Zcash (ZEC) 在過去 24 小時內上漲逾 13%,讓這枚隱私幣再度成為加密市場的焦點。
但比價格波動更有趣的,是支撐 Zcash 的密碼學系統——這是迄今在公有鏈上部署過、最優雅的應用數學之一。
這個系統就叫做零知識證明。如果你曾經好奇,加密貨幣如何在「不公開發送人、接收人與金額」的前提下,仍能「用數學保證交易有效」,那這篇說明文就是為你準備的。
重點整理
- 零知識證明允許一方(證明者)讓另一方(驗證者)相信某個敘述為真,同時不揭露該敘述本身真實性以外的任何資訊。
- Zcash 採用一種稱為 zk-SNARKs 的特定構造,在公有鏈上遮蔽交易資料,同時仍讓網路可以確認沒有憑空產生新幣。
- 同樣的技術如今也支撐了 Layer 2 擴容方案、隱私 DeFi 協議與身份系統,成為 Web3 中最關鍵的密碼學基石之一。
什麼才是真正的零知識證明
零知識證明是一種方法,讓一方(稱為證明者)可以說服另一方(稱為驗證者)相信某個特定主張為真。關鍵限制是:這個證明不會揭露用來支持該主張的底層資料。
這個概念最早在 1985 年由 Shafi Goldwasser、Silvio Micali 與 Charles Rackoff 發表於一篇學術論文〈The Knowledge Complexity of Interactive Proof Systems〉中。
他們研究的問題是:證明者在說服一個存疑的驗證者時,理論上「最少」必須透露多少資訊。答案是,在某些情況下,幾乎可以是零。
一個零知識證明必須同時滿足三項性質:完備性(誠實的證明者必然能說服誠實的驗證者)、可靠性(不誠實的證明者幾乎不可能騙過驗證者)、以及零知識性(驗證者除了知道主張為真之外,得不到任何額外資訊)。
教科書上經典的例子是「有魔法門的山洞」,又常被稱為阿里巴巴洞穴。想像一個圓形山洞,只有一個入口,洞底有一道上鎖的門,只能用祕密口令打開。證明者想要讓驗證者相信自己知道口令,卻又不想把口令說出來。證明者先走進山洞,選擇左邊或右邊的路。驗證者接著喊出希望證明者從哪一條路出來。如果證明者知道口令,就可以在裡面穿過那道門,從正確的一側出來。重複很多次後,沒有口令的人幾乎不可能一直猜對。
延伸閱讀: Pudgy Penguins Token Rallies On $5.3B Manchester City Deal
互動式與非互動式證明,以及為何這對區塊鏈很重要
洞穴的比喻描述的是互動式零知識證明:驗證者會在每一輪主動提出「挑戰」。雖然在數學上很優美,但互動式證明對區塊鏈有顯而易見的問題:鏈上每一筆交易背後,並沒有一個「在線」的真人驗證者,隨時準備出題。
區塊鏈網路需要的是「非互動式」零知識證明。在非互動式機制中,證明者只產生一個「自給自足的證明物件」,任何人都可以在任何時間,獨立驗證它,完全不需要任何來回溝通。這在數學上難度高得多。
突破來自 1986 年發展出的 Fiat-Shamir 啟發式,它把互動式證明轉換成非互動式:做法是用密碼雜湊函數,取代驗證者原本隨機提出的挑戰。證明者改成用「敘述的雜湊值」自己生成挑戰,而這個雜湊若被操弄就會毀掉整個證明。
非互動式證明,解鎖了「把密碼學有效性直接打包進區塊鏈交易」的能力。收到遮蔽交易的節點無須詢問任何人,只要在本地執行驗證演算法,就能得到「通過」或「不通過」的結果。
延伸閱讀: Hyperliquid Surges 17% As HYPE ETFs Pull Record $25.5M In One Day
zk-SNARKs 如何驅動 Zcash 的遮蔽交易
Zcash 在 2016 年 10 月主網上線時,是第一個在大型公有鏈上正式部署 zk-SNARKs 的專案。這個縮寫代表「Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge」(零知識、精簡、非互動、知識論證),每一個字都有技術含義。
「Succinct(精簡)」代表證明本身檔案很小、驗證很快,且與底層計算多複雜無關。「Non-Interactive(非互動)」指的是無須證明者與驗證者來回溝通,如前所述。「Arguments of Knowledge(知識論證)」則表示,證明者必須「真的持有」祕密見證(例如私鑰、花費金鑰、交易細節),才能產生有效證明。單純亂猜在數學上幾乎被排除。
當 Zcash 使用者發出一筆遮蔽交易時,發送端錢包會進行一段計算,一次證明多件事,卻不揭露任何細節。它證明:發送人擁有被花費的資金、交易輸入總額等於輸出總額加手續費(因此沒有憑空造幣)、以及發送人知道來源位址對應的私密花費金鑰。產出的證明會被嵌入交易中,並廣播到全網。每個完整節點都會獨立驗證,通常只需毫秒級時間。
Zcash 的遮蔽交易使用一種稱為 Sapling 電路的密碼結構(2018 年從原本的 Sprout 電路升級而來),把生成證明的時間從大約 40 秒降到不到 2 秒,記憶體需求也從 3 GB 降到約 40 MB,首次讓行動端遮蔽錢包變得實用。
Zcash 有兩種位址型別。透明位址(t-address)行為像 Bitcoin (BTC) 位址:所有資料都在鏈上公開。遮蔽位址(z-address)則用 zk-SNARKs 加密發送人、接收人與金額。使用者可以在兩種位址之間轉帳,但從透明位址轉入遮蔽位址時,邊界上的金額仍是可見的。
延伸閱讀: Goldman Sachs Walks Away From XRP, Solana In Sharp Q1 Crypto Reset
受信設定問題:Zcash 最具爭議的前提
Zcash 最具技術爭議性的設計之一,是早期 zk-SNARKs 所需的「受信設定」儀式。zk-SNARKs 在啟用前,需要一組公開參數(又稱「共同參考字串」)。這些參數是由一個祕密隨機值推導而來;如果這個祕密日後被完整重建,惡意方理論上就能偽造證明,在不被偵測的情況下,從無到有創造 Zcash。
為了處理這個風險,Zcash 創始團隊在 2016 年舉辦了一次多方計算儀式,由六位參與者各自產生一段祕密碎片。只要其中至少一人誠實地銷毀自己的碎片,這組參數就被視為安全。2018 年的 Sapling 升級又重新、並以更嚴密方式舉行了一次儀式,這次共有 90 人參與,使得完全被攻破的機率幾乎可以忽略。
然而,受信設定的需求仍是一項理論弱點,也在隱私幣社群引發哲學層面的爭論。批評者認為,即便通膨攻擊的風險再小,只要「無法被偵測」,就不可接受。支持者則指出,龐大的參與人數與可驗證的儀式設計,已是足夠的風險緩解。
這個顧慮,催生了零知識證明家族樹上的另一大分支:zk-STARKs,下一節將會談到。
延伸閱讀: Bitget Opens Gold Fast Or Go Home Contest To Crypto Traders
zk-SNARKs 與 zk-STARKs:關鍵取捨
zk-STARKs 的全名是 Zero-Knowledge Scalable Transparent Arguments of Knowledge(零知識、可擴展、透明、知識論證),由 Eli Ben-Sasson 與同事在 2018 年於 Technion 與 StarkWare 發表。他們完全解決了受信設定問題:只依賴「可公開驗證的隨機性」以及抗碰撞雜湊函數,而不需任何祕密參數。
兩種構造之間的取捨很明顯,也會實際影響開發者的技術選擇。
- zk-SNARKs 產生的證明極小,通常不到 300 位元組,驗證也非常快速。但它需要受信設定,並依賴橢圓曲線密碼學,理論上在足夠強大的量子電腦出現後,可能會有風險。
- zk-STARKs 不需要受信設定,且因只依賴雜湊函數,被視為「後量子安全」。代價是證明尺寸大得多,往往落在數十到數百 KB,不過驗證時間同樣很快。
- PLONK 與其他通用 SNARK 則代表中間世代的構造,只需要「一次性」的通用受信設定,而不是每種電路都要重新來一遍。像 Aztec、Polygon 等專案,就採用以 PLONK 為基礎的系統,在保留 SNARK 高效率的同時,降低受信設定的操作負擔。
對 2026 年的實際區塊鏈應用來說,zk-SNARKs dominate privacy-focused layer-one protocols like Zcash。zk-STARK 在專注擴容的第二層 rollup 中占主導地位,特別是由 StarkWare 建構的那些協議,在這些場景中,證明大小不若信任最小化與吞吐量那麼關鍵。
Also Read: Vitalik Buterin Wants Ethereum To Stop Reading Over Your Shoulder
零知識證明在隱私幣之外的應用場景
零知識證明最初的應用案例是金融隱私,正如 Zcash 所示範的。但這項技術在區塊鏈生態系中已大幅擴展,而目前圍繞 Nexus 及其零知識網路的熱度,是 ZKP 基礎設施正在走向主流的最明顯信號之一。
ZK Rollup 大概是隱私幣之外,商業上最重要的部署形式。像 zkSync、StarkNet、Polygon zkEVM 這類第二層網路,使用零知識證明將數百甚至數千筆 Ethereum (ETH) 交易批次打包成一個提交到主鏈的單一證明。以太坊主網只需要驗證一個精簡的證明,而非逐筆執行每一筆交易,大幅提升吞吐量,同時繼承以太坊完整的安全性。
隱私 DeFi 是一個新興類別,協議利用 ZKP 讓使用者在不暴露錢包餘額或鏈上交易策略的情況下,參與借貸、交易與收益策略。目前與 Zcash 一同受到關注的 Venice Token 網路,將類似的密碼學理念應用在 AI 推理上,讓使用者可以查詢 AI 模型而不會讓服務提供者看到他們的輸入內容。
身分與憑證系統 是第三波浪潮。ZKP 允許使用者證明自己已滿 18 歲、是某國居民,或已通過 KYC 驗證,而無須揭露姓名、出生日期或護照號碼。像 Polygon ID 和 Sismo 等專案,已在此能力之上打造出憑證框架。
根據 Grand View Research 的資料,零知識證明市場預估將從 2023 年約 2.43 億美元,成長至 2030 年超過 120 億美元,反映其在金融、身分與供應鏈驗證等領域的採用。
Also Read: Exclusive: DeFi Has A Quiet Crisis Nobody's Talking About And It's Killing Yields: Katana CEO
誰實際上需要了解這項技術
即便大多數使用者從未直接接觸到底層密碼學,零知識證明仍與加密世界中的多個族群密切相關。
關注 Zcash 等隱私幣的交易者與投資人,若能理解價格上漲並非純粹投機,會更有幫助。支撐 ZEC 的技術在 ZK rollup 與隱私 DeFi 領域具備真正且持續成長的實用性,這在單純投機之外,創造了結構性的需求。在對透明區塊鏈的監管壓力週期性升高時,基於 ZKP 系統的隱私保護特性,會變得更為迫切且具吸引力。
在選擇第二層網路的 DeFi 使用者與開發者,應該理解樂觀 rollup(使用欺詐證明系統與 7 天挑戰期)與 ZK rollup(使用數學證明、可在數分鐘內最終確認)之間的差異。這項選擇會直接影響提領時間、信任假設與資本效率。
重視隱私的使用者,不論程度為何,都應該知道 Zcash 的隱匿地址提供的是與比特幣假名制截然不同的隱私模型。像 Chainalysis 這類區塊鏈分析公司已公開承認,完全隱匿的 Zcash 交易對其工具而言實際上是不可見的;對需要財務機密性的使用者來說,這是個關鍵差異。
協議建構者 若在探索憑證系統、隱私投票,或是在不公開餘額的情況下做儲備證明,就需要理解 ZKP 的基本電路模型,因為設計一個 ZKP 系統,代表你在設計的是將問題編碼的算術電路,而不是在撰寫傳統程式碼。
Also Read: SpaceX Reveals 18,712 BTC Stash In Record IPO Filing Surprise, Outed As Top 7 Bitcoin Whale
結論
零知識證明起源於 1985 年的一篇學術論文中,當時只是一個理論上的好奇概念,如今已成為隱私幣、擴容網路與去中心化身分等領域的基礎設施。其核心洞見——「真相可以在不傳遞知識本身的情況下被驗證」——相當違反直覺,以致許多工程師在業界工作多年,仍未完全掌握其涵義。
Zcash 仍是零知識證明在金融隱私領域最顯眼的生產級案例。其 zk-SNARK 架構,即便持續面臨關於可信設定的爭議,仍被證明相當穩健,並直接啟發了後續所有主要 ZK rollup 的設計。
這項技術透過 zkSync 與 StarkNet 等網路擴展到 DeFi 擴容領域,又進一步延伸到像 Venice 這樣的 AI 隱私層,顯示零知識證明已不再只是隱私幣的小眾功能,而是下一代密碼學系統的基礎原語。
下次當某個隱私幣價格飆升,或某個新的 ZK rollup 宣布創下吞吐量紀錄時,你就有一套框架可以用來評估底層技術實際在做什麼,而不只是看著價格走勢圖。
Read Next: Privacy Coins Catch A Bid: Dash Open Interest Surges 49% Overnight