作者：Derek Walkush，Variant Fund投资合伙人；翻译：0xjs@金色财经

从长远来看，大多数链上交易未来可能都是隐私的。

加密货币的透明性束缚了许多应用程序开发人员。开发人员可以使用敏感用户数据构建的应用程序的设计空间要广阔得多，从游戏到私人订单簿再到 MEV 基础设施。

从2015 年到 2022 年，数据泄露事件增加了一倍多，科技消费者现在对 Web3 和传统技术中个人数据的保护和脆弱性更加担忧。虽然对隐私的关注可能会起起落落，但一个更大的趋势正在变得清晰：随着海量数据收集和基于数据的货币化的增长，在线足迹越来越容易追溯到大型科技巨头和针对这些蜜罐的外部对手。

在成熟的应用程序类别中，一些现有应用程序正面临新的隐私优先挑战者；2019 年至 2021 年，Telegram 和 Signal 等加密消息应用程序的崛起就是一个例子。在加密货币领域，Brave 在最近的熊市中取得了极其令人印象深刻的增长，2023 年 11 月的MAU达到历史新高，攀升至约6600 万。从长远来看，这大约占Firefox 2022 年用户量的 15% 。因此，许多加密项目现在竞相提供引人注目的产品化工具和解决方案，使构建隐私应用程序尽可能简单。

在加密货币中利用隐私技术的例子似乎无穷无尽。在消费者方面，我们看到了扑克（poker）和战争迷雾（fog of war）等完全链上隐私游戏的令人兴奋的实验。在 DeFi 领域，一些人正在构建“暗订单簿”，这是公开市场参与者无法查看的交易环境。（就背景而言，2019 年 4 月，暗池成交量估计占传统股票成交量的 40%。）暗池流动性还可以通过降低 MEV 来推动更有效的市场结果。由于区块链的完全公开性质，许多成熟的贸易公司被禁止执行复杂的策略，因此更大的隐私甚至可以为更专业的金融参与者进入加密生态系统打开大门。

加密货币缺乏用户隐私仍然是扩大采用的瓶颈。为了适应新的隐私期望，加密应用程序构建者必须从一开始就优先考虑隐私。

那么，加密应用程序建设者应该如何在隐私解决方案全景中选择？

保护用户隐私的方法

目前构建隐私应用程序的主要通用方法是可信执行环境（TEE）、零知识（ZK）、多方计算（MPC）和全同态加密（FHE）。

以下是每种方法以及代表性项目的简要概述。

整个领域还处于非常早期的阶段，因此以下比较只是对未来几年每种技术所需发展的预测。这些方法也不等同或可以互换；概括起来，它们可以大致分为专用硬件（TEE）和密码学（ZK、MPC、FHE）。此外，其中许多实际上是重叠的。例如，FHE 必须与 ZK 和/或 MPC 结合使用。话虽如此，通过研究每种方法的发展轨迹，我们可以得出关于更广泛的隐私类别如何发展的可行见解。

TEE

* 描述：可信、安全的链下计算环境

* 项目：ARM TrustZone、AWS Nitro、Intel SGX、Secret Network

ZK

* 描述：应用零知识密码学来验证隐私数据和计算

* 项目：Aleo、Aztec、Mina、Nocturne、Privacy Pools

MPC

* 描述：对隐私数据的单独片段进行联合计算

* 项目：Nillion

FHE

* 描述：加密数据的计算

* 项目：Fhenix、Inco、Sunscreen、Zama

选择基础设施的两个关键因素是隐私信任假设和性能；这些都是非常微妙的术语，下面的两个矩阵解开了这两个概念。它们展示了数据保持隐私性的假设（它们对于考虑构建隐私应用程序的开发人员极其重要）以及实现特定性能水平所涉及的权衡。

随着时间的推移，我们可以预期市场力量将为其中许多技术带来更高效的技术成果。硬件加速和其他催化剂可能会显著提高新技术的性能，尽管时间范围仍相当不清楚。从长远来看，这些方法中的每一种都可以控制自己的市场角落。

下图比较了每个关键维度，包括： 可组合性，意味着其他应用程序与隐私状态交互的能力；技术复杂性；创建去中心化协议的潜力；当前性能水平，意味着潜在的吞吐量；以及基于前面提到的维度的最佳用例。该图表可以被视为每种方法对其性能水平所做的权衡。

如上所示，每种方法都有不同的权衡。其中一种本质上并不比其他更好，但每种都根据其优化内容最适合特定类别的应用程序。例如，构建更加中心化的暗订单簿的公司可以使用 TEE，而构建隐私借贷协议的项目可以选择 FHE 或 ZK。

请注意，其中许多技术可以组合起来，它们的交叉点通常是一些最有趣的方法。例如，ZKP可用于去除基于TEE的暗订单簿的operator功能，而MPC通常用于在FHE中分发加密密钥。这些分类的目的是提炼每种孤立方法的最高级别的技术考虑因素。最后，该类别对潜在非法活动具有明显的监管影响；对于基础设施建设者来说，注意合规性至关重要。

每种方法的优缺点

TEE

可信执行环境（TEE）涉及可信、安全环境中的链下计算。TEE 已被许多加密机构用于各种任务，而隐私应用程序只是其中一个小用例。它们可以是基于软件或硬件的，但是最普遍的是可信的硬件。由于该基础设施处于链下且处于孤立的环境中，因此交易对公共市场参与者来说仍然是隐藏的。

实际上，这可能看起来像交易者在不知道完整订单簿的情况下发布订单，并且如果池子中该交易的另一方有流动性则进行匹配，而没有任何一方透露他们的出价或要价。

到目前为止，TEE 的一个值得注意的应用是暗订单簿，TradFi 中已经存在类似的基础设施：“暗池”，这是公开市场之外的私人交易所，由一些世界上最大的金融机构（高盛的 Sigma X和摩根士丹利的MS Pool就是两个例子。暗池用于限制大额交易对市场的影响。

虽然 TEE 性能很高，但它是本文中提到的唯一有效的中心化方法，但它存在各种缺点。一种批评是，与大多数传统硬件相比，它们仅是微小的改进，并且具有类似的风险。侧信道攻击是一个值得注意的问题，并且过去曾发生过；开发人员还需要非常依赖制造商。话虽这么说，它们非常实用、易于构建且性能卓越。

优点：

* 基础设施功能强大、经过测试且已建成

* 与当前替代品相比性能优异

缺点：

* 通常需要为暗池等应用程序引导足够的流动性

* 依赖 AWS、Intel 等中心化供应商，这些供应商可能遭到攻击/破坏，虽然较为少见，并引入了审查/去平台化风险

ZK

零知识（ZK）可以用来在不泄露任何信息的情况下证明计算的正确性。ZK 是一项影响极其深远的技术，隐私只是一个很小的用例。迄今为止，ZK 已主要应用于扩展——将密集计算移至链外，然后使用 ZKP 来验证计算的正确性。隐私领域有多种 ZK 应用程序，但三大类（虽然不完全涵盖）是通用 ZK、ZK L1/L2 和隐私池。

首先，利用 ZK 进行隐私应用的开发人员可以从头开始并自行构建证明电路，或者使用 zkVM。zkVM 为任意代码提供执行环境，并生成 ZKP 证据，验证代码是否诚实执行，而不会泄露任何有关实际计算的数据。重要的是，通用 zkVM 必须与去中心化私有计算（DPC）方案如Zexe相结合。

其次，ZK L1 和 L2 允许用户在一个生态系统中与隐私状态进行交易，或将隐私的链上操作转移到这些网络或层。他们有效地构建了隐私优先的 zkVM。例如Aleo、Aztec、Mina等。

最后，隐私池掩盖了公链上的交易。他们使用 ZK 来验证用户的存款地址，隐藏资金流向新的提款地址。隐私池不仅供用户使用，还可以与某些应用程序集成。

重要的是，ZK本质上是验证隐私状态，所以仍然必须有一个隐私的执行环境来生成证明；在许多情况下，这是客户端并直接在用户的设备上（其中存储原始形式的实际隐私数据）。ZK 在隐私方面的一个早期例子是去中心化身份，用户可以证明其身份的敏感方面，而无需在链上公开透露实际数据。

优点：

* 具有很强的通用性，适用于许多隐私用例

* 通常非常可组合，这意味着应用程序可以进入被动隐私状态

缺点：

* 计算强度大，技术仍处于早期阶段（尽管比 FHE 更进一步）

* 通常需要了解不同的编程语言或 ZK 电路

MPC

安全多方计算（MPC）使多方能够联合对隐私数据进行计算，其中每一方仅持有隐私数据的一部分。只有一个分片，一方无法访问隐私数据，并且不同的各方也无法访问其余数据。MPC 在加密领域有很多用例——密钥管理是一个值得注意的例子——但隐私应用程序开始使用MPC。

实际上有两种方法可以构建此类 MPC：1）用户是联合计算的参与者，或者 2）用户将交易委托给另一方。从信任假设的角度来看，第一个是理想的，但在逻辑上更难以执行；大多数项目采用第二种方法。还应该提到的是，MPC 的一个明显风险是各方之间的勾结，这可能会拼凑他们的分片来查看隐私数据。

MPC 最适合用于涉及多方的隐私计算（尤其是输出公开的情况），但不能太多。FHE 等其他技术方法通常依赖于 MPC，因此如果参与方数量很大且分布适当，并且计算是一次性的且不是非常复杂，那么 MPC 可能就足够了。去中心化扑克游戏是 MPC 良好用例的一个例子。

优点：

* 可应用于许多涉及一次性计算的隐私用例

缺点：

* 不能很好地适应很多参与方的情况

* 不能用于高吞吐量应用程序，因为执行速度相当慢

FHE

全同态加密 (FHE) 允许在加密的隐私状态上进行计算。换句话说，用户可以在链上进行交易，而无需透露任何有关交易的信息。实际上，这可能涉及在 DEX 上交换代币或存入借贷池，但不会有关于交换哪些代币或存入多少代币的公开链上数据。

仅 FHE 不足以保护隐私。大多数方法都使用与 MPC 的某种组合来对加密密钥进行分片，因此没有一个中心化方能够解密所有隐私状态。ZK 还经常用于验证交易——包括输出和输入的有效性，因为所有数据都是加密的——因此合约可以在不泄露信息的情况下与隐私状态交互。

这项技术还处于非常早期的阶段，仅仅几年前，像TFHE这样的方案才发布，可以实现所有四种主要数学运算以获得精确的输出，而不是近似的输出。此外，任何合理的性能水平都需要硬件加速。FHE 在连续轮次计算中的扩展性也不是特别好；随机噪声被添加到加密数据中，随着计算的增加，数据会非线性增长。虽然 FHE 处于比其他提到的方法更早的开发阶段，但它对于需要少量参与方的高可组合性的计算来说是最佳的；例子包括隐私借贷市场和高级消费者应用程序。

优点：

* 完全在链上共享隐私状态的唯一方法

* 可应用于大多数隐私用例

缺点：

* 当前状态下性能很差

* 依赖于 ZK 和 MPC 等其他技术，这些技术都有自己的缺点和信任假设

展望未来

隐私基础设施和应用程序现在是加密货币的必需品，并且仍处于开发的初始阶段。我们预计这些解决方案的前景将继续迅速扩大。

这里介绍的每个隐私解决方案都有不同的权衡，并且最适合不同的应用程序套件。隐私类别出现得如此之早且规模如此之大，以至于说单一方法将获胜的说法有些简化。

放眼长远来看，许多与隐私相关的新技术将不可避免地出现。这一类别是加密货币领域最具活力和快速发展但不透明的类别之一。而这个阶段显然还只是创新的第一个时代。