跳到主要内容

271 篇博文 含有标签「区块链」

通用区块链技术和创新

查看所有标签

Pectra之后的EIP-7702:以太坊应用开发者实用指南

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

2025年5月7日,以太坊的Pectra升级(Prague + Electra)在主网上线。其中对开发者最明显的变化之一是EIP-7702,它允许外部拥有账户(EOA)"挂载"智能合约逻辑——无需迁移资金或更改地址。如果你构建钱包、dapp或中继器,这为智能账户UX开启了一条更简单的道路。

以下是一份简洁的、实现优先的指南:实际发布了什么,7702如何工作,何时选择它而不是纯ERC-4337,以及你今天可以适配的复制粘贴脚手架。

实际发布的内容

  • EIP-7702在Pectra的最终范围内。 Pectra硬分叉的meta-EIP正式列出7702为包含的变更之一。
  • 激活详情: Pectra在2025年5月7日的纪元364032在主网激活,此前在所有主要测试网成功激活。
  • 工具链说明: Solidity v0.8.30将其默认EVM目标更新为prague以兼容Pectra。你需要升级编译器和CI管道,特别是如果你固定特定版本的话。

EIP-7702—工作原理(技术细节)

EIP-7702引入了一种新的交易类型和EOA将其执行逻辑委托给智能合约的机制。

  • 新交易类型(0x04): 类型4交易包括一个名为authorization_list的新字段。此列表包含一个或多个授权元组—(chain_id, address, nonce, y_parity, r, s)—每个都由EOA的私钥签名。当处理此交易时,协议向EOA的代码字段写入委托指示符0xef0100 || address。从那时起,对EOA的任何调用都会代理到指定的address实现),但在EOA的存储和余额上下文中执行。此委托保持活动状态,直到明确更改。
  • 链范围: 授权可以通过提供chain_id特定于链,或者如果chain_id设置为0,则可以适用于所有链。这允许你在多个网络上部署相同的实现合约,而无需用户为每个网络签署新的授权。
  • 撤销: 要将EOA恢复到其原始的不可编程行为,你只需发送另一个7702交易,其中实现address设置为零地址。这会清除委托指示符。
  • 自赞助vs.中继: EOA可以自己提交类型4交易,或者第三方中继器可以代表EOA提交。后者常用于创建无gas用户体验。nonce处理根据方法略有不同,因此使用正确处理此区别的库很重要。

安全模型转变: 因为原始EOA私钥仍然存在,它总是可以通过提交新的7702交易来更改委托,从而覆盖任何智能合约规则(如社交恢复或支出限制)。这是根本性的变化。依赖tx.origin验证调用来自EOA的合约必须重新审核,因为7702可能破坏这些假设。相应地审核你的流程。

7702还是ERC-4337?(何时组合)

EIP-7702和ERC-4337都能实现账户抽象,但它们服务于不同的需求。

  • 选择EIP-7702当…
    • 你想为现有EOA提供即时智能账户UX,而不强迫用户迁移资金或更改地址。
    • 你需要可以逐步升级新功能的跨链一致地址
    • 你想分阶段过渡到账户抽象,从简单功能开始,随时间添加复杂性。
  • 选择纯ERC-4337当…
    • 你的产品从第一天起就需要完全可编程性和复杂的策略引擎(如多重签名、高级恢复)。
    • 你为没有现有EOA的新用户构建,使新智能账户地址和相关设置可接受。
  • 组合它们: 最强大的模式是使用两者。EOA可以使用7702交易指定ERC-4337钱包实现作为其逻辑。这使EOA表现得像4337账户,允许它被打包、由付款主赞助,并由现有4337基础设施处理——所有这些都无需用户需要新地址。这是EIP作者明确鼓励的前向兼容路径。

你可以适配的最小7702脚手架

这里是实现合约和激活它的客户端代码的实际示例。

1. 小型可审核实现合约

一旦指定,此合约代码将在EOA的上下文中执行。保持其小型、可审核,并考虑添加升级机制。

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.20;

/// @notice 通过EIP-7702指定时从EOA上下文执行调用。
contract DelegatedAccount {
    // 避免与其他合约冲突的唯一存储槽。
    bytes32 private constant INIT_SLOT =
        0x3fb93b3d3dcd1d1f4b4a1a8db6f4c5d55a1b7f9ac01dfe8e53b1b0f35f0c1a01;

    event Initialized(address indexed account);
    event Executed(address indexed to, uint256 value, bytes data, bytes result);

    modifier onlyEOA() {
        // 可选:添加检查以限制谁可以调用某些函数。
        _;
    }

    function initialize() external payable onlyEOA {
        // 在EOA的存储中设置简单的一次性初始化标志。
        bytes32 slot = INIT_SLOT;
        assembly {
            if iszero(iszero(sload(slot))) { revert(0, 0) } // 如果已经初始化则回滚
            sstore(slot, 1)
        }
        emit Initialized(address(this));
    }

    function execute(address to, uint256 value, bytes calldata data)
        external
        payable
        onlyEOA
        returns (bytes memory result)
    {
        (bool ok, bytes memory ret) = to.call{value: value}(data);
        require(ok, "CALL_FAILED");
        emit Executed(to, value, data, ret);
        return ret;
    }

    function executeBatch(address[] calldata to, uint256[] calldata value, bytes[] calldata data)
        external
        payable
        onlyEOA
    {
        uint256 n = to.length;
        require(n == value.length && n == data.length, "LENGTH_MISMATCH");
        for (uint256 i = 0; i < n; i++) {
            (bool ok, ) = to[i].call{value: value[i]}(data[i]);
            require(ok, "CALL_FAILED");
        }
    }
}

2. 使用viem在EOA上指定合约(类型4交易)

viem这样的现代客户端有内置助手来签署授权并发送类型4交易。在此示例中,relayer账户为升级eoa支付gas。

import { createWalletClient, http, encodeFunctionData } from "viem";
import { sepolia } from "viem/chains";
import { privateKeyToAccount } from "viem/accounts";
import { abi, implementationAddress } from "./DelegatedAccountABI";

// 1. 定义中继器(赞助gas)和要升级的EOA
const relayer = privateKeyToAccount(process.env.RELAYER_PK as `0x${string}`);
const eoa = privateKeyToAccount(process.env.EOA_PK as `0x${string}`);

const client = createWalletClient({
  account: relayer,
  chain: sepolia,
  transport: http(),
});

// 2. EOA签署指向实现合约的授权
const authorization = await client.signAuthorization({
  account: eoa,
  contractAddress: implementationAddress,
  // 如果EOA自己要发送这个,你会添加:executor: 'self'
});

// 3. 中继器发送类型4交易来设置EOA的代码并调用initialize()
const hash = await client.sendTransaction({
  to: eoa.address, // 目标是EOA本身
  authorizationList: [authorization], // 新的EIP-7702字段
  data: encodeFunctionData({ abi, functionName: "initialize" }),
});

// 4. 现在,EOA可以通过其新逻辑控制,无需进一步授权
// 例如,执行交易:
// await client.sendTransaction({
//   to: eoa.address,
//   data: encodeFunctionData({ abi, functionName: 'execute', args: [...] })
// });

3. 撤销委托(返回到普通EOA)

要撤销升级,让EOA签署将零地址指定为实现的授权并发送另一个类型4交易。之后,对eth_getCode(eoa.address)的调用应该返回空字节。

在生产中工作的集成模式

  • 为现有用户就地升级: 在你的dapp中,检测用户是否在Pectra兼容网络上。如果是,显示可选的"升级账户"按钮,触发一次性授权签名。为使用旧钱包的用户维护回退路径(如经典approve + swap)。
  • 无gas入门: 使用中继器(你的后端或服务)来赞助初始类型4交易。对于持续的无gas交易,通过ERC-4337打包器路由用户操作以利用现有的付款主和公共内存池。
  • 跨链推出: 使用chain_id = 0授权在所有链上指定相同的实现合约。然后你可以在应用逻辑中按链启用或禁用功能。
  • 可观察性: 你的后端应该索引类型4交易并解析authorization_list以跟踪哪些EOA已升级。交易后,通过调用eth_getCode并确认EOA的代码现在匹配委托指示符(0xef0100 || implementationAddress)来验证更改。

威胁模型和陷阱(不要跳过这个)

  • 委托是持久的: 像处理标准智能合约升级一样严肃地对待EOA实现合约的更改。这需要审核、清晰的用户沟通,理想情况下是选择加入流程。永远不要悄悄地向用户推送新逻辑。
  • tx.origin地雷: 任何使用msg.sender == tx.origin来确保调用直接来自EOA的逻辑现在可能易受攻击。必须用更robust的检查(如EIP-712签名或明确的白名单)替换此模式。
  • Nonce数学: 当EOA赞助自己的7702交易(executor: 'self')时,其授权nonce和交易nonce以特定方式交互。始终使用正确处理此问题的库以避免重放问题。
  • 钱包UX责任: EIP-7702规范警告dapp不应该要求用户签署任意指定。验证建议的实现并确保它们安全是钱包的责任。设计你的UX以符合这种钱包介导的安全原则。

何时7702是明确胜利

  • DEX流程: 多步骤approveswap可以使用executeBatch函数合并为单次点击
  • 游戏和会话: 在有限时间或范围内授予类似会话密钥的权限,而无需用户创建和资助新钱包。
  • 企业和金融科技: 启用赞助交易并应用自定义支出策略,同时在每条链上保持相同的企业地址以进行会计和身份识别。
  • L2桥接和意图: 创建更流畅的元交易流程,在不同网络间保持一致的EOA身份。

这些用例代表了ERC-4337承诺的相同核心好处,但现在只需单个授权即可供每个现有EOA使用。

发布检查清单

协议

  • 确保节点、SDK和基础设施提供商支持类型4交易和Pectra的"prague" EVM。
  • 更新索引器和分析工具以解析新交易中的authorization_list字段。

合约

  • 开发具有基本功能(如批处理、撤销)的最小审核实现合约
  • 在部署到主网之前在测试网上彻底测试撤销重新指定流程。

客户端

  • 升级客户端库(viemethers等)并测试signAuthorizationsendTransaction函数。
  • 验证自赞助和中继交易路径都正确处理nonce重放

安全

  • 从合约中删除所有基于tx.origin的假设,并用更安全的替代方案替换它们。
  • 实施部署后监控以检测用户地址的意外代码更改并警告可疑活动。

底线: EIP-7702为已在使用的数百万EOA提供了向智能账户UX的低摩擦入门。从小型审核实现开始,使用中继路径进行无gas设置,使撤销清晰易用,你可以提供完整账户抽象90%的好处——无需地址变更和资产迁移的痛苦。

Meta 稳定币计划于 2025 年重启:规划、策略与影响

· 阅读需 29 分钟

Meta 的 2025 年稳定币倡议——公告与项目

2025 年 5 月,有报道称 Meta(前身为 Facebook)正通过专注于数字货币的新举措重返稳定币市场。虽然 Meta 尚未正式宣布发行新币,但一份**《财富》杂志的报道透露,该公司正在与加密公司就使用稳定币进行支付进行讨论。这些讨论仍处于初步阶段(Meta 处于“学习模式”),但它们标志着自 2019-2022 年的 Libra/Diem 项目以来,Meta 首次采取重大的加密货币举措。值得注意的是,Meta 旨在利用稳定币处理其平台上的内容创作者报酬**和跨境转账。

官方立场: 截至 2025 年 5 月,Meta 并未推出任何自己的新加密货币。Meta 的通讯总监 Andy Stone 回应传闻时澄清说:“Diem 已‘死’。不存在 Meta 稳定币。”。这表明,Meta 的方法很可能是整合现有的稳定币(可能由合作伙伴公司发行)到其生态系统中,而不是复活像 Diem 这样的内部货币。事实上,有消息称 Meta 可能会使用多种稳定币,而非单一的专有货币。简而言之,2025 年的项目并非重启 Libra/Diem,而是在 Meta 产品中支持稳定币的新尝试。

Meta 的战略目标与动机

Meta 重新涉足加密领域的背后有明确的战略目标。其中最主要的是为全球用户交易减少支付摩擦和成本。 通过使用稳定币(与法定货币 1:1 挂钩的数字代币),Meta 可以为其超过 30 亿用户简化跨境支付和创作者变现。具体动机包括:

  • 降低支付成本: Meta 向全球的贡献者和创作者支付无数笔小额款项。使用稳定币支付将使 Meta 能以单一的美元挂钩货币向所有人付款,避免了银行电汇或货币兑换产生的高昂费用。例如,印度或尼日利亚的创作者可以收到美元稳定币,而无需处理昂贵的国际银行转账。这可以为 Meta 节省资金(减少处理费)并加快支付速度。

  • 小额支付与新收入来源: 稳定币能够实现快速、低成本的微交易。Meta 可以促进打赏、应用内购买或以极小的增量(几美分或几美元)进行收入分成,而无需支付高昂的费用。例如,在某些网络上发送几美元的稳定币成本仅为几分之一美分。 这种能力对于内容创作者打赏、Facebook Marketplace 上的跨境电子商务或在元宇宙中购买数字商品等商业模式至关重要。

  • 全球用户参与度: 将稳定币整合到 Facebook、Instagram、WhatsApp 等应用中,将使其成为 Meta 生态系统内的通用数字货币。这可以保持用户及其资金在 Meta 的应用内循环(类似于微信使用微信支付的方式)。通过内部处理汇款、购物和创作者支付,Meta 可能成为一个主要的金融科技平台。此举与首席执行官马克·扎克伯格长期以来希望扩大 Meta 在金融服务和元宇宙经济(其中数字货币是交易所需)中的作用的兴趣相符。

  • 保持竞争力: 更广泛的科技和金融行业正逐渐接受稳定币作为必要的基础设施。竞争对手和金融合作伙伴都在拥抱稳定币,从 PayPal 在 2023 年推出 PYUSD 到万事达卡、Visa 和 Stripe 的稳定币项目。Meta 不想在一些人视为支付未来的领域中落后。现在重新进入加密领域,使 Meta 能够利用一个不断发展的市场(根据渣打银行的预测,到 2028 年稳定币市场可能增长 2 万亿美元),并使其业务在广告之外实现多元化。

总而言之,Meta 的稳定币计划旨在削减成本、解锁新功能(快速全球支付),并将 Meta 定位为数字经济中的关键参与者。这些动机呼应了 Libra 最初的普惠金融愿景,但在 2025 年采取了更为专注和务实的方法。

技术与区块链基础设施规划

与 Libra 项目(涉及创建一个全新的区块链)不同,Meta 的 2025 年战略倾向于使用现有的区块链基础设施和稳定币。据报道,Meta 正在考虑将以太坊区块链作为这些稳定币交易的支柱之一。以太坊因其成熟度和在加密生态系统中的广泛采用而具有吸引力。事实上,Meta“计划开始在以太坊区块链上使用稳定币”以触及其庞大的用户群。这表明 Meta 可能会将流行的基于以太坊的稳定币(如 USDC 或 USDT)整合到其应用中。

然而,Meta 似乎对多链或多币种的方法持开放态度。该公司将“可能使用不止一种类型的稳定币”用于不同目的。这可能涉及:

  • 与主要稳定币发行商合作: 据报道,Meta 已与 Circle(USDC 的发行商)等公司进行过会谈。它可能支持美元币(USDC)和泰达币(USDT)这两种最大的美元稳定币,以确保用户的流动性和熟悉度。整合现有的受监管稳定币将使 Meta 免于发行自己代币的麻烦,同时提供即时的规模。

  • 利用高效网络: Meta 似乎也对高速、低成本的区块链网络感兴趣。聘请 Ginger Baker(下文将详细介绍)暗示了这一策略。Baker 是 Stellar 发展基金会的董事会成员,分析师指出,Stellar 网络专为合规和廉价交易而设计。Stellar 原生支持受监管的稳定币以及 KYC 和链上报告等功能。据推测,Meta Pay 的钱包可以利用 Stellar 进行近乎即时的小额支付(通过 Stellar 发送 USDC 的成本仅为几分之一美分)。从本质上讲,Meta 可能会通过任何能提供合规性、速度和低费用最佳组合的区块链来路由交易(以太坊用于广泛兼容性,Stellar 或其他网络用于效率)。

  • Meta Pay 钱包转型: 在前端,Meta 很可能正在将其现有的 Meta Pay 基础设施升级为一个“支持去中心化”的数字钱包。Meta Pay(前身为 Facebook Pay)目前处理 Meta 平台上的传统支付。在 Baker 的领导下,它被设想为能够无缝支持加密货币和稳定币。这意味着用户可以在应用内持有稳定币余额、发送给他人或接收报酬,而区块链的复杂性则在幕后处理。

重要的是,这次 Meta _没有_从头开始构建新的货币或链。通过使用经过验证的公共区块链和合作伙伴发行的货币,Meta 可以更快地推出稳定币功能,并且(希望)监管阻力更小。技术计划的重点是集成而非发明——将稳定币以一种对用户来说自然的方式融入 Meta 的产品中(例如,WhatsApp 用户发送 USDC 支付可能就像发送照片一样简单)。

重启 Diem/Novi 还是重新开始?

Meta 当前的举措明显不同于其过去的 Libra/Diem 项目。Libra(于 2019 年宣布)是一个雄心勃勃的计划,旨在建立一个由 Facebook 领导的全球货币,由一篮子资产支持,并由一个公司协会管理。后来它更名为 Diem(一种与美元挂钩的稳定币),但最终在 2022 年初因监管反弹而关闭。配套的加密钱包 Novi 曾短暂试行,但也被终止。

在 2025 年,Meta 并非简单地重启 Diem/Novi。新方法的关键区别包括:

  • 暂无自研的“Meta 币”: 在 Libra 时期,Facebook 实际上是在创造自己的货币。现在,Meta 的发言人强调,正在开发的“没有 Meta 稳定币”。Diem 已死,不会复活。相反,重点是使用_现有_的稳定币(由第三方发行)作为支付工具。这种从发行方到集成方的转变是 Libra 失败的直接教训——Meta 正在避免给人留下自己铸币的印象。

  • 合规优先策略: Libra 的宏大愿景吓坏了监管机构,他们担心一个为数十亿人服务的私人货币可能会削弱国家货币。如今,Meta 的运作更加低调和合作。该公司正在聘请合规和金融科技专家(例如 Ginger Baker),并选择以_监管合规性著称的技术(例如 Stellar)_。任何新的稳定币功能都可能需要身份验证,并遵守各司法管辖区的金融法规,这与 Libra 最初的去中心化方法形成对比。

  • 缩减目标(至少在初期): Libra 旨在成为一种通用货币和金融体系。Meta 的 2025 年计划的初始范围更窄:Meta 平台内的报酬支付和点对点支付。通过针对创作者支付(如 Instagram 上的_“最高 100 美元”_的小额报酬),Meta 找到了一个不太可能像全面全球货币那样引起监管机构警惕的用例。随着时间的推移,这可能会扩展,但预计推出将是渐进和用例驱动的,而不是一次性推出新币。

  • 没有公共协会或新区块链: Libra 由一个独立的协会管理,并需要合作伙伴在一个全新的区块链上运行节点。新方法不涉及创建联盟或自定义网络。Meta 正在直接与成熟的加密公司合作,并利用其基础设施。这种幕后合作意味着比 Libra 高度公开的联盟更少的宣传,也可能更少的监管目标。

总而言之,Meta 正在_重新开始_,利用从 Libra/Diem 中吸取的教训,规划一条更务实的路线。该公司基本上已经从**“成为加密货币发行方”转向“成为一个加密友好平台”**。正如一位加密分析师所观察到的,Meta 是“自己构建和发行 [稳定币] 还是与像 Circle 这样的公司合作,尚待确定”——但所有迹象都指向合作,而不是像 Diem 那样的单打独斗。

关键人员、伙伴关系与合作

Meta 已经进行了战略性招聘和可能的合作来推动这项稳定币计划。最引人注目的人事变动是 Ginger Baker 加入 Meta,担任支付和加密产品副总裁。Baker 于 2025 年 1 月加入 Meta,专门负责_“帮助引导 [Meta 的] 稳定币探索”_。她的背景是 Meta 战略的一个有力指标:

  • Ginger Baker – 金融科技资深人士: Baker 是一位经验丰富的支付高管。她曾在 Plaid(担任首席网络官),并在 Ripple、Square 和 Visa 等支付/加密领域的主要公司工作过。独特的是,她还曾在 Stellar 发展基金会董事会任职,并是该基金会的高管。通过聘请 Baker,Meta 在传统金融科技和区块链网络(Ripple 和 Stellar 专注于跨境和合规)方面都获得了专业知识。Baker 现在_“领导 Meta 重启的稳定币计划”_,包括将 Meta Pay 转变为支持加密的钱包。她的领导表明,Meta 将构建一个连接传统支付与加密的产品(可能确保银行集成、流畅的用户体验、KYC 等与区块链元素并存)。

  • 其他团队成员: 除了 Baker,Meta 还在其团队中“增加有加密经验的个人”以支持稳定币计划。一些前 Libra/Diem 团队的成员可能在幕后参与,尽管许多人已经离开(例如,前 Novi 负责人 David Marcus 离开创办了自己的加密公司,其他人则转向了像 Aptos 这样的项目)。目前的努力似乎主要由 Meta 现有的Meta 金融科技部门(运营 Meta Pay)负责。到 2025 年为止,尚未宣布对加密公司的重大收购——Meta 似乎依赖于内部招聘和合作,而不是直接收购一家稳定币公司。

  • 潜在的合作伙伴关系: 虽然目前还没有官方合作伙伴,但多家加密公司已与 Meta 进行了会谈。至少有两家加密公司的高管证实,他们已与 Meta 就稳定币支付进行了早期讨论。可以合理推测,Circle(USDC 的发行商)是其中之一——《财富》杂志的报道在同一背景下提到了 Circle 的活动。Meta 可能会与受监管的稳定币发行商(如 Circle 或 Paxos)合作,处理货币发行和托管。例如,Meta 可能会通过与 Circle 合作来集成 USDC,类似于PayPal 与 Paxos 合作推出自己的稳定币。其他合作可能涉及加密基础设施提供商(用于安全、托管或区块链集成)或不同地区的金融科技公司以实现合规。

  • 外部顾问/影响者: 值得注意的是,Meta 的举动正值科技/金融领域的其他公司加紧稳定币的努力。像 StripeVisa 这样的公司最近都采取了行动(Stripe 收购了一家加密初创公司,Visa 与一个稳定币平台合作)。Meta 可能不会正式与这些公司合作,但这些行业联系(例如,Baker 过去在 Visa 的经历,或 Meta 与 Stripe 现有的支付商业关系)可能会为稳定币的采用铺平道路。此外,如果 Meta 决定为某些市场支持它们的货币,First Digital(FDUSD 的发行商)和 Tether 可能会看到间接合作。

从本质上讲,Meta 的稳定币计划由经验丰富的金融科技内部人士领导,并可能涉及与成熟的加密参与者的密切合作。我们看到了一种刻意的努力,即引进既懂硅谷又懂加密的人才。这预示着 Meta 在有知识的指导下,能够很好地应对技术和监管挑战。

监管策略与定位

对于 Meta 的加密雄心来说,监管是房间里的大象。在经历了 Libra 的惨痛经历(全球监管机构和立法者几乎一致反对 Facebook 的货币)之后,Meta 在 2025 年采取了非常谨慎的、合规为先的立场。Meta 监管定位的关键要素包括:

  • 在监管框架内工作: Meta 似乎打算_与当局合作_,而不是试图绕过他们。通过使用现有的受监管稳定币(如符合美国州法规和审计的 USDC)并内置 KYC/AML 功能,Meta 正在与当前的金融规则保持一致。例如,Stellar 的合规功能(KYC、制裁筛选)被明确指出与 Meta 需要保持在监管机构良好记录中的需求相符。这表明 Meta 将确保通过其应用进行稳定币交易的用户得到验证,并且交易可以被监控以防范非法活动,类似于任何金融科技应用。

  • 政治时机: 自 Libra 时代以来,美国的监管环境已经发生了变化。截至 2025 年,总统唐纳德·特朗普的政府被认为比之前的拜登政府对加密货币更友好。这种变化可能为 Meta 提供了一个机会。事实上,Meta 的重新推动恰逢华盛顿正在积极辩论稳定币立法。一对稳定币法案正在国会审议中,参议院的 GENIUS 法案旨在为稳定币设定护栏。Meta 可能希望一个更清晰的法律框架将使企业参与数字货币合法化。然而,这并非没有反对意见——参议员伊丽莎白·沃伦和其他立法者已点名 Meta,敦促在任何新法律中_禁止大型科技公司发行稳定币_。Meta 将不得不应对这些政治障碍,可能通过强调它不是发行新币,而只是使用现有的货币(因此在技术上不是让国会担忧的“Facebook 币”)。

  • 全球和本地合规: 除了美国,Meta 将考虑每个市场的法规。例如,如果它在 WhatsApp 中引入稳定币支付用于汇款,它可能会在监管机构接受的国家进行试点(类似于 WhatsApp Pay 在巴西或印度等市场获得当地批准后推出的方式)。Meta 可能会与目标地区的中央银行和金融监管机构接触,以确保其稳定币集成符合要求(例如完全由法币支持、可赎回且不损害当地货币稳定)。First Digital USD (FDUSD) 是 Meta 可能支持的稳定币之一,总部位于香港,并在该司法管辖区的信托法下运营,这暗示 Meta 可能会利用**对加密友好的地区(例如香港、新加坡)**进行初始阶段。

  • 避免“Libra 错误”: 对于 Libra,监管机构担心 Meta 将控制一种不受政府控制的全球货币。Meta 现在的策略是将自己定位为参与者,而非控制者。通过说“没有 Meta 稳定币”,该公司与印钞的想法划清了界限。相反,Meta 可以辩称它正在为用户改善支付基础设施,类似于提供对 PayPal 或信用卡的支持。这种叙述——“我们只是使用像 USDC 这样安全、完全储备的货币来帮助用户交易”——很可能是 Meta 向监管机构推销该项目的方式,以减轻对破坏货币体系的担忧。

  • 合规与许可: 如果 Meta 确实决定提供品牌稳定币或托管用户的加密货币,它可能会寻求适当的许可证(例如,成为持牌的货币传输商,通过子公司或合作银行获得州或联邦的稳定币发行特许)。这有先例:PayPal 为其稳定币获得了纽约信托特许(通过 Paxos)。Meta 同样可以合作或创建一个受监管的实体来处理任何托管方面。目前,通过与成熟的稳定币发行商和银行合作,Meta 可以依赖他们的监管批准。

总的来说,Meta 的方法可以被视为**“监管适应”**——它试图将项目设计成符合监管机构已经建立或正在建立的法律框架。这包括主动接触、缓慢扩展和聘请了解规则的专家。尽管如此,监管不确定性仍然是一个风险。该公司将密切关注稳定币法案的结果,并可能参与政策讨论,以确保其能够无法律障碍地前进。

市场影响与稳定币格局分析

Meta 进入稳定币领域可能成为稳定币市场的游戏规则改变者,该市场截至 2025 年初已经蓬勃发展。稳定币的总市值在 2025 年 4 月达到了约 2380-2450 亿美元的历史新高,大约是一年前规模的两倍。这个市场目前由几个关键参与者主导:

  • Tether (USDT): 最大的稳定币,市场份额接近 70%,截至 4 月流通量约为 1480 亿美元。USDT 由 Tether Ltd. 发行,广泛用于加密货币交易和跨交易所流动性。它以储备透明度较低而闻名,但一直保持其挂钩。

  • USD Coin (USDC): 第二大稳定币,由 Circle(与 Coinbase 合作)发行,供应量约为 620 亿美元(约占 26% 的市场份额)。USDC 受美国监管,完全由现金和国债储备,因其透明度而受到机构的青睐。它既用于交易,也越来越多地用于主流金融科技应用。

  • First Digital USD (FDUSD): 一个较新的参与者(2023 年中推出),由香港的 First Digital Trust 发行。在币安自己的 BUSD 遭遇监管问题后,FDUSD 作为币安等平台上的替代品而增长。到 2025 年 4 月,FDUSD 的市值约为 12.5 亿美元。它曾出现一些波动(4 月份曾短暂失去 1 美元的挂钩),但因其位于亚洲更友好的监管环境而备受推崇。

下表比较了 Meta 设想的稳定币集成与 USDT、USDC 和 FDUSD:

特性Meta 的稳定币倡议 (2025)Tether (USDT)USD Coin (USDC)First Digital USD (FDUSD)
发行方 / 管理方无专有币: Meta 将与现有发行商合作;货币可能由第三方发行(例如 Circle 等)。Meta 将在其平台中集成稳定币,而非自行发行(根据官方声明)。Tether Holdings Ltd.(与 iFinex 关联)。私营公司;USDT 的发行商。Circle Internet Financial(与 Coinbase 合作;通过 Centre Consortium)。USDC 由 Circle 根据美国法规管理。First Digital Trust,一家在香港注册的信托公司,根据香港的《信托条例》发行 FDUSD。
发布与现状新倡议,2025 年处于规划阶段。尚未推出货币(Meta 正在探索从 2025 年开始集成)。预计将进行内部测试或试点;截至 2025 年 5 月尚未公开可用。2014 年推出。已确立地位,流通量约 1480 亿美元。在各大交易所和链(以太坊、Tron 等)上广泛使用。2018 年推出。已确立地位,流通量约 620 亿美元。用于交易、DeFi、支付;可在多条链上使用(以太坊、Stellar 等)。2023 年中推出。新兴参与者,市值约 10-20 亿美元(最近约 12.5 亿美元)。在亚洲交易所(币安等)上作为受监管的美元稳定币替代品推广。
技术 / 区块链可能支持多区块链。强调以太坊的兼容性;可能利用 Stellar 或其他网络进行低费用交易。Meta 的钱包将为用户抽象化区块链层。多链: 最初在比特币的 Omni 上,现在主要在 Tron、以太坊等。USDT 存在于 10 多个网络上。在 Tron 上速度快(费用低);在加密平台中广泛集成。多链: 主要在以太坊上,有在 Stellar、Algorand、Solana 等上的版本。专注于以太坊,但正在扩展以降低费用(也在探索 Layer-2)。多链: 从推出起就在以太坊和 BNB 链(币安智能链)上发行。旨在实现跨链使用。依赖以太坊的安全性和币安生态系统的流动性。
监管监督Meta 将通过合作伙伴遵守法规。使用的稳定币将完全储备(1:1 美元),发行商将受到监督(例如 Circle 受美国州法律监管)。Meta 将在其应用中实施 KYC/AML。监管策略是合作与遵守(尤其是在 Diem 失败后)。历史上不透明。审计有限;在纽约面临监管禁令。最近透明度有所提高,但未像银行那样受到监管。曾因过去的虚假陈述与监管机构和解。在灰色地带运营,但因其规模而具有系统重要性。高度合规。 根据美国法律作为储值工具受到监管(Circle 拥有纽约 BitLicense、信托特许)。每月发布储备金证明。被美国当局视为更安全;如果法律通过,可能寻求联邦稳定币特许。中度合规。 在香港作为信托持有资产受到监管。受益于香港的亲加密立场。受美国监管机构的审查较少;定位于服务 USDT/USDC 面临障碍的市场。
用例与集成Meta 平台集成: 用于_向创作者支付报酬、P2P 转账、应用内购买_,遍及 Facebook、Instagram、WhatsApp 等。针对主流用户(社交/媒体背景),而非加密交易者。可能实现全球汇款(例如通过 WhatsApp 汇款)和_元宇宙商业_。主要用于加密交易(作为交易所的美元替代品)。也常用于 DeFi 借贷,以及在货币不稳定的国家作为美元对冲。由于对发行商的波动性担忧,在零售支付中使用较少。用于加密市场和一些金融科技应用。在 DeFi 和交易对中很受欢迎,但也由支付处理器和金融科技公司集成(用于商业、汇款)。Coinbase 等允许使用 USDC 进行转账。在商业结算中的作用日益增长。目前主要用于加密交易所(币安),作为 BUSD 衰落后的美元流动性选项。在亚洲支付或 DeFi 方面有一定潜力,但用例尚处于初期。市场定位是成为亚洲用户和机构的合规替代品。

预计影响: 如果 Meta 成功推出稳定币支付,它可能会显著扩大稳定币的覆盖范围和使用。Meta 的应用可能会吸引数亿从未接触过加密货币的新稳定币用户。这种主流采用可能会_增加稳定币市场的总市值_,超越当前的领导者。例如,如果 Meta 与 Circle 合作大规模使用 USDC,对 USDC 的需求可能会激增——可能随着时间的推移挑战 USDT 的主导地位。Meta 很有可能帮助 USDC(或其采用的任何货币)的规模接近 Tether,通过提供交易以外的用例(社交商务、汇款等)。

另一方面,Meta 的参与可能会刺激稳定币之间的竞争和创新。Tether 和其他现有者可能会通过提高透明度或组建自己的大型科技联盟来调整。可能会出现专为社交网络量身定制的新稳定币。此外,Meta 支持多种稳定币表明没有单一货币会“垄断”Meta 的生态系统——用户可能会根据地区或偏好无缝地使用不同的美元代币进行交易。这可能导致一个更加多元化的稳定币市场,其中主导地位被分散。

同样重要的是要注意 Meta 可能提供的基础设施提升。与 Meta 集成的稳定币可能需要强大的能力来处理数百万的日常交易。这可能会推动底层区块链的改进(例如以太坊 Layer-2 扩展,或增加 Stellar 网络的使用)。已经有观察家认为,如果大量交易流向以太坊,Meta 的举动可能会_“增加 [以太坊] 上的活动和对 ETH 的需求”_。同样,如果使用 Stellar,其原生代币 XLM 可能会因作为交易的 gas 而需求增加。

最后,Meta 的进入对加密行业来说是双刃剑:它使稳定币作为一种支付机制合法化(可能对采用和市场增长有利),但它也提高了监管的风险。如果数十亿社交媒体用户开始使用稳定币进行交易,政府可能会将稳定币更多地视为国家重要事务。这可能会加速监管的明确性——或打击——取决于 Meta 的推出情况。无论如何,到 2020 年代末,稳定币的格局很可能会因 Meta 的参与以及 PayPal、Visa 和传统银行等其他大型参与者进入该领域而重塑。

集成到 Meta 的平台(Facebook、Instagram、WhatsApp 等)

Meta 战略的一个关键方面是将稳定币支付无缝集成到其应用家族中。目标是以用户友好的方式将数字货币功能嵌入到 Facebook、Instagram、WhatsApp、Messenger,甚至像 Threads 这样的新平台中。以下是集成预计在每个服务上的表现:

  • Instagram: Instagram 有望成为稳定币支付的试验场。Instagram 上的创作者可以选择以稳定币而非本地货币接收他们的收入(用于 Reels 奖励、联盟销售等)。报道特别提到,Meta 可能会开始通过 Instagram 上的稳定币向创作者支付最高约 100 美元的报酬。这表明重点是小额跨境支付——非常适合那些直接接收美元更为有利的国家的网红。此外,Instagram 可以在应用内使用稳定币打赏创作者,或允许用户使用稳定币余额购买数字收藏品和服务。由于 Instagram 已经在 2022 年试验过 NFT 展示功能,并拥有一个创作者市场,增加一个稳定币钱包可以增强其创作者生态系统。

  • Facebook (Meta): 在 Facebook 本身上,稳定币集成可能体现在 Facebook Pay/Meta Pay 的功能中。Facebook 上的用户可以在聊天中使用稳定币互相汇款,或用加密货币向筹款活动捐款。Facebook Marketplace(人们买卖商品的地方)可以支持稳定币交易,通过消除货币兑换问题,使跨境商业更容易。另一个领域是 Facebook 上的游戏和应用——开发者可以以稳定币获得报酬,或者游戏内购买可以利用稳定币获得统一的体验。鉴于 Facebook 庞大的用户群,在个人资料或 Messenger 中集成一个稳定币钱包可以迅速使向朋友和家人发送“数字美元”的概念主流化。Meta 自己的帖子暗示了内容变现:例如,向 Facebook 内容创作者支付奖金,或 Facebook 的打赏代币 Stars 将来可能由稳定币支持。

  • WhatsApp: 这可能是最具变革性的集成。WhatsApp 拥有超过 20 亿用户,在汇款至关重要的地区(印度、拉丁美洲等)被广泛用于消息传递。Meta 的稳定币可以将 WhatsApp 变成一个全球汇款平台。用户可以像发送短信一样轻松地向联系人发送稳定币,如果需要,WhatsApp 会在两端处理货币兑换。事实上,WhatsApp 在 2021 年曾短暂试行过 Novi 钱包,用于在美国和危地马拉发送稳定币(USDP)——所以这个概念在小范围内得到了验证。现在 Meta 可以将稳定币转账原生集成到 WhatsApp 的用户界面中。例如,一个在美国的印度工人可以通过 WhatsApp 向印度的家人发送 USDC,如果与当地支付提供商有集成,家人可以将其兑现或消费。这绕过了昂贵的汇款费用。除了 P2P,WhatsApp 上的小企业(在新兴市场很常见)可以接受稳定币支付商品,像一个低费用的商家支付系统一样使用它。Altcoin Buzz 的分析甚至推测,在创作者报酬之后,WhatsApp 将是下一个集成点之一。

  • Messenger: 与 WhatsApp 类似,Facebook Messenger 可以允许在聊天中使用稳定币汇款。Messenger 在美国已经有 P2P 法币支付功能。如果扩展到稳定币,它可以连接国际用户。可以想象 Messenger 聊天机器人或客户服务使用稳定币交易(例如,通过 Messenger 互动支付账单或订购产品,并以稳定币结算)。

  • Threads 及其他: Threads(Meta 于 2023 年推出的类似 Twitter 的平台)和更广泛的 **Meta VR/元宇宙(Reality Labs)**也可能利用稳定币。在 Horizon Worlds 或其他元宇宙体验中,稳定币可以作为购买虚拟商品、活动门票等的游戏内货币,提供一种跨体验通用的真实货币等价物。虽然 Meta 的元宇宙部门目前处于亏损状态,但集成一种在游戏和世界中都被接受的货币可以创造一个统一的经济,可能会刺激使用(就像 Roblox 有 Robux 一样,但在 Meta 的情况下,它将是底层的美元稳定币)。这将与扎克伯格的元宇宙经济愿景相符,而无需仅仅为 VR 创建一个新的代币。

集成策略: Meta 很可能会谨慎地推出这一功能。一个可能的顺序是:

  1. 在 Instagram 上试点创作者报酬(有限金额,特定地区)——这以真实价值流出的方式测试系统,但以可控的方式。
  2. 一旦获得信心,扩展到消息传递中的 P2P 转账(WhatsApp/Messenger)——从汇款走廊或某些国家内部开始。
  3. 商家支付和服务——使其平台上的企业能够以稳定币进行交易(这可能涉及与支付处理商的合作,以便轻松转换为本地法币)。
  4. 完整的生态系统集成——最终,用户的 Meta Pay 钱包可以显示一个稳定币余额,可以在 Facebook 广告、Instagram 购物、WhatsApp 支付等任何地方使用。

值得注意的是,用户体验将是关键。Meta 很可能会对普通用户隐藏“USDC”或“以太坊”等术语。钱包可能只显示一个以“美元”计价的余额(由后端的稳定币提供支持),以使其简单。只有更高级的用户才可能与链上功能互动(例如,如果允许,提取到外部加密钱包)。Meta 的优势在于其庞大的用户群;如果即使是一小部分人采用稳定币功能,其数量也可能超过当前的加密用户人口。

总之,Meta 将稳定币集成到其平台的计划可能会模糊传统数字支付和加密货币之间的界限。一个 Facebook 或 WhatsApp 用户可能很快就会在没有意识到它是一种加密资产的情况下使用稳定币——他们只会看到一种更快、更便宜的全球汇款和交易方式。这种深度集成可能会使 Meta 的应用在金融基础设施昂贵或缓慢的市场中脱颖而出,并将 Meta 定位为在数字支付领域与金融科技公司和加密交易所的强大竞争对手。

信息来源:

  • Meta 的稳定币探索性会谈及聘请加密副总裁
  • Meta 意图使用稳定币进行跨境创作者报酬(《财富》杂志报道)
  • Meta 通讯总监的评论(“Diem 已死,没有 Meta 稳定币”)
  • Meta 战略动机分析(降低成本、单一货币支付)
  • 技术基础设施选择——以太坊集成和 Stellar 的合规功能
  • Ginger Baker 的角色和背景(前 Plaid、Ripple、Stellar 董事会成员)
  • 《财富》/LinkedIn 关于 Meta 加密团队和正在讨论的合作关系的见解
  • 监管背景:Libra 在 2022 年的崩溃以及 2025 年在特朗普领导下更友好的环境与立法反弹(参议员沃伦关于禁止大型科技公司稳定币的言论)
  • 稳定币市场数据(2025 年第二季度):约 2380 亿美元市值,USDT 约 1480 亿美元 vs USDC 约 620 亿美元,增长趋势
  • USDT、USDC、FDUSD 的比较信息(市场份额、监管立场、发行商)
  • Meta 产品间的集成细节(内容创作者报酬、WhatsApp 支付)。

Sui 基金会支持的 MPC 网络 Ika —— 全面技术与投资评估

· 阅读需 44 分钟

简介

Ika 是一个由 Sui 基金会战略支持的并行多方计算 (MPC) 网络。Ika 前身为 dWallet Network,旨在以高速和大规模实现零信任的跨链互操作性。它允许智能合约 (尤其是在 Sui 区块链上) 安全地控制和协调其他区块链上的资产,而无需使用传统的跨链桥。本报告从创始人的视角深入探讨 Ika 的技术架构和密码学设计,并对其团队、融资、代币经济学、采用情况和竞争格局进行商业和投资分析。报告还包含一个 Ika 与其他基于 MPC 的网络 (Lit Protocol、Threshold Network 和 Zama) 的总结对比表,以供参考。

Ika Network

技术架构与特性 (创始人视角)

架构与密码学原语

Ika 的核心创新是一种新颖的 “2PC-MPC” 密码学方案——即在多方计算框架内的两方计算。简单来说,签名过程始终涉及两方:(1) 用户 和 (2) Ika 网络。用户保留一个私钥分片,而由许多独立节点组成的网络则持有另一个分片。只有在双方共同参与的情况下才能生成签名,这确保了网络本身永远无法在没有用户参与的情况下伪造签名。网络方并非单一实体,而是由 N 个验证者组成的分布式 MPC,它们共同扮演第二方的角色。这些节点中至少有三分之二的门限必须达成一致 (类似于拜占庭容错共识),才能生成网络的签名分片。这种_嵌套式 MPC_ 结构 (用户 + 网络) 使得 Ika 非共谋:即使所有 Ika 节点合谋,它们也无法窃取用户资产,因为用户的参与 (他们的密钥分片) 在密码学上是必需的。换句话说,Ika 实现了**“零信任” 安全**,维护了 Web3 的去中心化和用户所有权原则——没有任何单一实体或小团体可以单方面危及资产。

图:Ika 的 2PC-MPC 架构示意图——用户作为一方 (持有一个私钥分片),由 N 个验证者组成的 Ika 网络通过 MPC 门限协议 (t-out-of-N) 构成另一方。这保证了用户和去中心化节点的超多数必须合作才能生成有效签名。

从技术上讲,Ika 是一个从 Sui 代码库分叉出来的独立区块链网络。它运行自己的 Sui 高性能共识引擎实例 (Mysticeti,一种基于 DAG 的 BFT 协议) 来协调 MPC 节点。值得注意的是,Ika 版本的 Sui 禁用了智能合约 (Ika 链仅用于运行 MPC 协议),并包含了用于 2PC-MPC 签名算法的自定义模块。Mysticeti 在节点之间提供了一个可靠的广播通道,取代了传统 MPC 协议使用的复杂点对点消息网格。通过利用基于 DAG 的共识进行通信,Ika 避免了早期门限签名方案的指数级通信开销,后者要求 n 方中的每一方都向所有其他方发送消息。相反,Ika 的节点通过共识广播消息,实现了线性的 O(n) 通信复杂度,并使用批处理和聚合技术,使得即使 N 变得很大,每个节点的成本也几乎保持不变。这代表了门限密码学的一大突破:Ika 团队用高效的广播聚合取代了点对点的“单播”通信,使得协议能够支持成百上千的参与者而不会减速。

零知识集成: 目前,Ika 的安全性是通过门限密码学和 BFT 共识实现的,而非明确的零知识证明。其核心签名过程不依赖于 zk-SNARKs 或 zk-STARKs。然而,Ika 使用链上_状态证明_ (轻客户端证明) 来验证来自其他链的事件,这是一种密码学验证形式 (例如,验证区块头或状态的 Merkle 证明)。该设计为未来集成零知识技术留下了空间——例如,在不泄露敏感数据的情况下验证跨链状态或条件——但截至 2025 年,Ika 公布的架构中并未包含任何特定的 zk-SNARK 模块。其重点在于通过 2PC-MPC 方案实现的“零信任”原则 (即无信任假设),而非零知识证明系统。

性能与可扩展性

Ika 的一个主要目标是克服以往 MPC 网络的性能瓶颈。传统的门限签名协议 (如 Lindell 的 2PC ECDSA 或 GG20) 难以支持超过少数几个参与者,通常需要数秒或数分钟才能生成一个签名。相比之下,Ika 的优化协议实现了亚秒级延迟的签名,并且可以并行处理非常高的签名请求吞吐量。基准测试声称,Ika 可以在大型节点集群中扩展到约每秒 10,000 次签名,同时保持安全性。这得益于前述的线性通信和大量使用批处理:网络可以在一轮协议中并发生成许多签名,从而极大地摊销了成本。据团队称,在负载下,Ika 可以比现有 MPC 网络**“快 10,000 倍”。实际上,这意味着实时、高频的交易 (如交易或跨链 DeFi 操作) 可以得到支持,而不会出现门限签名通常的延迟。延迟在亚秒级最终性**的量级,意味着签名 (以及相应的跨链操作) 几乎可以在用户请求后立即完成。

同样重要的是,Ika 在实现这一点的同时,还扩展了签名者的数量以增强去中心化。传统的 MPC 设置通常使用一个由 10-20 个节点组成的固定委员会,以避免性能崩溃。Ika 的架构可以扩展到成百上千的验证者参与签名过程,而不会出现显著的减速。这种大规模的去中心化提高了安全性 (攻击者更难腐蚀大多数节点) 和网络鲁棒性。其底层共识是拜占庭容错的,因此网络可以容忍多达三分之一的节点被攻破或离线,并仍然正常运行。在任何给定的签名操作中,只需要一个 t-of-N 的节点门限 (例如 N 的 67%) 积极参与;根据设计,如果太多节点宕机,签名可能会延迟,但系统被设计为能够优雅地处理典型的故障场景 (类似于区块链的共识活性和安全性属性)。总而言之,Ika 同时实现了高吞吐量和高验证者数量,这一组合使其区别于那些不得不在去中心化和速度之间做出权衡的早期 MPC 解决方案。

开发者工具与集成

Ika 网络被构建为对开发者友好,特别是对于那些已经在 Sui 上构建的开发者。开发者不是在 Ika 本身上编写智能合约 (因为 Ika 的链不运行用户定义的合约),而是从其他链与 Ika 交互。例如,一个 Sui Move 合约可以调用 Ika 的功能来签署外部链上的交易。为方便这一点,Ika 提供了强大的工具和 SDK:

  • TypeScript SDK: Ika 提供了一个 TypeScript SDK (Node.js 库),其风格与 Sui SDK 相似。该 SDK 允许构建者创建和管理 dWallets (去中心化钱包),并从他们的应用程序向 Ika 发出签名请求。使用 TS SDK,开发者可以生成密钥对、注册用户分片,并调用 Ika 的 RPC 来协调门限签名——所有这些都使用了 Sui API 中熟悉的模式。该 SDK 抽象了 MPC 协议的复杂性,使其变得像调用一个函数来请求 (例如) 一个比特币交易签名一样简单,只要有适当的上下文和用户批准。

  • CLI 和本地网络: 为了更直接的交互,提供了一个名为 dWallet CLI 的命令行界面 (CLI)。开发者可以通过分叉开源仓库来运行一个本地 Ika 节点,甚至是一个本地测试网络。这对于在开发环境中进行测试和集成非常有价值。文档指导用户如何设置本地开发网络、获取测试网代币 (DWLT——测试网代币) 以及创建第一个 dWallet 地址。

  • 文档和示例: Ika 的文档包括针对常见场景的逐步教程,例如**“你的第一个 dWallet”**。这些教程展示了如何建立一个对应于另一条链上地址的 dWallet (例如,一个由 Ika 密钥控制的比特币地址),如何加密用户的密钥分片以安全保管,以及如何发起跨链交易。示例代码涵盖了诸如通过 Sui 智能合约调用转移 BTC,或安排未来交易 (Ika 支持的一项功能,即在特定条件下预先签署交易) 等用例。

  • Sui 集成 (轻客户端): Ika 开箱即用地与 Sui 区块链紧密集成。Ika 网络内部运行一个 Sui 轻客户端,以无需信任地读取 Sui 链上数据。这意味着一个 Sui 智能合约可以发出一个事件或调用,Ika 将通过状态证明识别其为执行某个操作的触发器。例如,一个 Sui 合约可能会指示 Ika:“当事件 X 发生时,签署并在以太坊上广播一笔交易”。Ika 节点将使用轻客户端证明验证 Sui 事件,然后共同为以太坊交易生成签名。签名的有效载荷随后可以被传递到目标链 (可能由链下中继器或用户传递) 以执行所需的操作。目前,Sui 是第一个完全支持的控制链 (鉴于 Ika 起源于 Sui),但其架构是天生多链的。支持其他链的状态证明和集成已在路线图上——例如,团队提到将 Ika 扩展到与 Polygon Avail 生态系统中的 Rollup 合作 (在以 Avail 作为数据层的 Rollup 上提供 dWallet 功能),以及未来支持其他 Layer-1。

  • 支持的加密算法: Ika 的网络可以为几乎任何区块链的签名方案生成密钥/签名。它最初支持 ECDSA (比特币、以太坊的 ECDSA 账户、BNB 链等使用的椭圆曲线算法)。在短期内,计划支持 EdDSA (Ed25519,被 Solana 和一些 Cosmos 链等使用) 和Schnorr 签名 (例如比特币 Taproot 的 Schnorr 密钥)。这种广泛的支持意味着一个 Ika dWallet 可以在比特币上有一个地址,在以太坊上有一个地址,在 Solana 上有一个地址等等——所有这些都由同一个底层的分布式密钥控制。因此,Sui 或其他平台上的开发者可以通过一个统一的框架 (Ika) 将这些链中的任何一个集成到他们的 dApp 中,而无需处理特定于链的桥或托管方。

总而言之,Ika 提供了类似于与区块链节点或钱包交互的开发者体验,抽象了繁重的密码学。无论是通过 TypeScript SDK 还是直接通过 Move 合约和轻客户端,它都力求使跨链逻辑对构建者来说**“即插即用”**。

安全性、去中心化与容错性

安全性在 Ika 的设计中至关重要。零信任模型意味着用户在任何时候都无需信任 Ika 网络单方面控制其资产。如果用户创建一个 dWallet (比如一个由 Ika 管理的 BTC 地址),该地址的私钥绝不会由任何单一实体持有——甚至用户自己也不单独持有。相反,用户持有一个秘密分片,网络则共同持有另一个分片。两者都是必需的才能签署任何交易。因此,即使发生最坏的情况 (例如,许多 Ika 节点被攻击者攻破),他们_仍然无法移动资金_,因为没有用户的秘密密钥分片。这一特性解决了传统桥梁中的一个主要风险,即一定数量的验证者可以合谋窃取锁定的资产。Ika 通过从根本上改变访问结构来消除这种风险 (门限的设置使得网络_本身_永远不够——门限实际上包括了用户)。在文献中,这是一种新的范式:一个非共谋的 MPC 网络,其中资产所有者通过设计成为签名群体的一部分。

在网络方面,Ika 使用委托权益证明模型 (继承自 Sui 的设计) 来选择和激励验证者。IKA 代币持有者可以将权益委托给验证者节点;权益加权排名前列的验证者成为一个纪元 (epoch) 的权威,并且在每个纪元中都是拜占庭容错的 (2/3 诚实)。这意味着系统假设少于 33% 的权益是恶意的以维持安全性。如果一个验证者行为不端 (例如,试图产生不正确的签名分片或审查交易),共识和 MPC 协议会检测到它——不正确的签名分片可以被识别出来 (它们无法组合成有效的签名),而恶意节点可以被记录下来,并可能在未来的纪元中被罚没或移除。同时,只要有足够多的节点 (>67%) 参与,活性就能得到维持;即使许多节点意外崩溃或离线,共识仍能继续最终确定操作。这种容错性确保了服务的鲁棒性——不存在单点故障,因为有数百个位于不同司法管辖区的独立运营商参与。参与者的数量进一步加强了去中心化:Ika 不局限于一个固定的小型委员会,因此它可以接纳更多的验证者来提高安全性,而不会牺牲太多性能。事实上,Ika 的协议被明确设计为**“超越 MPC 网络的节点限制”**并允许大规模的去中心化。

最后,Ika 团队已将其密码学提交给外部审查。他们在 2024 年发布了一份详尽的白皮书,详细介绍了 2PC-MPC 协议,并且迄今为止至少进行了一次第三方安全审计。例如,在 2024 年 6 月,Symbolic Software 的一次审计审查了 Ika 的 2PC-MPC 协议的 Rust 实现及相关的加密库。该审计会重点验证密码学协议的正确性 (确保门限 ECDSA 方案、密钥生成或分片聚合中没有缺陷) 并检查潜在的漏洞。其代码库是开源的 (在 dWallet Labs GitHub 下),允许社区检查并为其安全性做出贡献。在 alpha 测试网阶段,团队也提醒说该软件仍处于实验阶段,尚未经过生产环境审计,但在主网上线前,持续的审计和安全改进是首要任务。总而言之,Ika 的安全模型是可证明的密码学保证 (来自门限方案) 和区块链级别的去中心化 (来自 PoS 共识和大型验证者集) 的结合,并经过专家审查,以提供对外部攻击者和内部共谋的强大保障。

兼容性与生态互操作性

Ika 是专门为成为一个互操作性层而构建的,最初是为 Sui 设计,但可扩展到许多生态系统。从第一天起,它与 Sui 区块链的集成最为紧密:它实际上充当了 Sui 的一个附加模块,赋予 Sui dApp 多链能力。这种紧密结合是设计使然——Sui 的 Move 合约和以对象为中心的模型使其成为 Ika dWallets 的一个良好“控制器”。例如,一个 Sui DeFi 应用程序可以使用 Ika 随时从以太坊或比特币获取流动性,使 Sui 成为多链流动性的中心。Sui 基金会对 Ika 的支持表明了一种将 Sui 定位为_“所有链的基础链”_的战略,利用 Ika 连接外部资产。实际上,当 Ika 主网上线后,一个 Sui 构建者可能会创建一个 Move 合约,比如说,接受 BTC 存款:在幕后,该合约会通过 Ika 创建一个比特币 dWallet (一个地址),并在需要时发出移动 BTC 的指令。最终用户体验到的就好像比特币只是 Sui 应用内管理的另一种资产,尽管 BTC 在一个有效的门限签名交易移动它之前,一直原生存在于比特币上。

除了 Sui,Ika 的架构还支持其他 Layer-1 区块链、Layer-2,甚至链下系统。该网络可以同时托管多个轻客户端,因此它可以验证来自以太坊、Solana、Avalanche 或其他链的状态——从而使这些链上的智能合约 (或其用户) 也能利用 Ika 的 MPC 网络。虽然这些功能可能会逐步推出,但其设计目标是_链无关_。在此期间,即使没有深度的链上集成,Ika 也可以以更手动的方式使用:例如,以太坊上的一个应用程序可以通过 Oracle 或链下服务调用 Ika API,来请求一个以太坊交易或消息的签名。因为 Ika 支持 ECDSA,它甚至可以用来以去中心化的方式管理一个以太坊账户的密钥,类似于 Lit Protocol 的 PKP 的工作方式 (我们稍后会讨论 Lit)。Ika 还展示了诸如在 Rollup 上控制比特币的用例——一个例子是与 Polygon Avail 框架集成,允许 Rollup 用户在不信任中心化托管方的情况下管理 BTC。这表明 Ika 可能会与各种生态系统 (Polygon/Avail、Celestia Rollup 等) 合作,作为去中心化密钥基础设施的提供商。

总而言之,从技术角度来看,Ika 与任何依赖数字签名的系统兼容——这基本上涵盖了所有区块链。它在 Sui 上的初始部署仅仅是个开始;长期愿景是一个通用的 MPC 层,任何链或 dApp 都可以接入,以进行安全的跨链操作。通过支持常见的密码学标准 (ECDSA、Ed25519、Schnorr) 并提供所需的轻客户端验证,Ika 可能成为整个 Web3 的一种_“MPC 即服务”_网络,以信任最小化的方式连接资产和操作。

商业与投资视角

创始团队与背景

Ika 由一支经验丰富的密码学和区块链专家团队创立,主要位于以色列。该项目的创始人和 CEO 是 Omer Sadika,一位在加密安全领域拥有深厚背景的企业家。Omer 此前曾联合创立 Odsy Network,这是另一个专注于去中心化钱包基础设施的项目,他也是 Ika 背后的公司 dWallet Labs 的创始人/CEO。他的背景包括在 Y Combinator 的培训 (YC 校友),并专注于网络安全和分布式系统。Omer 在 Odsy 和 dWallet Labs 的经验直接启发了 Ika 的愿景——本质上,Ika 可以被看作是 Odsy 致力于的“动态去中心化钱包”概念的演进,现在作为 Sui 上的一个 MPC 网络实现。

Ika 的 CTO 和联合创始人是 Yehonatan Cohen Scaly,一位密码学专家,他共同撰写了 2PC-MPC 协议。Yehonatan 领导 Ika 新颖密码学算法的研发,并曾在网络安全领域工作 (可能在密码学方面有学术研究)。他曾被引述讨论现有门限方案的局限性以及 Ika 的方法如何克服这些局限性,反映了他在 MPC 和分布式密码学协议方面的深厚专业知识。另一位联合创始人是 David Lachmish,他负责产品开发。David 的角色是将核心技术转化为对开发者友好的产品和现实世界的用例。Omer、Yehonatan 和 David 三人组——以及像 Dolev Mutzari 博士 (dWallet Labs 研究副总裁) 这样的其他研究人员——构成了 Ika 的领导核心。总的来说,该团队的资历包括之前的创业经历、学术研究贡献以及在加密、安全和区块链交叉领域的经验。正是这种深度使得 Ika 被描述为由“世界上一些顶尖的密码学专家”创建。

除了创始人,Ika 更广泛的团队和顾问可能还包括具有强大密码学背景的个人。例如,上面提到的 Dolev Mutzari 是技术论文的合著者,并在协议设计中发挥了重要作用。这样的人才存在让投资者相信 Ika 的复杂技术掌握在能干的人手中。此外,有一位已经成功融资并围绕 Odsy/dWallet 概念建立社区的创始人 (Omer),意味着 Ika 受益于该想法先前迭代中吸取的经验教训。团队的基地在以色列——一个以其密码学和网络安全行业而闻名的国家——也使他们处于一个丰富的人才库中,便于招聘开发人员和研究人员。

融资轮次与主要支持者

Ika (及其母公司 dWallet Labs) 自成立以来已吸引了大量风险投资和战略投资。迄今为止,它已在多轮融资中筹集了超过 2100 万美元。该项目最初的种子轮在 2022 年 8 月为 500 万美元,考虑到当时的熊市环境,这相当引人注目。该种子轮包括了众多知名的加密投资者和天使投资人。值得注意的参与者包括 Node Capital (领投)、LemniscapCollider VenturesDispersion CapitalLightshift CapitalTykhe Block VenturesLiquid2 VenturesZero Knowledge Ventures 等。著名的个人投资者也加入了,如 Naval Ravikant (AngelList 联合创始人及著名科技投资者)、Marc Bhargava (Tagomi 联合创始人)、Rene Reinsberg (Celo 联合创始人) 以及其他几位行业人物。这样的支持者阵容凸显了即使在概念阶段,市场对 Ika 的去中心化托管方法的强烈信心。

2023 年 5 月,Ika 在一轮似乎是 A 轮或战略轮的融资中又筹集了约 750 万美元,据报道估值约为 2.5 亿美元。此轮融资由 Blockchange VenturesNode Capital (再次) 领投,Insignius CapitalRubik Ventures 等参与。到那时,可扩展 MPC 网络的论点已获得关注,Ika 的进展可能吸引了这些投资者加倍下注。对于一个相对早期的网络来说,2.5 亿美元的估值反映了市场预期 Ika 可能成为 Web3 的基础性基础设施 (在价值上与 L1 区块链或主要 DeFi 协议相当)。

最引人注目的投资发生在 2025 年 4 月,当时 Sui 基金会宣布对 Ika 进行战略投资。这次与 Sui 生态系统基金的合作使 Ika 的总融资额超过 2100 万美元,并巩固了其与 Sui 区块链的紧密联盟。虽然 Sui 基金会投资的确切金额未公开披露,但很明显这是一次重要的认可——可能在数百万美元的量级。Sui 基金会的支持不仅是财务上的;它还意味着 Ika 在 Sui 生态系统内获得了强大的市场推广支持 (开发者外展、集成支持、市场营销等)。根据新闻稿,“Ika……宣布获得 Sui 基金会的战略投资,使其总融资额超过 2100 万美元。” 这次战略轮,而非传统的 VC 股权轮,突显了 Sui 将 Ika 视为其区块链未来的关键基础设施 (类似于以太坊基金会可能直接支持一个有益于以太坊的 Layer-2 或互操作性项目)。

除了 Sui,其他值得注意的支持者还有 Node Capital (一家以早期基础设施投资闻名的中国加密基金)、Lemniscap (一家专注于早期协议创新的加密风投) 和 Collider Ventures (一家以色列风投,可能提供本地支持)。Blockchange Ventures 领投 2023 年的融资值得注意;Blockchange 是一家投资了多个加密基础设施项目的风投,他们的领投表明他们认为 Ika 的技术可能定义一个类别。此外,根据 Omer 的一篇 LinkedIn 帖子,Digital Currency Group (DCG)Node Capital 在 Ika 更名之前为 dWallet Labs 领投了一轮 500 万美元的融资——DCG 的参与 (通过公司早期的一轮融资) 表明背后还有更多的支持。

总而言之,Ika 的融资历程显示了传统风投和战略合作伙伴的混合。Sui 基金会的参与尤其突出,因为它不仅提供了资本,还提供了一个集成的生态系统来部署 Ika 的技术。投资者基本上是在押注 Ika 将成为跨多个网络的_去中心化密钥管理和桥接的首选解决方案_,并相应地对该项目进行了估值。

代币经济学与经济模型

Ika 将拥有一个名为 $IKA 的原生实用代币,它是网络经济和安全模型的核心。独特的是,IKA 代币正在在 Sui 区块链上作为 SUI 原生资产推出,尽管 Ika 网络本身是一个独立的链。这意味着 IKA 将作为一种可以在 Sui 上像任何其他 Sui 资产一样持有和转移的代币存在,并且它将以双重方式使用:在 Ika 网络内用于质押和支付费用,在 Sui 上用于治理或在 dApp 中进行访问。其代币经济学可以概述如下:

  • Gas 费: 正如 ETH 是以太坊的 Gas 或 SUI 是 Sui 的 Gas 一样,IKA 作为 Ika 网络上 MPC 操作的 Gas/支付。当用户或 dApp 请求签名或 dWallet 操作时,会向网络支付一笔 IKA 费用。这些费用补偿验证者运行门限签名协议的计算和通信工作。白皮书将 IKA 的角色比作 Sui 的 Gas,确认所有由 Ika 促成的跨链交易都将产生少量 IKA 费用。费用表可能与操作的复杂性成正比 (例如,单个签名可能花费一个基准费用,而更复杂的多步工作流可能花费更多)。

  • 质押与安全: IKA 也是一个质押代币。Ika 网络中的验证者节点必须被委托一定数量的 IKA 权益才能参与共识和签名。共识遵循类似于 Sui 的委托权益证明机制:代币持有者将 IKA 委托给验证者,每个验证者在共识中的权重 (以及因此在门限签名过程中的权重) 由权益决定。在每个纪元中,验证者被选出,他们的投票权是权益的函数,整个集合是拜占庭容错的 (意味着如果一个验证者集总共有 X的权益,最多约X 的权益,最多约 X/3 的权益可以是恶意的而不会破坏网络保证)。质押者 (委托人) 通过质押奖励获得激励:Ika 的模型可能包括在纪元结束时将收集到的费用 (以及可能的通胀奖励) 分配给验证者及其委托人。确实,文档指出所有收集到的交易费用都分配给权威,他们可能会与委托人分享一部分作为奖励。这反映了 Sui 奖励服务提供商吞吐量的模型。

  • 供应与分配: 截至目前 (2025 年第二季度),关于 IKA 的总供应量、初始分配和通胀的细节尚未完全公开。然而,鉴于融资轮次,我们可以推断出一些结构。很可能,一部分 IKA 分配给了早期投资者 (种子轮和系列轮) 和团队,大部分保留用于社区和未来的激励。可能计划有社区销售或空投,特别是因为 Ika 曾举办过一次著名的 NFT 活动,筹集了 140 万 SUI (这是 Sui 上的一个 NFT 艺术活动,创下了记录;该活动的参与者可能会获得 IKA 奖励或早期访问权)。这次 NFT 活动表明了一种让社区参与并向用户而非仅仅是 VC 引导代币分配的策略。

  • 代币上线时间: Sui 基金会 2024 年 10 月的公告指出,“IKA 代币将在 Sui 上原生上线,解锁去中心化安全中的新功能和实用性”。主网计划于 2024 年 12 月上线,因此代币生成事件 (TGE) 可能会同时或稍后发生。如果主网按计划上线,IKA 代币可能在 2024 年底或 2025 年初开始分发。然后,该代币将开始用于 Ika 网络的 Gas 和质押。在此之前,在测试网上,一个临时代币 (测试网上的 DWLT) 被用作 Gas,它没有实际价值。

  • 用例与价值累积: IKA 作为一项投资的价值取决于 Ika 网络的使用情况。随着更多的跨链交易通过 Ika 流通,更多的费用以 IKA 支付,从而产生需求。此外,如果许多人想运行验证者或保护网络,他们必须获取并质押 IKA,这会锁定供应 (减少流通量)。因此,IKA 具有实用性加治理的性质——实用性在于支付服务和质押,并且很可能在指导协议未来方面具有治理作用 (尽管治理尚未明确提及,但这类网络通常最终会通过代币投票实现控制的去中心化)。可以想象,未来 IKA 代币持有者可以投票决定增加对新链的支持、调整费用参数或其他协议升级。

总的来说,IKA 的代币经济学旨在平衡网络安全性和可用性。通过在 Sui 上推出,他们使 Sui 生态系统的用户可以轻松获取和使用 IKA (代币本身无需单独的链上引导),这可以快速启动采用。投资者将关注诸如质押供应比例 (表明安全性)、费用收入 (表明使用情况) 和推动交易的合作伙伴关系 (表明对代币的需求) 等指标。

商业模式与上市策略

Ika 的商业模式是区块链生态系统中的基础设施提供商。它不提供面向消费者的产品;相反,它提供一种协议服务 (去中心化的密钥管理和交易执行),供其他项目集成。因此,主要的收入 (或价值捕获) 机制是服务费——即使用网络时以 IKA 支付的 Gas 费。可以将 Ika 比作一个去中心化的 AWS,用于密钥签名:任何开发者都可以接入并使用它,按次付费。从长远来看,随着网络的去中心化,dWallet Labs (创始公司) 可能会通过持有网络股份和代币增值来捕获价值,而不是收取 SaaS 风格的链下费用。

上市 (GTM) 策略: 早期,Ika 的目标是需要跨链功能或托管解决方案的区块链开发者和项目。与 Sui 的结盟为其提供了一个现成的开发者池。Sui 本身作为一个较新的 L1,需要独特的功能来吸引用户——而 Ika 在 Sui 上提供了跨链 DeFi、比特币访问等引人注目的功能。因此,Ika 的 GTM 策略搭上了 Sui 不断增长的生态系统的顺风车。值得注意的是,即使在主网上线之前,已有几个 Sui 项目宣布正在集成 Ika:

  • Full Sail、Rhei、Aeon、Human Tech、Covault、Lucky Kat、Native、Nativerse、Atoma 和 Ekko (都是 Sui 上的构建者) 这样的项目已经**“宣布他们即将推出的产品将利用 Ika”**,涵盖了从 DeFi 到游戏的各种用例。例如,Full Sail 可能正在构建一个可以通过 Ika 交易 BTC 的交易所;Lucky Kat (一个游戏工作室) 可以使用 Ika 来实现在多个链上存在的游戏内资产;Covault 可能涉及托管解决方案等。通过早期确保这些合作伙伴关系,Ika 确保了在上线时将有即时的交易量和展示其能力的真实应用。

  • Ika 也强调机构用例,例如_为机构提供去中心化托管_。在新闻稿中,他们强调 Ika 在托管方面为“机构和个人用户提供无与伦比的安全性”。这表明 Ika 可以被推广给加密托管机构、交易所,甚至那些希望以更安全的方式管理私钥的传统金融 (TradFi) 参与者 (或许可以作为 Fireblocks 或 Copper 的替代或补充,后者使用 MPC 但在中心化的企业环境中)。事实上,作为一个去中心化的网络,Ika 可以让托管领域的竞争对手都依赖于同一个强大的签名网络,而不是各自构建自己的。这种合作模式可能会吸引那些偏好为某些资产使用中立、去中心化托管方的机构。

  • 另一个角度是AI 集成:Ika 提到_“AI 代理护栏”_作为一个用例。这是具有前瞻性的,利用了 AI 自主性 (例如,AI 代理在区块链上执行) 的趋势。Ika 可以确保一个 AI 代理 (比如一个被赋予控制某些资金的自主经济代理) 不能带着资金跑路,因为代理本身不是密钥的唯一持有者——它仍然需要用户的分片或遵守 Ika 中的条件。将 Ika 营销为为 Web3 中的 AI 提供安全护栏是一个新颖的角度,可以吸引该领域的兴趣。

在地理上,Node Capital 等公司的存在也暗示了除了西方市场之外,对亚洲市场的关注。Sui 在亚洲 (尤其是在中国) 拥有强大的社区。Ika 在 Sui 上的 NFT 活动 (筹集了 140 万 SUI 的艺术活动) 表明了一种社区建设的努力——可能吸引了在 Sui NFT 领域非常活跃的中国用户。通过进行 NFT 销售或社区空投,Ika 可以培养一个持有 IKA 代币并有动力推广其采用的草根用户基础。

随着时间的推移,商业模式可以扩展到提供高级功能或企业集成。例如,虽然公共 Ika 网络是无需许可的,但 dWallet Labs 可以为某些客户启动私有实例或联盟版本,或为集成 Ika 的项目提供咨询服务。他们也可以通过早期运行一些验证者 (引导阶段) 来赚取部分费用。

总而言之,Ika 的 GTM 策略与生态系统合作伙伴关系紧密相连。通过深入嵌入 Sui 的路线图 (Sui 的 2025 年目标包括跨链流动性和独特用例),Ika 确保它将乘着该 L1 的增长浪潮。同时,它将自己定位为多链协调的通用解决方案,一旦在 Sui 上取得成功,就可以推广给其他链上的项目。Sui 基金会的支持和早期的集成公告,使 Ika 在信誉和采用方面比孤立推出具有显著的领先优势。

生态采用、合作伙伴关系与路线图

即使在早期阶段,Ika 已经建立了一个令人印象深刻的生态系统合作名录:

  • Sui 生态系统采用: 如前所述,多个基于 Sui 的项目正在集成 Ika。这意味着在 Ika 主网上线后,我们预计会看到 Sui dApp 启用诸如_“由 Ika 驱动”_的功能——例如,一个允许用户存入 BTC 的 Sui 借贷协议,或者一个在 Sui 上的 DAO 使用 Ika 在多个链上持有其金库。像 Rhei、Atoma、Nativerse (可能是 DeFi 项目) 和 Lucky Kat (游戏/NFT) 这样的名字的加入表明,Ika 的适用性涵盖了各个垂直领域。

  • 战略合作伙伴关系: Ika 最重要的合作伙伴是 Sui 基金会本身,它既是投资者也是推广者。Sui 的官方渠道 (博客等) 已经重点介绍了 Ika,实际上是将其认可为 Sui 的互操作性解决方案。此外,Ika 可能一直在与其他基础设施提供商合作。例如,鉴于提到了 zkLogin (Sui 的 Web2 登录功能) 和 Ika,可能存在一个组合用例,其中 zkLogin 处理用户认证,Ika 处理跨链交易,共同提供无缝的用户体验。此外,Ika 在其博客中提到 Avail (Polygon),这表明在该生态系统中存在合作或试点项目:也许是与 Polygon Labs 或在 Avail 上构建 Rollup 的团队合作,使用 Ika 将比特币桥接到这些 Rollup。另一个潜在的合作领域是托管方——例如,将 Ika 与像 Zengo 这样的钱包提供商 (值得注意的是,ZenGo 的联合创始人曾是 Omer 之前的项目) 或与像 Fireblocks 这样的机构托管技术集成。虽然尚未确认,但这些将是合乎逻辑的目标 (实际上 Fireblocks 在其他地方与 Sui 有合作;可以想象 Fireblocks 利用 Ika 在 Sui 上进行 MPC)。

  • 社区与开发者参与: Ika 运营一个 Discord,并可能举办黑客松,以吸引开发者使用 dWallets 进行构建。这项技术是新颖的,因此通过教育来宣传它至关重要。他们网站上的“用例”和“构建者”部分,以及解释核心概念的博客文章,表明了他们正在努力让开发者熟悉 dWallets 的概念。开发者越了解他们可以在不使用桥梁 (且不损害安全) 的情况下构建跨链逻辑,有机采用就会越多。

  • 路线图: 截至 2025 年,Ika 的路线图包括:

    • Alpha 和测试网 (2023–2024): alpha 测试网于 2024 年在 Sui 上启动,允许开发者试验 dWallets 并提供反馈。此阶段用于完善协议、修复错误和进行内部审计。
    • 主网上线 (2024 年 12 月): Ika 计划在 2024 年底上线主网。如果实现,到目前 (2025 年中),Ika 的主网应该已经运行。上线可能包括对一组链的初始支持:至少比特币和以太坊 (ECDSA 链) 会在第一时间支持,因为这些在市场营销中被大量提及。
    • 2025 年上线后目标: 在 2025 年,我们预计重点将是扩大使用量 (通过 Sui 应用并可能扩展到其他链)。团队将在上线后不久致力于增加对 Ed25519 和 Schnorr 的支持,从而实现与 Solana、Polkadot 和其他生态系统的集成。他们还将实现更多的轻客户端 (可能是 Ika 的以太坊轻客户端、Solana 轻客户端等),以扩大无需信任的控制范围。另一个路线图项目可能是无需许可的验证者扩展——鼓励更多独立的验证者加入,并进一步去中心化网络。由于代码是 Sui 的一个分叉,运行一个 Ika 验证者类似于运行一个 Sui 节点,许多运营商都可以做到。
    • 功能增强: 博客中暗示了两个有趣的功能是_加密用户分片_和_未来交易签名_。加密用户分片意味着用户可以选择性地加密他们的私有分片并将其存储在链上 (可能在 Ika 或其他地方),其方式只有他们自己可以解密,从而简化了恢复过程。未来交易签名意味着 Ika 能够预先签署一个在满足条件时稍后执行的交易。这些功能提高了可用性 (如果用户预先批准了某些逻辑,他们就不必为每个操作都保持在线,同时还能保持非托管的安全性)。在 2025 年交付这些功能将进一步区分 Ika 的产品。
    • 生态系统增长: 到 2025 年底,Ika 的目标可能是让多个链生态系统积极使用它。我们可能会看到,例如,一个以太坊项目通过 Oracle 使用 Ika (如果直接的链上集成尚未实现),或者与像 Wormhole 或 LayerZero 这样的跨链项目合作,Ika 可以作为安全消息传递的签名机制。

竞争格局也将塑造 Ika 的战略。它并非唯一提供去中心化密钥管理的公司,因此其路线图的一部分将涉及突出其性能优势和独特的两方安全模型,以区别于其他公司。在下一节中,我们将 Ika 与其著名的竞争对手 Lit Protocol、Threshold Network 和 Zama 进行比较。

竞争分析:Ika vs. 其他 MPC/门限网络

Ika 在一个前沿的密码学网络领域运营,其中一些项目正以不同的方法追求类似的目标。以下是 Ika 与 Lit ProtocolThreshold NetworkZama (每个都是去中心化密钥基础设施或隐私计算领域的代表性竞争对手) 的总结比较:

方面Ika (并行 MPC 网络)Lit Protocol (PKI & 计算)Threshold Network (tBTC & TSS)Zama (FHE 网络)
上线与状态成立于 2022 年;2024 年测试网;2024 年 12 月 (2025 年初) 在 Sui 上线主网。代币 $IKA 在 Sui 上线。2021 年启动;Lit 节点网络已上线。代币 $LIT (2021 年推出)。正在构建“Chronicle” Rollup 以进行扩展。网络于 2022 年在 Keep/NuCypher 合并后上线。代币 $T 治理 DAO。tBTC v2 已推出用于比特币桥接。仍在开发中 (截至 2025 年尚无公共网络)。为研发筹集了大量风险投资。尚无代币 (FHE 工具处于 alpha 阶段)。
核心焦点/用例跨链互操作性与托管:通过 dWallets 使用门限签名控制跨链原生资产 (如 BTC, ETH)。赋能 DeFi、多链 dApp 等。去中心化密钥管理与访问控制:通过 PKP (可编程密钥对) 进行门限加密/解密和条件签名。常用于内容门控、使用 JavaScript “Lit Actions” 的跨链自动化。门限密码学服务:例如 tBTC 去中心化比特币到以太坊的桥;用于数字资产托管的门限 ECDSA;用于数据隐私的门限代理重加密 (PRE)。隐私保护计算:全同态加密 (FHE) 以实现加密数据处理和私有智能合约。专注于机密性 (如私有 DeFi、链上机器学习),而非跨链控制。
架构Sui 区块链的分叉 (DAG 共识 Mysticeti),为 MPC 修改。Ika 上无用户智能合约;在约 N 个验证者 + 用户分片之间使用链下 2PC-MPC 协议。高吞吐量 (10k TPS) 设计。去中心化网络 + L2:Lit 节点运行 MPC 和一个基于 TEE 的 JS 运行时。“Chronicle” Arbitrum Rollup 用于锚定状态和协调节点。对密钥操作使用 2/3 门限共识。以太坊上的去中心化网络:节点运营商质押 $T 并被随机选入签名组 (例如 tBTC 的 100 个节点)。使用链下协议 (GG18 等) 和链上以太坊合约进行协调和存款处理。基于现有链的 FHE 工具包:Zama 的技术 (如 Concrete, TFHE 库) 使得在以太坊上实现 FHE (fhEVM) 成为可能。计划为 FHE 密钥建立一个门限密钥管理系统 (TKMS)。可能会与 L1 集成或作为 Layer-2 运行以进行私有计算。
安全模型2PC-MPC,非共谋:任何签名都需要用户的密钥分片 + N 个验证者的门限 (2/3 BFT)。没有任何单一实体拥有完整密钥。BFT 共识容忍 <33% 的恶意节点。由 Symbolic 审计 (2024)。门限 + TEE:需要 2/3 的 Lit 节点进行签名/解密。在每个节点上使用可信执行环境安全地运行用户提供的代码 (Lit Actions)。安全性依赖于节点的诚实度和硬件安全。门限多方:例如对于 tBTC,一个随机选择的约 100 个节点组必须达到一个门限 (例如 51) 才能签署 BTC 交易。经济激励 ($T 质押,罚没) 以保持诚实多数。由 DAO 治理;安全事件将通过治理处理。基于 FHE:安全性依赖于 FHE 的密码学难度 (如 LWE)——数据始终保持加密状态。Zama 的 TKMS 表明也使用门限密码学来管理 FHE 密钥。尚非实时网络;安全性正在由学术界审查。
性能亚秒级延迟,理论上约 10,000 签名/秒。可扩展至成百上千个节点而无重大性能损失 (广播和批处理方法)。适用于实时 dApp 使用 (交易、游戏)。中等延迟 (由于 TEE 和共识开销较重)。Lit 约有 50 个节点;使用“影子拼接”进行扩展,但大量节点会降低性能。适用于中等频率任务 (开放访问、偶尔的交易签名)。Chronicle L2 有助于批处理。较低吞吐量,较高延迟:tBTC 铸造可能需要几分钟 (等待比特币确认 + 门限签名),并使用小组进行签名。Threshold 的重点是质量 (安全) 而非数量——适用于桥接交易和访问控制,不为数千 TPS 设计。计算延迟高:FHE 目前比明文计算慢得多 (数量级差异)。Zama 正在优化,但运行私有合约将比普通合约更慢、更昂贵。不针对高频任务;针对隐私至关重要的复杂计算。
去中心化——无需许可的验证者集,可能支持数百个验证者。委托 PoS (Sui 风格) 确保开放参与和随时间推移的去中心化治理。用户始终参与其中 (无法被绕过)。中等——目前约 30-50 个核心节点由 Lit 团队和合作伙伴运行。计划进一步去中心化。节点任务繁重 (MPC + TEE),因此扩展不易。治理尚未完全去中心化 (Lit DAO 存在但处于早期)。——庞大的质押者池;但实际签名由选定的小组完成 (非整个网络同时进行)。网络的去中心化程度取决于其权益分布。由 Threshold DAO 治理 (代币持有者投票)——治理方面已成熟去中心化。不适用 (对网络而言)——Zama 目前更像一个公司驱动的项目。如果 fhEVM 或网络启动,初期可能中心化或节点集有限 (鉴于复杂性)。随着时间推移可能去中心化 FHE 交易的执行,但这在 2025 年是未知领域。
代币与激励$IKA (基于 Sui) 用于 Gas 费、质押和潜在的治理。激励:运行验证者赚取费用;代币随网络使用而增值。Sui 基金会的支持赋予其生态系统价值。**LIT代币——用于治理和可能的高级服务费用。LitActions目前对开发者免费(Gas);长期可能引入收费模型。LIT** 代币——用于治理和可能的高级服务费用。Lit Actions 目前对开发者免费 (无 Gas);长期可能引入收费模型。LIT 激励节点运营 (质押者),但确切的代币经济学仍在演变中。**T代币——由节点质押,治理DAO金库和协议升级。节点以T** 代币——由节点质押,治理 DAO 金库和协议升级。节点以 T 和费用 (ETH 或 tBTC 费用) 赚取收入。$T 保护网络 (行为不端将被罚没)。也用于 tBTC 采用的流动性计划。无代币 (尚未)——Zama 由 VC 资助;如果他们推出网络服务,可能会引入代币 (可用于支付私有计算费用或质押以保护运行 FHE 合约的网络)。目前开发者使用 Zama 的工具无需代币。
主要支持者Sui 基金会 (战略投资者);VCs:Node Capital, Blockchange, Lemniscap, Collider;天使投资人如 Naval Ravikant。得到 Sui 生态系统的强力支持。1kx, Pantera, Coinbase Ventures, Framework 等支持 (2022 年筹集 1300 万美元)。通过 Lit DAO 拥有不断增长的开发者社区。与 Ceramic、NFT 项目合作进行访问控制。Keep & NuCypher 社区演变而来 (过去由 a16z, Polychain 支持)。Threshold 由 DAO 运营;合并后无新 VC 融资 (来自以太坊社区基金等的赠款)。合作伙伴:与 Curve, Aave 合作 (tBTC 集成)。a16z, SoftBank, Multicoin Capital 支持 (A 轮融资 7300 万美元)。与以太坊基金会研究关系密切 (CEO Rand Hindi 是以太坊中 FHE 的积极倡导者)。与 Optalysys 等项目合作进行硬件加速。

Ika 的竞争优势: Ika 的差异化在于其规模化性能和独特的安全模型。与 Lit Protocol 相比,Ika 可以支持更多的签名者和更高的吞吐量,使其适用于 Lit 网络难以处理的用例 (如高容量交易或游戏)。Ika 也不依赖于可信执行环境,一些开发者对此持谨慎态度 (由于 SGX 中潜在的漏洞);相反,Ika 纯粹通过密码学和共识实现无需信任。相对于 Threshold Network,Ika 提供了一个更通用的平台。Threshold 主要专注于比特币↔以太坊桥接 (tBTC) 和一些密码学服务,如代理重加密,而 Ika 是一个灵活的互操作性层,可以开箱即用地与任何链和资产合作。此外,Ika 的用户参与模型意味着它不需要对存款进行超额抵押或保险 (tBTC v2 使用一个强大但复杂的经济模型来保护 BTC 存款,而在 Ika 中,用户从一开始就从未放弃控制权)。与 Zama 相比,Ika 解决的是一个不同的问题——Zama 针对隐私,而 Ika 针对互操作性。然而,可以想象未来两者可以互补 (例如,在 Ika 存储的资产上使用 FHE)。目前,Ika 的优势在于它能在一个有即时需求的细分市场中更早地投入运营 (如今需要桥和 MPC 网络,而 FHE 仍在成熟中)。

Ika 的一个潜在挑战是市场教育和信任。它正在引入一种进行跨链交互的新方式 (dWallets 而非传统的锁定-铸造桥)。它需要随着时间的推移在实践中证明其安全性,以赢得与 Threshold Network 逐渐赢得的同等信任水平 (Threshold 在早期版本因风险暂停后,不得不证明 tBTC 的可靠性)。如果 Ika 的技术如宣传的那样运作,它实际上通过解决 MPC 领域的去中心化、安全性和速度三难问题,超越了竞争对手。来自 Sui 的强力支持以及广泛的审计/论文为其增添了可信度。

总之,Ika 因其雄心勃勃的可扩展性以用户为中心的安全模型而在 MPC 网络中脱颖而出。投资者将其视为对跨链协调未来的押注——一个用户可以无缝地在多个区块链之间移动价值和逻辑,而无需放弃对其密钥的控制。如果 Ika 获得广泛采用,它可能成为 Web3 基础设施中与跨链消息协议或主要 Layer-1 区块链本身一样不可或缺的一部分。未来一年 (2025 年) 将至关重要,因为 Ika 的主网和首批用例将上线,证明这种尖端密码学是否能在真实市场条件下兑现其承诺。早期的迹象——强大的技术基础、活跃的集成渠道和大量的投资者支持——表明 Ika 有真正的机会用 MPC 重新定义区块链的互操作性

来源: 主要信息收集自 Ika 的官方文档和白皮书、Sui 基金会的公告、新闻稿和融资新闻,以及竞争对手的技术文档和分析以供参考 (Lit Protocol 的 Messari 报告、Threshold Network 文档和 Zama 的 FHE 描述)。所有信息截至 2025 年均为最新。

区块链中的可编程隐私:链下计算与链上验证

· 阅读需 52 分钟
Dora Noda
Dora Noda
Software Engineer

公共区块链以牺牲隐私为代价提供了透明度和完整性——每笔交易和合约状态都对所有参与者公开。这种开放性带来了诸如 MEV (矿工可提取价值) 攻击、复制交易以及敏感商业逻辑泄露等问题。可编程隐私旨在通过允许在不泄露数据本身的情况下对私有数据进行计算来解决这些问题。两种新兴的密码学范式正在使这成为可能:全同态加密虚拟机 (FHE-VM)零知识 (ZK) 协处理器。这些方法实现了链下或加密计算与链上验证,在保留信任的同时保护了机密性。在本报告中,我们将深入探讨 FHE-VM 和 ZK 协处理器的架构,比较它们的优缺点,并探索它们在金融、身份、医疗、数据市场和去中心化机器学习等领域的用例。

全同态加密虚拟机 (FHE-VM)

全同态加密 (FHE) 允许在不解密数据的情况下对加密数据进行任意计算。FHE 虚拟机将此功能集成到区块链智能合约中,实现了加密的合约状态和逻辑。在一个支持 FHE 的区块链(对于 EVM 兼容的设计,通常称为 fhEVM)中,所有输入、合约存储和输出在整个执行过程中都保持加密状态。这意味着验证者可以在不了解任何敏感值的情况下处理交易和更新状态,从而实现具有数据机密性的链上执行。

FHE-VM 的架构与设计

一个典型的 FHE-VM 扩展了标准的智能合约运行时(如以太坊虚拟机),增加了对加密数据类型和操作的原生支持。例如,Zama 的 FHEVM 引入了加密整数(euint8euint32 等)、加密布尔值(ebool),甚至加密数组作为一等类型。像 Solidity 这样的智能合约语言通过库或新的操作码进行了增强,使开发者可以直接对密文执行算术(addmul 等)、逻辑和比较操作。在底层,这些操作调用 FHE 原语(例如,使用 TFHE 库)来操作加密位并产生加密结果。

加密状态存储也得到支持,以便合约变量在区块链状态中保持加密。执行流程通常如下:

  1. 客户端加密: 用户在发送交易前,使用公共 FHE 密钥在本地加密其输入。加密密钥是公开的(用于加密和评估),而解密密钥则保持私密。在某些设计中,每个用户管理自己的密钥;在其他设计中,使用单个全局 FHE 密钥(下文将讨论)。
  2. 链上同态计算: 矿工/验证者使用加密的操作码执行合约。他们对密文执行相同的确定性同态操作,因此可以在加密的新状态上达成共识。关键是,验证者永远看不到明文数据——他们只看到“乱码”的密文,但仍然可以一致地处理它。
  3. 解密(可选): 如果需要公开或在链下使用某个结果,拥有私钥的授权方可以解密输出的密文。否则,结果将保持加密状态,并可用作后续交易的输入(允许对持久的加密状态进行连续计算)。

一个主要的设计考虑是密钥管理。一种方法是每个用户一个密钥,即每个用户持有自己的私钥,只有他们才能解密与他们相关的输出。这最大限度地保护了隐私(其他任何人都无法解密你的数据),但同态操作无法混合使用不同密钥加密的数据,除非使用复杂的多密钥协议。另一种方法,被 Zama 的 FHEVM 采用,是全局 FHE 密钥:一个单一的公钥加密所有合约数据,而一组分布式的验证者持有门限解密密钥的份额。公共加密和评估密钥在链上发布,因此任何人都可以向网络加密数据;私钥被分割给验证者,他们可以在门限方案下集体解密(如果需要)。为了防止验证者串通损害隐私,Zama 采用了一种门限 FHE 协议(基于他们的 Noah’s Ark 研究),并使用“噪声泛洪”来确保部分解密的安全性。只有当足够数量的验证者合作时,才能恢复明文,例如响应一个读取请求。然而,在正常操作中,没有任何单个节点能看到明文——数据在链上始终保持加密。

访问控制是另一个关键组成部分。FHE-VM 实现包括细粒度的控制,以管理谁(如果有的话)可以触发解密或访问某些加密字段。例如,Cypher 的 fhEV M支持对密文的访问控制列表,允许开发者指定哪些地址或合约可以与某些数据交互或重新加密。一些框架支持重加密:即在不暴露明文的情况下,将一个加密值从一个用户的密钥转移到另一个用户的密钥。这对于数据市场等场景非常有用,数据所有者可以用自己的密钥加密数据集,在购买后,将其重加密为买家的密钥——所有操作都在链上完成,无需公开解密。

确保正确性和隐私性

有人可能会问:如果所有数据都是加密的,我们如何强制执行合约逻辑的正确性?如果链无法“看到”值,它如何防止无效操作?FHE 本身不提供正确性证明——验证者可以执行同态步骤,但他们无法在不解密的情况下判断用户的加密输入是否有效,或者是否应该执行某个条件分支。零知识证明 (ZKPs) 可以补充 FHE 来解决这个问题。在 FHE-VM 中,通常用户在需要时必须提供一个 ZK 证明来证实某些明文条件。例如,Zama 的设计在每个加密输入中都附带一个明文知识的零知识证明 (ZKPoK)。这证明了用户知道其密文对应的明文,并且该明文符合预期标准,而无需透露明文本身。这种**“认证密文”**可以防止恶意用户提交格式错误的加密或超出范围的值。同样,对于需要决策的操作(例如,确保账户余额 ≥ 提款金额),用户可以在执行加密操作之前提供一个 ZK 证明,证明该条件在明文上成立。这样,链既不解密也不查看值,但它能确信加密交易遵循了规则。

FHE Rollup 中的另一种方法是使用 ZKPs 进行链下验证。Fhenix(一个使用 FHE 的 L2 Rollup)选择了一种乐观模型,其中一个名为门限服务网络的独立网络组件可以解密或验证加密结果,任何不正确的计算都可以通过欺诈证明进行挑战。总的来说,结合 FHE + ZK 或欺诈证明可以确保加密执行保持无需信任。验证者要么仅在授权时集体解密,要么验证每个加密状态转换都是有效的证明,而无需看到明文。

性能考虑: FHE 操作的计算量非常大——比普通算术慢几个数量级。例如,在以太坊上进行一次简单的 64 位加法大约花费 3 Gas,而在 Zama 的 FHEVM 下对一个加密的 64 位整数 (euint64) 进行加法大约需要 188,000 Gas。即使是 8 位的加法也可能花费约 94k Gas。这种巨大的开销意味着在现有节点上直接实现将非常缓慢且成本高昂。FHE-VM 项目通过优化的密码学库(如 Zama 用于二进制门自举的 TFHE-rs 库)和定制的 EVM 修改来解决这个问题。例如,Cypher 修改后的 Geth 客户端增加了新的操作码,并在 C++/汇编中优化了同态指令的执行,以最小化开销。尽管如此,要实现可用的吞吐量还需要加速。正在进行的工作包括使用 GPU、FPGA 甚至专门的光子芯片来加速 FHE 计算。Zama 报告称,自 2024 年以来,他们的 FHE 性能提高了 100 倍,并计划通过 GPU/FPGA 加速实现数千 TPS。专用的 FHE 协处理器服务器(如 Optalysys 的 LightLocker Node)可以插入验证者节点,将加密操作卸载到硬件上,支持每个节点每秒超过 100 次加密的 ERC-20 转账。随着硬件和算法的改进,FHE 与明文计算之间的差距将缩小,使私有合约能够接近更实用的速度。

兼容性: FHE-VM 设计的一个关键目标是与现有的开发工作流程保持兼容。Cypher 和 Zama 的 fhEVM 实现允许开发者使用 Solidity 编写合约,只需进行最小的更改——使用一个库来声明加密类型和操作。以太坊工具链的其余部分(Remix、Hardhat 等)仍然可以使用,因为底层的修改主要在客户端/节点级别。这降低了入门门槛:开发者无需成为密码学专家就能编写机密智能合约。例如,两个数的简单加法可以写成 euint32 c = a + b;,FHEVM 会在幕后处理与加密相关的细节。这些合约甚至可以与普通合约互操作——例如,一个加密合约如果需要,可以向一个标准合约输出一个解密结果,从而允许在一个生态系统中混合使用私有和公共部分。

当前的 FHE-VM 项目: 有几个项目正在开拓这一领域。Zama(一家总部位于巴黎的 FHE 初创公司)开发了核心的 FHEVM 概念和库(TFHE-rs 和一个 fhevm-solidity 库)。他们不打算推出自己的链,而是为他人提供基础设施。Inco 是一个 L1 区块链(基于 Cosmos SDK 和 Evmos 构建),它集成了 Zama 的 FHEVM,创建了一个模块化的机密链。他们的测试网(名为 Gentry 和 Paillier)展示了加密的 ERC-20 转账和其他私有 DeFi 原语。Fhenix 是一个以太坊二层乐观 Rollup,使用 FHE 实现隐私。它选择了乐观(欺诈证明)方法而不是 ZK-Rollup,因为对每个区块同时进行 FHE ZK 的成本非常高。Fhenix 使用相同的 TFHE-rs 库(进行了一些修改),并引入了一个门限服务网络来以去中心化的方式处理解密。还有一些独立的团队,如 Fhenix (现已更名) 和一些初创公司正在探索 MPC + FHE 的混合方案。此外,Cypher (由 Z1 Labs 开发) 正在构建一个专注于 AI 和隐私的三层网络,使用一个具有秘密存储和联邦学习支持等功能的 fhEVM。这个生态系统虽然 nascent 但发展迅速,并得到了大量资金的支持——例如,Zama 在 2025 年前筹集了超过 1.3 亿美元,成为“独角兽”,以推进 FHE 技术。

总之,FHE-VM 通过在链上对加密数据执行所有逻辑,实现了保护隐私的智能合约。这种范式确保了最大的机密性——在交易或状态中永远不会暴露任何敏感信息——同时利用现有的区块链共识来保证完整性。其代价是增加了验证者的计算负担以及密钥管理和证明集成的复杂性。接下来,我们将探讨一种替代范式,它将计算完全卸载到链下,仅使用链进行验证:零知识协处理器。

零知识协处理器 (ZK 协处理器)

ZK 协处理器是一种新的区块链架构模式,其中昂贵的计算在链下执行,其正确性的简洁零知识证明则在链上进行验证。这使得智能合约能够利用比链上执行所允许的更大的计算能力和数据,而无需牺牲无需信任性。术语协处理器是类比于硬件协处理器(如数学协处理器或 GPU),它们为 CPU 处理专门任务。在这里,区块链的“CPU”(如 EVM 等原生虚拟机)将某些任务委托给一个零知识证明系统,该系统充当密码学协处理器。ZK 协处理器返回一个结果一个证明该结果计算正确的证明,链上合约可以验证并使用该结果。

架构与工作流程

在典型设置中,dApp 开发者识别出其应用逻辑中对于链上执行来说过于昂贵或复杂的部分(例如,对历史数据的大量计算、重型算法、机器学习模型推理等)。他们将这些部分实现为一个链下程序(使用高级语言或电路 DSL),该程序可以为其执行生成零知识证明。链上组件是一个验证者智能合约,它检查证明并使结果可用于系统的其余部分。流程可以总结如下:

  1. 请求 – 链上合约触发一个请求,要求在链下完成某个计算。这可以由用户交易发起,也可以由一个合约调用 ZK 协处理器的接口。例如,一个 DeFi 合约可能会调用 “proveInterestRate(currentState)”,或者一个用户调用 “queryHistoricalData(query)”
  2. 链下执行与证明 – 一个链下服务(可能是一个去中心化的证明者网络或一个受信任的服务,取决于设计)接收请求。它收集所有需要的数据(链上状态、链下输入等),并在一个特殊的 ZK 虚拟机 (ZKVM) 或电路中执行计算。在执行过程中,会生成一个证明轨迹。最后,该服务生成一个简洁证明(例如,SNARK 或 STARK),证明*“在输入 X 上计算函数 F 得到输出 Y”*,并可选地证明数据完整性(下文将详细介绍)。
  3. 链上验证 – 证明和结果被返回到区块链(通常通过回调函数)。验证者合约使用高效的密码学验证(配对检查等)来检查证明的有效性。如果有效,合约现在可以信任输出 Y 是正确的。结果可以存储在状态中,作为事件发出,或输入到进一步的合约逻辑中。如果证明无效或在某个时间内未提供,请求可以被视为失败(并可能触发一些回退或超时逻辑)。

图 1:ZK 协处理器的架构(以 RISC Zero Bonsai 为例)。在链下,一个程序在 ZKVM 上运行,输入来自智能合约调用。执行证明通过一个中继合约返回到链上,该合约用验证后的结果调用一个回调函数。

关键是,无论链下计算有多复杂,链上验证的 Gas 成本是恒定的(或增长非常缓慢)。验证一个简洁证明可能花费几十万 Gas(以太坊区块的一小部分),但该证明可能代表了在链下完成的数百万个计算步骤。正如一位开发者所说,“想证明一个数字签名?大约 15 美元。想证明一百万个签名?也是大约 15 美元。”。这种可扩展性是一个巨大的优势:dApp 可以提供复杂的功能(大数据分析、复杂的金融模型等),而不会堵塞区块链。

ZK 协处理器系统的主要组件是:

  • 证明生成环境: 这可以是一个通用的 ZKVM(能够运行任意程序)或为特定计算量身定制的自定义电路。方法各不相同:
    • 一些项目为每个支持的查询或函数使用手工制作的电路(最大化该函数的效率)。
    • 其他项目提供一个领域特定语言 (DSL)嵌入式 DSL,开发者用它来编写他们的链下逻辑,然后编译成电路(在易用性和性能之间取得平衡)。
    • 最灵活的方法是 zkVM:一个虚拟机(通常基于 RISC 架构),程序可以用标准语言(Rust、C 等)编写并自动证明。这牺牲了性能(在电路中模拟 CPU 会增加开销),但换来了最佳的开发者体验
  • 数据访问与完整性: 一个独特的挑战是为链下计算提供正确的数据,特别是如果这些数据位于区块链上(过去的区块、合约状态等)。一个简单的解决方案是让证明者从一个存档节点读取并信任它——但这引入了信任假设。相反,ZK 协处理器通常通过链接到 Merkle 证明或状态承诺来证明所使用的任何链上数据都是真实的。例如,查询程序可能会接收一个区块号和一个存储槽或交易的 Merkle 证明,电路将根据已知的区块头哈希验证该证明。存在三种模式:
    1. 内联数据: 将所需数据放在链上(作为验证者的输入),以便直接检查。这对于大数据来说成本非常高,并且破坏了整个目的。
    2. 信任预言机: 让一个预言机服务将数据提供给证明并为其担保。这更简单,但重新引入了对第三方的信任。
    3. 通过 ZK 证明数据包含: 在零知识电路本身中包含数据在链历史中的包含证明。这利用了每个以太坊区块头都提交了整个先前状态(通过状态根)和交易历史的事实。通过在电路内验证数据的 Merkle Patricia 证明,输出证明向合约保证*“此计算使用了来自区块 N 的真实区块链数据”,无需额外的信任。 第三种方法是最无需信任的,并被像 Axiom 和 Xpansion 这样的高级 ZK 协处理器使用(它确实增加了证明成本,但为了安全性是可取的)。例如,Axiom 的系统在其电路中模拟了以太坊的区块结构、状态树和交易树,因此它可以证明诸如“账户 X 在区块 N 时的余额为 Y“一个具有某些属性的交易发生在区块 N”*之类的陈述。它利用了这样一个事实:给定一个最近的可信区块哈希,可以递归地证明历史数据的包含,而无需信任任何外部方。
  • 验证者合约: 这个链上合约包含验证密钥和接受或拒绝证明的逻辑。对于像 Groth16 或 PLONK 这样的 SNARKs,验证者可能会进行一些椭圆曲线配对;对于 STARKs,它可能会进行一些哈希计算。聚合和递归等性能优化可以最小化链上负载。例如,RISC Zero 的 Bonsai 使用一个 STARK-to-SNARK 包装器:它在链下运行一个基于 STARK 的 VM 以提高速度,然后生成一个小的 SNARK 证明来证明 STARK 的有效性。这将证明大小从几百千字节缩小到几百字节,使得链上验证变得可行且便宜。然后,Solidity 验证者只需检查 SNARK(这是一个常数时间操作)。

部署方面,ZK 协处理器可以作为类似二层的网络或纯粹的链下服务运行。一些,如 Axiom,最初是作为以太坊的专门服务(得到 Paradigm 的支持),开发者向 Axiom 的证明者网络提交查询,并在链上获得证明。Axiom 的口号是为以太坊合约提供*“对所有链上数据和对其的任意表达性计算的无需信任的访问”*。它实际上充当了一个查询预言机,其中答案由 ZKPs 而不是信任来验证。其他的,如 RISC Zero 的 Bonsai,提供了一个更开放的平台:任何开发者都可以上传一个程序(编译成与 RISC-V 兼容的 ZKVM),并通过一个中继合约使用 Bonsai 的证明服务。如图 1 所示的中继模式涉及一个合约,该合约协调请求和响应:dApp 合约调用中继来请求一个证明,链下服务监听此请求(例如,通过事件或直接调用),计算证明,然后中继在 dApp 合约上调用一个回调函数,并附带结果和证明。这种异步模型是必要的,因为证明可能需要几秒到几分钟,具体取决于复杂性。它引入了延迟(以及证明者会响应的活性假设),而 FHE-VM 计算则在块内同步发生。设计应用程序以处理这种异步工作流(可能类似于预言机响应)是使用 ZK 协处理器的一部分。

著名的 ZK 协处理器项目

  • Axiom: Axiom 是一个为以太坊量身定制的 ZK 协处理器,最初专注于证明历史链上数据查询。它使用 Halo2 证明框架(一种 Plonk-ish SNARK)来创建包含以太坊密码学结构的证明。在 Axiom 的系统中,开发者可以查询诸如*“合约 X 在区块 N 的状态是什么?”或对某个范围内的所有交易进行计算。在底层,Axiom 的电路必须实现以太坊的状态/树逻辑,甚至在电路内部执行椭圆曲线操作和 SNARK 验证以支持递归。Trail of Bits 在一次审计中指出了 Axiom 的 Halo2 电路模拟整个区块和状态的复杂性。审计后,Axiom 将其技术推广到一个 OpenVM,允许使用相同的基于 Halo2 的基础设施来证明任意 Rust 代码。(这反映了从领域特定电路转向更通用的 ZKVM 方法的趋势。)Axiom 团队展示了以太坊原生无法完成的 ZK 查询,实现了对任何历史数据的无状态访问*和密码学完整性。他们还强调了安全性,捕获并修复了约束不足的电路错误并确保了可靠性。虽然 Axiom 的初始产品在其转型期间被关闭,但他们的方法仍然是 ZK 协处理器领域的一个里程碑。
  • RISC Zero Bonsai: RISC Zero 是一个基于 RISC-V 架构的 ZKVM。他们的 zkVM 可以执行任意程序(用 Rust、C++ 和其他编译到 RISC-V 的语言编写)并生成一个 STARK 执行证明。Bonsai 是 RISC Zero 的云服务,按需提供这种证明,充当智能合约的协处理器。要使用它,开发者编写一个程序(例如,一个执行复杂数学或验证链下 API 响应的函数),将其上传到 Bonsai 服务,并部署一个相应的验证者合约。当合约需要该计算时,它会调用 Bonsai 中继,触发证明生成并通过回调返回结果。一个展示的应用示例是链下治理计算:RISC Zero 展示了一个 DAO 使用 Bonsai 在链下统计投票并计算复杂的投票指标,然后发布一个证明,以便链上治理合约能够以最小的 Gas 成本信任结果。RISC Zero 的技术强调开发者可以使用熟悉的编程范式——例如,编写一个 Rust 函数来计算某些东西——而电路创建的繁重工作由 zkVM 处理。然而,证明可能很大,因此如前所述,他们为链上验证实现了一个 SNARK 压缩。2023 年 8 月,他们成功地在以太坊的 Sepolia 测试网上验证了 RISC Zero 证明,每个证明的成本约为 30 万 Gas。这为以太坊 dApp 今天使用 Bonsai 作为扩展和隐私解决方案打开了大门。(Bonsai 仍处于 alpha 阶段,尚未准备好生产,并使用一个没有仪式的临时 SNARK 设置。)
  • 其他: 还有许多其他参与者和研究计划。Expansion/Xpansion(如一篇博客中所述)使用一种嵌入式 DSL 方法,开发者可以用一种专门的语言编写对链上数据的查询,它在内部处理证明生成。StarkWare 的 CairoPolygon 的 zkEVM 是更通用的 ZK-Rollup VM,但它们的技术可以通过在 L1 合约内验证证明来重新用于类似协处理器的用途。我们还看到 ZKML (ZK 机器学习) 领域的项目,它们实际上充当协处理器,在链上验证 ML 模型推理或训练结果。例如,一个 zkML 设置可以证明*“在私有输入上进行的神经网络推理产生了分类 X”*,而无需透露输入或在链上进行计算。这些是协处理器概念应用于 AI 的特例。

信任假设: ZK 协处理器依赖于密码学证明的可靠性。如果证明系统是安全的(并且任何可信设置都是诚实完成的),那么一个被接受的证明就保证了计算是正确的。不需要对证明者有额外的信任——即使是恶意的证明者也无法让验证者相信一个错误的陈述。然而,存在一个活性假设:必须有人实际执行链下计算并生成证明。在实践中,这可能是一个去中心化的网络(有激励或费用来完成工作)或一个单一的服务运营商。如果没有人提供证明,链上请求可能会保持未解决状态。另一个微妙的信任方面是对于不在区块链上的链下输入的数据可用性。如果计算依赖于某些私有或外部数据,验证者无法知道该数据是否被诚实提供,除非使用额外的措施(如数据承诺或预言机签名)。但对于纯粹的链上数据计算,所描述的机制确保了与链本身等效的无需信任性(Axiom 认为他们的证明为历史查询提供了“与以太坊在密码学上等效的安全性”)。

隐私: 零知识证明本身也支持隐私——证明者可以在证明关于它们陈述的同时保持输入隐藏。在协处理器上下文中,这意味着一个证明可以允许合约使用从私有数据派生的结果。例如,一个证明可能显示*“用户的信用评分 > 700,因此批准贷款”,而无需透露实际的信用评分或原始数据。Axiom 的用例更多是关于公开已知的数据(区块链历史),所以隐私不是重点。但 RISC Zero 的 zkVM 可以用来证明关于用户提供的秘密数据的断言:数据保留在链下,只有需要的结果上链。值得注意的是,与 FHE 不同,ZK 证明通常不提供状态的持续机密性——它是一次性的证明。如果一个工作流需要跨交易维护一个秘密状态,可以通过让合约存储一个状态的承诺*,并且每个证明都显示从旧承诺到新承诺的有效状态转换,同时隐藏秘密来构建它。这基本上是用于私有交易的 zk-rollups(如 Aztec 或 Zcash)的工作方式。因此,ZK 协处理器可以促进完全私有的状态机,但实现并非易事;它们通常用于一次性计算,其中输入或输出(或两者)可以根据需要保持私有。

开发者体验: 使用 ZK 协处理器通常需要学习新工具。编写自定义电路(上述选项 (1))相当复杂,通常只用于狭窄的目的。像 DSLs 或 zkVMs 这样的更高级别的选项使生活更容易,但仍然增加了开销:开发者必须编写和部署链下代码并管理交互。与 FHE-VM 相比,在 FHE-VM 中,加密主要在幕后处理,开发者编写正常的智能合约代码,而在这里,开发者需要划分他们的逻辑,并可能需要用不同的语言(Rust 等)为链下部分编写代码。然而,像 Noir、Leo、Circom DSLs 或 RISC Zero 的方法这样的举措正在迅速提高可访问性。例如,RISC Zero 提供了模板和 Foundry 集成,这样开发者可以在本地模拟他们的链下代码(为了正确性),然后通过 Bonsai 回调无缝地将其挂钩到 Solidity 测试中。随着时间的推移,我们可以期待开发框架能够抽象出一段逻辑是通过 ZK 证明还是在链上执行——编译器或工具可能会根据成本来决定。

FHE-VM vs ZK 协处理器:比较

FHE-VM 和 ZK 协处理器都实现了一种*“在私有数据上计算并进行链上保证”*的形式,但它们在架构上根本不同。下表总结了主要区别:

方面FHE-VM (加密的链上执行)ZK 协处理器 (链下证明)
计算发生地直接在链上(所有节点对密文执行同态操作)。链下(一个证明者或网络执行程序;只有一个证明在链上被验证)。
数据机密性完全加密: 数据在链上始终保持加密;验证者永远看不到明文。只有解密密钥的持有者才能解密输出。零知识: 证明者的私有输入永远不会在链上透露;证明除了公共输出中的内容外,不泄露任何秘密。然而,任何必须影响链上状态的计算中使用的数据都必须编码在输出或承诺中。秘密默认保留在链下。
信任模型信任共识执行和密码学:如果大多数验证者遵循协议,加密执行是确定性和正确的。计算正确性无需外部信任(所有节点重新计算)。隐私方面必须信任 FHE 方案的安全性(通常基于格的困难性)。在某些设计中,还需信任足够数量的验证者不会串通滥用门限密钥。信任证明系统的安全性(SNARK/STARK 的可靠性)。如果证明验证通过,结果在密码学上可以确定是正确的。链下证明者无法欺骗数学。对证明者实际完成工作存在活性假设。如果使用可信设置(例如 SNARK SRS),必须信任它是诚实生成的,或使用透明/无设置的系统。
链上成本和可扩展性每笔交易成本高: 同态操作计算成本极高,每个节点都必须执行。Gas 成本很高(例如,一个 8 位加法就需要 10 万+ Gas)。复杂合约受限于每个验证者在一个区块内能计算的内容。除非采用专用硬件,否则吞吐量远低于普通智能合约。通过更快的密码学和硬件加速可以提高可扩展性,但从根本上说,每个操作都会增加链的工作负载。验证成本低: 验证一个简洁证明是高效且大小恒定的,因此链上 Gas 适中(任何大小的计算都只需几十万 Gas)。这将复杂性与链上资源限制解耦——大型计算没有额外的链上成本。因此,它在链上负载方面是可扩展的。在链下,证明时间可能很长(对于大型任务可能需要几分钟或更长时间),并且可能需要强大的机器,但这不会直接减慢区块链。只要能及时生成证明(潜在的并行证明者网络),整体吞吐量可以很高。
延迟结果在同一交易/区块中立即可用,因为计算在执行期间发生。没有额外的往返——同步操作。然而,如果 FHE 操作很慢,较长的区块处理时间可能会增加区块链的延迟。本质上是异步的。通常需要一个交易来请求,并在稍后的交易(或回调)中提供证明/结果。这会引入延迟(可能从秒到小时,取决于证明复杂性和证明硬件)。不适合单个交易的即时最终性——更像一个异步作业模型。
隐私保证强: 所有内容(输入、输出、中间状态)都可以在链上保持加密。你可以拥有长期的加密状态,多个交易可以更新它而无需透露。只有授权的解密操作(如果有的话)才会揭示输出,并且这些操作可以通过密钥/ACL 控制。然而,必须管理像 Gas 使用或事件日志这样的侧信道考虑,以免它们泄露模式(fhEVM 设计力求通过对操作使用恒定 Gas 来实现数据无关的执行,以避免泄露)。选择性: 证明揭示了公共输出中的内容或验证所必需的内容(例如,对初始状态的承诺)。设计者可以确保只揭示预期的结果,而所有其他输入都保持零知识隐藏。但与 FHE 不同,区块链通常不存储隐藏状态——隐私是通过将数据完全保留在链下来实现的。如果需要持久的私有状态,合约可以存储一个对其的密码学承诺(因此状态更新每次仍然会揭示一个新的承诺)。隐私受限于你选择证明的内容;你可以灵活地证明例如一个阈值被满足而无需透露确切的值。
完整性强制执行通过设计,所有验证者都同态地重新计算下一个状态,因此如果一个恶意行为者提供了错误的密文结果,其他人会检测到不匹配——除非每个人都得到相同的结果,否则共识会失败。因此,完整性是通过冗余执行来强制执行的(就像普通区块链一样,只是在加密数据上)。通常使用额外的 ZK 证明来强制执行业务规则(例如,用户不能违反约束),因为验证者无法直接检查明文条件。完整性由验证者合约检查 ZK 证明来强制执行。只要证明验证通过,结果就保证与链下程序的某个有效执行一致。正确性不需要诚实多数假设——即使是单个诚实的验证者(合约代码本身)也足够了。链上合约会简单地拒绝任何错误的证明或缺失的证明(类似于它会拒绝一个无效的签名)。一个考虑因素是:如果证明者中止或延迟,合约可能需要回退逻辑(或者用户可能需要稍后重试),但它不会接受不正确的结果。
开发者体验优点:可以主要使用熟悉的智能合约语言(Solidity 等)及其扩展。机密性由平台处理——开发者主要关心加密什么以及谁持有密钥。加密合约和普通合约的组合是可能的,保持了 DeFi 的可组合性(只是带有加密变量)。缺点:必须理解 FHE 的限制——例如,没有特殊处理就不能直接对秘密数据进行条件跳转,电路深度有限(尽管 TFHE 中的自举允许任意长度的计算,但会牺牲时间)。调试加密逻辑可能很棘手,因为没有密钥就无法轻易地内省运行时值。此外,密钥管理和权限设置给合约设计增加了复杂性。优点:链下部分可能可以使用任何编程语言(特别是使用 zkVM)。可以在链下程序中利用现有的代码/库(但要注意 ZK 兼容性)。如果使用通用的 ZKVM,开发者不需要自定义密码学——他们编写普通代码并获得一个证明。此外,重型计算可以使用永远无法在链上运行的库(例如,机器学习代码)。缺点:开发者必须协调链下基础设施或使用证明服务。处理异步工作流并将其与链上逻辑集成需要更多的设计工作(例如,存储一个待处理状态,等待回调)。编写高效的电路或 zkVM 代码可能需要学习新的约束(例如,没有浮点数,使用定点数或特殊原语;避免会使证明时间爆炸的重度分支;为约束数量进行优化)。还有处理证明失败、超时等的负担,这些在常规 Solidity 中不是问题。工具生态系统正在增长,但对许多人来说这是一个新的范式。

这两种方法都在积极改进中,我们甚至看到了融合:如前所述,ZKPs 被用于 FHE-VM 内部进行某些检查,反之,一些研究人员建议使用 FHE 来保持 ZK 中证明者输入的私密性(这样云证明者就看不到你的秘密数据)。可以想象未来的系统会将它们结合起来——例如,在链下执行 FHE,然后向链证明其正确性,或者在链上使用 FHE,但向轻客户端 ZK 证明加密操作是正确完成的。每种技术都有其优势:FHE-VM 提供持续的隐私和实时交互,但计算成本高昂;而 ZK 协处理器提供可扩展性和灵活性,但有延迟和复杂性的代价。

用例与影响

可编程隐私的出现为各行各业开启了大量新的区块链应用。下面我们探讨 FHE-VM 和 ZK 协处理器(或混合方案)如何通过实现保护隐私的智能合约安全的数据经济来赋能各个领域。

机密 DeFi 与金融

在去中心化金融中,隐私可以减轻抢先交易、保护交易策略,并在需要时满足合规要求,而无需牺牲透明度。机密 DeFi 可以让用户与协议互动,而无需向全世界透露他们的头寸。

  • 私密交易与隐藏余额: 使用 FHE,可以在区块链 L1 上实现机密代币转账(加密的 ERC-20 余额和交易)或屏蔽池。没有观察者能看到你持有或转移了多少代币,从而消除了基于持仓的定向攻击风险。ZK 证明可以确保余额保持同步且没有双重花费(类似于 Zcash,但在智能合约平台上)。一个例子是机密 AMM (自动做市商),其中池子的储备和交易在链上是加密的。套利者或抢先交易者无法利用该池,因为他们在交易结算前无法观察到价格滑点,从而减少了 MEV。只有在一定延迟后或通过访问控制机制,某些数据才可能被披露以供审计。
  • 抗 MEV 的拍卖与交易: 矿工和机器人利用交易透明度来抢先交易。通过加密,你可以拥有一个加密的内存池或批量拍卖,其中订单以密文形式提交。只有在拍卖清算后,交易才会解密。这个概念,有时被称为公平订单流,可以通过门限解密(多个验证者集体解密批次)或通过 ZK 证明拍卖结果而无需透露单个出价来实现。例如,一个 ZK 协处理器可以在链下处理一批密封的出价,计算拍卖清算价格,并只输出该价格和获胜者以及证明。这保护了失败出价的公平性和隐私。
  • 机密借贷与衍生品: 在 DeFi 借贷中,用户可能不希望透露他们的贷款或抵押品规模(这会影响市场情绪或招致利用)。FHE-VM 可以维护一个加密的贷款账本,其中每笔贷款的细节都是加密的。智能合约逻辑仍然可以通过操作加密的健康因子来强制执行清算条件等规则。如果一笔贷款的抵押率低于阈值,合约(在 ZK 证明的帮助下)可以标记其进行清算,而无需暴露确切的值——它可能只在明文中产生一个“是/否”标志。同样,秘密的衍生品或期权头寸可以在链上管理,只披露聚合的风险指标。这可以防止复制交易并保护专有策略,从而鼓励更多机构参与。
  • 合规隐私: 并非所有金融环境都希望完全匿名;有时为了监管需要选择性披露。有了这些工具,我们可以实现受监管的隐私:例如,交易对公众是私密的,但受监管的交易所可以解密或接收关于某些属性的证明。可以通过 ZK 证明*“这笔交易不涉及黑名单地址,且双方都经过 KYC 验证”*,而无需向链透露身份。这种平衡可以满足反洗钱 (AML) 规则,同时对其他人保密用户的身份和头寸。FHE 可以允许一个链上合规官合约扫描加密交易以寻找风险信号(例如,解密密钥仅在法院命令下才能访问)。

数字身份与个人数据

身份系统将从链上隐私技术中获益匪浅。目前,由于隐私法和用户的不情愿,将个人凭证或属性放在公共账本上是不切实际的。有了 FHE 和 ZK,自主身份可以以保护隐私的方式实现:

  • 零知识凭证: 使用 ZK 证明(在一些身份项目中已经很常见),用户可以证明诸如*“我已年满 18 岁”“我有有效的驾驶执照”“我的收入超过 5 万美元(用于信用评分)”*之类的陈述,而无需透露任何其他个人信息。ZK 协处理器可以通过在链下处理更复杂的检查来增强这一点,例如,通过以类似 Axiom 的方式查询私有信用数据库来证明用户的信用评分高于某个阈值,只向区块链输出一个“是/否”的结果。
  • DeFi 上的机密 KYC: 想象一个 DeFi 协议,根据法律必须确保用户经过 KYC。使用 FHE-VM,用户的凭证可以加密存储在链上(或通过 DID 引用),智能合约可以执行 FHE 计算来验证 KYC 信息是否符合要求。例如,一个合约可以同态地检查加密用户配置文件中的姓名社保号是否与受制裁用户列表(也加密)匹配,或者用户的国家是否不受限制。合约只会得到一个加密的“通过/失败”,可以由网络验证者门限解密为一个布尔标志。只有用户是否被允许的事实被揭示,保护了个人身份信息 (PII) 的机密性,并符合 GDPR 原则。这种选择性披露确保了合规性和隐私。
  • 基于属性的访问与选择性披露: 用户可以持有一堆可验证的凭证(年龄、公民身份、技能等)作为加密属性。他们可以授权某些 dApp 对其进行计算,而无需披露所有内容。例如,一个去中心化的招聘 DApp 可以通过对加密的简历进行搜索(使用 FHE)来筛选候选人——例如,计算工作年限、检查是否有某个认证——只有在找到匹配项时,才在链下联系候选人。候选人的私人细节保持加密,除非他们选择透露。ZK 证明还可以让用户选择性地证明他们拥有属性的组合(例如,超过 21 岁在某个邮政编码内),而无需透露实际值。
  • 多方身份验证: 有时用户的身份需要由多方审查(例如,公司 A 的背景调查,公司 B 的信用检查)。使用同态和 ZK 工具,每个验证者可以贡献一个加密的分数或批准,智能合约可以将这些聚合为一个最终决定,而无需暴露单个贡献。例如,三个机构提供加密的“通过/失败”位,如果三个都是通过,合约就输出一个批准——用户或依赖方只看到最终结果,而不是哪个特定机构可能让他们失败,从而保护了用户在每个机构的记录隐私。这可以减少与例如一次失败的检查揭示特定问题相关的偏见和污名。

医疗保健与敏感数据共享

医疗数据高度敏感且受监管,但将来自多个来源的数据结合起来可以释放巨大价值(用于研究、保险、个性化医疗)。如果隐私问题得到解决,区块链可以为数据交换提供一个信任层。机密智能合约可以催生新的健康数据生态系统:

  • 安全的医疗数据交换: 患者可以将其医疗记录的引用以加密形式存储在链上。一个支持 FHE 的合约可以允许研究机构对一组患者数据进行分析,而无需解密。例如,一个合约可以计算一种药物在加密的患者结果中的平均疗效。只有聚合的统计结果被解密出来(并且可能只有在包含最少数量的患者时,以防止重新识别)。患者可以通过贡献他们的加密数据进行研究而获得微支付,因为他们知道自己的隐私得到了保护,因为即使是区块链和研究人员也只能看到密文或聚合证明。这促进了一个尊重隐私的医疗保健数据市场
  • 保护隐私的保险理赔: 健康保险理赔处理可以通过智能合约自动化,这些合约可以在不向保险公司暴露数据的情况下验证医疗数据的条件。一份理赔可以包括一个加密的诊断代码和加密的治疗费用;合约使用 FHE 检查保单规则(例如,覆盖范围、免赔额)对该加密数据。它可以输出一个批准和支付金额,而无需向保险公司的区块链透露实际诊断(只有患者和医生有密钥)。ZK 证明可以用来证明患者的数据来自认证医院的记录(使用类似 Axiom 的东西来验证医院的签名或记录包含),而无需透露记录本身。这确保了患者隐私,同时防止了欺诈。
  • 基因组与个人数据计算: 基因组数据极其敏感(它实际上是一个人的 DNA 蓝图)。然而,分析基因组可以提供有价值的健康见解。公司可以使用 FHE-VM 对用户上传的加密基因组进行计算。例如,一个智能合约可以在加密的基因组数据和加密的环境数据(可能来自可穿戴设备)上运行一个基因-环境风险模型,输出一个只有用户才能解密的风险评分。逻辑(可能是一个多基因风险评分算法)被编码在合约中并同态运行,因此基因组数据永远不会以明文形式出现。这样,用户可以在不向公司提供原始 DNA 数据的情况下获得见解——从而减轻了隐私和数据所有权方面的担忧。
  • 流行病学与公共卫生: 在大流行等情况下,共享数据对于模拟疾病传播至关重要,但隐私法可能会阻碍数据共享。ZK 协处理器可以允许公共卫生当局通过证明向医院网络的数据提交诸如*“X 地区在过去 24 小时内有多少人检测呈阳性?”*之类的查询。每家医院将患者测试记录保留在链下,但可以向当局的合约证明阳性计数,而无需透露是谁。同样,接触者追踪可以通过匹配加密的位置轨迹来完成:合约可以计算患者加密位置历史的交集以识别热点,只输出热点位置(以及可能只有卫生部门才能解密的受影响 ID 的加密列表)。个人的原始位置轨迹保持私密。

数据市场与协作

在不泄露数据的情况下对其进行计算的能力为数据共享开辟了新的商业模式。实体可以在知道其专有数据不会被暴露的情况下进行计算协作:

  • 安全的数据市场: 卖家可以在区块链市场上以加密形式提供数据。买家可以付费通过智能合约在加密数据集上运行特定的分析或机器学习模型,获得训练好的模型或聚合结果。卖家的原始数据永远不会向买家或公众透露——买家可能只收到一个模型(其权重中仍可能泄露一些信息,但差分隐私或控制输出粒度等技术可以减轻这种情况)。ZK 证明可以向买家保证计算是在承诺的数据集上正确完成的(例如,卖家不能通过在虚拟数据上运行模型来作弊,因为证明将其与承诺的加密数据集联系起来)。这种情况鼓励了数据共享:例如,一家公司可以通过允许批准的算法在加密的用户行为数据上运行来将其货币化,而无需交出数据本身。
  • 联邦学习与去中心化 AI: 在去中心化机器学习中,多方(例如,不同的公司或设备)希望在不相互共享数据的情况下共同训练一个模型。FHE-VM 在这里表现出色:它们可以实现联邦学习,其中各方的模型更新由合约进行同态聚合。因为更新是加密的,所以没有参与者能了解其他人的贡献。合约甚至可以在链上加密地执行部分训练循环(如梯度下降步骤),产生一个只有授权方才能解密的更新模型。ZK 可以通过证明各方的更新是按照训练算法计算的来补充这一点(防止恶意参与者毒害模型)。这意味着一个全局模型可以在链上进行完全可审计的训练,而每个贡献者的训练数据都保持私密。用例包括跨银行联合训练欺诈检测模型,或在不集中原始数据的情况下使用来自许多用户的数据改进 AI 助手。
  • 跨组织分析: 考虑两家公司希望为合作活动找到他们的客户交集,而不想向对方暴露他们完整的客户列表。他们可以各自加密他们的客户 ID 列表并上传一个承诺。一个支持 FHE 的合约可以在加密集上计算交集(使用像通过 FHE 的私有集交集等技术)。结果可能是一个加密的共同客户 ID 列表,只有相互信任的第三方(或客户自己,通过某种机制)才能解密。或者,一种 ZK 方法:一方以零知识向另一方证明*“我们有 N 个共同客户,这里是这些 ID 的加密”*,并附带一个证明,证明该加密确实对应于共同条目。这样,他们就可以对这 N 个客户进行营销活动,而无需交换完整的明文列表。类似的情景:在不透露单个供应商细节的情况下计算跨竞争对手的供应链指标,或银行在不共享完整客户数据的情况下整理信用信息。
  • 区块链上的安全多方计算 (MPC): FHE 和 ZK 基本上将 MPC 概念带到了链上。跨多个组织的复杂业务逻辑可以编码在智能合约中,使得每个组织的输入都是秘密共享或加密的。合约(作为 MPC 协调者)产生每个人都可以信任的输出,如利润分配、成本计算或联合风险评估。例如,假设几家能源公司希望结算一个电力交易市场。他们可以将加密的出价和报价输入到一个智能合约拍卖中;合约在加密的出价上计算清算价格和分配,并将每个公司的分配和成本只输出给该公司(通过加密到他们的公钥)。没有公司能看到其他公司的出价,保护了竞争信息,但拍卖结果是公平且可验证的。这种区块链透明度与 MPC 隐私的结合可以彻底改变目前依赖可信第三方的联盟和企业联盟。

去中心化机器学习 (ZKML 和 FHE-ML)

以可验证和私密的方式将机器学习引入区块链是一个新兴的前沿领域:

  • 可验证的 ML 推理: 使用 ZK 证明,可以证明*“机器学习模型 f,在给定输入 x 时,产生输出 y”,而无需透露 x(如果它是私有数据)或 f 的内部工作原理(如果模型权重是专有的)。这对于区块链上的 AI 服务至关重要——例如,一个提供预测或分类的去中心化 AI 预言机。ZK 协处理器可以在链下运行模型(因为模型可能很大且评估成本高昂)并发布结果的证明。例如,一个预言机可以证明陈述“提供的卫星图像显示至少 50% 的树木覆盖率”*以支持碳信用合约,而无需透露卫星图像,甚至可能无需透露模型。这被称为 ZKML,并且有项目正在优化适合电路的神经网络。它确保了智能合约中使用的 AI 输出的完整性(没有作弊或任意输出),并可以保护输入数据和模型参数的机密性。
  • 具有隐私和可审计性的训练: 训练一个 ML 模型计算量更大,但如果可以实现,它将允许基于区块链的模型市场。多个数据提供者可以在 FHE 下为训练模型做出贡献,以便训练算法在加密数据上运行。结果可能是一个只有买家才能解密的加密模型。在整个训练过程中,可以定期提供 ZK 证明,以证明训练遵循了协议(例如,防止恶意训练者插入后门)。虽然完全在链上进行 ML 训练由于成本原因还很遥远,但一种混合方法可以使用链下计算和 ZK 证明来处理关键部分。可以想象一个去中心化的类似 Kaggle 的竞赛,参与者在私有数据集上训练模型,并提交模型在加密测试数据上准确性的 ZK 证明来确定获胜者——所有这些都无需透露数据集或测试数据。
  • 个性化 AI 与数据所有权: 有了这些技术,用户可以保留其个人数据的所有权,同时仍然受益于 AI。例如,用户的移动设备可以使用 FHE 加密其使用数据,并将其发送到一个分析合约,该合约仅为他们计算一个个性化的 AI 模型(如推荐模型)。该模型是加密的,只有用户的设备才能解密和在本地使用。平台(也许是社交网络)永远看不到原始数据或模型,但用户获得了 AI 的好处。如果平台想要聚合的见解,它可以向合约请求某些聚合模式的 ZK 证明,而无需访问个人数据。

其他领域

  • 游戏: 链上游戏通常难以隐藏秘密信息(例如,隐藏的牌手、策略游戏中的战争迷雾)。FHE 可以实现隐藏状态游戏,其中游戏逻辑在加密状态上运行。例如,一个扑克游戏合约可以洗牌并发放加密的牌;玩家获得自己牌的解密,但合约和其他人只看到密文。下注逻辑可以使用 ZK 证明来确保玩家没有在某个行动上虚张声势(或者在最后以可验证的公平方式揭示获胜的手牌)。同样,用于 NFT 铸造或游戏结果的随机种子可以生成并证明其公平性,而无需暴露种子(防止操纵)。这可以极大地增强区块链游戏,使其能够支持与传统游戏相同的动态。
  • 投票与治理: DAO 可以使用隐私技术进行链上秘密投票,消除买票和压力。FHE-VM 可以统计以加密形式投出的选票,只有最终总数被解密。ZK 证明可以确保每张选票都是有效的(来自合格的选民,且未投过两次票),而无需透露谁投了什么票。这提供了可验证性(每个人都可以验证证明和计票),同时保持个人投票的秘密——这对于无偏见的治理至关重要。
  • 安全供应链与物联网: 在供应链中,合作伙伴可能希望共享某些属性的证明(来源、质量指标),而不想向竞争对手暴露全部细节。例如,食品运输上的物联网传感器可以持续向区块链发送加密的温度数据。合约可以使用 FHE 检查在整个运输过程中温度是否保持在安全范围内。如果超过了阈值,它可以触发警报或罚款,但不必公开整个温度日志——也许只公开一个证明或一个聚合值,如*“第 90 百分位的温度”*。这在尊重过程数据机密性的同时,建立了对供应链自动化的信任。

这些用例中的每一个都利用了核心能力:在不泄露数据的情况下对数据进行计算或验证。这种能力可以从根本上改变我们在去中心化系统中处理敏感信息的方式。它减少了在处理私有数据的领域中限制区块链采用的透明度与隐私之间的权衡。

结论

区块链技术正在进入一个可编程隐私的新时代,数据机密性与智能合约功能齐头并进。FHE-VM 和 ZK 协处理器的范式,虽然在技术上截然不同,但都致力于通过将我们能计算什么我们必须揭示什么解耦来扩展区块链应用范围。

全同态加密虚拟机将计算保持在链上并加密,保留了去中心化和可组合性,但要求在效率上取得进步。零知识协处理器将繁重的工作转移到链下,在密码学保证下实现了几乎无限的计算,并已在扩展和增强以太坊方面证明了其价值。它们(及其混合方案)之间的选择将取决于用例:如果需要与私有状态进行实时交互,FHE 方法可能更合适;如果需要极其复杂的计算或与现有代码集成,ZK 协处理器可能是更好的选择。在许多情况下,它们是互补的——事实上,我们看到 ZK 证明增强了 FHE 的完整性,而 FHE 可能通过为证明者处理私有数据来帮助 ZK。

对于开发者来说,这些技术将引入新的设计模式。我们将把加密变量和证明验证视为 dApp 架构的一等元素来思考。工具正在迅速发展:高级语言和 SDK 正在抽象化密码学细节(例如,Zama 的库使 FHE 类型像原生类型一样易于使用,或者 RISC Zero 的证明请求模板)。几年后,编写一个机密智能合约可能会感觉几乎和编写一个普通合约一样直接,只是默认“内置”了隐私。

数据经济的影响是深远的。当个人和企业能够控制其数据的可见性时,他们将更愿意将数据或逻辑放在链上。这可以解锁以前因隐私问题而无法实现的跨组织协作、新金融产品和 AI 模型。监管机构也可能开始接受这些技术,因为它们允许通过密码学手段进行合规检查和审计(例如,在链上证明税款已正确支付,而无需暴露所有交易)。

我们仍处于早期阶段——目前的 FHE-VM 原型有性能限制,而 ZK 证明虽然比以前快得多,但对于极其复杂的任务仍然可能成为瓶颈。但持续的研究和工程努力(包括专用硬件,如 Optalysys 等公司推动的光学 FHE 加速所证明的)正在迅速消除这些障碍。涌入该领域的资金(例如,Zama 的独角兽地位,Paradigm 对 Axiom 的投资)突显了一种强烈的信念,即隐私功能将像透明度对 Web1/2 一样对 Web3 至关重要

总之,通过 FHE-VM 和 ZK 协处理器实现的可编程隐私预示着一类新的 dApp,它们是无需信任、去中心化和机密的。从不透露任何细节的 DeFi 交易,到保护患者数据的健康研究,再到在世界各地训练而无需暴露原始数据的机器学习模型——可能性是巨大的。随着这些技术的成熟,区块链平台将不再强迫在效用和隐私之间做出权衡,从而在需要机密性的行业中实现更广泛的采用。Web3 的未来是,*用户和组织可以自信地在链上处理和计算敏感数据,因为他们知道区块链将在保护他们秘密的同时验证完整性*。

来源: 本报告中的信息来自该领域领先项目的技术文档和最新研究博客,包括 Cypher 和 Zama 的 FHEVM 文档、Trail of Bits 对 Axiom 电路的详细分析、RISC Zero 的开发者指南和博客文章,以及强调机密区块链技术用例的行业文章。这些来源及更多内容已在全文中引用,以提供进一步的阅读和对所描述的架构和应用的证据。

Plume Network 与 Web3 中的现实世界资产 (RWA)

· 阅读需 91 分钟

Plume Network:概述与价值主张

Plume Network 是一个专为现实世界资产 (RWA) 构建的区块链平台。它是一个公开的、与以太坊兼容的链,旨在将广泛的现实世界金融资产代币化——从私人信贷、房地产到碳信用额度,甚至收藏品——并使它们像原生加密资产一样易于使用。换句话说,Plume 不仅仅是将资产上链;它允许用户在去中心化金融 (DeFi) 中持有和使用代币化的现实资产——从而能够在源自传统金融的资产上进行熟悉的加密活动,如质押、借贷、交换和投机交易。

Plume 的核心价值主张是通过将传统上缺乏流动性或难以获取的资产转变为可编程、具有流动性的代币,从而连接传统金融 (TradFi) 与 DeFi。通过将机构级资产(例如私人信贷基金、ETF、大宗商品)与 DeFi 基础设施相结合,Plume 旨在使高质量的投资——曾经仅限于大型机构或特定市场——对加密用户而言无需许可、可组合且一键可得。这为加密参与者打开了大门,让他们能够赚取由稳定的现实世界现金流(如贷款利息、租金收入、债券收益等)支持的“真实收益”,而不是依赖于通胀性的代币奖励。Plume 的使命是推动**“RWA 金融 (RWAfi)”**,创建一个透明开放的金融系统,任何人都可以在链上访问私人信贷、房地产债务或大宗商品等资产,并以新颖的方式自由使用它们。

总而言之,Plume Network 充当**“现实世界资产的链上家园”,提供一个全栈生态系统,将链下资产转变为具有真正加密原生效用的全球可访问金融工具。用户可以质押稳定币以从顶级基金经理(如 Apollo、BlackRock、Blackstone 等)处赚取收益,将 RWA 支持的代币作为抵押品进行循环和杠杆操作,并像交易 ERC-20 代币一样轻松地交易 RWA**。通过这样做,Plume 作为一个致力于使另类资产更具流动性和可编程性的平台脱颖而出,在不牺牲透明度或用户体验的情况下,为 Web3 带来了新的资本和投资机会。

技术与架构

Plume Network 是一个采用模块化 Layer-2 架构的 EVM 兼容区块链。在底层,Plume 的运作方式类似于以太坊 rollup(可与 Arbitrum 的技术相媲美),利用以太坊实现数据可用性和安全性。Plume 上的每笔交易最终都会批量发布到以太坊,这意味着用户需要支付少量额外费用来覆盖在以太坊上发布 calldata 的成本。这种设计利用了以太坊强大的安全性,同时允许 Plume 拥有自己的高吞吐量执行环境。Plume 运行一个排序器 (sequencer),该排序器聚合交易并定期将其提交到以太坊,从而为 RWA 用例提供更快的执行速度和更低的费用,但其信任和最终性则锚定于以太坊。

由于 Plume 与 EVM 兼容,开发者可以在 Plume 上部署 Solidity 智能合约,就像在以太坊上一样,几乎无需任何更改。该链支持标准的以太坊 RPC 方法和 Solidity 操作,只有微小的差异(例如,由于 Layer-2 设计,Plume 的区块号和时间戳语义反映了 Arbitrum 的惯例)。实际上,这意味着 Plume 可以轻松集成现有的 DeFi 协议和开发者工具。Plume 的文档指出,以太坊(“父”链)和 Plume(L2)之间支持跨链消息传递,从而使资产和数据能够根据需要在链之间移动。

值得注意的是,Plume 将自己描述为一个为 RWA 金融优化的“模块化区块链”。这种模块化方法在其架构中显而易见:它拥有用于桥接资产的专用组件(称为 Arc,用于将任何东西上链)、用于跨多个区块链的全链收益路由 (SkyLink),以及用于链上数据馈送的组件(Nexus,一个“链上数据高速公路”)。这表明 Plume 正在构建一个互联系统,其中 Plume 上的现实世界资产代币可以与其他链上的流动性互动,并且链下数据(如资产估值、利率等)能够可靠地馈送到链上。Plume 的基础设施还包括一个名为 Plume Passport(“RWAfi 钱包”)的定制钱包,该钱包可能处理 RWA 合规所需的身份/AML 检查,以及一个用于在生态系统中进行交易的原生稳定币 (pUSD)

重要的是,Plume 的当前版本通常被称为 Layer-2 或 rollup 链——它是建立在以太坊之上以确保安全。然而,团队已经暗示了进一步发展该技术的宏伟计划。Plume 的首席技术官指出,他们最初是一个模块化的 L2 rollup,但现在正向“底层堆栈”推进,目标是建立一个完全主权的 Layer-1 架构,从头开始优化一条新链,使其具有高性能、可与“瑞士银行相媲美”的隐私功能,以及一种新颖的加密经济安全模型,以保障下一万亿美元的链上资产安全。虽然具体细节不多,但这表明随着时间的推移,Plume 可能会过渡到一个更独立的链,或整合 FHE(全同态加密)或 zk-proofs(提及 zkTLS 和隐私)等高级功能,以满足机构要求。不过,目前 Plume 的主网利用以太坊的安全性和 EVM 环境来快速引入资产和用户,为 RWA 提供熟悉但增强的 DeFi 体验。

代币经济学与激励机制

PLUME (PLUME)PlumeNetwork的原生实用代币。PLUME)** 是 Plume Network 的原生实用代币。PLUME 代币用于驱动 Plume 上的交易、治理和网络安全**。作为 gas 代币,PLUME是在Plume链上支付交易费用所必需的(类似于ETH是以太坊上的gas)。这意味着所有操作——交易、质押、部署合约——都需要消耗PLUME 是在 Plume 链上支付交易费用所必需的(类似于 ETH 是以太坊上的 gas)。这意味着所有操作——交易、质押、部署合约——都需要消耗 PLUME 作为费用。除了 gas 之外,$PLUME 还具有多种实用和激励作用:

  • 治理: $PLUME 持有者可以参与治理决策,推测是就协议参数、升级或资产引入决策进行投票。
  • 质押/安全: 该代币可以被质押,这可能支持网络的验证者或排序器操作。质押者帮助保护链的安全,并作为回报获得 $PLUME 的质押奖励。(即使作为 rollup,Plume 也可能为其排序器或最终的区块生产去中心化使用权益证明机制)。
  • 真实收益与 DeFi 效用: Plume 的文档提到,用户可以在 dApp 中使用 PLUME来“解锁真实收益”。这表明持有或质押PLUME 来“解锁真实收益”。这表明持有或质押 PLUME 可能会在某些 RWA 收益农场中获得更高的收益,或获得生态系统中的独家机会。
  • 生态系统激励: $PLUME 也用于奖励社区参与——例如,用户可能通过社区任务、推荐计划、测试网参与(如“Take Flight”开发者计划或测试网“Goons”NFT)来赚取代币。这种激励设计旨在通过向积极使用和发展平台的人分发代币来引导网络效应。

代币供应与分配: Plume 的总供应量固定为 100 亿枚 $PLUME 代币。在代币生成事件(主网上线)时,初始流通供应量为总量的 20%(即 20 亿枚代币)。分配严重偏向于社区和生态系统发展:

  • 59% 分配给_社区、生态系统和基金会_——这大部分份额保留用于资助、流动性激励、社区奖励和一个基金会池,以支持生态系统的长期增长。这确保了大部分代币可用于引导使用(并可能表明随着时间的推移对去中心化的承诺)。
  • 21% 分配给_早期支持者_——这些代币分配给资助 Plume 发展的战略投资者和合作伙伴。(正如我们将看到的,Plume 从著名的加密基金筹集了资金;这部分分配可能会根据投资者协议随时间解锁。)
  • 20% 分配给_核心贡献者(团队)_——分配给推动 Plume 的创始团队和核心开发者。这部分激励团队,并使他们与网络的成功保持一致,通常会在多年内解锁。

除了 $PLUME,Plume 的生态系统还包括一个名为 Plume USD (pUSD)稳定币pUSD 被设计为 Plume 的 RWAfi 生态系统稳定币。它在 Plume 的 DeFi 应用中充当记账单位和主要的交易/抵押货币。独特的是,pUSD 由 USDC 1:1 完全支持——实际上是 Plume 网络的封装版 USDC。这种设计选择(封装 USDC)是为了减少传统机构的摩擦:如果一个组织已经习惯于持有和铸造 USDC,他们可以在相同的框架下无缝地在 Plume 上铸造和使用 pUSD。pUSD 在以太坊和 Plume 上都可以原生铸造和赎回,这意味着用户或机构可以在以太坊上存入 USDC 并在 Plume 上收到 pUSD,反之亦然。通过将 pUSD 与 USDC 1:1 挂钩(并最终与美元储备挂钩),Plume 确保其稳定币保持完全抵押和流动性,这对于 RWA 交易至关重要(其中交易媒介的可预测性和稳定性是必需的)。实际上,pUSD 为 Plume 上所有的 RWA 应用提供了一个共同的稳定流动性层——无论是购买代币化债券、投资 RWA 收益金库,还是在 DEX 上交易资产,pUSD 都是支撑价值交换的稳定币。

总体而言,Plume 的代币经济学旨在平衡网络效用与增长激励。$PLUME 确保网络能够自我维持(通过费用和质押安全)并由社区治理,而对生态系统基金和空投的大量分配有助于推动早期采用。同时,pUSD 将金融生态系统锚定在一个值得信赖的稳定资产上,使传统资本更容易进入 Plume,并让 DeFi 用户更容易衡量现实世界投资的回报。

创始团队与支持者

Plume Network 由三位具有加密和金融背景的企业家于 2022 年创立:Chris Yin (CEO)Eugene Shen (CTO)Teddy Pornprinya (CBO)。Chris Yin 被描述为团队富有远见的产品领导者,推动平台的战略和在 RWA 领域的思想领导力。Eugene Shen 作为 CTO 领导技术开发(鉴于他提到“定制 geth”并从头开始构建,他之前曾从事模块化区块链架构的工作)。Teddy Pornprinya 作为首席商务官,负责合作伙伴关系、业务发展和市场营销——他在早期将数十个项目引入 Plume 生态系统方面发挥了关键作用。创始人们共同发现了市场上对 RWA 优化链的空白,并辞去之前的职务来构建 Plume,在构思大约一年后正式启动了该项目。

Plume 吸引了来自加密原生风投和传统金融巨头的大力支持,这表明了对其愿景的强烈信心:

  • 2023 年 5 月,Plume 在由 Haun Ventures(前 a16z 合伙人 Katie Haun 的基金)领投的种子轮中筹集了 1000 万美元。种子轮的其他参与者包括 Galaxy Digital、Superscrypt(淡马锡的加密部门)、A Capital、SV Angel、Portal Ventures 和 Reciprocal Ventures。这个多元化的投资者基础为 Plume 提供了一个强大的开端,结合了加密专业知识和机构联系。

  • 到 2024 年底,Plume 获得了 2000 万美元的 A 轮融资,以加速其发展。此轮融资得到了顶级投资者的支持,如 Brevan Howard Digital、Haun Ventures(再次投资)、Galaxy 和 Faction VCBrevan Howard 的加入尤其引人注目,它是全球最大的对冲基金之一,拥有专门的加密部门,这凸显了华尔街对区块链上 RWA 日益增长的兴趣。

  • 2025 年 4 月,全球最大的另类资产管理公司之一 Apollo Global Management 对 Plume 进行了战略投资。Apollo 的投资额为七位数(美元),旨在帮助 Plume 扩展其基础设施并将更多传统金融产品上链。Apollo 的参与是对 Plume 方法的有力验证:Apollo 数字资产主管 Christine Moy 表示,他们的投资**“凸显了 Apollo 对拓宽机构级产品准入技术的高度关注……Plume 代表了一种专注于数字资产效用、投资者参与和下一代金融解决方案的新型基础设施”**。换句话说,Apollo 将 Plume 视为通过区块链使私募市场更具流动性和可访问性的关键基础设施。

  • 另一个战略支持者是 YZi Labs,前身为 Binance Labs。2025 年初,YZi(Binance 的风险投资部门更名后)宣布对 Plume Network 进行战略投资。YZi Labs 强调 Plume 是一个_“专为扩展现实世界资产而设计的前沿 Layer-2 区块链”_,他们的支持表明了对 Plume 能够大规模连接 TradFi 和 DeFi 的信心。(值得注意的是,Binance Labs 更名为 YZi Labs 表明了他们对像 Plume 这样的核心基础设施项目的投资连续性。)

  • Plume 的支持者还包括通过合作伙伴关系(详见下文)的传统金融科技和加密机构——例如,Mercado Bitcoin(拉丁美洲最大的数字资产平台)和 Anchorage Digital(一家受监管的加密托管机构)都是生态系统合作伙伴,实际上将他们的成功与 Plume 挂钩。此外,全球最大的数字资产管理公司 Grayscale Investments 也注意到了这一点:2025 年 4 月,Grayscale 正式将 $PLUME 加入其未来投资产品“考虑中”的资产清单。被 Grayscale 关注意味着 Plume 有可能被纳入机构加密信托或 ETF,这对于一个相对较新的项目来说是一个重要的合法性认可。

总而言之,Plume 的资金和支持来自顶级投资者的精英阵容:顶级的加密风投(Haun、Galaxy、通过 GFI 对 Goldfinch 的支持而来的 a16z 等)、对冲基金和传统金融参与者(Brevan Howard、Apollo),以及企业风险投资部门(Binance/YZi)。这种支持者组合不仅带来了资本,还带来了战略指导、监管专业知识以及与现实世界资产发起方的联系。它还为 Plume 提供了充足的资金(种子轮和 A 轮融资至少 3000 万美元以上),用于构建其专业化的区块链并引入资产。强大的支持证明了Plume 在快速增长的 RWA 领域中被定位为领先平台的信心。

生态系统合作伙伴与集成

Plume 一直非常积极地在加密和传统金融领域建立生态系统合作伙伴关系,甚至在主网上线之前(以及上线后立即)就组建了一个广泛的集成网络。这些合作伙伴提供了使 Plume 的 RWA 生态系统得以运作的_资产、基础设施和分销渠道_:

  • Nest Protocol (Nest Credit): 一个在 Plume 上运行的 RWA 收益平台,允许用户将稳定币存入金库,并接收由现实世界资产支持的计息代币。Nest 本质上是 RWA 收益的 DeFi 前端,提供代币化的美国国库券、私人信贷、矿产权等产品,但将复杂性抽象化,使其“感觉像加密货币”。用户将 USDC(或 pUSD)兑换为 Nest 发行的代币,这些代币由受监管、经审计的托管人持有的资产完全支持。Nest 与 Plume 密切合作——Anemoy(合作伙伴)的 Anil Sood 的一段证言强调:“与 Plume 合作加速了我们向每位投资者提供机构级 RWA 的使命……这次合作是 RWA 创新未来的蓝图。”。实际上,Nest 是 Plume 的原生收益市场(有时称为“Nest Yield”或 RWA 质押平台),许多 Plume 的大型合作伙伴关系都汇入 Nest 金库。

  • Mercado Bitcoin (MB): 拉丁美洲最大的数字资产交易所(总部位于巴西)已与 Plume 合作,将约 4000 万美元的巴西现实世界资产代币化。这项于 2025 年 2 月宣布的计划涉及 MB 使用 Plume 的区块链发行代表巴西资产支持证券、消费信贷组合、公司债务和应收账款的代币。其目标是将全球投资者与巴西经济中的计息机会联系起来——实际上是通过 Plume 向全球链上投资者开放巴西信贷市场。这些巴西 RWA 代币将_从 Plume 主网上线的第一天起_在 Nest 平台上提供,提供由巴西小企业贷款和信贷应收款支持的稳定链上回报。这一合作伙伴关系之所以引人注目,是因为它为 Plume 提供了地理覆盖范围(拉丁美洲)和新兴市场资产的渠道,展示了 Plume 如何充当连接区域资产发起方与全球流动性的枢纽。

  • Superstate: Superstate 是由 Robert Leshner(Compound 前创始人) 创立的金融科技初创公司,专注于将受监管的美国国债基金产品上链。2024 年,Superstate 推出了一个代币化的美国国债基金(被批准为 1940 年法案共同基金),目标是加密用户。Plume 被 Superstate 选为其多链扩张的动力。实际上,这意味着 Superstate 的代币化国库券基金(提供来自美国政府债券的稳定收益)将在 Plume 上提供,并可集成到 Plume 的 DeFi 生态系统中。Leshner 本人表示:“通过扩展到 Plume——这个独特的 RWAfi 链——我们可以展示专门构建的基础设施如何为代币化资产带来伟大的新用例。我们很高兴能在 Plume 上进行建设。”。这表明 Superstate 将在 Plume 上部署其基金代币(例如,可能是国债基金的链上份额),允许 Plume 用户在 DeFi 中持有或使用它们(或许作为借贷抵押品,或在 Nest 金库中进行自动收益)。这是对 Plume 链被视为_受监管资产代币(如国债)的首选家园_的有力验证。

  • Ondo Finance: Ondo 是一个著名的 DeFi 项目,通过提供代币化债券和收益产品转型进入 RWA 领域(值得注意的是,Ondo 的 OUSG 代币代表短期美国国债基金的份额,而 USDY 代表计息美元存款产品)。Ondo 被列为 Plume 的生态系统合作伙伴之一,这意味着 Ondo 的计息代币(如 OUSG、USDY)可以在 Plume 上使用。事实上,Ondo 的产品与 Plume 的目标非常一致:Ondo 设立了法律实体(SPV)以确保合规,其 OUSG 代币由贝莱德(BlackRock)的代币化货币市场基金(BUIDL)支持,提供约 4.5% 的国债年化收益率。通过整合 Ondo,Plume 获得了像美国国债这样的蓝筹 RWA 资产上链。事实上,截至 2024 年底,Ondo 的 RWA 产品市值约为 6 亿多美元,因此将它们桥接到 Plume 会增加显著的 TVL。这种协同作用可能允许 Plume 用户兑换成 Ondo 的代币或将它们包含在 Nest 金库中以实现复合策略。

  • Centrifuge: Centrifuge 是 RWA 代币化的先驱(运营自己的 Polkadot 平行链用于 RWA 池)。Plume 的网站将 Centrifuge 列为合作伙伴,表明存在合作或集成。这可能意味着可以从 Plume 访问 Centrifuge 的资产池(贸易融资、房地产过桥贷款等),或者 Centrifuge 将使用 Plume 的基础设施进行分销。例如,Plume 的 SkyLink 全链收益可能会将流动性从 Plume 路由到 Polkadot 上的 Centrifuge 池,或者 Centrifuge 可以将某些资产直接代币化到 Plume 上以实现更深的 DeFi 可组合性。鉴于 Centrifuge 在私人信贷 RWA 类别中以其池中约 4.09 亿美元的 TVL 领先,其参与 Plume 的生态系统意义重大。这表明行业正朝着 RWA 平台之间的互操作性发展,Plume 充当跨链 RWA 流动性的统一层。

  • Credbull: Credbull 是一个私人信贷基金平台,与 Plume 合作推出了一个大型代币化信贷基金。据 CoinDesk 报道,Credbull 正在 Plume 上推出一个高达 5 亿美元的私人信贷基金,为链上投资者提供固定的高收益。这可能涉及将私人信贷(对中型公司的贷款或其他信贷资产)打包成一个工具,链上稳定币持有者可以投资以获得固定回报。其意义有两方面:(1)它为 Plume 的网络增加了巨大的收益资产渠道(约 5 亿美元),(2)它体现了 Plume 如何吸引真正的资产管理公司在其链上发起产品。加上其他渠道资产,Plume 表示计划到 2024 年底代币化约 12.5 亿美元的 RWA,包括 Credbull 的基金,外加 3 亿美元的可再生能源资产(通过 Plural Energy 的太阳能农场)、约 1.2 亿美元的医疗保健应收款(由 Medicaid 支持的发票),甚至还有石油和天然气矿产权。这个庞大的渠道表明,在启动时,Plume 并非空无一物——它带有准备就绪的有形资产。

  • Goldfinch: Goldfinch 是一个去中心化信贷协议,向全球金融科技贷款机构提供抵押不足的贷款。2023 年,Goldfinch 转型为 “Goldfinch Prime”,通过提供对顶级私人信贷基金的链上访问,瞄准合格和机构投资者。Plume 和 Goldfinch 宣布建立战略合作伙伴关系,将 Goldfinch Prime 的产品引入 Plume 的 Nest 平台,有效地将 Goldfinch 的机构信贷交易与 Plume 的用户群结合起来。通过这一合作,Plume 上的机构投资者可以通过 Goldfinch 的集成,将稳定币质押到由 Apollo、Golub Capital、Aries、Stellus 和其他领先私人信贷管理公司管理的基金中。这一雄心是巨大的:这些管理公司总共代表超过 1 万亿美元的资产,该合作旨在最终将其中一部分资产上链。实际上,Plume 上的用户可以投资于一个多元化的池子,该池子从这些信贷基金进行的数百笔现实世界贷款中赚取收益,所有这些都通过 Goldfinch Prime 进行代币化。这不仅增强了 Plume 的资产多样性,也凸显了 Plume 与顶级 RWA 平台合作的信誉。

  • 基础设施合作伙伴(托管与连接): Plume 还整合了关键的基础设施参与者。Anchorage Digital,一家受监管的加密托管银行,是其合作伙伴——Anchorage 的参与可能意味着机构用户可以在银行级别的托管解决方案中安全地托管其代币化资产或 $PLUME(这对大额资金来说是必须的)。Paxos 是另一个列出的合作伙伴,这可能与稳定币基础设施有关(Paxos 发行 USDP 稳定币,并提供托管和经纪服务——可能 Paxos 正在为 pUSD 保管储备金或促进资产代币化渠道)。LayerZero 也被提及,表明 Plume 使用 LayerZero 的互操作性协议进行跨链消息传递。这将允许 Plume 上的资产以信任最小化的方式移动到其他链(反之亦然),补充了 Plume 的 rollup 桥。

  • 其他 DeFi 集成: Plume 的生态系统页面引用了 180 多个协议,包括 RWA 专家和主流 DeFi 项目。例如,像 Nucleus Yield(一个代币化收益平台)以及可能的链上 KYC 提供商或身份解决方案都在其中。到主网上线时,Plume 在其测试网环境中已经集成了超过 200 个协议——这意味着许多现有的 dApp(DEX、货币市场等)已经部署或准备在 Plume 上部署。这确保了一旦现实世界资产被代币化,它们就具有即时效用:例如,一个代币化的太阳能农场收入流可以在订单簿交易所上交易,或用作贷款的抵押品,或包含在一个指数中——因为 DeFi 的“货币乐高”组件(DEX、借贷平台、资产管理协议)从一开始就在链上可用。

总而言之,Plume 的生态系统战略一直积极而全面:确保_资产_的锚定合作伙伴关系(例如,来自 Apollo、通过 Superstate/Ondo 的 BlackRock 基金、通过 Goldfinch 和 Credbull 的私人信贷、通过 Mercado Bitcoin 的新兴市场资产),确保_基础设施和合规性_到位(Anchorage 托管、Paxos、身份/AML 工具),并移植_DeFi 原语_以促进二级市场和杠杆的繁荣。结果是,Plume 进入 2025 年时可能成为 Web3 中连接最紧密的 RWA 网络——一个各种 RWA 协议和现实世界机构接入的枢纽。这种“网络之网”效应可能会推动显著的总锁仓价值和用户活动,正如早期指标所示(Plume 的测试网在短时间内见证了 1800 多万个独立钱包和 2.8 亿多笔交易,这主要归功于激励活动和广泛的项目测试)。

路线图与发展里程碑

Plume 的发展速度很快,采用分阶段的方法在链上扩展现实世界资产:

  • 测试网与社区增长 (2023 年): Plume 于 2023 年中后期启动了其激励性测试网(代号“Miles”)。测试网活动在吸引用户方面非常成功——创建了超过 1800 万个测试网钱包地址,执行了 2.8 亿多笔交易。这很可能是由测试网“任务”和空投活动(Plume 空投的第一季由早期用户领取)推动的。测试网还引入了_超过 200 个协议_,并见证了 100 万个 NFT(“Goons”)的铸造,表明了一个充满活力的试用生态系统。这个大规模的测试网是一个里程碑,证明了 Plume 的技术可扩展性,并产生了热议(以及一个庞大的社区:Plume 现在拥有约 100 万 Twitter 关注者和数十万 Discord/Telegram 成员)。

  • 主网上线 (2025 年第一季度): Plume 的目标是在 2024 年底或 2025 年初上线主网。事实上,到 2025 年 2 月,像 Mercado Bitcoin 这样的合作伙伴宣布他们的代币化资产将_“从 Plume 主网上线的第一天”_起上线。这意味着 Plume 主网在 2025 年 2 月左右上线或计划上线。主网上线是一个关键的里程碑,将测试网的经验教训带入生产环境,同时还有首批准备代币化的现实资产(价值约 10 亿多美元)。此次上线可能包括 Plume 核心产品的发布:Plume 链(主网)、用于资产引入的 ArcpUSD 稳定币Plume Passport 钱包,以及由合作伙伴部署的初始 DeFi dApp(DEX、货币市场)

  • 分阶段资产引入: Plume 表示将采用**“分阶段引入”资产的策略,以确保一个安全、流动的环境**。在早期阶段,更简单或风险较低的资产(如完全支持的稳定币、代币化债券)会首先引入,同时伴随着受控的参与(可能是白名单机构),以建立信任和流动性。随着生态系统的自我证明,每个阶段将解锁更多的用例和资产类别。例如,第一阶段可能专注于链上国债和私人信贷基金代币(相对稳定、产生收益的资产)。后续阶段可能会引入更具异国情调或更高收益的资产,如可再生能源收入流、房地产股权代币,甚至奇异资产(文档中幽默地提到_“GPU、铀、矿产权、榴莲农场”_作为最终可能上链的资产)。因此,Plume 的路线图会随着时间的推移扩展资产菜单,同时发展所需的市场深度和链上风险管理。

  • 扩展与去中心化: 主网上线后,一个关键的发展目标是去中心化 Plume 链的运营。目前,Plume 采用排序器模型(可能由团队或少数节点运行)。随着时间的推移,他们计划引入一个强大的验证者/排序器集合,其中 $PLUME 质押者帮助保护网络,甚至可能过渡到完全独立的共识机制。创始人关于构建一个具有新加密经济模型的优化 L1 的说明暗示,Plume 可能会实施一种新颖的权益证明或混合安全模型来保护链上的高价值 RWA。这一类别的里程碑将包括开源更多的堆栈、为节点运营商运行激励性测试网,以及实施欺诈证明或 zk-proofs(如果超越乐观 rollup 的话)。

  • 功能升级: Plume 的路线图还包括增加机构要求的先进功能。这可能涉及:

    • 隐私增强: 例如,集成零知识证明用于机密交易或身份,以便 RWA 的敏感财务细节(如借款人信息或现金流数据)可以在公共账本上保持私密。提及 FHE 和 zkTLS 表明正在研究实现私密但可验证的资产处理。
    • 合规与身份: Plume 已经有 AML 筛选和合规模块,但未来的工作将完善链上身份(可能在 Plume Passport 中集成 DID),以便 RWA 代币可以在需要时强制执行转让限制或仅由合格投资者持有。
    • 互操作性: 进一步与跨链协议(在 LayerZero 基础上扩展)和桥梁集成,以便 Plume 的 RWA 流动性可以无缝流入以太坊主网、Layer-2 甚至其他应用链等主要生态系统。SkyLink 全链收益产品很可能是其中的一部分,使其他链上的用户能够利用 Plume 的 RWA 池的收益。

  • 增长目标: Plume 的领导层已公开表示目标,如**“到 2024 年第四季度代币化 30 亿多美元的资产”,并最终实现更多**。虽然 12.5 亿美元是上线时的短期渠道,但_通往 30 亿美元_的代币化 RWA 之旅是一个明确的里程碑。从长远来看,考虑到可能被代币化的数万亿机构资产,Plume 将通过其为链上带来的现实世界价值来衡量成功。另一个指标是 TVL 和用户采用:到 2025 年 4 月,RWA 代币化市场的总 TVL 超过 200 亿美元,Plume 渴望占据其中的重要份额。如果其合作伙伴关系成熟(例如,即使 Goldfinch 1 万亿美元渠道的 5% 上链),Plume 的 TVL 也可能呈指数级增长。

  • 近期亮点: 到 2025 年春季,Plume 有几个值得注意的里程碑:

    • Apollo 的投资(2025 年 4 月)——这不仅带来了资金,还带来了与 Apollo 投资组合合作的机会(Apollo 管理着 6000 多亿美元的资产,包括信贷、房地产和私募股权,这些最终都可能被代币化)。
    • Grayscale 的考虑(2025 年 4 月)——被列入 Grayscale 的观察名单是一个认可的里程碑,可能为机构推出 Plume 投资产品铺平道路。
    • RWA 市场领导地位: Plume 的团队经常发布_“Plumeberg”新闻通讯_,关注 RWA 市场趋势。在其中一期中,他们庆祝 RWA 协议的 TVL 超过 100 亿美元,并指出Plume 在这一叙事中的关键作用。他们将 Plume 定位为该领域增长的核心基础设施,这表明成为 RWA 对话中的参考平台是一个里程碑。

本质上,Plume 的路线图是关于向上和向外扩展:在资产方面向上扩展(从数亿到数十亿代币化),在功能方面向外扩展(隐私、合规、去中心化)和集成(连接到全球更多的资产和用户)。每一次成功的资产引入(无论是巴西的信贷交易还是 Apollo 的基金份额)都是证明该模型的发展里程碑。如果 Plume 能够保持势头,未来的里程碑可能包括主要金融机构直接在 Plume 上推出产品(例如,银行在 Plume 上发行债券),或政府实体使用 Plume 进行公共资产拍卖——所有这些都是 Plume 作为全球现实世界金融链上市场的长期愿景的一部分。

指标与市场表现

虽然尚处于早期阶段,但 Plume Network 的市场表现可以通过测试网指标、合作伙伴渠道以及链上 RWA 的整体增长来衡量:

  • 测试网采用情况: Plume 的激励性测试网(2023 年)获得了_非凡的参与度_。记录了 1800 多万个独立地址2.8 亿笔交易——这些数字可与许多主网相媲美甚至超过。这是由 Plume 的空投激励和 RWA 的吸引力所驱动的热情社区推动的。这表明了平台强大的零售兴趣(尽管许多人可能是为了奖励的投机者,但这仍然播下了一个庞大的用户基础)。此外,超过 200 个 DeFi 协议在测试网上部署了合约,表明了广泛的开发者兴趣。这有效地在上线前就为 Plume 准备了一个庞大的用户和开发者社区。

  • 社区规模: Plume 迅速建立了数百万的社交媒体关注者(例如,X/Twitter 上有 100 万关注者,Discord 中有 45 万等)。他们将社区成员称为“Goons”——作为测试网成就的一部分,铸造了超过 100 万个“Goon”NFT。这种游戏化的增长反映了近期 Web3 中最快的社区建设之一,表明现实世界资产的叙事与加密领域的广泛受众产生了共鸣。

  • 生态系统与 TVL 储备: 在主网上线时,Plume 预计第一天就有超过 10 亿美元的现实世界资产被代币化或可用。联合创始人 Chris Yin 在一份声明中强调了对高收益、私人持有资产的_专有访问权_,这些资产将_“独家”_登陆 Plume。事实上,已排定的具体资产包括:

    • 来自 Credbull 私人信贷基金的 5 亿美元
    • 3 亿美元的太阳能农场(Plural Energy),
    • 1.2 亿美元的医疗保健(Medicaid 应收款),
    • 加上矿产权和其他奇异资产。这些总计约 10 亿美元,Yin 表示目标是到 2024 年底实现 30 亿美元的代币化。如果实现,这些数字将使 Plume 成为 RWA TVL 的顶级链之一。相比之下,整个 RWA 领域的链上 TVL 在 2025 年 4 月约为 200 亿美元,因此一个平台上的 30 亿美元将是一个非常显著的份额。

  • 当前 TVL / 使用情况: 由于主网上线不久,Plume 上的具体 TVL 数据尚未像 DeFiLlama 上那样公开报告。然而,我们知道几个集成项目带来了自己的 TVL:

    • Ondo 的产品(OUSG 等)在 2024 年初的市值约为 6.23 亿美元——其中一部分现在可能驻留或镜像在 Plume 上。
    • 通过 Mercado Bitcoin(巴西)代币化的资产增加了 4000 万美元的渠道。
    • Goldfinch Prime 的池子可能吸引大量存款(Goldfinch 的传统池子发放了约 1 亿多美元的贷款;Prime 在机构的参与下可能规模更大)。
    • 如果 Nest 金库聚合多种收益,随着稳定币持有者寻求 5-10% 的 RWA 收益,这可能迅速在 Plume 上积累九位数的 TVL。 作为一个定性指标,对 RWA 收益的需求即使在熊市中也很高——例如,像 Ondo 这样的代币化国债基金在几个月内就吸引了数亿美元。Plume 集中了许多此类产品,随着 DeFi 用户转向更“真实”的收益,其 TVL 可能会迅速上升。

  • 交易与活动: 我们可以预期 Plume 上的链上交易数量会相对低于游戏链,因为 RWA 交易价值更高但频率较低(例如,移动数百万美元的债券代币与许多微交易相比)。话虽如此,如果二级交易活跃起来(在 Plume 上的订单簿交易所或 AMM 上),我们可能会看到稳定的活动。2.8 亿笔测试交易的存在表明,如果需要,Plume 可以处理高吞吐量。凭借 Plume 的低费用(设计得比以太坊便宜)和可组合性,它鼓励更复杂的策略(如循环抵押品、智能合约的自动收益策略),这可能会推动互动。

  • 现实世界影响: 另一个“指标”是传统参与。Plume 与 Apollo 等公司的合作意味着与 Plume 相关的机构管理资产 (AuM) 达数百亿美元(仅计算 Apollo 涉及的基金、BlackRock 的 BUIDL 基金等)。虽然并非所有这些价值都在链上,但即使每个机构的一小部分分配也可能迅速增加 Plume 的链上资产。例如,BlackRock 的 BUIDL 基金(代币化货币市场)在一年内达到了 10 亿美元的资产管理规模。富兰克林邓普顿的链上政府货币基金达到了 3.68 亿美元。如果类似的基金在 Plume 上推出或现有基金连接,这些数字反映了潜在的规模。

  • 安全/合规指标: 值得注意的是,Plume 宣称自己是_完全链上 24/7、无需许可但合规_。衡量成功的一个标准将是初始批次的 RWA 代币零安全事件或违约。诸如向用户支付的收益(例如,通过 Plume 智能合约从真实资产中支付的 X 金额利息)等指标将建立信誉。Plume 的设计包括实时审计和资产抵押品的链上验证(一些合作伙伴提供每日透明度报告,如 Ondo 对 USDY 所做的那样)。随着时间的推移,持续、经过验证的收益支付以及可能的链上信用评级可能成为值得关注的关键指标。

总而言之,早期指标显示Plume 具有强烈的兴趣和强大的渠道。测试网数据展示了加密社区的吸引力,而合作伙伴关系则勾勒出通往显著链上 TVL 和使用量的路径。随着 Plume 过渡到稳定状态,我们将跟踪诸如上线资产类型数量、分配收益多少以及活跃用户(尤其是机构用户)数量等指标。鉴于整个 RWA 类别正在快速增长(截至 2025 年 5 月,TVL 超过 224 亿美元,月增长率为 9.3%),Plume 的指标应在此不断扩大的市场背景下看待。如果 Plume 继续执行,它很有可能成为一个领先的 RWA 中心,占据数十亿美元的市场份额

Web3 中的现实世界资产 (RWA):概述与重要性

现实世界资产 (RWA) 指的是来自传统经济的有形或金融资产,这些资产在区块链上被代币化——换句话说,是代表对真实资产或现金流的所有权或权利的数字代币。这些资产可以包括房地产、公司债券、贸易发票、大宗商品(黄金、石油)、股票,甚至像碳信用额度和知识产权这样的无形资产。RWA 代币化可以说是加密领域中最具影响力的趋势之一,因为它充当了传统金融 (TradFi) 与去中心化金融 (DeFi) 之间的桥梁。通过将现实世界资产上链,区块链技术可以为历史上不透明和缺乏流动性的市场注入透明度、效率和更广泛的准入。

近年来,RWA 在 Web3 中的重要性显著增长:

  • 它们为加密生态系统解锁了新的抵押品和收益来源。DeFi 用户不再依赖投机性代币交易或纯粹的加密原生收益农场,而是可以投资于从真实经济活动中获取价值的代币(例如,来自房地产投资组合的收入或贷款利息)。这引入了**“真实收益”**和多样化,使 DeFi 更具可持续性。
  • 对于传统金融而言,代币化有望增加流动性和可访问性。像商业房地产或贷款组合这样的资产,通常买家有限且结算过程繁琐,可以被分割并在全球市场上 24/7 交易。这可以降低融资成本,并使曾经仅限于银行或大型基金的投资民主化。
  • RWA 还利用了区块链的优势:透明度、可编程性和效率。代币化证券的结算可以接近即时和点对点,消除了中间层,并将结算时间从几天缩短到几秒。智能合约可以自动支付利息或执行契约。此外,区块链的不可变审计追踪增强了透明度——投资者可以确切地看到资产的表现(尤其是在与预言机数据结合时),并相信代币供应与真实资产相匹配(通过链上储备证明等)。
  • 重要的是,RWA 代币化被视为推动下一波机构采用区块链的关键驱动力。与 2020 年主要投机性的 DeFi 之夏或 NFT 热潮不同,RWA 通过提高熟悉资产的效率,直接吸引了金融行业的核心。Ripple 和 BCG 最近的一份报告预测,到 2033 年,代币化资产市场可能达到 18.9 万亿美元,凸显了其巨大的潜在市场。即使在短期内,增长也很快——截至 2025 年 5 月,RWA 项目的 TVL 为 224.5 亿美元(一个月内增长约 9.3%),预计到 2025 年底将达到约 500 亿美元。一些估计预测到 2030 年将有 1-3 万亿美元被代币化,如果采用加速,上限情景高达 30 万亿美元。

简而言之,RWA 代币化正在通过使传统资产更具流动性、无国界和可编程性来改变资本市场。它代表了加密行业的成熟——从纯粹的自我参照资产转向为实体经济融资。正如一项分析所说,RWA “正迅速成为连接传统金融和区块链世界的桥梁”,将区块链颠覆金融的长期承诺变为现实。这就是为什么 2024-2025 年 RWA 被吹捧为 Web3 的增长叙事,吸引了大型资产管理公司、政府和 Web3 企业家的 серьезное внимание。

RWA 领域的关键协议与项目

Web3 中的 RWA 格局非常广泛,包括各种专注于不同资产类别或细分市场的项目。这里我们重点介绍一些引领 RWA 运动的关键协议和平台,以及它们的重点领域和最新进展:

项目 / 协议重点与资产类型区块链值得注意的指标 / 亮点
Centrifuge私人信贷的去中心化证券化——通过资产池 (Tinlake) 将发票、贸易应收款、房地产过桥贷款、版税等现实世界支付资产代币化。投资者通过为这些资产融资赚取收益。Polkadot 平行链 (Centrifuge Chain) 与以太坊 dApp (Tinlake) 集成池中 TVL ≈ 4.09 亿美元;与 MakerDAO 合作开创了 RWA DeFi(Centrifuge 池支持某些 DAI 贷款)。与 New Silver 和 FortunaFi 等机构合作进行资产发起。正在推出 Centrifuge V3,以实现更轻松的跨链 RWA 流动性。
Maple Finance机构借贷平台——最初是抵押不足的加密贷款(给交易公司),现已转向基于 RWA 的借贷。提供池子,合格的贷款人向借款人提供 USDC(现在通常由现实世界抵押品或收入支持)。推出了用于链上美国国债投资的现金管理池和用于超额抵押 BTC/ETH 贷款的 Maple Direct。以太坊 (V2 & Maple 2.0),之前是 Solana (已弃用)迄今为止总贷款发放额 24.6 亿美元;在无担保贷款出现违约后转向完全抵押贷款。Maple 的新国债池允许非美国投资者通过 USDC 赚取约 5% 的国库券收益。其原生代币 MPL(即将转换为 SYRUP)捕获协议费用;Maple 在私人信贷 RWA TVL 中排名第二,是少数拥有流动性代币的项目之一。
Goldfinch去中心化私人信贷——最初向新兴市场(拉丁美洲、非洲等)的金融科技贷款机构提供抵押不足的贷款,通过从 DeFi 投资者那里汇集稳定币。现已推出 Goldfinch Prime,目标是机构投资者,通过一个多元化池子提供对数十亿美元私人信贷基金(由 Apollo、Ares、Golub 等管理)的链上访问。本质上是将成熟的私人债务基金上链,供合格投资者使用。以太坊自成立以来,已向 30 多个借款人提供了约 1 亿美元的贷款。Goldfinch Prime (2023) 正在提供对顶级私人信贷基金(Apollo、Blackstone、T. Rowe Price 等)的敞口,涉及数千笔基础贷款。由 a16z、Coinbase Ventures 等支持。旨在将 DeFi 资本与经过验证的 TradFi 信贷策略相结合,收益率通常为 8-10%。GFI 代币用于协议治理。
Ondo Finance代币化基金和结构化产品——从 DeFi 服务转型,专注于链上投资基金。发行 OUSG(Ondo 短期政府债券基金代币——实际上是美国国债基金的代币化份额)和 OSTB/OMMF(货币市场基金代币)等代币。还提供 USDY(收益约 5% 的代币化存款,来自国库券和银行存款)。Ondo 还构建了 Flux,一个允许以其基金代币为抵押进行借贷的协议。以太坊(代币也部署在 Polygon、Solana 等链上以提高可访问性)6.2 亿多美元的代币化基金资产管理规模(例如 OUSG、USDY 等)。OUSG 是最大的链上国债产品之一,资产管理规模约 5.8 亿美元,提供约 4.4% 的年化收益率。Ondo 的基金通过经纪交易商根据美国证券交易委员会 Reg D/S 豁免提供,确保合规。Ondo 使用受监管的 SPV 并与贝莱德的 BUIDL 基金合作的方法,为美国的代币化证券设定了典范。ONDO 代币(治理)的完全稀释估值 (FDV) 约为 28 亿美元,流通量为 15%(表明投资者期望很高)。
MakerDAO (RWA 计划)去中心化稳定币发行方 (DAI),已越来越多地将其抵押品分配给 RWA 投资。Maker 的 RWA 工作涉及接受现实世界抵押品的金库(例如通过 Huntingdon Valley Bank 的贷款,或像 CFG (Centrifuge) 池DROP 代币等代币,以及通过与 BlockTower 和 Monetalis 等合作伙伴的链下结构投资短期债券)。Maker 基本上将 DAI 投资于 RWA 以赚取收益,这有助于巩固 DAI 的稳定性。以太坊截至 2023 年底,Maker 拥有超过 16 亿美元的 RWA 敞口,包括超过 10 亿美元的美国国债和公司债券,以及数亿美元的房地产和银行贷款(Maker 的 Centrifuge 金库、银行贷款和法国兴业银行债券金库)。这现在占 DAI 抵押品的很大一部分,为 Maker 贡献了真实收益(这些资产的收益率约为 4-5%)。Maker 转向 RWA(作为“Endgame”计划的一部分)是对 DeFi 中 RWA 的重要验证。然而,Maker 并不为更广泛的使用而将这些资产代币化;它通过法律实体将它们持有在信托中以支持 DAI。
TruFi & Credix(将两个类似的信贷协议归为一类)TruFi——一个向加密和 TradFi 借款人提供无抵押贷款的协议,其部分业务涉及现实世界贷款(例如向金融科技公司贷款)。Credix——一个基于 Solana 的私人信贷市场,将 USDC 贷款人与拉丁美洲的信贷交易(通常是应收款和中小企业贷款,代币化为债券)联系起来。两者都使承销商能够创建贷款池,供 DeFi 用户提供资金,从而连接到实体经济贷款。以太坊 (TruFi),Solana (Credix)TruFi 自推出以来促成了约 5 亿美元的贷款(加密 + 一些 RWA),尽管面临违约;其重点正在转向信贷基金代币化。Credix 在巴西/哥伦比亚为数千万美元的应收款提供了资金,并于 2023 年与 CircleVISA 合作进行试点,将应收款转换为 USDC 以加快融资。这些是相对 Maple/Goldfinch 而言较小的参与者,但值得注意。Credix 的模型影响了 Goldfinch 的设计。
Securitize & Provenance (Figure)这些是更偏向 CeFi 的 RWA 平台Securitize 为企业提供代币化技术(它为客户代币化了私募股权基金、股票和债券,在完全合规的情况下运营;最近与 Hamilton Lane 合作,将其 8 亿美元基金的一部分代币化)。Provenance Blockchain (Figure),由 Figure Technologies 构建,是一个主要用于贷款证券化和交易的金融科技平台(他们在其私有链上处理了 HELOC 贷款、抵押贷款支持证券等)。私有或许可链(Provenance 是基于 Cosmos 的链;Securitize 在以太坊、Polygon 等链上发行代币)Figure 的 Provenance 已在链上促成了超过 120 亿美元的贷款发放(主要在机构之间),按交易量计算可以说是最大的之一(它是在私人信贷领域被评为顶级的“Figure”)。Securitize 已代币化了多个基金,甚至使散户能够在 Coinbase 上市前购买其代币化股权。它们不是“DeFi”平台,而是 RWA 的关键桥梁——通常与受监管的实体合作,并专注于合规(Securitize 是注册的经纪交易商/过户代理)。它们的存在凸显了 RWA 代币化涵盖了去中心化和企业领域。

(表格来源:Centrifuge TVL、Maple 转型和贷款量、Goldfinch Prime 描述、Ondo 统计数据、Ondo–BlackRock 合作关系、Maker 与市场预测、Maple 排名。)

Centrifuge: 通常被认为是第一个 RWA DeFi 协议(于 2019 年推出),Centrifuge 允许资产发起方(如融资公司)汇集现实世界资产,并发行名为 DROP(高级部分)和 TIN(次级部分)的 ERC-20 代币,代表对资产池的债权。这些代币可用作 MakerDAO 中的抵押品或持有以获取收益。Centrifuge 运营自己的链以提高效率,但连接到以太坊以获取流动性。它目前在链上私人信贷 TVL(约 4.09 亿美元) 方面处于领先地位,展示了在发票融资等领域的产品市场契合度。最近的发展是 Centrifuge 与 Clearpool 即将推出的 RWA 链 (Ozea) 合作以扩大其覆盖范围,并致力于 Centrifuge V3,该版本将使资产能够在任何 EVM 链上组合(因此 Centrifuge 池可以被以太坊、Avalanche 或 Plume 等链上的协议利用)。

Maple Finance: Maple 展示了抵押不足的 DeFi 借贷的希望与风险。它为委托管理人提供了一个平台,以无担保的方式向做市商和加密公司提供信贷池贷款。在 2022 年发生高调违约事件(例如与 FTX 相关的 Orthogonal Trading 倒闭)打击了 Maple 的流动性后,Maple 选择以更安全的模式重塑自我。现在 Maple 的重点是双重的:(1) RWA“现金管理”——让稳定币贷款人获得国债收益,以及 (2) 超额抵押的加密借贷——要求借款人提供流动性抵押品(BTC/ETH)。国债池(与 Icebreaker Finance 合作)于 2023 年在 Solana 上推出,然后在以太坊上推出,使合格的贷款人能够通过购买短期美国国库券在 USDC 上赚取约 5% 的收益。Maple 还推出了 Maple Direct 池,以加密抵押品向机构贷款,实际上成为更传统担保贷款的促进者。Maple 2.0 架构(于 2023 年第一季度推出)提高了贷款人的透明度和控制力。尽管遭遇挫折,Maple 已累计促成近 25 亿美元的贷款,并且仍然是一个关键参与者,现在跨越加密和 RWA 借贷。它的历程凸显了适当风险管理的重要性,并验证了转向现实世界抵押品以求稳定的做法。

Goldfinch: Goldfinch 的创新在于允许**“借款人池”,现实世界的贷款业务(如小额信贷机构或金融科技贷款机构)可以从 DeFi 中获取稳定币流动性而无需提供抵押品,而是依赖于“通过共识建立信任”的模型(其中支持者质押次级资本为借款人担保)。它使得在肯尼亚、尼日利亚、墨西哥等地能够发放贷款,通常提供超过 10% 的收益。然而,为了遵守法规并吸引更大的资本,Goldfinch 引入了 KYC 门槛和 Prime。现在,通过 Goldfinch Prime,该协议基本上是在引入知名的私人信贷基金经理,并让非美国的合格用户在链上向他们提供资本。例如,Goldfinch Prime 用户可以投资于一个聚合了由 Ares 或 Apollo 管理的许多高级担保贷款的池子,而不是向单个金融科技贷款机构贷款——本质上是投资于这些基金的一部分(这些基金在链下规模巨大,例如 Blackstone 的私人信贷基金超过 500 亿美元)。这将 Goldfinch 推向了高端市场:它不再是关于前沿市场的金融科技贷款,而是更多地为加密投资者提供进入机构级收益**(风险更低)的途径。Goldfinch 的 GFI 代币和治理仍然存在,但用户基础和池子结构已转向更受监管的立场。这反映了一个更广泛的趋势:RWA 协议越来越多地直接与大型传统金融资产管理公司合作以实现规模化。

Ondo Finance: Ondo 的转型是适应需求的一个案例研究。当 DeFi 的高风险高收益在熊市中枯竭时,对安全收益的渴望促使 Ondo 将国库券和货币市场基金代币化。Ondo 设立了一家子公司(Ondo Investments)并注册了产品,以便合格甚至零售投资者(在某些地区)可以购买受监管的基金代币。Ondo 的旗舰产品 OUSG 代币实际上是短期美国国债 ETF 的代币化份额;它迅速增长到超过 5 亿美元的流通量,证实了对链上国债的巨大需求。Ondo 还创建了 USDY,它通过混合国库券和银行存款来近似于链上的高收益储蓄账户,更进一步。凭借约 4.6% 的年化收益率和 500 美元的低门槛,USDY 旨在面向加密领域的大众市场。为了补充这些产品,Ondo 的 Flux 协议允许 OUSG 或 USDY 的持有者以其为抵押借入稳定币(解决了流动性问题,因为这些代币否则可能会被锁定)。Ondo 的成功使其成为按 TVL 计算的前三大 RWA 发行方之一。这是在监管框架内(SPV、经纪交易商)将传统证券上链的典范。它还与现有企业合作(例如,使用贝莱德的基金)而不是竞争,这是 RWA 的一个主题:合作而非颠覆

MakerDAO: 虽然不是一个独立的 RWA 平台,但 Maker 值得一提,因为它实际上已成为加密领域最大的 RWA 投资者之一。Maker 意识到,将 DAI 的抵押品多样化,超越波动的加密资产,既可以稳定 DAI,又可以产生收入(通过现实世界的收益)。从小型实验开始(如向一家美国银行贷款,以及为 Centrifuge 池代币设立金库),Maker 在 2022-2023 年加大了力度,分配了数亿美元的 DAI 来购买短期债券并通过托管账户投资货币市场基金。到 2023 年中,Maker 已向贝莱德管理的债券基金分配了 5 亿美元,并向一家初创公司(Monetalis)分配了类似金额以投资国债——这类似于 Ondo 的方法,但在 Maker 治理下完成。Maker 还引入了像法国兴业银行 3000 万美元的链上债券这样的贷款,以及为 Harbor Trade 的贸易融资池设立的金库等。这些 RWA 投资的收入相当可观——据一些报告称,到 2023 年底,Maker 的 RWA 投资组合年化收益达数千万美元,这使得 DAI 系统的盈余增长(并且 MKR 代币开始使用这些利润进行回购)。这一 RWA 策略是 Maker“Endgame”计划的核心,最终 Maker 可能会分拆出专门的 subDAO 来处理 RWA。关键在于,即使是去中心化的稳定币协议也将 RWA 视为可持续性的关键,而 Maker 的规模(DAI 供应量约 50 亿美元)意味着它可以通过在那里部署流动性来对现实世界市场产生实质性影响。

其他项目: RWA 领域还有许多其他项目,每个项目都在开拓自己的细分市场:

  • 代币化大宗商品: 像 Paxos Gold (PAXG) 和 Tether Gold (XAUT) 这样的项目使黄金可以在链上交易(总市值约 14 亿美元)。这些代币提供了加密货币的便利性和黄金的稳定性,并由金库中的实物黄金完全支持。
  • 代币化股票:Backed FinanceSynthesized(前身为 Mirror 等) 这样的公司发行了模仿苹果 (bAAPL) 或特斯拉等股票的代币。Backed 的代币(例如,bNVDA 代表英伟达)由托管人持有的股票 100% 抵押,并在欧盟监管沙盒豁免下提供,实现了在 DEX 上 24/7 交易股票。代币化股票的总量仍然很小(约 4.6 亿美元),但随着对全天候交易和部分所有权兴趣的增加而增长。
  • 房地产平台: Lofty AI(基于 Algorand)允许以低至每份 50 美元的代币实现租赁物业的部分所有权。RealT(以太坊)为底特律和其他地方的出租房屋股份提供代币(以 USDC 股息支付租金收入)。房地产是一个巨大的市场(全球超过 300 万亿美元),因此即使是一小部分上链也可能使其他类别相形见绌;预测显示,如果采用加速,到 2030-2035 年将有 3-4 万亿美元的代币化房地产。虽然目前链上房地产规模很小,但试点项目正在进行中(例如,香港政府出售了代币化绿色债券迪拜正在运行一个代币化房地产沙盒)。
  • 机构基金: 除了 Ondo,传统资产管理公司也在推出其基金的代币化版本。我们看到了 BlackRock 的 BUIDL(一个代币化货币市场基金,在一年内资产管理规模从 1 亿美元增长到 10 亿美元)。WisdomTree 到 2025 年发行了 13 只代币化 ETF。富兰克林邓普顿的政府货币基金(Polygon 上的 BENJI 代币)资产管理规模接近 3.7 亿美元。这些努力表明,大型资产管理公司将代币化视为一种新的分销渠道。这也意味着对加密原生发行方的竞争,但总体上验证了这个领域。这些代币中的许多最初都针对机构或合格投资者(以遵守证券法),但随着法规的演变,可能会向零售开放。

为什么有多种方法? RWA 领域之所以有如此多样化的参与者,是因为“现实世界资产”这个领域极其广泛。不同的资产类型具有不同的风险、回报和监管特征,因此需要专门的平台:

  • 私人信贷(Maple、Goldfinch、Centrifuge)专注于借贷和债务工具,需要信用评估和主动管理。
  • 代币化证券/基金(Ondo、Backed、Franklin)处理监管合规问题,以一对一的方式在链上代表传统证券。
  • 房地产涉及财产法、所有权和通常的地方性法规——一些平台采用类似 REIT 的结构或 NFT,授予拥有房产的有限责任公司的所有权。
  • 大宗商品如黄金具有更简单的一对一支持模型,但需要对托管和审计的信任。

尽管存在这种碎片化,我们看到了融合与合作的趋势:例如,Centrifuge 与 Clearpool 合作,Goldfinch 与 Plume(并间接与 Apollo)合作,Ondo 的资产被 Maker 等使用。随着时间的推移,我们可能会得到互操作性标准(也许通过像 RWA.xyz 这样的项目,它正在为所有 RWA 代币构建数据聚合器)。

常见的代币化资产类型

理论上,几乎任何具有收入流或市场价值的资产都可以被代币化。实际上,我们今天看到的 RWA 代币主要分为以下几类:

  • 政府债务(国债与债券): 这已成为链上 RWA 按价值计算的最大类别。代币化的美国国库券和债券非常受欢迎,因为它们风险低,收益率约为 4-5%——在 DeFi 收益率低的环境下对加密持有者非常有吸引力。多个项目提供此服务:Ondo 的 OUSG、Matrixdock 的国债代币 (MTNT)、Backed 的 TBILL 代币等。截至 2025 年 5 月,政府证券以约 67.9 亿美元的 TVL 主导着代币化资产,使其成为 RWA 市场中最大的一块。这不仅包括美国国债,还包括一些欧洲政府债券。其吸引力在于全球 24/7 访问安全资产;例如,亚洲的用户可以在凌晨 3 点购买一个代币,实际上是将资金投入美国国库券。我们也看到中央银行和公共实体在进行实验:例如,新加坡金融管理局 (MAS) 开展了“守护者计划” (Project Guardian),探索代币化债券和外汇;香港的汇丰银行和南方东英推出了代币化货币市场基金。政府债券很可能是迄今为止 RWA 的“杀手级应用”。

  • 私人信贷与公司债务: 这些包括对企业的贷款、发票、供应链金融、消费贷款等,以及公司债券和私人信贷基金。链上私人信贷(通过 Centrifuge、Maple、Goldfinch、Credix 等)是一个快速增长的领域,按项目数量计算占 RWA 市场的 50% 以上(尽管按价值计算不如国债大)。代币化私人信贷通常提供更高的收益率(8-15% APY),因为风险更高,流动性更低。示例: 由贷款组合支持的 Centrifuge 代币 (DROP/TIN);Goldfinch 的金融科技贷款池;Maple 对做市商的池子;摩根大通的私人信贷区块链试点(他们在链上进行日内回购);以及像 Flowcarbon 这样的初创公司(将碳信用支持的贷款代币化)。甚至**政府的贸易应收款(Medicaid 索赔)**也正在被代币化(正如 Plume 所强调的)。此外,公司债券也正在被代币化:例如,欧洲投资银行在以太坊上发行了数字债券;像西门子这样的公司发行了 6000 万欧元的链上债券。截至 2025 年初,链上约有 230 亿美元的代币化“全球债券”——这个数字相对于超过 100 万亿美元的债券市场仍然很小,但其发展轨迹是向上的。

  • 房地产: 代币化房地产可以指债务(例如,代币化抵押贷款、房地产贷款)或股权/所有权(物业的部分所有权)。到目前 目前,更多的活动集中在代币化债务上(因为它很容易适应 DeFi 借贷模型)。例如,房地产过桥贷款的一部分可能会在 Centrifuge 上变成 DROP 代币,并用于生成 DAI。在股权方面,像 Lofty 这样的项目已经将住宅租赁物业代币化(发行代币,使持有者有权获得租金收入和销售收益的一部分)。我们也看到了一些类似 REIT 的代币(RealT 的物业等)。房地产传统上流动性很差,因此代币化的前景巨大——人们可以在 Uniswap 上交易建筑物的零碎部分,或使用房产代币作为贷款的抵押品。话虽如此,法律基础设施很棘手(你通常需要将每个房产放入一个有限责任公司,而代币代表有限责任公司的股份)。尽管如此,鉴于到 2030-35 年代币化房地产将达到 3-4 万亿美元的预测,许多人看好这个领域会随着法律框架的完善而起飞。一个显著的例子:RedSwan 将商业房地产(如学生公寓)的一部分代币化,并通过向合格投资者进行代币销售筹集了数百万美元。

  • 大宗商品: 黄金是这里的典型代表。Paxos Gold (PAXG)Tether Gold (XAUT) 的总市值超过 14 亿美元,为投资者提供对实物黄金的链上敞口(每个代币 = 1 金衡盎司存放在金库中)。这些已成为在加密市场中对冲的流行方式。其他被代币化的大宗商品包括白银、铂金(例如,Tether 有 XAGT、XAUT 等),甚至在某种程度上还有石油(曾有过石油桶或算力期货代币的实验)。以大宗商品为支持的稳定币,如 Ditto 的鸡蛋或大豆代币也曾出现,但由于其稳定的需求,黄金仍然占主导地位。我们还可以包括碳信用额度和其他环境资产:像 MCO2(Moss Carbon Credit)或 Toucan 的基于自然的碳代币在 2021 年引起了一波兴趣,因为企业开始关注链上碳抵消。总的来说,链上大宗商品很简单,因为它们是完全抵押的,但它们需要对托管人和审计师的信任。

  • 股票 (Equities): 代币化股票允许 24/7 交易和股票的部分所有权。像 Backed(来自瑞士)和 DX.Exchange / FTX(早期) 这样的平台发行了模仿流行股票(特斯拉、苹果、谷歌等)的代币。Backed 的代币是完全抵押的(他们通过托管人持有实际股票,并发行代表它们的 ERC-20 代币)。这些代币可以在 DEX 上交易或存放在 DeFi 钱包中,这是新颖的,因为传统的股票交易仅在工作日进行。截至 2025 年,约有 4.6 亿美元的代币化股票在流通——仍然是数万亿美元股票市场的微小一部分,但它正在增长。值得注意的是,在 2023 年,MSCI 推出了跟踪代币化资产的指数,包括代币化股票,这标志着主流的监控。另一个角度是合成股票(通过衍生品模仿股票价格而不持有股票,像 Synthetix 这样的项目所做的那样),但监管的反对(它们可以被视为掉期)使得完全支持的方法现在更受青睐。

  • 稳定币(法币支持): 值得一提的是,像 USDC、USDT 这样的法币支持的稳定币本质上是代币化的现实世界资产(每个 USDC 由银行账户或国库券中的 1 美元支持)。事实上,稳定币是迄今为止最大的 RWA——超过 2000 亿美元的稳定币流通(USDT、USDC、BUSD 等),主要由现金、国库券或短期公司债务支持。这通常被认为是加密领域第一个成功的 RWA 用例:代币化的美元成为加密交易和 DeFi 的命脉。然而,在 RWA 的背景下,稳定币通常被分开考虑,因为它们是货币代币,而不是投资产品。尽管如此,稳定币的存在为其他 RWA 代币铺平了道路(事实上,像 Maker 和 Ondo 这样的项目有效地将稳定币资本引导到真实资产中)。

  • 其他: 我们开始看到更多奇异的资产:

    • 艺术品与收藏品: 像 Maecenas 和 Masterworks 这样的平台探索了将高端艺术品代币化(每个代币代表一幅画的一部分)。NFT 已经证明了数字所有权,因此可以想象真实艺术品或奢侈品收藏品也可以类似地进行分割(尽管法律托管和保险是需要考虑的因素)。
    • 收入分享代币: 例如,CityDAO 和其他 DAO 实验了赋予收入流权利的代币(如城市收入或业务收入的一部分)。这些模糊了证券和实用代币之间的界限。
    • 知识产权与版税: 有人努力将音乐版税(以便粉丝可以投资艺术家的未来流媒体收入)或专利代币化。Royalty Exchange 等公司已经研究了这一点,允许代币在歌曲播放时支付(使用智能合约分配版税)。
    • 基础设施与实物资产: 公司已经考虑将诸如数据中心容量、挖矿算力、航运货物空间,甚至基础设施项目代币化(一些能源公司考虑将太阳能农场或油井的所有权代币化——Plume 本身也提到了_“铀、GPU、榴莲农场”_的可能性)。这些仍然是实验性的,但显示了可以上链的广泛范围。

总而言之,几乎任何可以在法律和经济上进行圈定的资产都可以被代币化。目前的重点是具有明确现金流或价值储存属性的金融资产(债务、大宗商品、基金),因为它们非常符合投资者的需求和现行法律(例如,一个 SPV 可以持有债券并相对直接地发行代币)。更复杂的资产(如直接的财产所有权或知识产权)可能需要更长的时间,因为法律上的复杂性。但潮流正朝着这个方向发展,因为技术首先通过更简单的资产证明了自己,然后才扩大范围。

同样重要的是要注意,每种资产类型的代币化都必须解决如何在链下执行权利的问题:例如,如果你持有一个房产的代币,你如何确保对该房产的合法所有权?解决方案涉及法律包装(有限责任公司、信托协议),承认代币持有者为受益人。标准化工作(如证券代币的 ERC-1400 标准或 Interwork Alliance 对代币化资产的倡议)正在进行中,以使不同的 RWA 代币更具互操作性和法律上的健全性。

RWA 的近期趋势、创新与挑战

趋势与创新:

  • 机构涌入: 也许最大的趋势是主要金融机构和资产管理公司进入 RWA 区块链领域。在过去两年中,像贝莱德、摩根大通、高盛、富达、富兰克林邓普顿、WisdomTree 和 Apollo 这样的巨头要么投资于 RWA 项目,要么启动了代币化计划。例如,贝莱德的首席执行官 Larry Fink 公开称赞“证券代币化”是下一次进化。贝莱德自己的代币化货币市场基金 (BUIDL) 在一年内达到 10 亿美元的资产管理规模就是一个证明。WisdomTree 到 2025 年创建了 13 只代币化指数基金,显示了传统 ETF 正在上链。Apollo 不仅投资了 Plume,还在代币化信贷方面进行了合作(Apollo 和 Hamilton Lane 与 Figure 的 Provenance 合作,将其部分基金代币化)。这些机构的参与具有飞轮效应:它在监管机构和投资者眼中使 RWA 合法化,并加速了合规平台的开发。调查显示,67% 的机构投资者计划到 2026 年将其投资组合的平均 5.6% 分配给代币化资产,这很有说服力。高净值个人同样对通过代币化获得敞口表现出约 80% 的兴趣。这与 2017-2018 年的 ICO 时代相比是一个巨大的转变,因为现在的运动是_机构主导_的,而不是纯粹的草根加密主导。

  • 受监管的链上基金: 一个显著的创新是将受监管的投资基金直接上链。一些项目不是从头开始创建新工具,而是在监管机构注册传统基金,然后发行代表股份的代币。富兰克林邓普顿的链上美国政府货币基金是一个在美国证券交易委员会注册的共同基金,其股份所有权在 Stellar(现在是 Polygon)上跟踪——投资者购买一个 BENJI 代币,这实际上是一个受监管基金的股份,受到所有通常的监督。同样,ARB ETF(欧洲) 在公共链上推出了一个完全受监管的数字债券基金。这种_代币化受监管基金_的趋势至关重要,因为它将合规性与区块链的效率结合起来。这基本上意味着我们所知的传统金融产品(基金、债券等)可以通过作为代币存在而获得新的效用,这些代币可以随时交易并与智能合约集成。Grayscale 考虑 $PLUME 以及其他资产管理公司在其产品中列出加密或 RWA 代币的类似举动也表明了传统金融和 DeFi 产品菜单的融合。

  • 收益聚合与可组合性: 随着更多 RWA 收益机会的出现,DeFi 协议正在创新以聚合和利用它们。Plume 的 Nest 是将多种收益聚合到一个界面的一个例子。另一个例子是 Yearn Finance 开始将金库部署到 RWA 产品中(Yearn 考虑通过 Notional 或 Maple 等协议投资国债)。Index Coop 创建了一个包含 RWA 收益来源的收益指数代币。我们也看到了结构化产品,如链上分层:例如,发行收益流的初级-高级部分的协议(Maple 探索了对池子进行分层以提供更安全与更高风险的部分)。可组合性意味着你有一天可以做这样的事情:在 Aave 中使用代币化债券作为抵押品借入稳定币,然后用该稳定币在别处进行收益农场——连接传统金融收益和 DeFi 收益的复杂策略。这已经开始发生;例如,Flux Finance(由 Ondo 提供) 允许你以 OUSG 为抵押进行借贷,然后你可以将其部署到稳定币农场中。杠杆化的 RWA 收益农场可能成为一个主题(尽管需要谨慎的风险管理)。

  • 实时透明度与分析: 另一个创新是RWA 数据平台和标准的兴起。像 RWA.xyz 这样的项目聚合链上数据,以跟踪跨网络所有代币化 RWA 的市值、收益和构成。这提供了急需的透明度——人们可以看到每个领域有多大,跟踪表现,并标记异常。一些发行方提供实时资产跟踪:例如,一个代币可能每天用来自传统金融托管人的 NAV(净资产值)数据进行更新,并且这可以在链上显示。预言机的使用也很关键——例如,Chainlink 预言机可以报告利率或违约事件,以触发智能合约功能(如在债务人违约时支付保险)。向链上信用评级或声誉发展的趋势也已开始:Goldfinch 实验了对借款人的链下信用评分,Centrifuge 有模型来估计池子风险。所有这些都是为了使链上 RWA 像其链下对应物一样透明(甚至更透明)。

  • 与 CeFi 和传统系统的集成: 我们看到 RWA 中 CeFi 和 DeFi 的融合越来越多。例如,Coinbase 推出了“机构 DeFi”,他们将客户资金引导到像 Maple 或 Compound Treasury 这样的协议中——为机构提供熟悉的界面,但收益来自 DeFi。美国银行和其他公司已经讨论过使用私有区块链网络相互交易代币化抵押品(以实现更快的 repo 市场等)。在零售方面,金融科技应用可能会开始提供在底层来自代币化资产的收益。这是分销方面的一个创新:用户甚至可能不知道他们正在与区块链互动,他们只是看到了更好的收益或流动性。这种集成将扩大 RWA 的覆盖范围,超越加密原生用户。

挑战:

尽管令人兴奋,RWA 代币化仍面临若干挑战和障碍

  • 监管合规与法律结构: 这可能是最大的挑战。通过将资产转化为数字代币,你通常在监管机构眼中将它们变成了证券(如果它们还不是的话)。这意味着项目必须应对证券法、投资法规、货币传输规则等。大多数 RWA 代币(尤其是在美国)是根据Reg D(向合格投资者私募)或 Reg S(离岸) 豁免提供的。这限制了参与:例如,美国零售投资者通常不能合法购买这些代币。此外,每个司法管辖区都有自己的规则——在瑞士允许的(如 Backed 的股票代币)可能在美国未经注册就行不通。还有法律可执行性的问题:代币是对真实资产的债权;确保该债权得到法院承认至关重要。这需要在幕后进行稳健的法律结构设计(有限责任公司、信托、SPV)。建立这些结构既复杂又昂贵,这就是为什么许多 RWA 项目与律师事务所合作或被拥有许可证的现有参与者收购的原因(例如,Securitize 为其他人处理了大量繁重的工作)。合规也意味着 KYC/AML:与 DeFi 的无需许可性质不同,RWA 平台通常要求投资者进行 KYC 和资格认证检查,无论是在购买代币时还是通过白名单持续进行。这种摩擦可能会阻止一些 DeFi 纯粹主义者,也意味着在许多情况下,这些平台不能完全向“任何有钱包的人”开放。

  • 流动性与市场采用: 将资产代币化并不会自动使其具有流动性。许多 RWA 代币目前存在流动性低/交易量低的问题。例如,如果你购买了一个代币化的贷款,当你想要出售时可能没有多少买家。做市商开始为某些资产(如稳定币或 Ondo 的基金代币)在 DEX 上提供流动性,但订单簿深度仍在建设中。在市场压力时期,人们担心 RWA 代币可能变得难以赎回或交易,特别是如果基础资产本身不具流动性(例如,一个房地产代币可能实际上只有在房产出售时才能赎回,这可能需要数月/数年)。解决方案包括创建赎回机制(如 Ondo 的基金允许通过 Flux 协议或直接与发行人定期赎回),并吸引多元化的投资者基础来交易这些代币。随着时间的推移,随着更多习惯于持有这些资产的传统投资者上链,流动性应该会改善。但目前,跨不同链和平台的碎片化也阻碍了流动性——需要努力标准化并可能聚合 RWA 代币的交易所(也许是一个专门的 RWA 交易所或在主要 CEX 上进行更多交叉上市)。

  • 信任与透明度: 具有讽刺意味的是,对于基于区块链的资产,RWA 通常需要大量的链下信任。代币持有者必须相信发行人确实持有真实资产并且不会滥用资金。他们必须信任持有抵押品的托管人(在稳定币或黄金的情况下)。他们还必须相信,如果出现问题,他们有法律追索权。过去曾有过失败的案例(例如,一些早期的“代币化房地产”项目 fizzled,让代币持有者陷入困境)。因此,建立信任是关键。这是通过审计、链上储备证明、信誉良好的托管人(例如,Coinbase Custody 等)和保险来实现的。例如,Paxos 每月发布 PAXG 储备的审计报告,USDC 发布其储备的证明。MakerDAO 在进行 RWA 贷款时要求超额抵押和法律契约以减轻违约风险。尽管如此,RWA 项目中的重大违约或欺诈可能会使该行业倒退。这就是为什么目前许多 RWA 协议专注于高信用质量的资产(政府债券、高级担保贷款),以在涉足风险更高的领域之前建立业绩记录。

  • 技术集成: 一些挑战是技术性的。将现实世界数据上链需要强大的预言机。例如,为贷款组合定价或更新基金的 NAV 需要来自传统系统的数据馈送。预言机的任何延迟或操纵都可能导致链上估值不正确。此外,像以太坊这样的主网上的可扩展性和交易成本可能是一个问题——在链上移动可能数千笔现实世界的支付(想象一个有数百笔贷款的池子,每笔都有月度支付)可能会成本高昂或缓慢。这部分解释了为什么正在使用专门的链或 Layer-2 解决方案(如 Plume,或某些项目的 Polygon,甚至是许可链)——以便对这些交易有更多的控制和更低的成本。互操作性是另一个技术障碍:许多 RWA 活动在以太坊上,但有些在 Solana、Polygon、Polkadot 等上。在链之间安全地桥接资产仍然不简单(尽管像 Plume 使用的 LayerZero 这样的项目正在取得进展)。理想情况下,投资者不应该为了管理一个 RWA 投资组合而追逐五个不同的链——更顺畅的跨链可操作性或统一的界面将很重要。

  • 市场教育与认知: 许多加密原生用户最初对 RWA 持怀疑态度(认为它们将“链下风险”带入了 DeFi 的纯净生态系统)。与此同时,许多传统金融人士对加密货币持怀疑态度。需要不断教育双方关于其好处和风险。对于加密用户来说,理解一个代币不仅仅是另一个 meme 币,而是对具有可能锁定期的合法资产的债权,这一点至关重要。我们看到过 DeFi 用户因为无法立即从 RWA 池中提取资金而感到沮丧的案例,因为链下贷款结算需要时间——管理期望是关键。同样,机构参与者通常担心代币的托管问题(如何安全地持有它们)、合规性(避免与受制裁地址互动的钱包等)和波动性(确保代币技术稳定)。最近的积极发展,如币安研究院显示 RWA 代币波动性较低,甚至在某些宏观事件中被认为“比比特币更安全”,有助于改变认知。但广泛的接受将需要时间、成功案例,以及可能需要监管明确性,即持有或发行 RWA 代币在法律上是安全的。

  • 监管不确定性: 虽然我们讨论了合规性,但一个更广泛的不确定性是监管制度的演变。美国证券交易委员会尚未就许多代币化证券给出明确指导,除了执行现有法律(这就是为什么大多数发行人使用豁免或避免美国零售)。欧洲推出了 MiCA(加密资产市场) 法规,该法规主要规定了如何处理加密货币(包括资产参考代币),并推出了一个 DLT 试点制度,让机构在区块链上交易证券,并提供一些监管沙盒。这很有希望,但还不是永久性法律。像新加坡、阿联酋(阿布扎比、迪拜)、瑞士这样的国家正在积极推出沙盒和数字资产法规以吸引代币化业务。一个挑战是,如果法规变得过于繁重或碎片化:例如,如果每个司法管辖区都要求略有不同的合规方法,这会增加成本和复杂性。另一方面,监管的接受(如香港最近鼓励代币化日本探索链上证券)可能是一个福音。在美国,一个积极的发展是某些代币化基金(如富兰克林的)获得了 SEC 的批准,表明在现有框架内是可能的。但悬而未决的问题是:监管机构最终会允许_更广泛的零售投资者接触_ RWA 代币吗(也许通过合格的平台或提高众筹豁免的上限)?如果不是,RWAfi 可能仍然主要是机构在围墙花园内的游戏,这限制了“开放金融”的梦想。

  • 无信任地扩展: 另一个挑战是如何在不引入中心化故障点的情况下扩展 RWA 平台。许多当前的实现依赖于一定程度的中心化(一个可以暂停代币转让以执行 KYC 的发行人,一个处理资产托管的中心方等)。虽然这对机构来说是可以接受的,但在哲学上与 DeFi 的去中心化相悖。随着时间的推移,项目将需要找到正确的平衡点:例如,使用去中心化身份解决方案进行 KYC(这样就不是一个方控制白名单,而是一个验证者网络),或使用多重签名/社区治理来控制发行和托管操作。我们看到了一些早期的举动,如 Maker 的 Centrifuge 金库,其中 MakerDAO 治理批准和监督 RWA 金库,或 Maple 去中心化池委托人角色。但完全的“DeFi”RWA(甚至法律执行都是无信任的)是一个难题。最终,也许智能合约和现实世界的法律系统将直接接口(例如,一个贷款代币智能合约,如果发生违约,可以通过连接的法律 API 自动触发法律行动——这是未来主义的,但可以想象)。

总而言之,RWA 领域正在迅速创新以应对这些挑战。这是一项多学科的努力:需要法律、金融和区块链技术的精通。每一次成功(如一个完全偿还的代币化贷款池,或一个顺利赎回的代币化债券)都会建立信心。每一次挑战(如监管行动或资产违约)都为加强系统提供了教训。发展轨迹表明,这些障碍中的许多都将被克服:机构参与的势头和明显的好处(效率、流动性)意味着代币化很可能会持续下去。正如一个专注于 RWA 的新闻通讯所说,“代币化的现实世界资产正在成为新的机构标准……基础设施终于赶上了链上资本市场的愿景。”

监管环境与合规考量

加密领域中 RWA 的监管环境复杂且仍在演变,因为它涉及传统证券/商品法与新型区块链技术的交叉。关键点和考量包括:

  • 证券法: 在大多数司法管辖区,如果一个 RWA 代币代表对一项资产的投资并有盈利预期(通常是这种情况),它就被视为证券。例如,在美国,代表创收房地产或贷款组合份额的代币完全符合投资合同(豪威测试)或票据的定义,因此必须注册或在豁免下发行。这就是为什么迄今为止在美国几乎所有的 RWA 发行都使用私募豁免(Reg D 506(c) 针对合格投资者,Reg S 针对离岸,Reg A+ 针对有限的公开发行等)。遵守这些规定意味着将代币销售限制在经过验证的投资者,实施转让限制(代币只能在白名单地址之间移动),并提供必要的披露。例如,Ondo 的 OUSG 和 Maple 的国债池要求投资者通过 KYC/AML 和资格认证检查,并且代币不能自由转让给未经批准的钱包。这创造了一个半许可的环境,与开放的 DeFi 大相径庭。欧洲在 MiFID II/MiCA 下同样将代币化股票或债券视为传统金融工具的数字表示,要求提供招股说明书或使用 DLT 试点制度进行交易。底线: RWA 项目必须从第一天起就整合法律合规——许多项目都有内部法律顾问或与像 Securitize 这样的法律科技公司合作,因为任何失误(如未经豁免向公众出售证券代币)都可能招致执法行动。

  • 消费者保护与许可: 一些 RWA 平台可能需要额外的许可证。例如,如果一个平台持有客户的法币以转换为代币,它可能需要货币传输许可证或同等许可证。如果它提供建议或经纪服务(匹配借款人和贷款人),它可能需要经纪交易商或 ATS(另类交易系统)许可证(这就是为什么一些项目与经纪交易商合作——Securitize、INX、Oasis Pro 等,它们拥有 ATS 许可证来运营代币市场)。资产的托管(如房地产契约或现金储备)可能需要信托或托管许可证。Anchorage 作为 Plume 的合作伙伴意义重大,因为 Anchorage 是一个合格的托管人——如果一个有执照的银行持有基础资产甚至代币的私钥,机构会感到更安心。在亚洲和中东,监管机构一直在为代币化平台颁发特定许可证(例如,阿布扎比全球市场的 FSRA 颁发包括 RWA 代币在内的加密资产许可,新加坡的 MAS 在其沙盒下给予项目特定的批准)。

  • 监管沙盒与政府举措: 一个积极的趋势是监管机构为代币化启动沙盒或试点项目欧盟的 DLT 试点制度 (2023) 允许经批准的市场基础设施在不完全遵守每条规则的情况下测试交易代币化证券,最高可达一定规模——这已导致几家欧洲交易所试点区块链债券交易迪拜宣布了一个代币化沙盒以促进其数字金融中心。香港在 2023-24 年将代币化作为其 Web3 战略的支柱,香港证监会正在探索代币化绿色债券和艺术品。英国在 2024 年就根据英国法律承认数字证券进行了咨询(他们已经承认加密货币为财产)。日本更新了其法律以允许证券代币(他们称之为“电子记录的可转让权利”),并且在该框架下已经发行了几种代币化证券。这些官方项目表明监管机构愿意现代化法律以适应代币化——这最终可能简化合规性(例如,为代币化债券创建特殊类别以简化审批)。

  • 旅行规则 / AML: 加密货币的全球性触发了反洗钱法。FATF 的“旅行规则”要求,当超过一定阈值的加密货币(包括代币)在 VASP(交易所、托管人)之间转移时,识别信息必须随之传递。如果 RWA 代币主要在经过 KYC 的平台上交易,这是可以管理的,但如果它们进入更广泛的加密生态系统,合规性就会变得棘手。大多数 RWA 平台目前都严格控制:转让通常仅限于其所有者已完成 KYC 的白名单地址。这减轻了 AML 的担忧(因为每个持有者都是已知的)。尽管如此,监管机构仍期望有健全的 AML 计划——例如,根据制裁名单(OFAC 名单等)筛选钱包地址。英国曾有一个代币化债券平台的案例,由于一个代币持有者成为受制裁实体,不得不撤销一些交易——这种情况将考验协议遵守的能力。许多平台内置了暂停或冻结功能以遵守执法请求(这在 DeFi 中是有争议的,但对于 RWA 来说,拥有锁定与不法行为相关的代币的能力通常是不可协商的)。

  • 税收与报告: 另一个合规考量是:这些代币如何征税?如果你从代币化贷款中获得收益,这是利息收入吗?如果你交易代币化股票,洗售规则是否适用?税务机关尚未发布全面的指导。在此期间,平台通常向投资者提供税务报告(例如,在美国,为通过代币获得的利息或股息提供 1099 表格)。区块链的透明度在这里可以提供帮助,因为每笔付款都可以被记录和分类。但跨境税收(如果欧洲有人持有支付美国来源利息的代币)可能很复杂——需要像数字 W-8BEN 表格等。这更多是一个操作上的挑战而不是障碍,但它增加了需要自动化合规技术来解决的摩擦。

  • 执法与先例: 我们尚未看到许多专门针对 RWA 代币的高调执法行动——很可能是因为大多数项目都在努力遵守。然而,我们在邻近领域看到了执法行动:例如,SEC 对加密借贷产品(BlockFi 等)的行动强调了未经注册提供收益可能是一种违规行为。如果一个 RWA 平台失误,比如说,允许零售投资者自由购买证券代币,它可能会面临类似的行动。还有一个二级交易场所的问题:如果一个去中心化交易所允许非合格投资者之间交易证券代币,这是否违法?在美国很可能是。这就是为什么很多 RWA 代币没有在 Uniswap 上市,或者被包装成限制地址的方式。在 DeFi 流动性和合规性之间走钢丝——许多项目宁愿选择合规,即使这会降低流动性。

  • 司法管辖区与法律冲突: RWA 本质上与特定的司法管辖区相关联(例如,德国的代币化房地产受德国财产法管辖)。如果代币在全球交易,可能会出现法律冲突。智能合约可能需要编码适用哪个法律。一些平台选择友好的司法管辖区进行注册(例如,发行实体在开曼群岛,资产在美国等)。这很复杂,但可以通过仔细的法律结构设计来解决。

  • 投资者保护与保险: 监管机构也会关心投资者保护:确保代币持有者有明确的权利。例如,如果一个代币应该可以赎回资产收益的一部分,那么该机制必须在法律上是可执行的。一些代币代表可能违约的债务证券——关于该风险的披露是什么?平台通常会发布发行备忘录或招股说明书(Ondo 对其代币就是这样做的)。随着时间的推移,监管机构可能会要求 RWA 代币有标准化的风险披露,就像共同基金提供的那样。此外,保险可能会被强制要求或至少是预期的——例如,为房地产代币中的建筑物投保,或为持有抵押品的托管人购买犯罪保险。

  • 去中心化 vs 监管: 这里存在一个固有的紧张关系:你把一个 RWA 平台做得越去中心化和无需许可,它就越与现行法规相抵触,因为现行法规假定有可识别的中介机构。一个正在演变的策略是使用去中心化身份 (DID) 和可验证凭证来解决这个问题。例如,一个钱包可以持有一个证明所有者是合格投资者的凭证,而不在链上透露其身份,智能合约可以在允许转让前检查该凭证——使合规自动化并保留一些隐私。像 Xref(在 XDC 网络上)和 Astra Protocol 这样的项目正在探索这一点。如果成功,监管机构可能会接受这些新颖的方法,这可能允许在经过审查的参与者之间进行无需许可的交易。但这仍处于萌芽阶段。

本质上,监管是 RWA 采用的成败关键。当前的格局显示,监管机构感兴趣并持谨慎支持的态度,但也很警惕。能够蓬勃发展的 RWA 项目将是那些主动拥抱合规,同时又创新以使其尽可能无缝的项目。提供清晰、宽松规则的司法管辖区将吸引更多此类业务(我们已经看到大量的代币化活动 gravitating to places like Switzerland, Singapore, and the UAE due to clarity there)。与此同时,行业正在与监管机构接触——例如,通过成立行业协会或回应咨询——以帮助制定明智的政策。一个可能的结果是,受监管的 DeFi 将作为一个类别出现:像 Plume 旗下的那些平台可能会成为代币化资产的另类交易系统 (ATS) 或注册的数字资产证券交易所,在许可证下运营,但拥有区块链基础设施。这种混合方法可能会满足监管机构的目标,同时仍然提供加密轨道带来的效率提升。

投资与市场规模数据

代币化现实世界资产的市场已经取得了令人印象深刻的增长,并预计在未来几年内将爆炸式增长,如果预测成立,将达到数万亿美元。这里我们将总结一些关于市场规模、增长和投资趋势的关键数据点:

  • 当前链上 RWA 市场规模: 截至 2025 年中,**链上现实世界资产市场(不包括传统稳定币)**的总规模在数百亿美元。不同来源根据纳入标准给出的总数略有不同,但 2025 年 5 月的一项分析将其定为 224.5 亿美元的总锁仓价值。这个数字比上个月增长了约 9.3%,显示出快速增长。这约 220 亿美元的构成(如前所述)包括约 68 亿美元的政府债券、15 亿美元的商品代币、4.6 亿美元的股票、2.3 亿美元的其他债券,以及数十亿美元的私人信贷和基金。从角度来看,这相对于更广泛的加密市场(截至 2025 年市值约 1.2 万亿美元,主要由 BTC 和 ETH 驱动)仍然很小,但它是加密领域增长最快的部分。还值得注意的是,如果计算在内,稳定币(约 2260 亿美元)将使这些数字相形见绌,但通常它们被分开计算。

  • 增长轨迹: RWA 市场在 2024 年显示出 32% 的年增长率。如果我们外推或考虑加速采用,一些人估计到 2025 年底达到 500 亿美元是合理的。除此之外,行业预测变得非常庞大:

    • BCG 等 (2030+): 经常被引用的 BCG/Ripple 报告预测到 2030 年将有 16 万亿美元(到 2033 年约 19 万亿美元)的代币化资产。这包括金融市场的广泛代币化(不仅仅是 DeFi 中心的使用)。这个数字将代表约 10% 的所有资产被代币化,这是激进的,但并非不可想象,因为现金的代币化(稳定币)已经成为主流。
    • 花旗 GPS 报告 (2022) 谈到到 2030 年有 4-5 万亿美元的代币化资产作为基本情况,如果机构采用更快,则有更高的情景。
    • 我们看到的 LinkedIn 分析指出,预测范围从 2030 年的 1.3 万亿美元到 30 万亿美元——表明存在很多不确定性,但共识是数万亿是可能的。
    • 即使是保守的一端(比如到 2030 年 1-2 万亿美元),也意味着比今天的约 200 亿美元水平增长超过 50 倍,这给人一种强劲增长预期的感觉。

  • 对 RWA 项目的投资: 风险资本和投资正在流入 RWA 初创公司:

    • Plume 自己的融资(2000 万美元的 A 轮等)是 VC 信念的一个例子。
    • Goldfinch 筹集了约 2500 万美元(2021 年由 a16z 领投)。Centrifuge 在 2021 年筹集了约 400 万美元,并通过代币销售筹集了更多;它也得到了 Coinbase 等的支持。
    • Maple 在 2021 年筹集了 1000 万美元的 A 轮融资,然后在 2022 年又进行了额外融资。
    • Ondo 在 2022 年筹集了 2000 万美元(来自 Founders Fund 和 Pantera),最近还进行了一次代币销售。
    • 还有新的专门基金:例如,a16z 的加密基金和其他基金为 RWA 预留了部分资金富兰克林邓普顿在 2022 年加入了一个代币化平台的 2000 万美元融资轮;Matrixport 推出了一个 1 亿美元的代币化国债基金。
    • 传统金融正在投资:纳斯达克风险投资公司投资了一家代币化初创公司 (XYO Network)伦敦证券交易所集团收购了 TORA(具有代币化能力) 等。
    • 我们也看到了合并:Securitize 收购了 Distributed Technology Markets 以获得经纪交易商牌照;INX(代币交易所)筹集资金以扩大产品。

    总的来说,数千万美元已经投资于领先的 RWA 协议,而更大的金融机构正在收购股份或在该领域组建合资企业。Apollo 对 Plume 的直接投资以及 Hamilton Lane 与 Securitize 合作将基金代币化(Hamilton Lane 的基金本身就是数十亿美元)表明,这不仅仅是 VC 的赌注,而是真金白银的参与。

  • 值得注意的链上资产与表现: 一些特定代币的数据可以说明市场表现:

    • Ondo 的 OUSG: 2023 年初推出,到 2025 年初已发行超过 5.8 亿美元,提供约 4-5% 的收益。由于其完全抵押和可赎回,价格很少偏离。
    • 富兰克林的 BENJI: 到 2023 年中达到 2.7 亿美元,到 2024 年约 3.68 亿美元。这是美国主要共同基金在链上反映的首批实例之一。
    • MakerDAO 的 RWA 收益: Maker 通过其约 16 亿美元的 RWA 投资,到 2023 年底年化收益约为 8000 万美元以上(主要来自债券)。这在加密收益枯竭后扭转了 Maker 的财务状况。
    • Maple 的国债池: 在其试点中,从不到 10 个参与者(机构)那里为国库券投资筹集了约 2200 万美元。Maple 重组后的总贷款额现在较小(约 5000 万-1 亿美元的活跃贷款),但随着信任的恢复,它开始回升。
    • Goldfinch: 提供了约 1.2 亿美元的贷款,偿还了约 9000 万美元,违约额不到 100 万美元(他们在肯尼亚有一个显著的贷款人违约,但部分收回)。GFI 代币在 2021 年底曾达到 6 亿美元的市值峰值,现在低得多(约 5000 万美元),表明市场对风险的重新评级,但仍然有兴趣。
    • Centrifuge: 约有 15 个活跃的池子。一些关键的池子(如 ConsolFreight 的发票池,New Silver 的房地产修复贷款池)每个都在 500-2000 万美元的范围内。Centrifuge 的代币 (CFG) 在 2025 年的市值约为 2 亿美元。
    • 整体 RWA 回报: 许多 RWA 代币提供 4-10% 范围内的收益。例如,Aave 对稳定币的收益率可能约为 2%,而将 USDC 放入 Goldfinch 的高级池中收益率约为 8%。这种利差逐渐将 DeFi 资本吸引到 RWA 中。在加密市场低迷期间,RWA 收益看起来特别有吸引力,因为它们是稳定的,导致分析师称 RWA 为 Web3 中的**“避风港”或“对冲”**。

  • 地理/市场细分: 按地区划分:许多代币化国债是美国或全球公司(Ondo、Franklin、Backed)提供的美国资产。欧洲的贡献在于代币化 ETF 和债券(几家德国和瑞士的初创公司,以及像桑坦德银行和法国兴业银行这样的大银行进行链上债券发行)。亚洲:新加坡的 Marketnode 平台正在将债券代币化;日本的三井住友银行将一些信贷产品代币化。中东:迪拜的 DFSA 批准了一个代币化基金。拉丁美洲:一些实验,例如,巴西中央银行正在将其部分银行存款代币化(作为其 CBDC 项目的一部分,他们考虑将资产代币化)。非洲:像 Kotani Pay 这样的项目研究了代币化微资产融资。这些表明代币化是一个全球趋势,但美国仍然是基础资产的最大来源(由于国债和大型信贷基金),而欧洲在交易的监管明确性方面处于领先地位

  • 市场情绪: 2024-2025 年,围绕 RWA 的叙事已经变得非常积极。过去主要关注纯 DeFi 的加密媒体,现在定期报道 RWA 的里程碑(例如,“尽管加密市场低迷,RWA 市场仍超过 200 亿美元”)。像穆迪这样的评级机构正在研究链上资产;主要咨询公司(BCG、德勤)发布代币化白皮书。情绪是RWAfi 可能通过引入数万亿美元的价值来推动加密的下一个牛市阶段。甚至 Grayscale 考虑推出 Plume 产品也表明投资者对以加密工具包装的 RWA 敞口有兴趣。人们也认识到 RWA 在某种程度上与加密是反周期的——当加密收益低时,人们寻求 RWA;当加密繁荣时,RWA 提供稳定的多样化。这使得许多投资者将 RWA 代币视为对冲加密波动性的一种方式(例如,币安研究发现 RWA 代币在某些宏观波动期间保持稳定,甚至被认为“比比特币更安全”)。

用硬数据总结本节:现在链上 200-220 亿美元,一两年内将达到 500 亿美元以上,本十年内可能达到 1 万亿美元以上。投资正在涌入,数十个项目总共获得了超过 2 亿美元的风险投资支持。传统金融正在积极实验,大型机构已经在公共或许可链上发行了超过 20-30 亿美元的真实资产(包括多个 1 亿美元以上的债券发行)。如果到 2030 年,全球债券市场(约 120 万亿美元)的 1% 和全球房地产(约 300 万亿美元)的 1% 被代币化,那将是数万亿美元——这与那些看涨的预测相符。当然存在不确定性(监管、利率环境等会影响采用),但迄今为止的数据支持代币化正在加速的观点。正如 Plume 团队指出的,“RWA 领域现在正引领 Web3 进入其下一阶段”——一个区块链从投机性资产转向真实金融基础设施骨干的阶段。重量级人物对 RWA 的深入研究和一致支持凸显了这并非昙花一现的趋势,而是加密和传统金融的结构性演变。

来源:

  • Plume Network Documentation and Blog
  • News and Press: CoinDesk, The Block, Fortune (via LinkedIn)
  • RWA Market Analysis: RWA.xyz, LinkedIn RWA Report
  • Odaily/ChainCatcher Analysis
  • Goldfinch and Prime info, Ondo info, Centrifuge info, Maple info, Apollo quote, Binance research mention, etc.

通过 zkML 和密码学证明实现可验证的链上 AI

· 阅读需 41 分钟
Dora Noda
Dora Noda
Software Engineer

引言:区块链上对可验证 AI 的需求

随着 AI 系统的影响力日益增强,确保其输出的可信度变得至关重要。传统方法依赖于机构担保(本质上是_“相信我们就行”),但这并不能提供任何密码学上的保证。在像区块链这样的去中心化环境中,这个问题尤为突出,因为智能合约或用户必须信任一个由 AI 推导出的结果,却无法在链上重新运行一个计算量巨大的模型。零知识机器学习 (zkML) 通过允许对机器学习 (ML) 计算进行_密码学验证_来解决这个问题。本质上,zkML 使证明者能够生成一个简洁的证明,证明“输出 $Y$ 来自于在输入 $X$ 上运行模型 $M$”——并且无需透露 $X$ 或 $M$ 的内部细节。这些零知识证明 (ZKPs) 可以被任何人(或任何合约)高效地验证,从而将 AI 的信任基础从“策略”转变为“证明”_。

AI 的链上可验证性意味着区块链可以通过验证一个正确执行的证明来整合高级计算(如神经网络推理),而无需亲自执行这些计算。这具有广泛的影响:智能合约可以基于 AI 预测做出决策,去中心化自治代理可以证明它们遵循了其算法,跨链或链下计算服务可以提供可验证的输出,而不是无法验证的预言机。最终,zkML 为实现无需信任且保护隐私的 AI 提供了一条路径——例如,证明一个 AI 模型的决策是正确且经过授权的,_同时_不暴露私有数据或专有模型权重。这对于从安全医疗分析到区块链游戏和 DeFi 预言机等各种应用都至关重要。

zkML 的工作原理:将 ML 推理压缩为简洁证明

从宏观上看,zkML 将密码学证明系统与 ML 推理相结合,使得一个复杂的模型评估可以被“压缩”成一个微小的证明。在内部,ML 模型(例如神经网络)被表示为一个由许多算术运算(矩阵乘法、激活函数等)组成的电路或程序。证明者在链下执行完整的计算,然后使用零知识证明协议来证明每一步都正确完成,而不是揭示所有中间值。验证者仅凭证明和一些公开数据(如最终输出和模型标识符),就能在密码学上确信其正确性,而无需重新执行模型。

为了实现这一点,zkML 框架通常将模型计算转换为一种适合 ZKP 的格式:

  • 电路编译: 在基于 SNARK 的方法中,模型的计算图被编译成一个_算术电路_或一组多项式约束。神经网络的每一层(卷积、矩阵乘法、非线性激活)都成为一个子电路,其约束确保了在给定输入的情况下输出是正确的。由于神经网络涉及非线性操作(如 ReLU、Sigmoid 等),这些操作天然不适合多项式,因此采用查找表等技术来高效处理它们。例如,一个 ReLU(输出 = max(0, 输入))可以通过一个自定义约束或查找来强制执行,该约束或查找验证当输入≥0 时输出等于输入,否则为零。最终结果是一组密码学约束,证明者必须满足这些约束,从而间接证明模型运行正确。
  • 执行轨迹与虚拟机: 另一种方法是将模型推理视为一个程序轨迹,正如在 zkVM 方法中所做的那样。例如,JOLT zkVM 针对 RISC-V 指令集;可以将 ML 模型(或计算它的代码)编译成 RISC-V,然后证明每个 CPU 指令都正确执行。JOLT 引入了一种_“查找奇点”_技术,用快速的表查找替代了昂贵的算术约束,以处理每个有效的 CPU 操作。每个操作(加法、乘法、位运算等)都通过在一个巨大的预计算有效结果表中进行查找来检查,并使用专门的论证(Lasso/SHOUT)来保持其高效性。这大大减少了证明者的工作量:即使是复杂的 64 位操作,在证明中也变成了一次表查找,而不是许多算术约束。
  • 交互式协议 (GKR Sum-Check): 第三种方法使用像 GKR (Goldwasser–Kalai–Rotblum) 这样的交互式证明来验证分层计算。在这里,模型的计算被看作一个分层算术电路(每个神经网络层是电路图的一层)。证明者正常运行模型,然后参与一个 sum-check 协议_来证明每一层的输出相对于其输入是正确的。在 Lagrange 的方法(DeepProve,下文详述)中,证明者和验证者执行一个交互式多项式协议(通过 Fiat-Shamir 变为非交互式),该协议检查每一层计算的一致性,而无需重新进行计算。这种 sum-check 方法避免了生成一个庞大的静态电路;相反,它以逐步的方式验证_计算的一致性,且密码学操作最少(主要是哈希或多项式求值)。

无论采用何种方法,最终都会得到一个简洁的证明(通常为几 KB 到几十 KB),证明整个推理过程的正确性。该证明是_零知识的_,意味着任何秘密输入(私有数据或模型参数)都可以保持隐藏——它们影响证明的生成,但不会向验证者透露。只有预期的公共输出或断言才会被揭示。这使得诸如_“证明模型 $M$ 应用于患者数据 $X$ 得到诊断 $Y$,而不泄露 $X$ 或模型的权重”_这样的场景成为可能。

实现链上验证: 一旦生成了证明,就可以将其发布到区块链上。智能合约可以包含验证逻辑来检查该证明,通常使用预编译的密码学原语。例如,以太坊有用于许多 zk-SNARK 验证器中使用的 BLS12-381 配对操作的预编译合约,这使得 SNARK 证明的链上验证非常高效。STARKs(基于哈希的证明)虽然更大,但通过仔细优化或可能带有一些信任假设,仍然可以在链上验证(例如,StarkWare 的 L2 通过一个链上验证器合约在以太坊上验证 STARK 证明,尽管 Gas 成本比 SNARKs 高)。关键在于,区块链不需要执行 ML 模型——它只需运行一个验证过程,这比原始计算要_便宜得多_。总而言之,zkML 将昂贵的 AI 推理压缩成一个微小的证明,区块链(或任何验证者)可以在毫秒到秒级的时间内完成验证。

Lagrange DeepProve:一个 zkML 突破的架构与性能

由 Lagrange Labs 推出的 DeepProve 是一个专注于速度和可扩展性的尖端 zkML 推理框架。DeepProve 于 2025 年发布,引入了一种新的证明系统,其速度远超之前的解决方案(如 Ezkl)。其设计核心是_带有 sum-check 的 GKR 交互式证明协议_以及针对神经网络电路的专门优化。以下是 DeepProve 的工作原理及其性能表现:

  • 一次性预处理: 开发者从一个训练好的神经网络开始(目前支持的类型包括多层感知器和流行的 CNN 架构)。模型被导出为 ONNX 格式,这是一种标准的图表示。然后,DeepProve 的工具会解析 ONNX 模型并对其进行_量化_(将权重转换为定点/整数形式),以便进行高效的域运算。在此阶段,它还会为密码学协议生成证明和验证密钥。这个设置过程对每个模型只需进行一次,无需在每次推理时重复。DeepProve 强调易于集成:“将你的模型导出到 ONNX → 一次性设置 → 生成证明 → 随处验证”

  • 证明(推理 + 证明生成): 设置完成后,证明者(可以由用户、服务或 Lagrange 的去中心化证明者网络运行)接收一个新的输入 $X$ 并在其上运行模型 $M$,得到输出 $Y$。在此执行过程中,DeepProve 会记录每一层计算的执行轨迹。与 SNARK 方法预先将每个乘法转换为静态电路不同,DeepProve 使用线性时间的 GKR 协议来动态验证每一层。对于每个网络层,证明者提交该层的输入和输出(例如,通过密码学哈希或多项式承诺),然后参与一个 sum-check 论证,以证明输出确实是根据该层的功能由输入产生的。sum-check 协议通过迭代方式让验证者相信一个编码了该层计算的多项式求值之和的正确性,而无需透露实际值。非线性操作(如 ReLU、softmax)在 DeepProve 中通过_查找论证_得到高效处理——如果一个激活函数的输出被计算出来,DeepProve 可以证明每个输出都对应于该函数预计算表中的一个有效输入-输出对。逐层生成证明,然后聚合成一个覆盖整个模型前向传播的简洁证明。密码学的繁重工作被最小化——DeepProve 的证明者主要执行正常的数值计算(实际的推理)外加一些轻量级的密码学承诺,而不是解决一个巨大的约束系统。

  • 验证: 验证者使用最终的简洁证明以及一些公开值——通常是模型的承诺标识符(对 $M$ 权重的密码学承诺)、输入 $X$(如果不是私密的)和声称的输出 $Y$——来检查正确性。在 DeepProve 的系统中,验证涉及验证 sum-check 协议的记录以及最终的多项式或哈希承诺。这比验证一个经典的 SNARK(可能只需几次配对操作)要复杂,但它比_重新运行模型要便宜得多_。在 Lagrange 的基准测试中,验证一个中等规模 CNN 的 DeepProve 证明在软件中大约需要 0.5 秒。这意味着用约 0.5 秒就能确认一个拥有数十万参数的卷积网络运行正确——比在 GPU 上简单地重新计算该 CNN 进行验证快 500 倍以上。(事实上,DeepProve 测得 CNN 的_验证速度快了 521 倍_,MLP 的_验证速度快了 671 倍_,相较于重新执行。)证明的大小足够小,可以在链上传输(几十 KB),并且验证可以在智能合约中执行,尽管 0.5 秒的计算可能需要仔细的 Gas 优化或在 Layer-2 上执行。

架构与工具: DeepProve 使用 Rust 实现,并为开发者提供了一个工具包(zkml 库)。它原生支持 ONNX 模型图,使其与 PyTorch 或 TensorFlow 导出的模型兼容。目前的证明过程针对参数量高达数百万的模型(测试包括一个 400 万参数的密集网络)。DeepProve 结合了多种密码学组件:一个多线性多项式承诺(用于承诺层输出)、用于验证计算的 sum-check 协议,以及用于非线性操作的查找论证。值得注意的是,Lagrange 的开源仓库承认其工作建立在先前工作(Scroll 的 Ceno 项目中的 sum-check 和 GKR 实现)之上,这表明 zkML 与零知识 rollup 研究存在交集。

为了实现实时可扩展性,Lagrange 将 DeepProve 与其证明者网络 (Prover Network) 相结合——这是一个由专门的 ZK 证明者组成的去中心化网络。繁重的证明生成可以外包给这个网络:当一个应用需要证明一个推理时,它将任务发送到 Lagrange 的网络,网络中的许多运营商(在 EigenLayer 上质押以确保安全)计算证明并返回结果。该网络通过经济激励来保证可靠的证明生成(恶意或失败的任务会导致运营商被罚没)。通过将工作分散给多个证明者(并可能利用 GPU 或 ASIC),Lagrange 证明者网络为最终用户隐藏了复杂性和成本。其结果是一个快速、可扩展且去中心化的 zkML 服务:“快速且经济地实现可验证的 AI 推理”

性能里程碑: DeepProve 的声明得到了与先前最先进技术 Ezkl 的基准测试支持。对于一个约有 26.4 万参数的 CNN(CIFAR-10 规模的模型),DeepProve 的证明时间约为 1.24 秒,而 Ezkl 则需要约 196 秒——快了约 158 倍。对于一个拥有 400 万参数的更大型密集网络,DeepProve 在约 2.3 秒内证明了一次推理,而 Ezkl 则需要约 126.8 秒(快了约 54 倍)。验证时间也大幅下降:DeepProve 在约 0.6 秒内验证了 26.4 万参数 CNN 的证明,而在该测试中,验证 Ezkl 的证明(基于 Halo2)在 CPU 上耗时超过 5 分钟。这些速度提升源于 DeepProve 的近线性复杂度:其证明者的扩展性大致为 O(n),其中 n 是操作数,而基于电路的 SNARK 证明者通常具有超线性的开销(FFT 和多项式承诺的扩展性)。事实上,DeepProve 的证明者吞吐量可以与普通推理运行时间在同一数量级内——最新的 GKR 系统对于大型矩阵乘法,其速度可以比原始执行慢不到 10 倍,这在 ZK 领域是一项了不起的成就。这使得_实时或按需证明_变得更加可行,为在交互式应用中实现可验证 AI 铺平了道路。

用例: Lagrange 已经与 Web3 和 AI 项目合作,应用 zkML。用例包括:可验证的 NFT 特征(证明一个由 AI 生成的游戏角色或收藏品的进化是由授权模型计算的)、AI 内容的来源证明(证明一张图片或一段文本是由特定模型生成的,以打击深度伪造)、DeFi 风险模型(证明一个评估金融风险的模型输出,而不泄露专有数据),以及_医疗或金融领域的私密 AI 推理_(医院可以获得带有证明的 AI 预测,确保正确性而不暴露患者数据)。通过使 AI 输出可验证且保护隐私,DeepProve 为去中心化系统中_“你可以信任的 AI”打开了大门——从一个“盲目信任黑盒模型”的时代,迈向一个“客观保证”_的时代。

基于 SNARK 的 zkML:Ezkl 与 Halo2 方法

传统的 zkML 方法使用 zk-SNARKs(简洁非交互式知识论证)来证明神经网络推理。Ezkl(由 ZKonduit/Modulus Labs 开发)是这种方法的领先范例。它建立在 Halo2 证明系统之上(一种带有 BLS12-381 上的多项式承诺的 PLONK 风格 SNARK)。Ezkl 提供了一个工具链,开发者可以拿一个 PyTorch 或 TensorFlow 模型,将其导出为 ONNX 格式,然后让 Ezkl 自动将其编译成一个自定义的算术电路。

工作原理: 神经网络的每一层都被转换为约束:

  • 线性层(密集层或卷积层)变成了一系列乘法-加法约束,强制执行输入、权重和输出之间的点积。
  • 非线性层(如 ReLU、sigmoid 等)通过查找或分段约束来处理,因为这些函数不是多项式。例如,一个 ReLU 可以通过一个布尔选择器 $b$ 和约束来实现,确保 $y = x \cdot b$、$0 \le b \le 1$ 且当 $x>0$ 时 $b=1$(这是一种实现方式),或者更高效地通过一个查找表,将 $x$ 映射到 $\max(0,x)$,适用于一定范围的 $x$ 值。Halo2 的查找论证允许映射 16 位(或更小)的值块,因此大的域(如所有 32 位值)通常被_“分块”_成几个较小的查找。这种分块增加了约束的数量。
  • 大整数运算或除法(如果有的话)同样被分解成小块。最终结果是一大组针对特定模型架构定制的 R1CS/PLONK 约束

然后,Ezkl 使用 Halo2 生成一个证明,证明在给定秘密输入(模型权重、私有输入)和公共输出的情况下,这些约束成立。工具与集成: SNARK 方法的一个优势是它利用了众所周知的原语。Halo2 已经在以太坊的 rollup 中使用(例如 Zcash、zkEVMs),因此它经过了实战检验,并且有现成的链上验证器。Ezkl 的证明使用 BLS12-381 曲线,以太坊可以通过预编译合约进行验证,这使得在智能合约中验证 Ezkl 证明变得非常直接。该团队还提供了用户友好的 API;例如,数据科学家可以在 Python 中使用他们的模型,并使用 Ezkl 的命令行工具来生成证明,而无需深入了解电路知识。

优势: Ezkl 的方法得益于 SNARKs 的通用性和生态系统。它支持相当复杂的模型,并且已经有了_“实际的集成案例(从 DeFi 风险模型到游戏 AI)”_,证明了现实世界中的 ML 任务。因为它在模型的计算图层面操作,所以可以应用特定于 ML 的优化:例如,修剪不重要的权重或量化参数以减小电路大小。这也意味着模型机密性是天然的——权重可以被视为私有见证数据,因此验证者只看到_某个_有效的模型产生了该输出,或者最多只是一个对模型的承诺。SNARK 证明的验证速度极快(通常在链上为几毫秒或更短),并且证明大小很小(几 KB),这对于区块链使用非常理想。

劣势: 性能是其阿喀琉斯之踵。基于电路的证明带来了巨大的开销,尤其是随着模型规模的增长。据记载,历史上 SNARK 电路对证明者来说可能比仅仅运行模型本身要多出_一百万倍的工作量_。Halo2 和 Ezkl 对此进行了优化,但像大型矩阵乘法这样的操作仍然会产生_大量_的约束。如果一个模型有数百万个参数,证明者就必须处理相应数百万个约束,并在此过程中执行繁重的 FFT 和多重指数运算。这导致了很长的证明时间(对于非平凡的模型通常需要几分钟或几小时)和高内存使用。例如,用 Ezkl 证明一个相对较小的 CNN(例如几十万个参数)在单台机器上可能需要几十分钟。DeepProve 背后的团队指出,对于某些模型证明,Ezkl 需要数小时,而 DeepProve 可以在几分钟内完成。大型模型甚至可能无法装入内存,或者需要分割成多个证明(然后需要递归聚合)。虽然 Halo2 经过了_“适度优化”,但任何需要“分块”查找或处理宽位操作的需求都会转化为额外的开销。总而言之,可扩展性有限——Ezkl 对于中小型模型效果很好(并且在基准测试中确实_优于一些早期的替代方案,如朴素的基于 Stark 的 VM),但随着模型规模超过某个点,它就会遇到困难。

尽管存在这些挑战,Ezkl 和类似的基于 SNARK 的 zkML 库是重要的垫脚石。它们证明了_在链上实现可验证的 ML 推理是可能的_,并且已经有了活跃的使用。值得注意的是,像 Modulus Labs 这样的项目展示了使用 SNARKs(经过大量优化)在链上验证一个 1800 万参数的模型。成本虽然不菲,但这显示了发展轨迹。此外,Mina 协议拥有自己的 zkML 工具包,该工具包使用 SNARKs 来允许 Mina 上的智能合约(本身就是基于 Snark 的)验证 ML 模型的执行。这表明基于 SNARK 的 zkML 正在获得越来越多的多平台支持。

基于 STARK 的方法:透明且可编程的 ZK for ML

zk-STARKs(可扩展透明知识论证)为 zkML 提供了另一条途径。STARKs 使用基于哈希的密码学(如用于多项式承诺的 FRI),并避免了任何可信设置。它们通常通过模拟一个 CPU 或 VM 并证明其执行轨迹是正确的来运作。在 ML 的背景下,可以为神经网络构建一个自定义的 STARK,_或者_使用一个通用的 STARK VM 来运行模型代码。

通用 STARK VMs (RISC Zero, Cairo): 一个直接的方法是编写推理代码并在 STARK VM 中运行它。例如,Risc0 提供了一个 RISC-V 环境,任何代码(例如,用 C++ 或 Rust 实现的神经网络)都可以在其中执行并通过 STARK 进行证明。同样,StarkWare 的 Cairo 语言可以表达任意计算(如 LSTM 或 CNN 推理),然后由 StarkNet STARK 证明者进行证明。其优势在于灵活性——你不需要为每个模型设计自定义电路。然而,早期的基准测试表明,对于 ML 任务,朴素的 STARK VM 比优化的 SNARK 电路要慢。在一次测试中,一个基于 Halo2 的证明 (Ezkl) 比在 Cairo 上的基于 STARK 的方法快约 3 倍,甚至比在 2024 年某个基准测试中的 RISC-V STARK VM 快 66 倍。这种差距是由于在 STARK 中模拟每个低级指令的开销以及 STARK 证明中较大的常数(哈希虽然快,但需要大量使用;STARK 证明的大小也更大等)。然而,STARK VM 正在不断改进,并具有透明设置(无需可信设置)和后量子安全的优点。随着对 STARK 友好的硬件和协议的发展,证明速度将会提高。

DeepProve 的方法 vs STARK: 有趣的是,DeepProve 使用 GKR 和 sum-check 产生的证明在精神上更像一个 STARK——它是一个交互式的、基于哈希的证明,不需要结构化的参考字符串。其权衡是它的证明更大,验证比 SNARK 更重。然而,DeepProve 表明,精心的协议设计(专门针对 ML 的分层结构)可以在证明时间上远超通用的 STARK VM 和 SNARK 电路。我们可以将 DeepProve 视为一个_定制的 STARK 风格_的 zkML 证明者(尽管他们为了简洁性使用了 zkSNARK 这个术语,但它没有传统 SNARK 那样的小常数大小验证,因为 0.5 秒的验证时间比典型的 SNARK 验证要长)。传统的 STARK 证明(如 StarkNet 的)通常需要数万次域运算来验证,而 SNARK 的验证可能只需几十次。因此,一个权衡是显而易见的:SNARKs 产生更小的证明和更快的验证器,而 STARKs(或 GKR)则以证明大小和验证速度为代价,提供了更容易的扩展性和无需可信设置的便利。

新兴的改进: JOLT zkVM(前面在 JOLTx 下讨论过)实际上输出的是 SNARKs(使用 PLONKish 承诺),但它体现了可以应用于 STARK 环境的思想(Lasso 查找理论上可以与 FRI 承诺一起使用)。StarkWare 和其他公司正在研究加速常见操作证明的方法(例如在 Cairo 中使用自定义门或提示来处理大整数运算等)。还有 Privacy & Scaling Explorations (PSE) 的 Circomlib-ML,它为 CNN 层等提供了 Circom 模板——这是面向 SNARK 的,但概念上类似的模板也可以为 STARK 语言制作。

在实践中,利用 STARKs 的非以太坊生态系统包括 StarkNet(如果有人编写验证器,就可以在链上验证 ML,尽管成本很高)和 Risc0 的 Bonsai 服务(这是一个链下证明服务,它发出 STARK 证明,可以在各种链上进行验证)。截至 2025 年,区块链上的大多数 zkML 演示都倾向于使用 SNARKs(因为验证器效率高),但 STARK 方法因其透明性和在高安全性或抗量子环境中的潜力而仍然具有吸引力。例如,一个去中心化计算网络可能会使用 STARKs 让任何人在没有可信设置的情况下验证工作,这对于长期性很有用。此外,一些专门的 ML 任务可能会利用对 STARK 友好的结构:例如,大量使用 XOR/位运算的计算在 STARKs 中可能比在 SNARK 域运算中更快(因为这些在布尔代数和哈希中成本低廉)。

SNARK vs STARK for ML 总结:

  • 性能: SNARKs(如 Halo2)每个门的证明开销巨大,但得益于强大的优化和用于验证的小常数;STARKs(通用型)的常数开销较大,但扩展性更线性,并避免了像配对这样昂贵的密码学操作。DeepProve 表明,定制方法(sum-check)可以产生近线性的证明时间(快),但证明类似于 STARK。JOLT 表明,即使是通用 VM,通过大量使用查找也可以变得更快。根据经验,对于高达数百万次操作的模型:一个优化良好的 SNARK (Ezkl) 可以处理,但可能需要几十分钟,而 DeepProve (GKR) 可以在几秒钟内完成。2024 年的 STARK VM 可能介于两者之间,或者比 SNARKs 差,除非经过专门优化(Risc0 在测试中较慢,Cairo 在没有自定义提示的情况下也较慢)。
  • 验证: SNARK 证明验证最快(毫秒级,链上数据最少,约几百字节到几 KB)。STARK 证明更大(几十 KB),并且由于需要多次哈希步骤,验证时间更长(几十毫秒到几秒)。在区块链术语中,一个 SNARK 验证可能花费约 20 万 Gas,而一个 STARK 验证可能花费数百万 Gas——通常对于 L1 来说太高,但在 L2 或使用简洁验证方案时可以接受。
  • 设置与安全: 像 Groth16 这样的 SNARKs 每个电路都需要一个可信设置(对于任意模型不友好),但通用 SNARKs(PLONK、Halo2)有一个一次性的设置,可以重用于任何达到特定大小的电路。STARKs 不需要设置,只使用哈希假设(加上经典的多项式复杂性假设),并且是后量子安全的。这使得 STARKs 对于长期性很有吸引力——即使量子计算机出现,证明仍然安全,而当前的 SNARKs(基于 BLS12-381)会被量子攻击破解。

我们将在稍后的比较表中整合这些差异。

FHE for ML (FHE-o-ML):私密计算 vs. 可验证计算

全同态加密 (FHE) 是一种密码学技术,允许直接在加密数据上进行计算。在 ML 的背景下,FHE 可以实现一种_隐私保护推理_:例如,客户端可以向模型主机发送加密输入,主机在不解密的情况下对密文运行神经网络,并返回一个加密结果,客户端可以解密该结果。这确保了数据机密性——模型所有者对输入一无所知(并且如果客户端只得到输出,可能也只知道输出,而不知道模型的内部结构)。然而,FHE 本身并不产生像 ZKP 那样的正确性证明。客户端必须相信模型所有者确实诚实地执行了计算(密文可能被篡改)。通常,如果客户端拥有模型或期望某种输出分布,公然的作弊可以被检测到,但细微的错误或使用错误版本的模型,仅从加密输出中是看不出来的。

性能上的权衡: FHE 的计算量是出了名的繁重。在 FHE 下运行深度学习推理会带来数量级的减速。早期的实验(例如,2016 年的 CryptoNets)在加密数据上评估一个微小的 CNN 需要几十秒。到 2024 年,像 CKKS(用于近似算术) 和更好的库(Microsoft SEAL、Zama 的 Concrete)等改进已经减少了这种开销,但它仍然很大。例如,一位用户报告说,使用 Zama 的 Concrete-ML 运行一个 CIFAR-10 分类器,在他们的硬件上每次推理需要 25-30 分钟。经过优化后,Zama 的团队在一台 192 核的服务器上将该推理时间缩短到约 40 秒。即使是 40 秒,与明文推理(可能只需 0.01 秒)相比也极其缓慢,显示出约 $10^3$–$10^4\times$ 的开销。更大的模型或更高的精度会进一步增加成本。此外,FHE 操作消耗大量内存,并需要偶尔进行_自举_(一种降噪步骤),这在计算上非常昂贵。总而言之,可扩展性是一个主要问题——最先进的 FHE 可能可以处理一个小型 CNN 或简单的逻辑回归,但扩展到大型 CNN 或 Transformer 超出了当前实际应用的限制。

隐私优势: FHE 的巨大吸引力在于_数据隐私_。输入在整个过程中可以保持完全加密。这意味着一个不受信任的服务器可以在不了解任何信息的情况下对客户端的私有数据进行计算。反过来,如果模型是敏感的(专有的),可以设想加密模型参数,让客户端在自己这边进行 FHE 推理——但这不太常见,因为如果客户端必须进行繁重的 FHE 计算,就违背了将其外包给强大服务器的初衷。通常,模型是公开的或由服务器以明文形式持有,而数据由客户端的密钥加密。在这种情况下,模型隐私默认不被提供(服务器知道模型;客户端知道输出但不知道权重)。还有更奇特的设置(如安全两方计算或多密钥 FHE),其中模型和数据都可以相互保密,但这些会带来更大的复杂性。相比之下,通过 ZKP 实现的 zkML 可以同时确保_模型隐私_和_数据隐私_——证明者可以将模型和数据都作为秘密见证,只向验证者揭示需要的部分。

无需(也不可能)链上验证: 使用 FHE,结果以加密形式返回给客户端。客户端然后解密它以获得实际的预测。如果我们想在链上使用该结果,客户端(或持有解密密钥的任何人)将不得不发布明文结果并说服其他人它是正确的。但在那一点上,信任又回到了循环中——除非与 ZKP 结合。原则上,可以结合 FHE 和 ZKP:例如,在计算期间使用 FHE 保持数据私密,然后生成一个 ZK 证明,证明明文结果对应于正确的计算。然而,将它们结合起来意味着你要同时承担 FHE ZKP 的性能损失——用今天的技术来看,这极其不切实际。因此,在实践中,FHE-of-ML 和 zkML 服务于不同的用例:

  • FHE-of-ML: 当目标是_两方(客户端和服务器)之间的机密性_时是理想选择。例如,云服务可以托管一个 ML 模型,用户可以用他们的敏感数据查询它,而无需向云透露数据(如果模型是敏感的,也许可以通过对 FHE 友好的编码来部署它)。这对于隐私保护的 ML 服务(医疗预测等)非常有用。用户仍然必须相信服务会忠实地运行模型(因为没有证明),但至少任何_数据泄露_都被阻止了。一些项目,如 Zama,甚至在探索一个_“支持 FHE 的 EVM (fhEVM)”_,其中智能合约可以在加密输入上操作,但在链上验证这些计算将需要合约以某种方式强制执行正确的计算——这是一个开放的挑战,可能需要 ZK 证明或专门的安全硬件。
  • zkML (ZKPs): 当目标是_可验证性和公共可审计性_时是理想选择。如果你想让任何人(或任何合约)确信_“模型 $M$ 在 $X$ 上被正确评估并产生了 $Y$”_,ZKP 就是解决方案。它们还提供隐私作为附加好处(如果需要,你可以通过将 $X$、$Y$ 或 $M$ 作为证明的私有输入来隐藏它们),但它们的主要特点是正确执行的证明。

互补关系: 值得注意的是,ZKP 保护的是_验证者_(他们对秘密一无所知,只知道计算是正确完成的),而 FHE 保护的是_证明者_的数据免受计算方的影响。在某些情况下,这两者可以结合——例如,一个不受信任的节点网络可以使用 FHE 对用户的私有数据进行计算,然后向用户(或区块链)提供 ZK 证明,证明计算是按照协议进行的。这将同时涵盖隐私和正确性,但以今天的算法来看,性能成本是巨大的。在短期内更可行的是混合方案,如_可信执行环境 (TEE) + ZKP_ 或_函数加密 + ZKP_——这些超出了我们的范围,但它们旨在提供类似的功能(TEE 在计算期间保持数据/模型秘密,然后 ZKP 可以证明 TEE 做了正确的事情)。

总而言之,FHE-of-ML 优先考虑输入/输出的机密性,而 zkML 优先考虑可验证的正确性(可能带有隐私)。下表 1 对比了关键属性:

方法证明者性能 (推理与证明)证明大小与验证隐私特性是否需要可信设置?是否后量子安全?
zk-SNARK (Halo2, Groth16, PLONK 等)证明者开销巨大(未经优化时可达正常运行时间的 10^6 倍;实践中为 10^3–10^5 倍)。针对特定模型/电路进行优化;中等模型证明时间为分钟级,大型模型为小时级。最近的 zkML SNARKs(如 DeepProve with GKR)极大地改善了这一点(近线性开销,例如百万参数模型从分钟级缩短到秒级)。证明非常小(通常 < 100 KB,有时约几 KB)。验证速度快:几次配对或多项式求值(链上通常 < 50 毫秒)。DeepProve 基于 GKR 的证明更大(几十到几百 KB),验证时间约 0.5 秒(仍远快于重新运行模型)。数据机密性: 是——输入可以在证明中保持私密(不被泄露)。模型隐私: 是——证明者可以承诺模型权重而不泄露它们。输出隐藏: 可选——证明可以是一个关于某个陈述的证明,而不泄露输出(例如,“输出具有属性 P”)。然而,如果输出本身需要在链上使用,它通常会变为公开的。总的来说,SNARKs 提供了完全的_零知识_灵活性(可以隐藏任何你想要的部分)。取决于方案。Groth16/EZKL 每个电路都需要一个可信设置;PLONK/Halo2 使用一个通用的设置(一次性)。DeepProve 的 sum-check GKR 是透明的(无需设置)——这是该设计的一个优点。经典的 SNARKs(BLS12-381 曲线)不是后量子安全的(易受针对椭圆曲线离散对数问题的量子攻击)。一些较新的 SNARKs 使用后量子安全的承诺,但 Ezkl 中使用的 Halo2/PLONK 不是后量子安全的。GKR (DeepProve) 使用哈希承诺(例如 Poseidon/Merkle),这些承诺被推测是后量子安全的(依赖于哈希原像抗性)。
zk-STARK (FRI, 基于哈希的证明)证明者开销高,但扩展性更_线性_。对于大型任务,通常比原生执行慢 10^2–10^4 倍,且有并行化空间。2024 年,通用 STARK VM(Risc0, Cairo)在 ML 上的性能比 SNARK 慢(例如,在某些情况下比 Halo2 慢 3-66 倍)。专门的 STARKs(或 GKR)可以接近线性开销,并在大型电路上胜过 SNARKs。证明更大:通常为几十 KB(随电路大小/log(n) 增长)。验证者必须进行多次哈希和 FFT 检查——验证时间约为 O(n^ε),其中 ε 很小(例如,约 50 毫秒到 500 毫秒,取决于证明大小)。在链上,这成本更高(StarkWare 的 L1 验证器每个证明可能消耗数百万 Gas)。一些 STARKs 支持递归证明以压缩大小,但会增加证明者的时间成本。数据与模型隐私: STARK 可以通过随机化轨迹数据(在多项式求值中添加盲化因子)来实现零知识,因此它可以像 SNARK 一样隐藏私有输入。许多 STARK 实现侧重于完整性,但 zk-STARK 变体确实允许隐私。所以是的,它们可以像 SNARKs 一样隐藏输入/模型。输出隐藏: 理论上同样可行(证明者不将输出声明为公开),但很少使用,因为通常我们想要揭示/验证的是输出。无需可信设置。 透明性是 STARKs 的一个标志——只需要一个公共随机字符串(Fiat-Shamir 可以推导出来)。这使得它们对于开放式使用很有吸引力(任何模型,任何时间,无需为每个模型举行仪式)。是的,STARKs 依赖于哈希和信息论安全假设(如随机预言机和 FRI 中某些码字解码的难度)。这些被认为是能抵抗量子对手的。因此,STARK 证明是抗后量子攻击的,这对于未来可验证 AI 的发展是一个优势。
FHE for ML (全同态加密应用于推理)证明者 = 在加密数据上进行计算的一方。 计算时间极高:比明文推理慢 10^3–10^5 倍是常见的。高端硬件(多核服务器、FPGA 等)可以缓解这一点。一些优化(低精度推理、分级 FHE 参数)可以减少开销,但存在根本的性能损失。FHE 目前对于小型模型或简单线性模型是可行的;深度网络在超出玩具规模后仍然具有挑战性。不生成证明。结果是一个加密的输出。验证(检查正确性)并非由 FHE 单独提供——人们信任计算方不会作弊。(如果与安全硬件结合,可能会得到一个证明;否则,恶意服务器可能返回一个不正确的加密结果,客户端解密后得到错误输出而不知情)。数据机密性: 是——输入是加密的,所以计算方对其一无所知。模型隐私: 如果模型所有者在加密输入上进行计算,模型在他们那边是明文的(不受保护)。如果角色互换(客户端持有加密的模型,服务器进行计算),模型可以保持加密,但这种情况不太常见。有一些技术,如安全两方 ML,结合 FHE/MPC 来保护两者,但这超出了普通 FHE 的范畴。输出隐藏: 默认情况下,计算的输出是加密的(只有持有私钥的一方,通常是输入所有者,才能解密)。所以输出对计算服务器是隐藏的。如果我们希望输出公开,客户端可以解密并揭示它。无需设置。每个用户生成自己的密钥对进行加密。信任依赖于密钥保持秘密。FHE 方案(例如 BFV, CKKS, TFHE)的安全性基于格问题(带误差学习),这些问题被认为是能抵抗量子攻击的(至少目前没有已知的有效量子算法)。所以 FHE 通常被认为是后量子安全的

表 1:zk-SNARK、zk-STARK 和 FHE 方法在机器学习推理中的比较(性能与隐私权衡)。

Web3 应用的用例与影响

通过 zkML 实现 AI 与区块链的融合,为 Web3 开启了强大的新应用模式:

  • 去中心化自治代理与链上决策: 智能合约或 DAO 可以整合由 AI 驱动的决策,并保证其正确性。例如,想象一个 DAO 使用神经网络分析市场状况后执行交易。有了 zkML,DAO 的智能合约可以要求一个 zkSNARK 证明,证明_授权的 ML 模型_(具有已知的哈希承诺)在最新数据上运行并产生了推荐的操作,然后该操作才会被接受。这可以防止恶意行为者注入虚假的预测——区块链_验证了 AI 的计算_。随着时间的推移,甚至可能出现完全在链上的自治代理(查询链下 AI 或包含简化模型的合约),在 DeFi 或游戏中做出决策,其所有行动都通过 zk 证明被证明是正确且符合策略的。这提高了对自治代理的信任,因为它们的“思考”过程是透明且可验证的,而不是一个黑箱。

  • 可验证计算市场: 像 Lagrange 这样的项目实际上正在创建可验证的计算市场——开发者可以将繁重的 ML 推理外包给一个证明者网络,并获得带有结果的证明。这类似于去中心化的云计算,但内置了信任:你不需要信任服务器,只需要信任证明。这是对预言机和链下计算的范式转变。像以太坊即将推出的 DSC(去中心化排序层)或预言机网络可以利用这一点来提供具有密码学保证的数据或分析源。例如,一个预言机可以提供“模型 X 在输入 Y 上的结果”,任何人都可以验证附加在链上的证明,而不是相信预言机的一面之词。这可以实现区块链上的_可验证 AI 即服务_:任何合约都可以请求一个计算(比如“用我的私有模型为这些信用风险打分”),并且只有在有有效证明的情况下才接受答案。像 Gensyn 这样的项目正在探索使用这些验证技术的去中心化训练和推理市场。

  • NFT 与游戏——来源与进化: 在区块链游戏或 NFT 收藏品中,zkML 可以证明特征或游戏动作是由合法的 AI 模型生成的。例如,一个游戏可能允许 AI 进化一个 NFT 宠物的属性。没有 ZK,聪明的用户可能会修改 AI 或结果以获得一个更优越的宠物。有了 zkML,游戏可以要求一个证明,证明_“宠物的新属性是由官方进化模型在宠物的旧属性上计算得出的”_,从而防止作弊。生成艺术 NFT 也是如此:艺术家可以发布一个生成模型作为承诺;之后,在铸造 NFT 时,证明每个图像都是由该模型在给定某个种子的情況下产生的,从而保证其真实性(甚至可以在不向公众透露确切模型的情况下做到这一点,保护艺术家的知识产权)。这种_来源验证_以一种类似于可验证随机性的方式确保了真实性——只不过在这里是可验证的创造力。

  • 敏感领域的隐私保护 AI: zkML 允许在不暴露输入的情况下确认结果。在医疗保健领域,患者的数据可以由云提供商通过 AI 诊断模型运行;医院收到诊断结果和一个证明,证明_该模型(可能由一家制药公司私有持有)在患者数据上正确运行_。患者数据保持私密(在证明中只使用了加密或承诺的形式),模型权重保持专有——但结果是可信的。监管机构或保险公司也可以验证是否只使用了经批准的模型。在金融领域,一家公司可以向审计师或监管机构证明,其风险模型已应用于其内部数据并产生了某些指标,而无需透露底层的敏感财务数据。这使得合规和监督能够通过密码学保证而不是手动信任来实现。

  • 跨链与链下互操作性: 由于零知识证明本质上是可移植的,zkML 可以促进_跨链 AI_ 结果。一条链上可能有一个 AI 密集型应用在链下运行;它可以将结果的证明发布到另一条区块链上,后者将无需信任地接受它。例如,考虑一个多链 DAO 使用 AI 来聚合社交媒体上的情绪(链下数据)。AI 分析(对大量数据的复杂 NLP)在链下由一个服务完成,该服务然后向一个小区块链(或多个链)发布一个证明,证明_“分析已正确完成,输出的情绪评分为 0.85”_。所有链都可以验证并在其治理逻辑中使用该结果,而无需各自重新运行分析。这种可互操作的可验证计算正是 Lagrange 网络旨在支持的,通过同时服务于多个 rollup 或 L1。它消除了在链间移动结果时对可信桥梁或预言机假设的需求。

  • AI 对齐与治理: 从一个更具前瞻性的角度来看,zkML 被强调为_AI 治理与安全_的工具。例如,Lagrange 的愿景声明认为,随着 AI 系统变得越来越强大(甚至达到超级智能),密码学验证对于确保它们遵守既定规则至关重要。通过要求 AI 模型为其推理或约束生成证明,人类保留了一定程度的控制——“你无法信任你无法验证的东西”。虽然这还处于推测阶段,并且涉及社会和技术两方面,但该技术可以强制一个自主运行的 AI 代理仍然证明它正在使用一个经批准的模型并且没有被篡改。去中心化 AI 网络可能会使用链上证明来验证贡献(例如,一个协作训练模型的节点网络可以证明每个更新都是忠实计算的)。因此,zkML 可能在_确保 AI 系统即使在去中心化或不受控制的环境中也能对人类定义的协议负责_方面发挥作用。

总之,zkML 和可验证的链上 AI 代表了先进密码学和机器学习的融合,有望增强 AI 应用中的信任、透明度和隐私。通过比较主要方法——zk-SNARKs、zk-STARKs 和 FHE——我们看到了性能与隐私之间的一系列权衡,每种方法都适用于不同的场景。像 Ezkl 这样的基于 SNARK 的框架和像 Lagrange 的 DeepProve 这样的创新,使得用实际的努力证明重要的神经网络推理成为可能,为可验证 AI 的实际部署打开了大门。基于 STARK 和 VM 的方法承诺了更大的灵活性和后量子安全性,随着该领域的成熟,这将变得越来越重要。FHE 虽然不是可验证性的解决方案,但它解决了机密 ML 计算的互补需求,并且在与 ZKP 结合或在特定的私密环境中,它可以让用户在不牺牲数据隐私的情况下利用 AI。

对 Web3 的影响是显著的:我们可以预见智能合约对 AI 预测做出反应,并知道它们是正确的;计算市场中结果可以无需信任地出售;数字身份(如 Worldcoin 通过虹膜 AI 实现的个人身份证明)受到 zkML 的保护,以确认某人是人类而不泄露其生物特征图像;以及通常会出现一类新的_“可证明的智能”,丰富区块链应用。许多挑战依然存在——超大型模型的性能、开发者的人体工程学以及对专门硬件的需求——但发展轨迹是明确的。正如一份报告所指出的,“今天的 ZKP 可以支持小型模型,但中到大型模型打破了这一范式”_;然而,快速的进步(DeepProve 相较于先前技术实现了 50-150 倍的速度提升)正在将这一界限向外推进。随着正在进行的研究(例如,关于硬件加速和分布式证明),我们可以期待越来越大、越来越复杂的 AI 模型变得可证明。zkML 可能很快就会从利基演示演变为可信 AI 基础设施的重要组成部分,确保随着 AI 的普及,它能以一种可审计、去中心化且符合用户隐私和安全的方式实现。

以太坊的匿名神话:研究人员如何揭露 15% 的验证者

· 阅读需 6 分钟
Dora Noda
Dora Noda
Software Engineer

区块链技术(如以太坊)的核心承诺之一是一定程度的匿名性。被称为验证者的参与者应当在加密化名的面纱后运行,以保护其现实身份,从而保障其安全。

然而,来自 ETH Zurich 及其他机构的研究人员在最近的论文《Deanonymizing Ethereum Validators: The P2P Network Has a Privacy Issue》中揭示了这一假设的关键缺陷。他们展示了一种简单、低成本的方法,能够将验证者的公开标识直接关联到其运行机器的 IP 地址。

简而言之,以太坊验证者并不像许多人想象的那样匿名。该发现足以让研究人员获得以太坊基金会的漏洞赏金,彰显了此隐私泄露的严重性。

漏洞是如何产生的:Gossip 中的缺陷

要理解该漏洞,首先需要了解以太坊验证者之间的基本通信方式。网络拥有超过一百万的验证者,持续对链的状态进行“投票”。这些投票称为 attestations,并通过点对点( P2PP2P )网络广播给所有其他节点。

如果每个验证者都向所有人广播每一笔投票,网络将瞬间被淹没。为了解决这一问题,以太坊的设计者实现了一种巧妙的扩展方案:网络被划分为 64 条独立的通信通道,称为 subnets

  • 默认情况下,每个节点(运行验证者软件的计算机)只订阅这 64 条子网中的 两条。它的主要职责是忠实地转发这两条通道上看到的所有消息。
  • 当验证者需要投票时,其 attestation 会随机分配到 64 条子网中的一条进行广播。

漏洞正出现在这里。 想象有一个节点负责管理 12 号和 13 号通道。整天它只转发这两条通道的消息。但突然,它向你发送了一条属于 45 号通道的消息。

这是一条强有力的线索。为什么一个节点会处理它本不负责的通道消息?最合乎逻辑的推断是 该节点本身生成了这条消息。这意味着创建 45 号通道 attestation 的验证者正运行在这台机器上。

研究人员正是利用了这一原理。通过部署自己的监听节点,他们监控同伴发送 attestation 时所使用的子网。当同伴发送的消息来自其未正式订阅的子网时,研究人员即可高度自信地推断该同伴托管了相应的验证者。

该方法的效果令人震惊。仅使用 四个节点,历时三天,团队成功定位了超过 161,000 个验证者的 IP 地址,约占整个以太坊网络的 15%

为什么这很重要:去匿名化的风险

曝光验证者的 IP 地址绝非小事。这为针对性攻击打开了大门,威胁到单个运营者乃至整个以太坊网络的健康。

1. 针对性攻击与奖励盗窃
以太坊会提前几分钟公布下一个区块的提议验证者。攻击者若掌握该验证者的 IP 地址,可发动 拒绝服务(DDoS)攻击,使其离线。如果验证者错过了四秒的提议窗口,机会将转移给排在后面的验证者。若攻击者正是后者,则可窃取本应归属受害者的区块奖励和宝贵的交易费用(MEV)。

2. 对网络活性与安全性的威胁
资源充足的攻击者可以反复进行此类“抢块”攻击,使整个区块链变慢甚至停摆(活性攻击)。在更严重的情形下,攻击者可利用这些信息发起网络分区攻击,使网络不同部分对链的历史产生分歧,从而危及其完整性(安全攻击)。

3. 揭示中心化的现实
研究还揭示了网络去中心化的一些不舒服的真相:

  • 极端集中:团队发现有单个 IP 地址托管了超过 19,000 个验证者。单台机器的故障可能对网络产生不成比例的影响。
  • 对云服务的依赖:约 90% 被定位的验证者运行在 AWS、Hetzner 等云服务商上,而非个人家庭节点,这显示出显著的中心化倾向。
  • 隐藏的依赖关系:许多大型质押池声称其运营者是独立的,但研究发现不同、相互竞争的质押池的验证者竟共用同一台物理机器,形成了潜在的系统性风险。

缓解措施:验证者如何自我保护?

幸运的是,已有多种方式可以防御此类去匿名化技术。研究人员提出了以下几种缓解方案:

  • 制造更多噪声:验证者可以选择订阅超过两条子网,甚至全部 64 条。这会让观察者更难区分转发的消息与自行生成的消息。
  • 使用多节点:运营者可以将验证职责分散到不同 IP 的机器上。例如,一台节点负责 attestation,另一台私有节点仅用于提议高价值区块。
  • 私有对等:验证者可以与可信的私有节点建立专属连接,以在小范围内转发消息,隐藏真实来源。
  • 匿名广播协议:如 Dandelion 等更高级的方案,通过先在随机“茎”上传递再广泛广播,混淆消息来源,可予以实现。

结论

该研究有力地展示了分布式系统中性能与隐私之间的固有权衡。为了扩容,以太坊的 P2PP2P 网络采用的设计在一定程度上牺牲了最关键参与者的匿名性。

通过将此漏洞公之于众,研究人员为以太坊社区提供了认识问题并加以修复的知识与工具。这项工作是迈向更稳健、更安全、真正去中心化的未来网络的重要一步。

拓展我们的视野:BlockEden.xyz 将 Base、Berachain 和 Blast 添加至 API 市场

· 阅读需 4 分钟

我们很高兴宣布 BlockEden.xyz 的 API 市场实现重大扩展,新增了三条前沿区块链网络:Base、Berachain 和 Blast。这些新产品体现了我们为开发者提供最具创新性的区块链基础设施的承诺,帮助实现跨多生态系统的无缝开发。

API 市场扩展

Base:Coinbase 的以太坊 L2 解决方案

Base 是由 Coinbase 开发的以太坊 Layer 2(L2)解决方案,旨在将数百万用户引入链上生态系统。作为安全、低成本、面向开发者友好的以太坊 L2,Base 将以太坊的强大安全性与乐观汇总(optimistic rollup)的可扩展性相结合。

我们的全新 Base API 端点让开发者能够:

  • 在无需自行管理节点的情况下访问 Base 基础设施
  • 利用 99.9% 可用性的高性能 RPC 连接
  • 构建受益于以太坊安全性且费用更低的应用
  • 无缝交互 Base 不断扩展的应用生态

Base 对于希望构建面向消费者、需要以太坊安全性但成本更低的应用的开发者尤具吸引力。

Berachain:性能与 EVM 兼容的完美结合

Berachain 采用独特的区块链基础设施方案,将高性能与完整的以太坊虚拟机(EVM)兼容性相结合。作为新兴网络,Berachain 正受到开发者的广泛关注,提供:

  • 具备增强吞吐量的 EVM 兼容性
  • 先进的智能合约功能
  • 日益壮大的创新 DeFi 应用生态
  • 为交易速度优化的独特共识机制

我们的 Berachain API 为开发者提供对该前景广阔网络的即时访问,使团队能够在无需管理基础设施的情况下构建和测试应用。

Blast:首个原生收益 L2

Blast 是首个为 ETH 和稳定币提供原生收益的以太坊 L2。其创新的收益生成方式使 Blast 对于关注资本效率的 DeFi 开发者和应用尤为吸引。

我们的 Blast API 的主要优势包括:

  • 直接访问 Blast 的原生收益机制
  • 支持构建收益优化的应用
  • 与 Blast 独特特性简化集成
  • 高性能 RPC 连接,实现无缝交互

Blast 对原生收益的聚焦为以太坊 L2 解决方案指明了令人振奋的方向,可能为生态系统设定新的资本效率标准。

无缝集成流程

使用 BlockEden.xyz 开始使用这些新网络非常简单:

  1. 访问我们的 API 市场 并选择所需网络
  2. 通过 BlockEden.xyz 仪表盘创建 API 密钥
  3. 使用我们完善的文档将端点集成到开发环境
  4. 在 99.9% 可用性保障下自信构建

为什么选择 BlockEden.xyz 作为这些网络的合作伙伴?

BlockEden.xyz 通过以下核心优势持续脱颖而出:

  • 高可用性:我们在所有支持的网络上保持 99.9% 的运行时间
  • 开发者优先:完善的文档与支持,确保顺畅集成
  • 统一体验:通过单一、统一的接口访问多条区块链网络
  • 竞争性定价:我们的 计算单元积分 (CUC) 系统确保成本高效扩展

展望未来

将 Base、Berachain 和 Blast 纳入我们的 API 市场,彰显了我们对多元且不断演进的区块链生态系统的持续支持。随着这些网络日趋成熟并吸引更多开发者,BlockEden.xyz 将提供可靠的基础设施,助力构建下一代去中心化应用。

我们诚邀开发者探索这些新产品并提供反馈,帮助我们不断完善 API 市场,以满足你日益增长的需求。

准备好在 Base、Berachain 或 Blast 上开始构建了吗?立即访问 BlockEden.xyz API 市场,创建访问密钥,开启你的旅程!

获取最新动态和公告,请关注我们的 Twitter 或加入我们的 Discord 社区。

Sony 的 Soneium:将区块链带入娱乐世界

· 阅读需 6 分钟

在快速演进的区块链技术格局中,一个熟悉的名字带着大胆的愿景踏入了舞台。娱乐与科技巨头 Sony 推出了 Soneium——一条基于以太坊的第2层区块链,旨在弥合前沿 Web3 创新与主流互联网服务之间的鸿沟。那么 Soneium 究竟是什么?为什么值得关注?让我们深入了解。

什么是 Soneium?

Soneium 是在以太坊之上构建的第2层区块链,由 Sony Block Solutions Labs 开发——这是 Sony 集团与 Startale Labs 的合资企业。经过成功的测试网阶段后,于 2025 年 1 月正式上线,Soneium 旨在通过让区块链技术易于获取、具备可扩展性并适用于日常使用,实现“超越边界的开放互联网”。可以把它看作 Sony 试图让区块链像其 PlayStation 和随身听曾经让游戏和音乐变得如此友好一样,变得易于使用。

Soneium 背后的技术

对于技术爱好者来说,Soneium 基于 Optimism 的 OP Stack,这意味着它使用与其他流行第2层解决方案相同的乐观汇总框架。通俗来说,它在链下处理交易,仅定期将压缩后的数据提交回以太坊,从而在保持安全性的同时,使交易更快、更便宜。Soneium 完全兼容以太坊虚拟机(EVM),因此熟悉以太坊的开发者可以轻松在平台上部署应用。它还加入了 Optimism 的 “Superchain” 生态系统,能够便捷地与其他第2层网络(如 Coinbase 的 Base)进行互通。

Soneium 有何独特之处?

尽管市场上已有多种第2层解决方案,Soneium 因其专注于 娱乐、创意内容和粉丝互动 而脱颖而出——这些领域正是 Sony 拥有数十年经验和丰厚资源的所在。想象一下,购买电影票后收到一枚独家数字藏品,能够解锁额外内容;或参加虚拟演唱会,你的 NFT 票据成为带有特殊福利的纪念品。这些正是 Sony 设想在 Soneium 上构建的体验。

平台旨在支持:

  • 游戏体验:为游戏内资产提供更快的交易
  • NFT 市场:用于数字藏品
  • 粉丝互动应用:让社区与创作者互动
  • 金融工具:为创作者和粉丝提供
  • 企业区块链解决方案

Sony 的合作伙伴助力 Soneium

Sony 并非单打独斗。公司已建立战略合作伙伴关系,以推动 Soneium 的开发和采用:

  • Startale Labs,一家总部位于新加坡的区块链初创公司,由 Astar Network 联合创始人渡边奏(Sota Watanabe)领导,是 Sony 的关键技术合作伙伴
  • Optimism 基金会 提供底层技术
  • Circle 确保 USD Coin(USDC)成为网络的主要货币
  • Samsung 通过其风险投资部门进行战略投资
  • Alchemy、Chainlink、Pyth Network 和 The Graph 提供关键基础设施服务

Sony 还利用内部部门——包括 Sony Pictures、Sony Music Entertainment 和 Sony Music Publishing——在 Soneium 上试点 Web3 粉丝互动项目。例如,平台已为《攻壳机动队》系列以及 Sony 旗下多位音乐艺术家开展 NFT 活动。

初步成功迹象

尽管仅上线数月,Soneium 已展现出令人鼓舞的增长势头:

  • 测试网阶段活跃钱包超过 1500 万,处理交易超过 4700 万
  • 主网上线首月,Soneium 吸引了超过 24.8 万 链上账户,约 180 万 地址与网络交互
  • 平台已成功推出多次 NFT 发售,其中包括与 Web3 音乐厂牌 Coop Records 的合作

为推动增长,Sony 与 Astar Network 发起了为期 100 天 的激励活动,设立 1 亿代币奖励池,鼓励用户体验应用、提供流动性并活跃于平台。

安全性与可扩展性:平衡之道

安全对 Sony 至关重要,尤其是在将其可信品牌带入区块链领域时。Soneium 继承了以太坊的安全性,同时加入了自身的防护措施。有趣的是,Sony 采用了略具争议的做法,对被视为侵犯知识产权的特定智能合约和代币进行黑名单限制。虽然此举引发了关于去中心化的质疑,Sony 认为适度的内容审查有助于保护创作者并赢得主流用户的信任。

在可扩展性方面,Soneium 的核心目标就是提升以太坊的吞吐量。通过链下处理交易,它能够以更低成本处理更大规模的交易,这对游戏或大规模 NFT 发售等大众化应用至关重要。

前进路线

Sony 为 Soneium 制定了多阶段路线图:

  1. 第一年:吸引 Web3 爱好者和早期采用者
  2. 两年内:整合 Sony Bank、Sony Music、Sony Pictures 等 Sony 产品
  3. 三年内:向企业及 Sony 生态系统之外的通用应用扩展

公司正逐步推出其 基于 NFT 的粉丝营销平台,让品牌和艺术家能够轻松向粉丝发行 NFT,提供独家内容和活动入场等福利。虽然 Soneium 目前使用 ETH 支付 gas 费用,并以 ASTR(Astar Network 的代币)作为激励,但业界猜测未来可能会推出 Soneium 原生代币。

Soneium 与其他第2层网络的比较

在竞争激烈的第2层市场,Soneium 面临 Arbitrum、Optimism、Polygon 等成熟项目的竞争。然而,Sony 通过发挥其娱乐帝国的优势并聚焦创意应用,打造了独特的定位。不同于纯社区驱动的第2层网络,Soneium 受益于 Sony 的品牌信任、内容 IP 资源以及来自现有 Sony 服务的庞大用户基数。其代价是相较于已发行代币并实现社区治理的 Optimism 与 Arbitrum 等网络,去中心化程度(至少在初期)较低。

大局观

Sony 的 Soneium 标志着区块链大众化的重要一步。通过聚焦 Sony 擅长的内容与粉丝互动领域,公司正将 Soneium 打造成 Web3 爱好者与日常消费者之间的桥梁。如果 Sony 能够将其数百万客户中的一小部分转化为 Web3 参与者,Soneium 有望成为首批真正主流的区块链平台之一。实验才刚刚开始,但潜力巨大。随着娱乐、技术与区块链的界限日益模糊,Soneium 极有可能站在这一融合的前沿,以每一个游戏角色或音乐 NFT 将区块链技术带给大众。