Zama 机密区块链协议Litepaper

发布于:2025-07-06 ⋅ 阅读:(19) ⋅ 点赞:(0)

1. 引言

Zama团队2025年7月1日发布其Zama 机密区块链协议 简明白皮书(Litepaper),详情见Zama Confidential Blockchain Protocol Litepaper

2. 区块链的“隐私困境”

为何需要区块链?

  • 当人们谈及构建去中心化应用(dapps)时,这个问题常常被提出。毕竟,如今使用的大多数服务并不基于区块链,却依然运转良好。

然而,在某些应用场景下,“盲目信任第三方”可能会带来极高的代价——如涉及金融资产、身份认证或治理时。此类场景中,用户与企业都希望获得强有力的保障,确保所提供的服务是正确的;而服务提供方也希望确认其用户确实拥有其声称的数据或资产的使用权。

区块链正是为此设计:

  • 它允许任何人公开验证一个请求是否按照预定义逻辑被执行,并确认系统的最终状态是否正确。这样一来,服务提供方和客户之间无需相互信任,交易的完整性由区块链本身保障。

然而,公开可验证性的一大问题是:

  • 为了达成这一目标,必须将所有交易与数据对所有人公开,否则就无法验证。

这种缺乏“隐私性”的特性,成为区块链全球普及的一大障碍。毕竟,区块链正是被设计用于处理极其敏感的数据——如货币、身份等。如果没有隐私保护,区块链技术将难以实现真正的大规模采用。

2. Zama 的机密区块链协议

Zama Confidential Blockchain Protocol(简称 Zama 协议)使得可以在任意 L1 或 L2 区块链上部署和运行机密智能合约。它是目前最先进的隐私协议之一,具备以下特性:

  • 1)交易输入与状态的端到端加密:任何人都无法查看交易内容,哪怕是节点运营者也无法访问。
  • 2)可组合性强:机密合约之间可以组合,也可以与非机密合约自由交互。开发者可在已有的合约、代币与 dapp 基础上搭建。
  • 3)可编程的隐私机制:智能合约可定义“谁能解密哪些数据”,开发者对隐私控制逻辑拥有完全自主权。

值得强调的是,Zama 协议并不是一个新的 L1 或 L2,而是一个跨链隐私层(cross-chain confidentiality layer),构建在现有区块链之上。用户无需桥接至新链,可以直接在原有链上与机密 dapp 进行交互。

Zama 协议利用了 Zama 最先进的全同态加密(FHE, Fully Homomorphic Encryption)技术,这项技术能够直接在加密数据上进行计算。FHE 长期以来被认为是密码学的“圣杯”,因为它能为任意应用(无论是链上还是链下)提供真正的端到端加密。

就像互联网曾从无加密的 HTTP 过渡到传输加密的 HTTPS,下一步的自然演进就是使用 FHE 实现默认的端到端加密,并将其应用于所有应用场景——Zama团队称之为 HTTPZ

然而,直到最近,FHE 仍存在以下几个严重问题:

  • 性能太慢
  • 能支持的应用类型极其有限
  • 对开发者而言难以上手

这正是 Zama 团队在过去 5 年专注解决的问题。如今,Zama团队已构建出一个高效的 FHE 技术体系,它可以支持各种类型的应用,并支持使用 Solidity、Python 等主流编程语言进行开发,同时其执行效率已经比 5 年前提升了 100 倍以上。

更重要的是:Zama 的 FHE 技术已经具备抗量子能力(post-quantum),目前没有任何已知的量子算法能够破解它。

虽然 FHE 是 Zama 协议的核心技术,但Zama团队还结合使用了 多方计算(MPC) 和 零知识证明(ZK) 来解决其他隐私解决方案的缺陷:

  • 1)FHE 提供完全机密性,同时又支持公开可验证性(任何人都可以重计算 FHE 运算并验证其结果)。
    • 使用 GPU 即将使其支持超过 100 笔交易/秒,而专用硬件加速器(如 FPGA 与 ASIC)将使其扩展到 每秒数千笔交易。
  • 2)MPC(多方计算) 使得能够去中心化地维护全局网络密钥,确保没有任何单一方能访问它。
    • Zama团队仅使用 MPC 来生成密钥并为用户解密数据,从而最大限度地减少通信与延迟,使其比用于计算的传统 MPC 更具可扩展性和去中心化性。
  • 3)ZK(零知识证明) 用于验证用户所提交的加密输入是否正确加密。
    • 由于只用 ZK 来验证这一特定步骤,因此生成的 ZK 证明十分轻量,可以在浏览器或移动端快速生成、成本极低。

下表总结了 Zama 协议 相较于其他常用于区块链隐私协议的技术的优势:

特性 Zama 其他 FHE MPC ZK TEE 私有链
安全性(Secure)
去中心化(Decentralized)
可验证性(Verifiable)
可组合性(Composable)
可扩展性(Scalable)
易用性(Easy to use)

3. 路线图(Roadmap)

Zama 协议建立在 Zama 多年研究与开发工作的基础之上。目前测试网已上线,主网预计于 2025 年推出,代币生成事件(TGE)将于年末进行。时间安排如下:

  • 1)公开测试网(已上线)
    任何人都可以部署并测试自己的机密 dapp,同时节点运营者也能协作与熟悉协议操作流程。
  • 2)以太坊主网部署(2025 年第四季度)
    Zama 协议将首先部署在以太坊主网上,实现对 Ethereum 的隐私支持。初期仅限通过 Zama 审核的应用上线。
  • 3)TGE + 更多 EVM 兼容链支持(年末)
    年底将发布 $ZAMA 代币,并将支持更多 EVM 兼容链。届时,任何人都可以无需许可地部署自己的隐私应用。
  • 4)Solana 支持(2026 年)
    在初期仅支持 EVM 链之后,将扩展 Zama 协议至 Solana,支持基于 Solana 的机密智能合约(SVM)。

4. 应用场景(Use Cases)

机密智能合约为区块链应用打开了全新的设计空间,尤其在金融、身份识别与治理等领域尤为重要。

回顾 Web2 世界,大多数应用并不会公开所有用户数据。因此,随着区块链机密性问题被解决,可以预见,绝大多数真正有意义的区块链应用还未被构建。

以下是一些典型的应用场景:

  • 1)金融(Finance)
  • 2)代币(Tokens)
  • 3)身份与治理(Identity and Governance)
  • 4)其他应用示例(Other Examples)

4.1 金融(Finance)

机密智能合约链上金融(Finance)场景应用有:

  • 1)机密支付(Confidential Payments)
  • 2)资产代币化与现实世界资产(Tokenization & RWAs)
  • 3)机密 DeFi(Confidential DeFi)

4.1.1 链上金融应用之机密支付(Confidential Payments)

稳定币是区块链目前最成功的应用之一,年交易量达数万亿美元。从信用卡支付、工资发放、跨境汇款到银行清算系统,一切都正逐步转移到链上。但隐私和合规性始终是基本需求。

借助 FHE 和 Zama 协议,这已经成为可能:

  • 用户余额和转账金额始终端到端加密
  • 支付服务商可将合规机制直接嵌入到代币合约中

更多详情可参看:

4.1.2 链上金融应用之资产代币化与现实世界资产(Tokenization & RWAs)

金融资产的代币化是机构采用区块链技术的主要驱动力之一。从基金份额、股票、债券到衍生品,全球有高达 100 万亿美元的资产存在链上转移的潜力。

然而,由于隐私和合规问题,传统金融机构(TradFi)往往不得不依赖私有链,导致机构之间难以互操作。

借助 Zama 协议,机构可以在如 以太坊或 Solana 这类公链上:

  • 安全地代币化并交易资产
  • 保持业务活动和投资者身份机密
  • 通过智能合约直接进行 KYC / AML(身份认证 / 反洗钱)检查,而无需向他人暴露敏感数据

更多详情参看:

4.1.3 链上金融应用之机密 DeFi(Confidential DeFi)

DeFi 彻底重塑了金融行业,让任何人都可以参与并获得收益,但仍面临两个关键问题:

  • 用户不愿公开自己的资产数量
  • 存在机器人抢跑(front-running)行为,导致链上资产兑换成本高昂

FHE 能够解决以上两个问题:

  • 实现端到端加密的 swap 操作,金额和资产始终保密
  • 构建机密借贷、链上信用评分、期权定价等新型金融协议

4.2 代币(Tokens)

机密智能合约链上代币(Tokens)场景应用有:

  • 1)密封投标拍卖(Sealed-bid Auctions)
  • 2)机密分发(Confidential Distributions)

4.2.1 链上代币应用之密封投标拍卖(Sealed-bid Auctions)

可以在链上进行密封投标拍卖,出售资产如 NFT 或代币:

  • 每位参与者在链上提交一个加密的出价
  • 拍卖结束后,出价最高者中标
  • 整个过程中不会公开任何投标信息

这不仅提升了价格发现效率,还能防止机器人通过监控 mempool 抢标,特别适用于公募代币销售等场景。

4.2.2 链上代币应用之机密分发(Confidential Distributions)

目前在链上分发代币时,必须公开显示每个地址接收到多少代币。
无论是空投、开发者激励、基金分配还是早期投资人分发,这种公开机制都会泄露敏感信息。

借助 FHE,协议可以:

  • 私密地分发代币
  • 在加密代币上执行解锁与归属(vesting)
  • 实现机密质押(confidential staking)
  • 保持整个分发过程私密且可验证

4.3 身份与治理(Identity and Governance)

机密智能合约链上身份与治理(Identity and Governance)场景应用有:

  • 1)可组合的链上身份(Composable Onchain Identity)
  • 2)机密治理(Confidential Governance)

4.3.1 链上身份与治理应用之可组合的链上身份(Composable Onchain Identity)

在链下,人们每天都在使用身份:从网上购物到订机票。但如果在链上操作,用户的姓名、住址、社保号等信息将暴露在公开区块链上。

FHE 可以彻底改变这一局面:

  • 可以在链上拥有完整的 去中心化身份(Decentralized ID,DID)+ 可验证凭证(Verifiable Credentials,VC)系统
  • 身份数据是加密的
  • 同时仍可与其他 dApp 完整集成与组合
  • 就像有账户抽象(Account Abstraction),也可以有身份抽象(Identity Abstraction)

这种机制对链上支付与资产代币化的合规性至关重要,合约可以以去中心化、私密的方式验证声明,而不暴露原始身份信息。

4.3.2 链上身份与治理应用之机密治理(Confidential Governance)

链上投票(无论用于 DAO、公司还是政府)一直是区块链的探索热点。

但如果投票结果在链上完全公开,可能导致:

  • 投票倾向偏见
  • 恐吓或威胁投票者
  • 被贿赂、操控等行为

通过 FHE,可以实现:

  • 投票内容与质押代币数量保持机密
  • 仅公开最终的投票统计结果
  • 不会泄露任何单个投票者的具体选择

4.4 其他应用示例(Other Examples)

机密智能合约链上其他应用示例(Other Examples)场景应用有:

  • 1)链上公司(Onchain Corporations)
  • 2)预测市场(Prediction Markets)
  • 3)AI 数据市场(Data Marketplaces for AI)

4.4.1 链上其他应用之链上公司(Onchain Corporations)

要在链上管理一家企业,没有隐私保护几乎是不可能的。

  • 如公司股权表、财务数据、董事会投票记录、客户信息以及员工名单等敏感数据都不应公开。

借助 FHE,这些信息都可以保存在链上,同时又保持加密,允许智能合约自动化执行企业日常管理操作。

4.4.2 链上其他应用之预测市场(Prediction Markets)

预测市场基于“群体智慧”原理:

  • 大量人群的平均预测往往接近真实结果。
    • 但前提是参与者不会受到他人预测的干扰。

Zama 协议提供了解决方案:

  • 参与者的预测在链上被加密,直到定期统一解密公开,这样可以提高预测的准确度。

4.4.3 链上其他应用之AI 数据市场(Data Marketplaces for AI)

AI 的发展依赖大量数据。借助 FHE,用户可以:

  • 有选择性地将自己的数据出售给需要训练模型的公司
  • 模型也可以直接在加密数据上训练
  • 最终只解密训练结果,确保用户可以持续获得数据收益,而不是一次性卖断被无限使用

以上只是部分现实可行的应用场景。
借助 Zama 协议,FHE 能为区块链带来前所未有的流动性与隐私保障,从而推动用户与企业大规模上链。

随着时间与规模的发展,未来甚至有可能在链上运行完整的公司、城市,乃至国家,包括其金融系统、身份体系、选举、货币、税收、土地、车辆与公司登记系统等。

机密区块链的意义不仅是“可编程货币”,更是“可编程的公共基础设施”。

5. 构建机密应用(Creating Confidential Applications)

使用现有的隐私解决方案构建机密 dapp 往往意味着:

  • 需要学习一门小众的新编程语言
  • 使用专用(且功能受限)的开发工具
  • 理解复杂的高级密码学概念

Zama 协议则完全不同:

  • 开发者无需懂密码学
  • 可直接使用熟悉的 Solidity 编写机密 dapp
  • 只需导入Zama提供的库(名为 FHEVM),使用内置运算符编写逻辑

更多详情可参看:

接下来的示例展示了一个机密代币合约,它可以部署在任何支持的链上,如以太坊。

pragma solidity ^0.8.26;

import "fhevm/lib/FHE.sol";
import { IConfidentialFungibleToken } from "./IConfidentialFungibleToken.sol";

abstract contract ConfidentialFungibleToken is IConfidentialFungibleToken {

    uint64 internal _totalSupply;
    string internal _name;
    string internal _symbol;

    // 账户余额是加密的
    mapping(address account => euint64 balance) internal _balances;

    // 进行加密金额的转账
    function transfer(address to, einput encryptedAmount, bytes calldata inputProof) public virtual returns (euint64) {

        // 验证输入正确性,并将其转换为 euint64 类型
        euint64 amount = FHE.asEuint64(encryptedAmount, inputProof);

        // 检查发送者余额是否充足,否则将转账金额设置为 0
        euint64 transferValue = FHE.select(FHE.le(amount, _balances[msg.sender]), amount, FHE.asEuint64(0));

        // 执行转账操作
        _balances[to] = FHE.add(_balances[to], transferValue);
        _balances[from] = FHE.sub(_balances[from], transferValue);

        // 设置谁可以查看余额,以及合约是否可以更新余额
        FHE.allow(_balances[to], to);
        FHE.allow(_balances[from], from);
        FHE.allowThis(_balances[to]);
        FHE.allowThis(_balances[from]);

        return transferValue;
    }
}

5.1 开发说明(开发者提示)

只需将整数运算替换为 FHE 的等价加密运算(如 FHE.addFHE.sub 等),然后通过 FHE.allow() 来明确指定谁可以解密余额信息。

当然,开发者不仅可以构建简单的代币合约,还可以实现更复杂的应用,如:

  • 自动做市商(AMM)
  • 链上借贷协议
  • 保密投票系统
  • 机密治理机制 等等

除了智能合约库之外,Zama 还提供了一个 JavaScript SDK,用于简化前端的加密与解密流程,使得这些复杂的加密逻辑对终端用户几乎是无感知的。

Zama 协议所采用的访问控制系统极其强大。它允许智能合约精确地定义谁可以解密其中的哪些值,从而使隐私保护(以及合规机制)完全可编程化。

该协议在设计层面不做任何假设,无论是协议层还是用户层都不预设访问权限,一切都由应用逻辑自主编码控制。这样一来,开发者与企业可以自行选择以下模式:

  • 端到端加密(End-to-End Encryption):连构建 dapp 的开发方也无法看到任何数据
  • 链上加密(Onchain Encryption):仅用户与服务方可以访问数据,类似 Web2 模式,链上其他人无法访问

5.2 FHEVM 加密类型与操作支持

Zama 协议所使用的 FHEVM 库 支持以下加密类型(encrypted types)与操作:

类型(Type) 符号(Symbol) 逻辑运算(Logical) 算术运算(Arithmetic) 比较运算(Comparison) 位移运算(Shifts) 分支(Branching)
整数 Integer euint8…256eint8…256 and, or, xor, not add, sub, mul, div, rem, neg, abs, sign eq, neq, gt, lt, ge, le, min, max shl, shr, rotl, rotr select
布尔 Boolean ebool and, or, xor, not eq, neq - select
字节 Bytes ebytes1…256 and, or, xor, not eq, neq shl, shr, rotl, rotr select
地址 Address eaddress eq, neq - select

为了简化 dApp 的部署流程,Zama团队正在构建一个名为 “Zama 标准库”(Zama Standard Library) 的组件集合,提供一套经过审计、性能高度优化的智能合约,涵盖常见使用场景,包括:

  • 1)机密代币与现实世界资产(Confidential tokens & RWAs)
  • 2)机密 NFT(Confidential NFTs)
  • 3)将机密资产与传统资产互通的包装合约(Wrappers)
  • 4)支持 DID/VC 的机密身份堆栈(Confidential identity stack)
  • 5)类似 Uniswap V2 的机密自动做市商(Confidential AMMs)
  • 6)机密归属计划(Confidential vesting)
  • 7)机密空投(Confidential airdrops)
  • 8)密封投标拍卖(Sealed-bid auctions)
  • 9)机密治理(Confidential governance)

将随着新应用场景的出现,不断扩展该库的内容。

6. 技术细节(Technical Details)

传统区块链仅支持有限的计算操作,无法在以太坊或其他 L1/L2 上原生运行 FHE(全同态加密)。
为了解决这一问题,Zama 协议基于两个核心设计思想:

  • 1)符号执行(Symbolic Execution)
  • 2)门限解密(Threshold Decryption)

6.1 符号执行(Symbolic Execution)

符号执行的核心思想是:

  • 当一个智能合约在部署的主链(L1/L2)上调用 Zama 的 FHEVM Solidity 库执行 FHE 运算时,主链自身不会真正执行这些加密计算。

取而代之的是:

  • 主链生成一个结果的“指针”
  • 然后发出事件(event),通知一个 协处理器网络(coprocessors) 来实际完成 FHE 运算

这种架构带来诸多好处:

  • 1)主链无需修改协议本身,也不需要运行昂贵的 FHE 计算或使用特定硬件
  • 2)主链不会因 FHE 运算而变慢,非 FHE 交易仍可保持原有速度执行
  • 3)FHE 运算可以并行执行,不再像传统链那样必须顺序处理,大幅提升系统吞吐量(TPS)

由于主链上的所有密文实际上只是指针(真实加密数据由协处理器存储),FHE 运算可以像普通运算一样进行链式调用,无需等待前一个操作完成。

  • 唯一需要等待的情况是当密文必须被解密时。

从安全性角度来看,协处理器所执行的所有操作都是公开可验证的,任何人都可以重新计算密文,以验证其正确性。

  • 初期阶段,使用多个协处理器并通过多数共识机制确保结果可靠;
  • 但从长远来看,目标是让任何人都能参与竞争执行 FHE 运算,并通过 ZK-FHE(零知识同态证明) 来证明计算的正确性。

6.2 门限解密(Threshold Decryption)

为了在链上保持可组合性,所有密文必须使用相同的公钥加密。
这意味着私钥(用于解密)必须得到特殊保护,防止密文被非法解密。

Zama 协议的解决方案是:

  • 将私钥拆分为多个份额,分别交给多个参与方
  • 采用一个专门的门限多方计算协议(Threshold MPC)来构建密钥管理服务(Key Management Service,KMS)

当用户或合约需要解密某个值时,必须:

  • 首先获得该值原始合约的显式授权。
  • 随后,用户可以向 Zama Gateway(Zama 网关) 发出解密请求,网关会将该请求转发给 KMS 各参与方协调完成解密。

这种设计确保了所有解密请求都是公开可见的,任何人都可以验证这些请求是否遵循了智能合约中设定的访问控制逻辑。

6.3 协议组件(Components)

Zama 协议由以下核心组件组成:

  • 主链(Host Chains):指支持 Zama 协议的 L1 和 L2 区块链,开发者可在这些链上部署机密 dapp

  • FHEVM 库(FHEVM Library):供开发者编写机密智能合约时使用的核心加密库

  • FHEVM 执行器(FHEVM Executor):一个合约,dapp 通过调用它来发起 FHE 运算请求

    • 每当智能合约使用一次 FHE 运算,该执行器都会自动发出事件(event)
    • 协处理器监听这些事件,随后执行实际的 FHE 运算
  • 访问控制列表 (ACL):部署在每个主链上的智能合约,用于跟踪谁可以解密什么内容。ACL 是 Zama 协议操作的核心,用于验证一个合约是否允许在加密值上进行计算,以及一个地址是否被允许解密它。每当一个合约允许一个地址使用密文时,都会触发一个事件并通过协处理器转发到网关,进而将所有主链 ACL 聚合成一个单一的网关 ACL,用于 KMS 在向 KMS 发出解密请求之前进行身份验证。

  • $ZAMA 代币:Zama 协议的本地代币,用于支付费用、质押和治理。

  • 网关 (Gateway):一组用于协调 Zama 协议的智能合约,允许用户请求验证加密输入、解密密文以及在主链之间桥接加密资产。这些操作都是对网关合约的交易,并需要支付少量的 $ZAMA 代币费用。

    • 虽然网关合约可以部署在任何 L1 或 L2 上,但Zama团队选择为 Zama 协议运行一个专用的 Arbitrum rollup,以确保最大化的性能和成本效率。
      • 请注意,这不是传统意义上的 L2,因为它仅服务于 Zama 协议,并不允许第三方合约部署在上面。
  • 协处理器 (Coprocessors):一组负责以下任务的节点:

    • 1)验证用户的加密输入,
    • 2)执行实际的同态加密计算并存储结果密文,
    • 3)将 ACL 事件转发到网关。

    Zama 协议使用多个协处理器,每个协处理器将其结果提交到网关,网关再执行多数共识。协处理器执行的所有任务都可以公开验证。协处理器可以根据各种机密 DApp 的吞吐量需求进行纵向和横向扩展。

  • 密钥管理服务 (KMS):一组运行各种多方计算 (MPC) 协议的节点,用于密钥生成、CRS 生成和门限解密。KMS 确保没有单一方能够访问解密密钥。KMS 节点由网关协调,确保所有操作都是公开可见的。此外,所有 KMS 节点必须在 Nitro Enclaves 内运行 MPC 软件,这使得operator泄露他们的密钥份额变得更加困难,同时提供一定程度的 MPC 计算完整性。最终目标是使用 ZK-MPC 来实现无需硬件假设的可验证性。

  • 操作员 (Operators):运行 Zama 协议节点的实体集合,包括协处理器和 KMS 节点。

以下图表展示了一个机密代币转移在各个组件中的生命周期:
在这里插入图片描述

6.4 性能

Zama 协议旨在实现横向扩展,利用先进的 TFHE-rs 库。与 EVM 的顺序行为不同,Zama 协议对 FHE 操作的计算进行了并行化。只要特定的密文没有在一系列顺序的 FHE 操作中使用,协处理器就可以通过增加更多服务器来简单地提高吞吐量。

自从开始开发 Zama 协议以来,Zama团队已经能够将吞吐量从每秒 0.5 笔交易指数级地提高到每秒超过 20 笔交易。需要注意的是,这个吞吐量是按主链计算的,这意味着 Zama 协议理论上已经能够支持每秒数百笔交易在所有主链上。虽然这已经足以覆盖大多数 EVM 链(以太坊大约为 15 tps),但对于零售支付(VISA 每秒 25,000 笔交易)和 Solana(每秒超过 1,000 笔交易)仍然不足。

为了弥补这一差距,Zama团队将逐步转向更强大的硬件。

  • 首先,将从 CPU 转向 GPU,将每条链的吞吐量提高到每秒约 50-100 笔交易(假设是与状态无关的交易)。
  • 接下来,将利用最近开源的 FPGA 加速器,目标是每条链达到 500-1000 tps。最终,使用专用硬件加速器(ASIC)将使每条链的吞吐量达到 10,000+ tps。

这里的重点是,FHE 不再受到基础算法的限制,而是主要受到摩尔定律的推动:

  • 硬件越好,Zama 协议的吞吐量就越好。
    在这里插入图片描述

6.5 安全性

Zama 协议采用深度防御策略,结合多种技术确保最大安全性:

  • 对所有 FHE 操作使用 128 位安全性和 2 − 128 2^{-128} 2128 的 p-fail,这比当前区块链中使用的任何其他 FHE 方案都要高得多。此外,Zama的 FHE 方案是后量子安全的,意味着即使面对量子计算机,它也是安全的。
  • 所有 FHE 操作都是公开可验证的,允许任何人重新计算结果并识别恶意的 FHE 节点。这类似于乐观 Rollup 的安全性,但用于 FHE 计算。此外,Zama不运行单个 FHE 节点,而是有 3 个operator运行 FHE 节点并签署其输出,从而实现乐观安全性和共识。
  • 对所有 MPC 协议使用 13 个节点,并采用 2/3 多数规则,而大多数其他项目仅使用 3 至 5 个节点。此外,Zama的 MPC 协议是鲁棒的,意味着即使有最多 1/3 的恶意节点,它仍然能够输出正确结果。据Zama团队所知,这是第一个在生产中实施的鲁棒 MPC 协议。
  • 此外,Zama的 MPC 协议运行在 AWS Nitro Enclaves 内部,增加了一层深度防御,防止对协议外部 FHE 份额的访问。该 Enclave 还提供了对 MPC 节点运行的软件版本的证明,允许协议跟踪软件更新。MPC 和 Nitro 的结合意味着,恢复 FHE 份额并在协议外使用它们将需要 Amazon 和多个 MPC 节点的串通。
  • Genesis operator是具有高度声誉的组织,通过其非 Zama 活动在外部拥有数十亿美元的利益,无论是作为专业验证者、基础设施提供商、企业或其他。由于他们都是实名的,任何人都可以看到他们是否行为不当。这为经济安全带来了超越链上质押的保障,因为在 Zama 协议中被抓到行为不当,很可能会影响他们的其他活动。
  • 罚款(Slashing)通过治理来进行,任何人都可以建议对发现operator的不当行为采取相应的措施。这提供了更大的灵活性,允许在捕捉边缘案例时逐个处理问题。
  • Zama 协议正由 Trail of Bits 和 Zenith 进行审计。这是对加密协议最大的审计之一,目前已投入超过 34 个审计周。

6.6 合规性

构建机密应用通常需要遵守当地的法规。如,金融机构需要知道他们的客户是谁,验证他们是否有资格访问特定的金融工具,确保他们没有被列入黑名单等。

与许多将合规责任放在最终用户身上的区块链机密性协议不同,Zama 协议使应用能够直接在智能合约中定义自己的合规规则。

拥有“可编程合规性”是 FHE 提供的一个关键优势,这意味着协议本身并不干涉谁可以访问哪些加密值。开发者决定什么是他们应用程序最好的,而不是 Zama 协议。

6.7 未来改进

Zama 协议是目前最先进的机密性协议,已经能够扩展以解决大多数区块链用例。然而,我们仍在努力改进几个领域,以使其更加去中心化、安全和可扩展。这些改进通常依赖于更好的硬件、更好的算法,以及将一切转向 ZK:

  • 1)达到 10,000+ tps
  • 2)使 KMS 更加坚不可摧
  • 3)使任何人成为operator
  • 4)使协议完全后量子化

6.7.1 达到 10,000+ tps

为达到 10,000+ tps,具体措施有:

  • 新 FHE 技术:将不断发明新的 FHE 技术以提高性能。预计基本算法在未来几年内将提高 10 到 20 倍,这类似于过去几年 ZK 在性能上的提升。
  • FHE ASIC:正在与几家公司合作,利用专用硬件加速 FHE。目标是通过 ASIC 将 FHE 提速 100 倍到 1000 倍,就像比特币挖矿或 AI 通过专用硬件得到了提升一样。预计第一批加速器将在 2027 到 2028 年推出。
  • ZK-rollup 网关:目前,网关使用的是乐观 rollup。目标是迁移到 ZK rollup,并提高性能,支持每秒数万个交易,延迟低于 100 毫秒。

6.7.2 使 KMS 更加坚不可摧

为使 KMS 更加坚不可摧,具体措施有:

  • ZK-MPC:目前,所有的 MPC 协议都要求对运行协议的节点进行多数假设。虽然在实践中这是可以接受的,但在理论上它允许 MPC 节点串通并提供不正确的结果。我们当前的设计依赖 AWS Nitro Enclaves 来确保 MPC 节点运行正确的软件,但这使得可验证性依赖于硬件安全性,存在一定的不足。为了解决这个问题,我们正在开发在 MPC 协议中加入 ZK 证明,使任何人都能验证 MPC 节点的单独贡献是否正确。
  • 大型 MPC 委员会:MPC 的扩展性较差:参与方越多,运行速度越慢。因此,大多数 MPC 协议都使用少于 10 个节点。尽管 Zama 协议已经使用了更多节点(13 个),但增加到 100 个节点会更理想,从而确保更强的鲁棒性和去中心化。

6.7.3 使任何人成为operator

为使任何人成为operator,具体措施有:

  • 在 HSM 中运行 MPC:MPC 协议的一个主要问题是需要信任节点不会泄露它们的私钥份额。这通常是通过使用可信执行环境(TEE)和受信节点委员会来完成的。然而,这并不能实现无权限参与,因为恶意攻击者可能会试图突破 TEE 并访问其中的机密。作为替代方案,Zama团队正在探索如何在银行和其他关键基础设施使用的 HSM 中运行 MPC。
  • ZK-FHE:通过证明 FHE 计算的正确性,可以用类似工作量证明(Proof-of-Work)的协议来替代协处理器共识,在该协议中任何人都可以竞争执行 FHE 操作,只要他们提供结果正确的证明。目前,ZK 在 FHE 上的开销使得这一点不切实际,但Zama团队正在取得不错的进展。

6.7.4 使协议完全后量子化

为使协议完全后量子化,具体措施有:

  • 后量子 ZKPoK:Zama 的 FHE 和 MPC 技术已经对量子计算机具有抵抗力。然而,ZKPoK(类似于大多数 ZK-SNARKs)尚不具备这一点。Zama团队正在致力于用基于格的后量子 ZK 方案替代它。
  • 后量子签名:虽然可以使 Zama 协议组件具备后量子安全性,但主链(Host Chains)使用的签名方案目前并不具备后量子安全性。遗憾的是,Zama团队无法控制这一点,因为这需要以太坊、Solana 和其他 L1/L2 社区迁移到后量子签名。

7. 操作与治理

Zama 协议使用委托权益证明(Delegated Proof-of-Stake,DPoS),由 16 个operator运行协议:

  • 最初为 13 个 KMS 节点和 3 个 FHE 协处理器(随着时间的推移,数量将逐步增加)。

operator的选择遵循以下规则:

  • 创世operator根据声誉、DevOps 经验和链外价值(股权、收入、市值等)进行选择。这通过声誉引导安全性建设,因为具有大规模业务价值的operator,如果在 Zama 协议中被发现行为不当,很可能会失去客户。
  • 将逐步允许任何人成为 KMS 或协处理器operator。为此,他们首先需要证明能够在测试网中可靠地运行一个节点,然后质押至少 0.5% 的流通 $ZAMA 代币。每个周期(最初为 3 个月)结束时,将选择质押金额排名前 13 的 KMS operator和排名前 3 的协处理器operator来运行下一个周期的协议。
  • 16 个活跃operator将根据他们的角色和质押情况获得 $ZAMA 代币的质押奖励。

Zama团队目前正在寻找创世operator!可填写 Zama MPC Partner Qualification Survey调查表来申请。

具有有限基础设施能力的代币持有者,虽然不符合成为操作员的资格,仍然可以通过将他们的 $ZAMA 代币委托给白名单上的操作员来参与安全协议并赚取奖励。每个操作员可以决定如何激励他们的委托人,可以通过降低手续费或提供额外的非 $ZAMA 奖励来实现。

Zama 协议的更新必须通过大多数operator的同意才能生效。这包括软件更新、费用变更、支持新主链的添加等。唯一的例外是应急情况下暂停协议和将垃圾信息发送者列入黑名单,任何operator都可以执行此操作(但是,解除暂停 / 取消黑名单需要经过正常的社会共识流程)。如果出现滥用行为operator可能会被处罚(slashed)。这确保了 Zama 协议有一个快速的机制来解决关键问题,同时激励操作员诚实行为。

最后,$ZAMA 代币持有者通过链上投票来决定:

  • 1)通胀率的变化,
  • 2)惩罚不当行为的operator。

8. $ZAMA 代币

$ZAMA 代币是 Zama 协议的本地代币,用于协议费用、质押和治理。它遵循销毁和铸造模型,其中 100% 的费用被销毁,代币则被铸造出来奖励操作员。

8.1 费用模型

在支持的链上部署机密应用是免费的且无需权限。此外,Zama 协议不对 FHE 计算收费,而是对以下内容收取费用:

  • 验证 ZKPoKs:每当用户在交易中包含加密输入时,他们需要支付费用给 Zama 协议来验证它。费用取决于需要验证的位数。
  • 解密密文:当用户想要解密密文时,他们需要支付费用给 Zama 协议。费用取决于需要解密的位数。
  • 桥接密文:当用户想要将加密值从一条链桥接到另一条链时,他们需要向 Zama 协议发起请求,并根据桥接的位数支付费用。

协议费用可以由最终用户、前端应用程序或中继者支付。因此,开发者可以创建应用程序,而不需要用户直接持有 $ZAMA 代币。

协议费用以 $ZAMA 代币支付,但按美元定价。价格预言机定期更新网关上的 $ZAMA/USD 价格,从而更新每项协议功能所需支付的 $ZAMA 代币数量。这具有以下几个优势:

  • 确保协议费用与使用量成正比,而不是依赖于投机行为
  • 为用户、开发者和中继者创造可预测性,他们可以用美元而非可能波动的代币来建模他们的成本。

此外,Zama 协议使用基于使用量的费用模型:

  • 使用协议越多,每次操作支付的费用就越少。网关上的智能合约会追踪每个地址在过去 30 天内验证、解密和桥接的位数,并根据使用量应用折扣。折扣范围从 10% 到 99%,具体取决于使用量。

初始的费用结构如下。根据网络性能、运营成本或代币持有者提出的其他理由,费用结构可以通过社会共识进行更改:

  • ZKPoK 验证:每位 $0.016 至 $0.0002
  • 桥接:每位 $0.016 至 $0.0002
  • 解密:每位 $0.0016 至 $0.00002

解密的费用是 ZKPoKs 和桥接费用的 1/10,因为解密通常发生得更频繁(预计解密和 ZKPoK 验证的比率为 10:1)。

以一个机密代币转账为例:

  • 金额和余额是 64 位
  • 每笔交易通常会有 3 次解密,一次是发送方余额,一次是接收方余额,最后一次是最终转账金额,如果转账失败,该金额将设置为 0
  • 因此,总费用将根据折扣而有所不同:
    • ZKPoK 验证:64 * ZPoK_bit_price = $0.01 到 $1
    • 解密 2 个余额 + 金额:64 * 3 * decryption_bit_price = $0.003 到 $0.30
    • 总费用:大约 $0.01 到 $1.3(平均值)

该模型旨在使大型用户能够承受费用,同时也能使operator盈利,无论市场状况和价格波动如何。对于小型偶尔用户,每笔交易的费用约为 $1,而对于大型用户(如钱包),每笔交易的费用可以低至 1 美分。

费用最初设定为每个主链上的 1 tps 每年平均产生 350 万美金的费用。因此,如果全球 10% 的区块链交易使用 Zama 协议进行机密性保护(大约 300 tps),则协议每年可能获得高达 10 亿美金的费用收入。

8.2 质押奖励

operator需要质押 $ZAMA 代币才能参与协议的运行,并获得相关的质押奖励。作为质押奖励分发的代币将根据通货膨胀率进行铸造(最初为 10%),该通货膨胀率可以通过链上治理进行更改。

当奖励分发时,首先根据角色(排序器、协处理器、KMS 节点)进行分配,然后根据每个操作员在该组中的质押比例进行按比例分配。每个operator随后决定如何将奖励与他们的委托人分配(预计他们将收取约 20% 的佣金)。

下表总结了每个组别获得的奖励百分比以及预期的操作员基础设施成本:

角色 奖励百分比 / 操作员 操作员数量 每月基础设施成本 / 操作员
协处理器 13.3% 3 $20,000 / 10 tps(主链)
KMS 4.6% 13 $2,500 / 50 tps 解密

这种奖励分配方式确保每个operator根据他们的工作获得奖励,同时激励委托人仔细审查他们委托的操作员。

8.3 分配

更多信息即将发布—请关注 Zama 的 X 获取最新更新。

9. 关于 Zama 公司

Zama 协议源自 Zama,这是一家开源加密公司,致力于为区块链和 AI 构建最先进的完全同态加密(FHE)解决方案。

Zama 已从一些最成功的区块链投资者那里筹集了超过 1.5 亿美元,估值达到 10 亿美元,其中包括 Multicoin、Pantera、Blockchange 和 Protocol Labs,以及一些主要协议的创始人,如 Juan Benet(IPFS/Filecoin)、Gavin Wood(Ethereum/Polkadot)、Anatoly Yakovenko(Solana)、Sandeep Nailwal(Polygon)等。

9.1 团队

Zama 是一家全球运营的加密公司。它由 Rand Hindi 博士(首席执行官)和 Pascal Paillier 博士(首席技术官)于 2020 年创立,其他知名研究人员也在公司领导层中,包括 Nigel Smart 教授(首席学术官)和 Marc Joye 博士(首席科学家)。目前 Zama 拥有 90 多名员工,其中近一半持有博士学位,使 Zama 成为 FHE 领域最大的研究团队。

关于创始人:

  • Rand Hindi 是一位企业家和深度技术投资者。他是 Zama 的首席执行官,同时也是 Unit.vc 的合伙人,在该公司投资了 100 多家涉及加密学、人工智能和生物技术的公司。Rand 还是一名竞争性的生物黑客,目前在重生奥林匹克比赛中排名前 5%,其衰老速度为 0.74。Rand 从 10 岁开始编程,14 岁时创办了一个社交网络,21 岁时开始攻读博士学位。他随后创办了 Snips,一家机密人工智能初创公司,该公司被 Sonos 收购。他曾是法国数字委员会成员,向政府提供人工智能和隐私问题的建议,曾在巴黎的政治学院担任讲师,并为多家生物技术、人工智能和国防公司提供咨询。Rand 拥有伦敦大学学院(UCL)的计算机科学学士学位和生物信息学博士学位。
  • Pascal Paillier 是 FHE 和加密学的先驱,现任 Zama 的首席技术官。他发明了最早的加法同态加密方案之一(Paillier 加密方案),这一方案至今仍被广泛使用。Pascal 已发表了几十篇论文,在多个加密学领域(包括 FHE、智能卡等)做出了重要贡献。在加入 Zama 之前,他领导了 Gemalto 的加密学创新团队,并创办了加密咨询公司 CryptoExperts。Pascal 是 2025 年 IACR 会员,曾获得多个研究奖项,并主导了多个加密学的 ISO 标准。他拥有巴黎电信学院的加密学博士学位。

9.2 产品与服务

Zama团队所做的一切都是开源的,采用双重许可模式。

  • 对于非商业用途、原型设计、研究和个人项目,使用是免费的,
  • 但商业用途需要获取企业许可证或基于已获得企业许可证的协议进行开发。

在 Zama 协议上进行开发的开发者无需额外的许可证。然而,复制、分叉或在 Zama 协议之外使用 Zama 的技术是需要许可证的。

Zama团队目前提供以下产品和服务:

  • 用于 AI 和区块链的 FHE 库。包括 TFHE-rsFHEVMConcrete MLTKMS。这些库对于非商业用途是免费的,但商业用途需要企业许可证。
  • 云服务,如加密/解密中继器和解密预言机,帮助应用开发者轻松使用 Zama 机密区块链协议和基于Zama FHEVM 技术的其他协议。
  • 为公司和开发者提供的高级支持,帮助他们构建和管理 FHE 应用。

目前已有超过 5000 名开发者在使用Zama团队的库,占据了 70% 的市场份额。此外,Zama的技术已被数十家公司授权,包括 L1、L2、传统金融和 AI 领域。几乎所有使用 FHE 的去中心化协议都在背后使用 Zama 的技术。

需要注意的是,Zama 协议作为一个独立的去中心化协议进行运营。Zama公司方面提供的服务与协议本身是独立的,旨在为那些希望构建机密应用的企业和开发者提供服务,无论他们是否部署在 Zama 协议上。

10. 附加链接

Zama相关资料库有:

参考资料

[1] Zama团队2025年7月1日博客 Zama Confidential Blockchain Protocol Litepaper