目录

1 区块链中的隐私

2 区块链中面临的隐私挑战

3 隐私领域技术手段

4 隐私赛道项目方案

5 重点隐私项目分析

6 隐私赛道市场规模

7 小结

区块链通过公钥地址实现了链上身份与链下身份的解耦，实现了用户的匿名化。但是匿名不等同于隐私，链上数据的公开透明导致攻击者仍有其它手段对于用户的隐私进行威胁。对于普通用户而言，我们能够频繁看到用户私钥被盗、链上资产被盗走转移的案例。对于项目方而言，隐私同样不容小觑。例如 2022 年上半年三箭资本 (3AC) 的崩溃虽然很大程度上是自身的问题，但是也足以体现出区块链隐私对于整体系统生态稳定性的重要性。

早期随着人们关注到比特币中的隐私问题，Zcash、Dash、Monero 等隐私币应运而生。它们通过混币或零知识证明的方式实现身份数据或交易数据的匿名化。如同区块链从比特币为代表的分布式账本转向以以太坊为代表的分布式计算机、链上数据从狭义的交易转向了广义的执行脚本，隐私也从数据层的隐私向更底层的运行环境进发。2017 年推出的 Horizen 是非常早期的公链隐私方案。随着市场的发展与技术的进步，ALEO、IronFish、Espresso 等隐私公链测试网相继上线，也代表着隐私公链的逐步落地。

在区块链系统的实际使用中, 为了保证区块链上记录数据的可溯源、可验证等特性, 所有数据都必须公开给区块链网络中的所有节点。这一特性在保障安全、可验证的同时, 导致恶意攻击者可以直接获取区块链账本中记录的数据, 并通过分析数据窥探用户隐私。

以比特币为例，比特币匿名性体现在：

（1）比特币地址不能对应到真实身份，比特币地址生成在本地进行，用户可以用不同的地址来接收一笔收入。

（2）比特币交易中没有包含任何个人真实身份信息。

（3）新交易通过比特币网络辐射式传播，其他节点无法确定新交易的来源 IP。

但正如前文所说匿名不等于隐私，比特币匿名性弱点体现在：

（1）比特币服务商实名认证，通过这些信息可以对应到提款地址和充值地址。

（2）交易数据在链上透明可查，可以通过数据分析推断真实身份。

综合而言，区块链隐私主要面临三个挑战：链上身份管理、链上数据导致隐私泄露、链下数据导致的隐私泄露，其中后两者为核心挑战。

链上身份管理指用户如何能主动地、选择性地披露少量的信息或加密证明，证明用户凭据或者数据可信性。这便涉及密钥管理以及最近被相当广泛提及的分布式身份标识（DID）。DID 是一套涵盖了分布式身份管理、可信数据交换的规范。权威机构为用户完成 KYC，颁发凭据。用户将身份标识的摘要公布到链上，而将自己隐私数据存在链下，在此不多赘述。

链上数据导致隐私泄露包括攻击者从链上直接获得隐私数据，或攻击者通过交易数据推断链上地址和链下身份的关系。比如，攻击者可以通过比特币公开的区块链数据和交易链数据，以比特币匿名性几个弱点来聚类比特币地址，并且对应到真实身份或虚拟身份。

链下数据导致的隐私泄露是指攻击者可以通过链下因特网访问数据推断链下身份。利用比特币协议和比特币网络的特性来推断新交易的来源 IP 地址，攻击方法有比特币协议监控、女巫攻击、入口节点判定法和伪比特币节点等。比如当攻击者观察到给定用户在网站收到捐款之前访问该网站，可能会猜测该用户进行了捐款；此外，如果攻击者稍后观察到同一用户检查所讨论的交易是否已记入分类账，则攻击者几乎可以确认这种怀疑。

在这一部分，我们将分别从链上技术手段和链下技术手段分别进行简要的介绍，包括零知识证明、全同态加密、多方安全计算、混合机制、环签名、可信硬件、匿名通信协议。

定义

零知识证明或零知识协议是现代密码学三大基础之一，由 S.Goldwasser、S.Micali 及 C.Rackoff 在 20 世纪 80 年代初提出。

零知识证明是一方（证明者：prover）向另一方（检验者：verifier）证明某命题的方法，特点是过程中除“该命题为真”这一陈述之外，不泄露任何其他资讯。因此，可理解成“零泄密证明”。

以交易场景为例，交易的有用信息包括交易发生双方、交易的时间、资产转移数量等。零知识证明技术能够确保这些信息的私密性，在不泄露交易细节的前提下验证链上资产转移的有效性。

性质

完备性（Completeness）：只要证明者拥有相应的知识，那么就能通过验证者的验证，即证明者有足够大的概率使验证者确信。

可靠性（Soundness）：如果证明者没有相应的知识，则无法通过验证者的验证，即证明者欺骗验证者的概率可以忽略。

零知识性（Zero-Knowledge）：证明者在交互过程中仅向验证者透露是否拥有相应知识的陈述，不会泄露任何关于知识的额外信息。

技术内容

零知识证明起初以交互式零知识证明 (Interactive Zero-Knowledge Proof, IZKP) 为主，近年来非交互式零知识证明 (Non-Interactive Zero-Knowledge Proof, NIZKP) 的研究获得了愈发增多的成果。

非交互式零知识证明协议主要有三种，zkSNARK（zero-knowledge Succinct Non-interactive Argument of Knowledge，简明非交互零知识证明）、zkSTARK（zero-knowledge Scalable Transparent Argument of Knowledge，简明零知识证明）和 Bulletproof。

更多阅读

Thuba 成员 zk research(2022-11) : （强推！） https://thubadao.feishu.cn/docx/ExAAdj6bno8DFOxGGhBc4mg2n4c

内容

安全多方计算是在一个分布式网络且不存在可信第三方的情况下，多个参与实体各自持有秘密输入，并希望共同完成对某函数的计算并得到结果，前提是要求每个参与实体均不能得知除自身外其他参与实体任何输入信息。

实现方式

目前来说，安全多方计算主要是通过秘密共享以及混淆电路两个方式实现。

秘密共享（Secret Sharing）。秘密共享是在一个常被应用在多方安全签名的技术，它主要用于保护重要信息被丢失、或篡改。通过秘密共享机制，秘密信息会被拆分，每个参与者仅持有该秘密的一部分，个人持有部分碎片无法用于恢复秘密，需要凑齐预定数量 ( 或门限 ) 的碎片。SMPC 使用秘密共享的密码学手段、将数据或者程序状态分割成并且分配给 N 个参与节点，只有其中任意 M 个以上的节点合作计算才能够计算出结果。

混淆电路（Garbled Circuit）。混淆电路是姚期智教授在 80 年代提出的安全多方计算概念。混淆电路是双方进行安全计算的布尔电路。混淆电路将计算电路中的每个门都加密并打乱，确保加密计算的过程中不会对外泄露计算的原始数据和中间数据。双方根据各自的输入依次进行计算，解密方可得到最终的正确结果，但无法得到除了结果以外的其他信息，从而实现双方的安全计算。

应用场景

基于秘密分享的安全多方计算其拓展性较强，支持无限多方参与计算，计算效率高，但通讯负载较大。而基于混淆电路的协议更适用于两方逻辑运算，通讯负担较低，但拓展性较差。

SMPC 技术十分适用于密钥管理。传统的区块链钱包的私钥管理， 不论是软件还是硬件钱包，都存在单点故障的风险；一旦私钥丢失，那么链上资产就会脱离账户所有者的掌控、再也无法取回。SMPC 技术可以降低这种风险，将私钥的单一保管模式转换为多点保管模式。用户可以持有私钥的一个或者多个碎片，而将其他碎片托管在受信任的人或者服务商，在需要使用私钥进行签名的时候，通过在线的方式进行一次 MPC 计算，生成数字签名。SMPC 模式的私钥管理还会带来一些新的安全特性，例如用户侧的私钥碎片丢失后，可以通过 SMPC 技术进行在线找回，并且找回的是一个新的碎片，而托管方的私钥碎片也会同步刷新；少于额定数目的私钥碎片，凑在一起也无法恢复出完整的私钥。这些独特的安全特性进一步降低了私钥使用过程中的泄露风险。

安全多方计算会涉及庞大的计算量及通信量，尤其是涉及公钥运算 。目前安全多方计算单个运算可以达到毫秒级，也就是说每秒钟最多能做几百次计算。但是在大数据的场景下，一个数据应用或模型训练往往涉及数十万单位的数据样本及特征量， 运算效率会是一个问题。除此之外，对于某些在线或需要实时计算并且计算任务较复杂的应用场景，安全多方计算目前可能难以负担。

同态加密是另一种共享和执行对数据的操作而不泄露私有值的方法。加密函数具有允许对密文进行操作并获得相同加密结果的一些属性。同态隐藏是创建 zkSNARK 的基本工具之一，也是一般意义上的私有分布式计算，这是区块链中的证明者 - 验证者方案。同态加密体系大致上被分为四类：部分同态、近似同态、有限级数全同态与完全同态。一个同态加密系统大致由密钥生成算法、加密算法、解密算法、运算算法这四种算法构成。

环签名本质上是一个签名，证明签名者具有与特定公钥之一相对应的私钥，但不透露哪一个签名本身包含一个值列表，其中每个值都被设置为应用于前一个值的函数以及一些种子；生成一个有效的签名需要使用私钥的知识来“闭环”，迫使你计算的最后一个值等于第一个值。如果以这种方式生成有效的“环”，任何人都可以验证它确实是一“环”，因此每个值都等于根据先前值加上给定种子计算的函数，但无法判断哪个环中的“链接”使用了一个私钥。使用环签名方案，任何用户都可以创建自定义用户集并对消息进行签名，而无需任何其他实体披露真实的签名者。

混合方法最早于 20 世纪 80 年代用于匿名使用电子邮件。其核心过程是协调足够大的用户集，将所有延迟他们的消息组合在一起，然后同时或以随机顺序重新发送它们。在区块链中同样可以采取这一方案。区块链中的混合服务可以将用户资金分成更小部分的匿名服务提供商;然后将这些部分随机混合以使用户和交易不可链接。用户可以混合他们的硬币以基于用户的地址产生一个混合事务，以这样的方式，用户仍然能够验证正确数量的硬币被发送到他们的输出地址。CoinJoin 、Moner、Zerocoin 等区块链都采取了混合协议方案，通过将交易发起方和接收方的联系混合在一组可能的所有者中，阻碍相互关联。

TEE 全名为可信执行环境（Trusted Execution Environment）是计算平台上由软硬件方法构建的一个安全区域，可保证在安全区域内加载的代码和数据在机密性和完整性方面得到保护。其目标是确保一个任务按照预期执行，保证初始状态的机密性、完整性，以及运行时状态的机密性、完整性。TEE 最常见的具体应用场景包括：隐私身份信息的认证比对、大规模数据的跨机构联合建模分析、数据资产所有权保护、链上数据机密计算、智能合约的隐私保护等。TEE 技术是隐私计算的核心技术之一，目前较为成熟的技术主要有：Intel SGX、ARM TrustZone、AMD SEV 和 Intel TXT。

以 Intel SGX 为例，它是是一组用于增强应用程序代码和数据安全性的指令，开发者使用 SGX 技术可以把应用程序的安全操作封装在一个被称之为 Enclave 的容器内，保障用户关键代码和数据的机密性和完整性。Intel SGX 最关键的优势在于将应用程序以外的软件栈如 OS 和 BIOS 都排除在了 TCB（Trusted Computing Base）以外，一旦软件和数据位于 Encalve 中，即便是操作系统和 VMM 也无法影响 Enclave 里面的代码和数据，Enclave 的安全边界只包含 CPU 和它本身。

除了在数据层上，通过交易数据推断链上地址和链下身份的关系，网络层的网络连接与 IP 信息也可能成为暴露用户隐私的危险来源。比如，当攻击者观察到给定用户在网站收到捐款之前访问该网站，可能会猜测该用户进行了捐款；此外，如果攻击者稍后观察到同一用户检查所讨论的交易是否已记入分类账，则攻击者几乎可以确认这种怀疑。

为了解决网络层的隐私威胁，匿名通信协议是一种技术解决思路，其中最常用的匿名通信协议当属 Tor。Tor 是一个虚拟隧道网络，其工作原理是通过 Tor 网络中的三个随机服务器（也称为中继）发送用户的流量，通路中的最后一个中继再将流量发送到公共互联网上。Tor 通过 Tor 网络实现用户与外界的隔离。Tor 能够使得网站和服务的运营商以及任何观看访问请求的人，都只会看到来自 Tor 网络的连接，而不是真实的用户 IP。Tor 的整体思路和上文所述的混币机制是相似的。

但是 Tor 同样是不尽善尽美的。Biryukov 和 Pustogarov[9]指出攻击者可以利用比特币网络内置的基于声誉的 DoS 机制，迫使攻击者选择的 Tor 中继被比特币节点禁用，从而迫使所有数据通过攻击者控制的一小组中继流通。这样会导致通过 Tor 进行比特币交易的用户，比那些宣布非匿名交易的用户更容易受到主动去匿名化攻击。除此之外，由于 Tor 已经广泛被勒索、色情等等邪恶目的的途径所利用，Tor 经常会被 IT 部门屏蔽，甚至受到国家审查。这事实上对于用户的隐私造成了另一方面的负面影响。虽然 Tor 支持一些规避审查的技术，但这些技术的有效性远非完美。

Bernabe[10]指出隐私保护技术可以根据它们的主要隐私保护目的被分类为 4 个主要领域：智能合约和密钥管理隐私保护、身份数据匿名化、交易数据匿名化、链上数据保护。考虑到 TEE 等较新的研究成果以及链下的匿名通信协议等方案，我们将隐私保护技术大致分为 6 类：智能合约和密钥管理隐私保护、身份数据匿名化、交易数据匿名化、链上数据保护、网络层数据保护以及硬件隐私保护。

智能合约和密钥管理隐私保护主要通过使用 SMPC 技术对于密钥进行保护。

身份数据匿名化通过对于交易中用户身份数据的隐藏，包括 ZKP，混合策略（隐藏收款人、付款人）、环签名（匿名签名人）、同态加密隐藏（例如，用于硬币地址交换）。

交易数据匿名化包括那些旨在保护区块链交易内容隐私的隐私保护技术。它包括诸如混币策略、ZKP、同态隐藏（交易金额隐藏）等技术。

链上数据保护指通过加密机制保护区块链上数据的技术，包括非对称加密、基于属性的加密。

网络层数据保护指防止恶意攻击者通过网络层访问数据进行攻击的技术手段，包括匿名通信协议。

硬件隐私保护主要指通过可信硬件执行环境保证数据安全可靠。

Layer1 隐私公链：从底层解决隐私问题、同时保证可编程特性的公链方案，诸如 Oasis, Aleo，Secret Network。

Layer2 隐私平台：主要指在 layer2 上解决隐私交易的问题，同时实现扩容提效以及隐私保护，诸如 Aztec Network, Obsecuro，跨链隐私协议 Zecrey。

隐私中间件 / 隐私应用：在 Layer1 或 Layer2 上实现的具有隐私属性的即插即用的中间件或者完整的去中心化应用。例如 Tornado。

隐私币：主要指仅仅实现交易信息的隐藏的公链。例如 Zcash,Monero,Dash,Grin。

隐私计算平台：主要指通过密码学手段实现去中心化的数据共享和隐私计算基础网络平台。诸如 PlatON。

项目简介

简介：

Aleo 于 2019 年成立于美国内华达州，目前处于 B 轮融资状态。

Aleo 是首个使用零知识证明解决隐私问题、同时保证可编程特性的 Layer1 创新公链项目。Aleo 通过零知识证明保护用户信息隐私，包括隐藏参与者、金额、智能合约等交互细节，同时让用户有选择性；Aleo 将智能合约执行转移到链下，支持各种 Dapp，保证其可拓展性 ( 每秒数千笔交易 )。

所属链：Aleo

状态：测试网

底层技术：该平台共识机制为 PoSW，意味在每个区块中的交易都会生成 ZK 证明，其源自比特币 SHA 算法。然而，与任意哈希函数不同的是，底层计算通过 PoW 实现。本质上，它允许用户用最小算力来验证状态。

架构：Aleo 将以太坊的可编程性和账户模型与 Zcash 的隐私交易设计相结合，实现完整的链上隐私。

官网：https://www.aleo.org/

推特：https://twitter.com/AleoHQ（73.9k Followers，截止至 2023 年 1 月）

项目方背景

Aleo 团队由来自谷歌、亚马逊和 Facebook 等公司以及加州大学伯克利分校、约翰霍普金斯大学、纽约大学和康奈尔大学等研究型大学的世界级密码学家、工程师、设计师和运营商组成。

核心技术

共识机制:PoSW

Aleo 采用 PoSW 机制，属于 PoW 的变种，目的在于避免 PoW 机制下的大量无用运算。PoSW 是基于比特币 SHA 难度调整算法的变体，主要区别在：与底层计算不是任意的散列函数而是知识证明，这使得 PoSW 可以充当 PoS 以确保系统共识，还可以来验证链上区块中包含的所有交易。在测试中，作为 Layer1 公链，Aleo TPS 约在 10k - 20k ( 实际性能仍需主网上线后测试 )。

Aleo Layer1 层主要作为数据层，执行层在链下，验证层由 Layer1 验证节点承担，类似于 ETH2.0 结构。

Aleo 三测中，团队保留了 PoSW 机制，但将其与共识分开，即共识机制换为 PoS，PoSW 被保留为“奖励过程的一部分”，原有的为区块生产者保留的部分“coinbase 谜题 (PSW)"奖励可以由证明者获得。这种方式实际上出现了 PoW 与 PoS 并存的情况，借鉴了两种机制的优势。

零知识证明方案:ZEXE

(Zero Knowledge EXEcution)

ZEXE 是 Aleo 提出的特定零知识解决方案，支持可编程性和隐私性，使用户可对自己的信息加密及隐私进行选择。Zexe 共识协议在 ZeroCash 原有的 zk-SNARKs 技术上进行改进可以加密单纯的 token 转账交易，也可以加密应用层面的互动交易。

脱链计算环境:zkCloud

zkCloud 由 Aleo 提出，是一个脱链、去信任的计算环境，程序在其中以私密、安全、廉价的方式。可实现受保护身份之间的编程交互、被屏蔽的身份可以直接 ( 如在资产转移中 ) 或以编程方式 ( 通过智能合约 ) 进行交互，通过将这种交互转移到链下可同时实现隐私保证更大的交易吞吐量。

Leo 语言

由 Aleo 开发的静态类型编程语言，可将 Zexe 共识协议的 zk-SNARKs 设置模块化，使得任何在 Aleo 平台上运作的 Dapp 都可以使用 zk-SNARKs，降低开发难度。Aleo 构建的 AleoStudio，是首个用于编写零知识应用程序的 IDE( 集成开发环境 )。

Leo 语言允许开发人员将 ZKP 集成到各种 Web 应用程序中，在使用过程中，即可避免留下个人数据，保护用户隐私。

代币经济

融资历程

Aleo 的 B 轮融资是隐私赛道和零知识证明赛道目前为止最大的融资。从不到一年的两轮融资以及下表的估值与领投机构可以看到头部 VC 对于隐私赛道的重视与布局。

项目简介

简介：Aztec 于 2017 年创立于英国。Aztec 是以太坊上第一个使用零知识证明的 Layer2 隐私链（隐私层）。在 Aztec 链上运行的智能合约能保证资产的隐私。用户在链上交易、质押和获利的同时可以保障链上行为的隐私，与此同时可以享有较低的交易手续费。

所属链：以太坊

状态：主网运行

底层技术：PLONK，通过 zk-SNARK 标准开发的二层处理交易的系统

架构：双重 SNARKS。第一层为隐私电路，验证每笔交易的同时保证交易发送人、接收人和交易资产的隐秘性。第二层为 rollup 电路，将所有交易打包并将加密的交易信息批量上传至 Layer1

官网：aztec.network

推特:  https://twitter.com/aztecnetwork（80.4k Followers，截止至 2023 年 1 月）

Github: https://github.com/AztecProtocol

项目方背景

CEO Zac Williamson：牛津大学粒子物理学博士，PLONK 发明者之一，曾在 CERN ( 欧洲核子研究中心 ) 和 T2K ( 日本一个粒子物理学实验 ) 担任物理学家。

CPO Joe Andrews：伦敦帝国学院材料科学工学士，曾在硅谷的餐饮创业公司 Radish 担任 CTO。

首席科学家 Ariel Gabizon：以色列魏兹曼研究所 (Weizmann Institute) 计算机博士，曾在 Zcash 担任研究员和工程师，也是 PLONK 的发明者之一。

RoadMap

代币经济

暂时尚未公布代币经济方案。

融资历程

市场规模

我们此处对于市场规模的估值仅仅是粗略的估计。由于很多最新的基于 Layer1 和 Layer2 的隐私方案尚未发币，故而对于这些项目我们使用它们的估值进行替代。同时由于许多项目的估值尚未披露，故而参考 Aleo 和 Anoma 的估值与融资比例，对于融资小于 1 亿美元的我们采用 10 倍的融资额度进行估算、大于 1 亿美元的我们采用 7.5 倍的融资额度进行估算。

Layer1 隐私公链

根据上图的头部项目，累加起来约 46.4 亿美元。

Layer2 隐私平台

10-20 亿美元之间

隐私中间件 / 隐私应用 和 隐私币

这两类方向可以通过 cryptoslate 上的数据进行估算（https://cryptoslate.com/cryptos/privacy/），截至目前 (2023 年 1 月 5 日）的市场规模是 54.8 亿美元，市场占有率 0.67%。由于许多隐私币受到政府监管的影响，距离巅峰时的市价跌落了 99%+，诸如 Tornado 从最高点 400 美元跌落到 4 美元和 Zcash 从最高点 6000 美元跌落到 40 美元。

隐私计算平台

头部项目 PlatON 截至目前的市场规模时 3300 万美元，可以估测整体的市值在整条赛道中不占据主要位置。

故而整体来看，目前隐私赛道的市场规模在 100 亿美元左右。

前文，我们从技术方案和应用方案不同的维度观察了公链中的隐私解决方案。我们来回答一下最开头提出的问题。

区块链为什么需要隐私？

对于普通用户，链上数据的公开透明可能导致个人信息泄露，甚至私钥被盗、链上资产被盗走转移等后果。

对于项目方，链上活动可能泄露隐私信息导致攻击。

公链不是公开的嘛，如何实现既公开又隐私？

数据≠信息。公开的是数据，但其他人并不知道具体的信息内容。

区块链隐私赛道解决方案的主要技术手段

链上技术方案有零知识证明、全同态加密、多方安全计算、混合机制、环签名等。

链下技术方案有可信硬件、匿名通信协议等。

区块链隐私赛道的市场规模

目前的市场规模大概在 100 亿美元（粗略估计）。

隐私 Layer1、隐私 Layer2、隐私中间件，哪种方案才是正解？

大概率隐私 Layer2。哪种方案的可支持的应用场景丰富、用户体验好、gas 开销少、时间开销低，则更可能成为未来。

虽然目前隐私 Layer1 获得了更大比重的融资以及头部 VC 的亲睐，但 Layer1 本身的开发成本高、以及 Layer1 在隐私之外的经济潜在利益都是不容忽视的因素。

需求决定技术方案。不同的应用场景有不同的应用需求，不同的应用需求会选择不同的技术方案，不同的技术方案有不同的代价开销和性能之间的妥协。隐私仅仅是所有使用需求中的一部分，忽略了用户端 Gas 开销、交易速率、安全性，忽略了开发者的开发成本，忽略了整体的生态需求，往往并不是很明智的选择。

从应用需求的角度来讲，当前以及未来较长一段时间，链上资产交易会承载绝大多数区块链隐私保护的需求。很多公链或者应用会鼓吹，它们的隐私方案如何能够保证个人隐私数据。但事实上，公链是承载我们希望获得整个网络认可的空间。个人隐私数据应当保存在用户的端系统当中，或者保存在某个体系的联盟链当中（比如医疗系统、政务系统），而非保存在公链上。在这样的实际需求下，如何能高效、高用户体验、低成本地实现链上资产交易的隐私保护，才是真正的需求。