Multicoin合伙人：三大隐私技术为何我更看好FHE

作者：Kyle Samani，Multicoin Capital管理合伙人；翻译：金色财经xiaozou

近期链上隐私话题讨论热度持续攀升，相关讨论主要是由Helius首席执行官Mert引领的。我们投入大量时间研究隐私技术，并进行了可观的资金投入。

下面是我们的几点思考：

资产本身比隐私属性更重要

这意味着用户不需要"恰好具备隐私功能"的随机资产，而是希望为自己本就青睐/持有的资产增加隐私选项。对99%的人而言，资产波动风险远大于隐私带来的益处。

实现链上隐私主要存在三大技术路径：

可信执行环境（TEE）

零知识证明(ZK)

全同态加密(FHE)

在评估最优方案时，我们首先需明确优化目标。我认为有三项关键变量：

一、能否在无需许可的环境中运行。

二、具备执行任意DeFi操作的能力，且能像处理透明交易一样对DeFi进行逻辑推演。

三、算法与硬件协同的扩展性能（换言之，不受延迟约束……这与上述第一项有天然的冲突）。

第一项变量虽显而易见却值得特别关注，因市场上仍存在关于可信执行环境的讨论。可信执行环境在许可制场景下隐私表现卓越，但无法适用于无需许可的环境。其防护机制已被多次证实存在漏洞。最近案例如下：

**第二项变量是最微妙且最难理解的一点。**这正是零知识证明技术的短板所在。

为理解其原因，我们以最简单的隐私应用zcash为例（不涉及DeFi）：当你提交屏蔽交易时，生成的证明大致声明"本次转账后我的余额保持为正数"。但若聚合1000笔此类交易后，外部观察者对链状态能获取什么信息？一无所知。

现在试想在此基础上构建DeFi生态。当交易无法感知或交互他人资产时，DeFi要如何运转？

过去十年间，包括Aztec、Aleo在内的众多团队不断攻关此难题（可能还有不少我此刻未能记起的项目）。这些团队均需应对上述根本性挑战：如何设计零知识证明系统以允许外界选择性读取信息（例如贷款抵押品数量）。

试想作为DeFi开发者的处境：你不仅需要设计协议，还必须：1）在功能受限的前提下构建；2）精通零知识证明原理。谁会愿意在承担额外风险的情况下，开发管理着九到十位数资金的DeFi系统？这着实令人却步。

虽然众多零知识DeFi团队努力提升系统易用性，但底层技术复杂性依然难以克服。更关键的是，这相当于要求从头重建所有DeFi基础组件。

当前DeFi面临的根本挑战在于：其运作必须依赖对全局共享状态的逻辑推演能力。

或许存在通过选择性逻辑重构DeFi的可能性，但我对此深表怀疑。鉴于涉及数十个定制化零知识电路的技术风险，要向全球验证这一构想，恐怕需要长达十年的努力。

那么何为全同态加密？FHE允许对加密数据进行计算，这被视为密码学领域数十年来追求的圣杯。

以FHE作为核心密码学架构来构思隐私DeFi其实非常简单——其逻辑推演方式与透明环境完全一致！不同之处在于，所有数据虽不再透明，却仍能进行任意计算。

是的，这堪称魔法。

最后是关于第三项变量的扩展性的思考：FHE扩容的优势在于完全受硬件算力制约，网络开销为零。这意味着其性能将随算法、CPU、GPU、FPGA乃至ASIC芯片的演进自然提升。

现有诸多隐私方案严重依赖安全多方计算或混淆电路技术，但这些均受网络带宽限制——随着验证节点数量增加，计算性能反而下降。（这种性能损耗比共识机制带来的损耗更具破坏性。无需许可共识产生的性能损耗在CPU和延迟方面大致是固定的。）

实证表明，以太坊承载100万验证节点的实例正是最佳佐证。

这其实与我们的直觉相符：在任何安全多方计算配置中，计算任务实际被分散到多台计算机执行。数据在计算机间传输的次数越多，计算速度就越慢。电子在6英寸芯片内的移动速度永远比在6英里电缆中快百万倍。

全同态加密是唯一能通过硬件升级实现扩展的方案。鉴于当前各大AI实验室的巨额投入，未来硬件算力必将迎来惊人提升。（ASIC通常比GPU性能强100-1000倍。）

基于上述背景，Multicoin Capital于2023年中与Protocol Labs共同领投了隐私计算公司Zama的7300万美元融资。

我与传奇人物Juan Benet共同加入了Zama董事会。此后，联合创始人兼首席执行官Rand带领团队取得显著成就：组建超过30名博士的研究团队，大幅提升全同态加密性能，并成功推进商业化落地。

Zama在此后进一步完成多轮融资，目前资金储备极为充裕。

Zama于数月前上线公开测试网，主网及代币即将推出。你可通过以下渠道深入了解Zama开发生态：

目前仅支持EVM，2026年将兼容SVM。适配所有现有EVM链。

不发行新公链！

最后，鉴于多数人对Zama全同态加密性能持怀疑态度，我愿以此作结：突破性进展已至！