年整个市场的火热、Web3 概念的爆发、zk 等相关技术的快速发展,加上用户对隐私意识的提升是该赛道成为资本市场最为认可的赛道之一的原因。
▪ 零知识证明仅通过数学密码学的方式很好的解决了区块链关于可扩展性和无隐私的问题。
▪ 目前主流的隐私技术按照实现逻辑可以简单分类为以硬件实现和以软件实现:
-
以硬件实现:代表为可信任执行环境 TEE,它是通过将数据输入可信的执行环境的硬件里进行加密的计算和处理,最终输出一个经过加密保护隐私的执行结果。
-
以软件实现:包括通过算法、数学、密码学等知识来实现隐私保护。代表有:
零知识证明(ZK):主要是通过证明者和验证者的交互证明来实现数据可证而不可见。
多方安全计算(MPC):是指在无可信第三方的情况下,多个参与方协同计算一个约定函数,除计算结果以外,各参与方无法通过计算过程中的交互数据推断出其他参与方的原始数据。
同态加密(HE):大致分为部分同态、近似同态、有限级数全同态与完全同态。可以简单理解为借助同态加密,直接在密文上操作数据和在明文上操作数据然后加密,效果是一样。
▪ 零知识证明领域目前较大的进展是在已有的基于固定计算的零知识证明的方式基础上,提出了零知识证明虚拟机的概念,把早期的针对电路的零知识证明变成了针对虚拟机或者针对 processor 的证明,通过加载不同的零知识证明程序实现通用数据的隐私加密。
▪ 目前阻碍隐私赛道应用普及的因素主要是用户门槛过高和可扩展性问题。
▪ 隐私和监管并非对立面,通过隐私计算技术可以让用户在拥有隐私的情况下也能享受法律的保护。
对话
Q:2021 年以后,多个隐私供链项目得到了大基金的支持,这一赛道也成为资本市场最认可的赛道之一。那么这一年市场爆发是有什么技术与应用的变化呢?
William
第一主要是因为市场环境。21 年整个 crypto 的市场都已经达到了一个顶峰,当时那个不管是币价还是 NFT 和 Web3 的爆发,都让整个市场处在非常振奋的状态。反映到这个行业的资本市场也是一样的火热。
第二个我觉得主要是因为 Web3 叙事的爆发。它要达成一个核心的愿景就是说把数据的所有权交回到用户的手中。既然跟数据相关,那么隐私自然而然会被考虑和提及。
第三就是用户对隐私的意识的提升。因为作为其底层的区块链技术本身是一个公开透明去中心化的账本,虽然在一定程度上是匿名的,但并不能保证用户的隐私。而且目前有很多这种去匿名化的技术,可以查出链上的交易记录的所有者。这样一来所有人都是公开透明,所有人都不存在隐私可言了。因此我觉得在大家越来越关注 Web3 的同时,对隐私的要求以及对相关项目的关注也是会慢慢的显现出来和越来越强烈的。
最后当然就是技术这方面,比如当时的 ZK 这些概念都是比较火的,然后把隐私的这个赛道也是往前推进了一把。
w3tester
区块链这个技术它本身是有一些天生问题的,一是缺少可扩展性,二是链上没有隐私可言,所有东西都是公开透明的。那么零知识证明这个技术,就非常有针对性地可以解决上述提到的区块链的两个问题。
对于可扩展性问题,零知识证明具有 Succinctness - 简洁性的特性,即可以用非常简短的证明去证明大量的计算是正确的,以节省链上计算的成本。zCloak 就是用这样一个方法解决了公链可扩展性的问题。
对于链上的隐私问题,零知识证明还拥有可以隐藏计算的输入数据,同时还能证明这个计算是正确的的特性。所以说正因如此,它自然会受到资本的青睐。
另外,近一两年来在这个技术领域的一些进展和发展,让大家看到了它更多的一些可能性和想象的空间。这里面最核心的一个进展我觉得是基于零知识证明虚拟机(ZK VM)和零知识证明以太坊虚拟机(ZK EVM)的。
ZK EVM 大家都比较熟悉,代表如 StarkWare、Polygon EVM 还有 Scroll 这些项目。通过这些技术可以实现在不修改现有智能合约的情况下,通过这个 1:1 的映射,或者通过一些编译的方法,把智能合约放在二层网络上去运行。这种以太坊的扩容方案已经做到了对通用智能合约的开发去进行支持的地步了。
ZK VM 的想象空间就更大了,但是可能还需要一定的时间。它是一个由零知识证明来保证安全可验证可信特性的虚拟机,简单来说就是,通过输入旧状态和程序(任意的普遍性的),返回新状态。它能让所有的应用都被赋予零知识证明的超能力。这种的应用场景会更广,会更多。目前比较典型的项目除了这个 StarkWare 的 Cairo 之外,像 Polygon Miden,像这个 RISC Zero 这些项目都是行业里头现在比较新的。
因此这个行业无论是资方还是社区,大家其实都非常看好,这些项目和这些新兴的技术也给这个行业带来了非常大的想象空间。
Victor
最早隐私赛道募资还是挺困难的,因为当时 DeFi 正热,大家觉得用 ZK 做这些可能还要等 10 年 20 年左右才行。但现在很快就已经有各种各样的 use case 了。这是对于这个行业技术发展快的直观印象。
V 神在各种演讲中,几乎一半内容都与 ZK 和 privacy 有关。其他可能会讲一些 Sharding(分片) 或者 account abstraction(抽象账户),可能还会有一些 multi approval 的内容,就是在讲希望把 op 和 ZK 结合起来。这个我觉得也是原因之一。
另一方面,我觉得大家关注这个领域还是要注意风险,有话题就有炒作。靠谱与否我觉得可以从团队学术背景、技术背景、团队是否有 zk 领域相关经验和是否有专注投资 zk 赛道的机构参投等因素去考虑。
总体来说 ZK 是行业发展的一个趋势,而且这是最去中心化的解决隐私问题的一个方式。你不需要私人的信息,就可以验证这个信息并知道结果,这比相当于其他更中心化的解决方案来说,在区块链行业有天然的优势。这也是为什么相当于大家很看好这个方向的根本原因吧。
James
首先,因为资本它本身就是逐利的,它看到这块有发展的前途,将来能够赚到钱他才会投。而这个前途是通过前面的许多年的积攒才达成的。目前就零知识证明来说,它已经是在这个 layer2 的扩容这块展示了强大的能力。包括其他的如全同态、 MPC(多方安全计算) 也在数字资产保护方面起到了重要作用。所以对市场有很强教育意义的这些样板工程出来了。资本看到了就很高兴,看到了曙光和希望,自然投资就到位了。
Q:目前隐私计算常提到的技术手段有 MPC(多方安全计算)、FHE(全同态加密)、TEE(可信执行环境) 以及零知识证明等。嘉宾们是否有自己信仰的或者非常看好的技术?
William
主持人提到的这几个比如 MPC,联邦学习,然后 TEE 还有零知识证明这一些都作为隐私计算的不同的技术方向。因为我们 OASIS 用的是可信执行环境(TEE),这种方式和其他技术的主要的区别就是可信执行环境它是基于硬件的,其他的几种都是基于密码学的。我这里先简单地说一下 TEE 吧。
TEE 的原理就是在数据使用的过程当中,把它放进一个我们称为可信的执行环境的硬件环境里,在这里面进行加密的计算和处理,最终输出一个经过加密保护隐私的执行结果。
如果要说更加看好哪种方式的话,主要还是从它们的区别来讲:
-
第一个就是达成目的的手段不同,一个是利用软件和算法,一个利用硬件环境,软件的主要就是使用密码学和数学的一些方式来做。
-
第二个,密码学的方式门槛会比较高一点,比较难。对于 ZK 的开发者来说,他们需要对密码学的知识有比较深的掌握。而 TEE 的方式,他们就不需要对密码学有那么多的掌握和学习,就能很快的上手去搭建这一些 App。
-
另外,灵活性和稳定性方面也存在区别。
这两者其实无所谓优劣,而应是根据实际的情况去选择适合的方案。我们现在也会根据客户的需求来为他们定制专门的隐私解决方案。比如之前我们和 Meta 达成合作,通过 MPC 的 SMBC 安全多方计算的技术给他们搭建了一个平台,让他们能够保证 AI 模型的公平性和包容性。所以这些技术其实并非非此即彼的关系,而是可以互相借鉴,相互补充的。
w3tester
对我们 zCloak 来说的话,肯定还是更倾向于零知识证明技术的。
首先现在无论是在技术环境上还是在媒体的环境上,大家如果想要去学零知识证明的话,其实都是一个非常好的时机。因为现在网上的相关资料、文档、教程是越来越全了。zCloak 自己的公众号也翻译了斯坦福斯坦福大学 Dan Boneh 教授的一系列零知识证明的讲座。所以就是说现在是非常好的一个入门的时间。
聊两个 ZK 的特点
零知识证明这个技术,从本质上来讲,它是一个对计算完整性的证明。早期的零知识证明技术,比较专注于去证明一个特定的计算是正确的。使用的这个方法一般是基于 ZK circuit 的方式。它是针对于非常确定的计算,比如说转帐,像 Tornado Cash 这样的业务场景,我只要证明了这一笔计算是正确的,我就可以重复 1000 次 1 万次,而这个计算是不会发生变化的。这种方式在早期能达到它想要的效果,但是从实用的角度来讲,局限很大。因为如果某个计算会发生变化,或者在设计这个产品或应用的时候,事先是并不知道以后是要做什么样的计算的,这个情况早期的零知识证明技术就不能应对了。
所以现在比较新型的零知识证明技术,在效率和安全性提升的同时,最大的一个改进就是在已有的基于固定计算的这样的零知识证明的方式的基础上,提出了零知识证明虚拟机的概念,把早期的针对电路的零知识证明变成了针对虚拟机或者针对 processor 的证明。用户的本地计算的变化可以通过加载不同的 ZK program(零知识证明程序),不同的程序运行在虚拟机上,可以达到不同的运算效果。有了这种零知识证明虚拟机技术,以前可能是只能支持很少量或者是固定类型的应用的一些零知识证明技术就转变成了类似通用计算的零知识证明技术,给行业带来了非常大的变化。
另外,零知识证明虚拟机有不同的设计架构,有一些架构是为一些专用的途径去优化的。比如说 zkEVM,它面向的就是在这个以太坊上的扩容场景;有的是面向真实世界的,比如说 RISC Zero 它是针对 RISC-V处理器去做的虚拟机。但是也有一些虚拟机的提出从一开始就是瞄准了 ZK 优化或者说 ZK 友好的,无论是通过哈希函数优化还是其他的一些东西,像 StarkWare 的 Cairo 或者 Polygon 的 Miden 都是类似于这样的零知识证明的虚拟机。
所以说这个领域的发展确实是非常快,在大家认为市场都非常困难的时候,反而新技术在层出不穷。最后我们也是非常的期待能看到这个行业和这个领域更多更新的发展。
James
我们 PlatOn 就是在用各种不同的密码学算法去处理数据,希望将来能把这些数据资产隐私化,并且让它们在隐私的前提下产生价值。所以上述的这些技术我们都接触过。讲讲用下来的感觉:
全同态 HE(或FHE) 非常实用;
多方安全计算 MPC 的复杂度较高,不管是计算复杂度、网络交互复杂度,不太适合数据量特别大的项目或者用途。
TEE 前一段时间我在跟一家传统公司聊项目的时候,他们就偏向于使用 TEE,因为 TEE 技术需要投资去买设备,而且有实物在容易得到传统行业的信任。
这些都是不同的应用场景,用户和项目方也需要根据不同的数据集来选择算法,而且还可以重新组合。现在的零知识证明的确是应用最广泛,成果最大的。尤其他的 scalability(可扩展性) 做得非常好,以后还可以用得更多,就是把数据打包成哈希然后指纹化,再把确权等信息弄到一起做一个隐私保护,再去上链等等的场景。
Victor
我们看好 ZK。我们(Manta)现在做的就是利用 ZK 技术做资产 privacy 方向。
在 ZK 的领域,大致可以分为 STARK 和 SNARK 两个方向。这两个方向在应用场景中实际上不太一样,他们主要的区别,SNARK 证明速度较快,验证速度较慢,STARK 就是反过来。StarkWare 主要就是用这个技术来做扩容。用做隐私的这个方向的话,像 Aztec、Aleo ,还有我们主要都是用 SNARK 技术来做隐私,目前主要也是这三个项目在用 ZK 来做隐私的底层基础。
相比于其他技术来说, TEE 实际上在可能做医疗数据或者各种各样链下的数据然后可能会好一些。因为 TEE 相当于是一个链下的黑盒子,如果涉及到链上的数据的话,它处理的数据就没有那么去中心化了,安全性在学术界和业界也是有一些顾虑的。其他如同态加密之类的技术,目前来看,大家可以拿来公开讨论的项目还没有特别多。另外更早期的一些在隐私赛道的项目,比如说 monero(门罗),MobileCoin 什么的,他们还是没有办法跟智能合约结合起来。
Q:目前隐私赛道还是比较小众,对于隐私应用的科普,各位嘉宾觉得他的困难点和障碍点在哪里呢?
Victor
我觉得最大的问题就是 user friction(用户门槛) ,另外一个是 composable,还有就是速度慢。
这当中最重要的还是**用户门槛过高的问题,相当于需要回答用户为什么要用隐私技术的问题。不能说为了用隐私而用,而应该是有一些相对于现有的区块链在表现和性能层面的势均力敌或者优势。
另外一个层面就是 composable(可扩展)的问题,如果 token 变成隐私 token 之后,就基本上没有用处了。比如持有 Curve 代币可以生成 veCurve,也可以把它放在 convex 里边,这些都是 Defi 很现已经很成熟的一些 use case。但是这些东西在隐私层面,你要在一个应用上面再搭一个隐私的应用,这个过程需要很多底层的开发。
优化思路:
-
让开发者开发更容易:为了优化 proof generation ,我们运用了 poseidon hash 等各种的新的哈希函数,跟 jump 跟 Filecoin 做了一个叫 OpenZL 的项目,能让开发者在我们的底层上通过一个中间件就可以更好地开发,他不需要去选不同的椭圆曲线选不同的 scheme 或者学各种 ZK 的东西,仅通过调用 API 就可以直接来调用这些来直接开发,从而解决开发者开发困难的问题。
-
让用户用的更方便:我们和 Aztec 都是使用通用 UTXO 来做的结算层,虽然底层技术仍然比较复杂,但是我们在前端做了很多 user friendly 的设计,让用户的体验实际上是非常方便的。比如从公开资产换到隐私资产,与用跨链桥的感觉一样;在隐私资产之间的转账,和正常的转账没有什么区别。
William
关于这个隐私科普的难点,我觉得最重要的还是应用的易用性,普通用户其实对于是不是有隐私保护功能并不是最直接关心的一件事情。在使用传统 web 2 互联网产品的时候,我们其实是把自己隐私交出去,去换取了使用这些产品的便利性的。所以说只有当技术和公众对隐私的意识都有所提升后,对于隐私的这个需求才会开始显露出来。
Q:隐私公链能否颠覆传统供链还是将持续分割市场?各位嘉宾是否能看到基于隐私供应链的创新应用呢?如何思考基于隐私技术的应用层创新?
William
隐私公链是不是可以颠覆或者完全取代像以太坊这样的主流公链,我觉得是比较困难的。目前的局面更多是去优化和提供服务。比如像我们 Oasis 提出的这个叫分层或者模块化的架构,就是说把执行层和共识层分开,执行层上面有几个不同的 paratime。其中主要就是一个叫 Cipher 的 paratime,它具有隐私保护的功能,另一个 Emerald 是 EVM 兼容的,目前我们主推的一个是 Sapphire,Sapphire 是一个既 EVM 兼容,又可以做到隐私保护的 paratime。Oasis 的特点就是可定制化,我们把这个需不需要增加隐私的功能的选择权交到这个项目手里。
Sapphire的定位是一个即插即用的二层隐私解决方案。构建在以太坊上的 Dapp 如果在产品的逻辑上需要有一个隐私保护的功能,那么它可以通过这样的二层隐私层的解决方案去实现,而不用花费更多的开发成本和精力再去其他隐私链上重新开发部署。
w3tester
这个问题的话我先说结论,我觉得新的这些隐私公链去颠覆已有的传统公链的想法难度还是挺大的。现在公链的格局基本已经挺清晰了,有绝对的头部像以太坊。有的链有社区共识,有的链背后有金主有钱,所以这些头部的公链基本每条链都有自己的特点。公链如果想要去取代现有的比较大的公链的话,他需要做很多的事情,并不是说提供一个隐私的功能就可以的了。
要去解决现在已有公链的问题,去起一条新的隐私的公链的确是一种方法。但也可以在已有的公链上去做修改和迭代,去推新的应用,来去解决现在这些问题。比如说以太坊的可扩展性的问题(scalability),就是通过 Layer2 rollup 的扩容方式来解决的。同理,涉及到隐私类似的应用场景的时候,比如说隐私转账,以太坊上的 Tornado Cash 已经在隐私转账这件事上做到公认标准的地步了。那这种情况下我们要去专门去做一条隐私的公链我觉得从差异化角度来说就是困难的。
所以总体来说,在这个现在这样一个竞争的环境下,有新的隐私的公链出来我们是非常愿意见到的,毕竟有很多的公链都有很多自己很特别的一些创新和设计在里头。但是并不是技术上有一个创新点或者解决了一个问题就能从这个行业里头杀出来的。除非你真的解决了用户某些非常强烈的非常迫切的需求,又在传统的公链上解决不了这样的问题。
James
我简单补充一下。我认为隐私的内容相比于区块链,它的范围要广得多。所以隐私公链只是一小部分。
另外隐私公链颠覆传统公链的问题,我认为的传统公链现在什么东西都是区块链原生的,是一个自生的完整的生态。而隐私公链会在比如说将传统金融的服务移植到区块链上等方面发挥更大的作用。即不是去分割市场,而是它会创造一个更大的市场。
Q:那隐私赛道的发展是否与区块链的去中心化和公开透明等特征相违背,是否会成为黑客或者是不法分子的温床?隐私该如何拥抱监管?
w3tester
区块链的一大特点就是链上的数据都是公开透明的。这个特点有它的好处,也有它的问题。在已有的区块链技术的基础上,如果能通过零知识证明这样的技术去弥补它存在的问题,这肯定是一件好的事情。关于这点其实今年发生的 Tornado cash 被美国 OFAC 监管的事情,导致程序员被抓,钱包地址被禁,还有些交易所去封禁相关的交易地址。这种链上的对于隐私的尝试,在现实世界仍然是碰到了一些麻烦和问题。
现实世界一般都是灰色的。其实监管和隐私并非是天然矛盾的,监管的这个出发点很明确,就是要防止犯罪。因此监管跟用户的隐私保护是能够找到折中地带的。
传统的监管方法,比如说基于银行的 web2 的系统中,监管的方式是要先拿到用户的所有的交易数据,去分析去清洗,然后去找看看有没有犯罪的痕迹。但是在 web3 由于零知识证明等技术的发展,我们是可以去做一些对监管和隐私都会比较友好的功能创新的。最近 JP Morgan 和新加坡监管局,还有包括 Aave 和 polygon 他们一块联合在链上实现了新加坡和日元的 token 化的交易,并且在当中结合了链上 KYC 的元素。而这种 KYC 是在结合了零知识证明、隐私保护这些技术的基础上的。
简单地说,我们(zCloak)提出了一个口号,叫做 prove who you are without telling who you are。所以 KYC 或者审查身份,并不一定非要去侵犯你的隐私才能把这个任务完成的。如果我们能够实现这样的功能,那么就相当于是给这个隐私和监管这两件事之间找到了一个中间地带或者架起了桥梁,可以在保护用户隐私的同时去完成一定程度的监管。
这个点其实也是行业里很多的主流机构或者媒体都非常关注的一个方向。Crypto 这个行业发展到现在,它的体量跟传统金融相比还是非常的小的,传统的那些 old money 其实还都远远的没有进入到 crypto 这个行业里头来。因为没有监管,没有 KYC,对于传统行业的进入门槛肯定是非常高的。但是如果能用隐私保护的,基于零知识证明的方法去完成 KYC,把传统的资本和传统的资金引入到 crypto 的世界里头来,我觉得对整个大行业会是一个非常好的事情。
James
我认为隐私发展和区块链去中心化的特性是不相违背的。首先一般来讲有一定的价值才需要去保护隐私,如果没有价值或者是你把它公开以后更有价值,那肯定就会公开。区块链整体来说是要做一个价值传输的可信的 trustless 的一个网络,所以哪方面更有价值,他就应该往哪方面发展。所以这个是完全不相违背的。
另外,不法分子利用区块链技术的问题,这就跟拿刀做比喻一样,刀能做什么还是取决于使用它的人。所以在这个基础上如果再加上一定的监管的话,很有可能打通传统金融和区块链之间的壁垒。
William
我也认为是不违背的。Web3 的核心愿景就是把数据的所有权交给到用户的手中,区块链的去中心化和公开透明的本质其实是无法保证这样的核心愿景的实现的。所以说隐私技术其实也是在解决这个问题。
OASIS 提出的一个核心的愿景,就是要构建这样的一个有责数据经济。通过一些隐私计算的技术来保证用户的数据和信息隐私掌握在他们自己手中的同时,能够让他们去授权第三方来使用他们这些数据,这些数据产生的收益由用户自己来享有。我们希望把 web2 的传统平台上用户们被滥用的数据信息和收益都转回到用户的手中。
另外一项技术它本身是无所谓好无所谓坏的,只有如何去使用它才是。那么如何来拥抱监管?我们做的努力之一是,10 月中旬,在哥伦比亚波哥大举行的 ethereum 的 DEVcon 会议期间,OASIS 也是和其他一众的 Web3 隐私技术公司一起成立了一个全球隐私联盟,也是想集大家共同的力量来推进这方面的发展。同时我们也需要去教育监管机构,让他们能够更加客观地来看待这个行业。
Victor
我觉得首先得分监管在哪,如果你这个项目在国内的话,你就没有必要谈监管了,就是不合规的。然后你如果不在国内,我们再说怎么在体制之下或者不同监管下来做合规。我们可以看到比如 Paradigm 和很多行业里的比如说 Coinbase 等机构都在努力地推动监管的合规。
Buidler Space 是一档围绕行业热点事件、前沿技术、优质赛道、潜在机会等话题打造的 builder 对话栏目,旨在凝聚一批 Web3 优质 Builder,通过观点输出和思想碰撞来沉淀认知及引发思考。Space 合作欢迎联系 Julie ( WeChat: yuxiaodao777 )