Zama机密区块链协议简版白皮书

区块链的隐私困境

我们为何需要区块链？在讨论构建去中心化应用时，我们经常会遇到这个问题。毕竟，我们如今使用的大多数应用并非基于区块链，而且运行良好。然而，在某些应用场景中，比如在处理金融资产、身份或治理事务时，盲目信任第三方并承担错误决策的代价很高。在此类场景下，用户和企业都希望获得强有力的保障，确保所提供的任何服务都能得到正确执行，而服务提供商则需要确保其用户确实有权使用他们声称拥有的资产/数据。

区块链通过允许任何人公开验证请求是否按预定逻辑执行，以及整个系统的最终状态是否正确，从而解决了这一问题。服务提供商与客户之间不再需要相互信任，因为交易的完整性由区块链本身提供保障。

然而，公开可验证性的核心问题是，必须向所有人公开全部的交易和数据，因为一旦保持私密，就从根本上无法实现可验证性。这种机密性的缺失已成为区块链在全球范围内普及的主要障碍，因为其本应处理的数据（资金、身份等）在本质上是高度敏感的。如果没有隐私保护，区块链将难以实现大规模采用。

Zama机密区块链协议

Zama机密区块链协议（简称Zama协议）支持在现有公共区块链上以保密的形式地发行、管理和交易资产。Zama是迄今为止最先进的机密性协议，提供以下特性：

• 交易输入与状态的端到端加密：任何人都无法查看交易数据，甚至节点运营方也不例外。

• 可组合性：机密合约之间可以组合，也可以与非机密合约自由组合。开发者可以在其他合约、代币和去中心化应用之上进行构建。

• 可编程机密性：智能合约定义了谁可以解密哪些数据，这意味着开发者可以完全控制其应用程序中的机密性规则。

Zama协议并非一个新的Layer 1或Layer 2协议，而是一个构建在现有区块链之上的跨链机密层。因此，用户无需桥接到新链，可以在任何链上与机密去中心化应用进行交互。

它采用了Zama最先进的全同态加密技术（FHE），该技术能够直接对加密数据进行计算。全同态加密长期以来一直被视为密码学领域的“圣杯”，因为它能为任何链上或链下应用提供端到端加密。我们相信，正如互联网曾经从零加密的 HTTP发展到在传输层加密的 HTTPS，下一步的自然演进将是：通过全同态加密实现端到端默认加密，并在所有应用中成为标准。我们称这一新范式为 —— HTTPZ。

然而，直至最近，全同态加密仍面临速度过慢、支持的应用类型有限、开发者难以上手等问题。这正是Zama团队在过去五年中一直着力解决的问题。现如今，我们已构建出了一个高效的全同态加密技术体系，可支持任何类型的应用，并能使用Solidity、Python等通用编程语言进行开发，而且速度较五年前提升逾100倍。重要的是，Zama的全同态加密技术已经具备“后量子”安全性，这意味着目前尚无任何已知的量子算法能够破解它。

虽然全同态加密是Zama协议的核心技术，但我们也利用多方安全计算（MPC）和零知识证明（ZK）来弥补其他机密性方案的不足：

• 全同态加密能够在保障数据机密性的同时，实现完全公开的可验证性（这意味着任何人都能重新计算全同态加密运算并验证其正确性）。随着 GPU 的应用，系统很快将能够扩展至 每秒 100+ 笔交易；而专用硬件加速器（如 FPGA 与 ASIC）则将进一步把性能提升至每秒上千笔交易的规模。

• 多方安全计算实现了全局网络密钥的去中心化托管，确保无单一参与方能独自访问完整密钥。在 Zama 的设计中，MPC 仅用于密钥生成与用户数据解密，这大幅降低了延迟与通信开销，使其相比用于机密计算的MPC方案，具备更高的可扩展性与去中心化程度。

• 零知识证明可用于验证用户提交的输入数据是否正确加密。由于Zama协议仅将零知识证明用于此特定场景，生成的证明十分轻量，可以在浏览器或移动端快速、低成本地完成。

下表对比了Zama协议相较于其他区块链机密协议技术方案的优势：

路线图

Zama协议凝聚了Zama团队多年来的研发成果。目前测试网络已正式上线，主网计划于2025年部署，并于年底完成代币生成活动（TGE）。具体的时间安排如下：

• 公开测试网（已上线）：开放给任何人部署和测试机密去中心化应用（dApp），同时节点运营方也能协调和熟悉操作流程。

• 以太坊主网部署（2025年第四季度）：这将成为首个为以太坊生态引入机密计算能力的官方主网。

• 其他以太坊虚拟机（EVM）兼容链（2026年上半年）：我们将在Zama协议中支持更多EVM兼容链，以实现跨链机密资产与应用互操作。

• Solana支持（2026年下半年）：在初期仅支持EVM的阶段之后，我们将在Solana上部署Zama协议，实现对机密SVM应用的支持。

应用场景

机密智能合约为区块链应用开辟了全新的设计空间，尤其在金融、身份识别与治理领域潜力巨大。纵观Web2生态，很显然绝大多数应用并不会将数据全量公开。因此可以预见，绝大多数真正有意义的区块链应用仍有待开发，因为如今，机密性已不再是技术障碍。

以下是一些典型的应用场景：

金融领域

• 机密支付。稳定币是区块链最成功的应用场景之一，年交易量高达数万亿美元。从信用卡支付到工资发放、汇款乃至银行通道，各类业务正在向链上迁移。其中机密性与合规性是不可或缺的核心需求。借助全同态加密和Zama协议，既能实现余额与转账金额的端到端加密，又能让支付服务商将合规逻辑直接编码至代币合约中。 您可以点击此处阅读更多关于机密合规支付的内容。

• 现实世界资产（RWA）代币化。金融资产代币化是主流机构拥抱区块链的主要驱动力之一。从基金份额到股票、债券或衍生品，近100万亿美元规模的资产有望实现链上迁移。然而，由于机密性和合规性问题，传统金融机构不得不依赖私有区块链，这难以确保机构间的互操作性。Zama协议使其能够直接利用以太坊、Solana等公链进行资产代币化与交易，同时保障业务数据与投资者身份的机密性。还可以确保KYC/AML检查直接在智能合约中完成，而无需向他人透露敏感信息。摩根大通-Kynexis发布的报告阐述了这一应用场景的更多信息，他们基于Zama的技术完成了相应的概念验证。

• 机密式去中心化金融（DeFi）。DeFi 通过让任何人都能自由参与并获得收益，彻底重塑了传统金融模式，但仍面临两大痛点：一是用户不愿公开自身的资产规模，二是存在机器人抢跑行为，导致终端用户的链上资产兑换成本高昂。全同态加密能够通过实现端到端加密的兑换方案，同时解决这两个问题。利用该方案，交易金额乃至资产种类均可全程保持私密状态。其他应用场景还包括机密借贷、链上信用评分、期权定价等。

代币

• 密封拍卖。在链上以密封竞价拍卖的方式出售资产，如 NFT 或 代币。每个参与者在链上提交加密出价。拍卖结束后，最高出价者自动中标，整个过程不会泄露任何出价信息。这不仅提高了价格发现的效率，还能防止机器人通过监控内存池来操纵拍卖结果。这对公开代币发行尤其是一种高效且公平的方式。

• 机密分发。现行代币分发机制需要公开披露每个地址接收的数量。无论是空投、资助、投资者分配还是开发者激励，保持分发数额的私密性对链上隐私与安全至关重要。借助全同态加密，协议能私密地分发代币，并对这些加密资产实施归属计划、机密质押等复杂操作。

身份与治理

• 可组合的链上身份。在线下场景中，从网购到机票预订，我们每天都在使用数字身份。但在链上直接使用身份信息会暴露姓名、住址、社保号码等敏感数据。借助全同态加密，构建完整的去中心化身份（DID）与可验证凭证（VC）系统，让加密身份在保持隐私的同时与去中心化应用无缝组合。正如区块链中可以实现账户抽象，如今也可以实现身份抽象。这种机制对于链上支付与资产代币化的合规性至关重要——它使智能合约能够以去中心化且私密的方式验证身份声明。

• 机密治理。自区块链诞生以来，链上投票（无论是DAO、企业还是政府场景）一直区块链的探索热点。但在链上公开投票结果容易引发偏见、勒索或贿选问题。借助全同态加密，投票（以及质押的代币数量）可以保持私密，确保仅公布最终计票结果，但不会泄露个体投票数据。

其他应用示例

• 链上公司。倘若缺乏机密性保障，在链上管理一家企业几乎是行不通的。确实，诸如股权结构、财务数据、董事会决议、客户与员工名录等信息均属商业机密。借助全同态加密，这些数据全部加密存储于链上，并通过智能合约自动化日常运营流程。

• 预测市场。预测市场依托“群体智慧”原理，即大众预测的平均值往往接近真实结果。然而，这只有在参与者不受先前预测影响的情况下才有效。Zama协议通过加密预测数据（定期揭晓结果）来解决这一问题，从而提高了预测结果的准确性。

• AI数据市场。AI的发展依赖于数据。借助全同态加密，用户能选择性地向AI模型训练方提供加密数据。不仅如此，模型训练过程也可在加密状态下完成，仅最终结果被解密，确保数据贡献者能持续获得收益而非一次性买断。

这些场景仅是当前技术能力的缩影。我们相信，依托Zama协议，全同态加密将将释放前所未有的流动性，从而推动用户与企业大规模上链。随着技术演进与规模扩张，未来甚至有望在链上运行完整的企业、城市乃至国家体系，涵盖其金融和身份基础设施、选举、货币、税收、土地、汽车和公司登记等核心功能。机密区块链实现的不仅是可编程货币，更是可编程的公共基础设施。

构建机密应用

采用现有方案开发机密去中心化应用往往需要开发者学习一门小众的新编程语言，使用专用（且通常受限）的开发工具，并掌握复杂的密码学概念。

相比之下，Zama协议允许开发者直接使用Solidity语言开发机密去中心化应用，无需任何密码学知识。开发者只需导入我们的库（称为FHEVM），调用预置运算符编写加密逻辑即可。你可以立即免费开始，在开发者文档中了解更多详情。

以下示例展示了一个机密代币合约，可在包括 Ethereum 在内的任意支持链上部署。

开发者只需将常规整数运算替换为FHE运算，并设定余额解密权限即可。当然，还可以在此基础上构建更复杂的应用，比如自动化做市商（AMM）、借贷协议等。除智能合约库以外，我们还提供了一个 JavaScript SDK，可用于简化客户端加密与解密流程，让这一切对终端用户而言几乎无感。

Zama协议使用的访问控制系统极其强大。通过允许合约定义具体数值的解密权限，它能实现机密性（与合规性）的完全可编程。Zama协议层不做任何预设，所有规则均编码于应用逻辑中，企业可自主选择提供端到端加密（没有人能看到任何内容，即便是构建去中心化应用的开发方也无法查看数据）或链上加密（类似Web2模式，仅用户与服务提供方可访问数据）。

Zama协议使用的FHEVM库支持以下加密类型和运算：

为简化去中心化应用的部署，我们正在构建“Zama标准库”：一套经过审计、高度优化的通用智能合约，可用于以下常见的应用场景：

• 机密代币和现实世界资产

• 机密NFT

• 桥接加密资产和传统资产的封装器

• 支持链上DID/VC的机密身份栈

• UniV2风格的机密自动化做市商

• 机密归属

• 机密空投

• 密封投标拍卖

• 机密治理

随着新应用场景的出现，我们将持续扩充该库的内容。

技术细节

区块链平台通常计算能力有限，无法在以太坊等Layer 1/Layer 2上原生运行全同态加密。为了解决这个问题，我们基于两个核心思想设计了Zama协议：符号执行和阈值解密。

符号执行

符号执行背后的思想是，每当合约在主链（部署机密去中心化应用的Layer 1/Layer 2）上调用Zama FHEVM Solidity库来执行全同态加密操作时，主链本身并不执行任何实际的全同态加密计算，而是生成结果指针，并触发一个事件来通知协处理器网络（Coprocessors）执行实际的全同态加密运算。这种架构具有多重优势：

• 主链无需任何改动，也无需运行昂贵的全同态加密运算或使用特定硬件。

• 主链的运行不会因 FHE 而变慢，因此非全同态加密交易将保持与以往同样的高效性能。

• 全同态加密运算可并行处理，而非按顺序执行，从而显著提高吞吐量。

由于密文在主链上仅存储为指针（实际数据由协处理器保管），全同态加密操作支持操作链式调用，无须等待前序步骤完成。只有在需要进行解密操作时，才必须等待密文完成计算。

从安全层面看，所有协处理器的计算过程都是公开可验证的，任何人都可以复现计算过程来验证结果的正确性。在初期阶段，我们采用多协处理器与多数共识机制；而长远目标是引入竞争机制，允许任何节点参与执行全同态加密运算，并通过零知识证明-全同态加密（ZK-FHE）技术来证明其计算正确性。

阈值解密

为维持链上可组合性，所有密文需使用相同公钥加密。这意味着私钥必须以一种安全的方保管，以防止对密文进行未经授权的解密。Zama协议通过采用专用的阈值安全多方计算（MPC）协议来构建密钥管理服务（KMS），将私钥拆分给多个参与方，从而解决了这一问题。

为了让用户或合约解密某个值，他们首先需要得到在主链上产生该值的合约的显式授权。然后，解密结果只需向Zama网关（Gateway）发出解密请求，该网关则充当协议的协调器，并将请求转发给密钥管理服务参与方。

这套机制又一次确保了所有解密操作请求的公开透明性，任何人都能够核验这些请求是否符合智能合约中设定的访问控制逻辑。

组件

Zama协议由以下核心组件组成：

• 主链（Host Chains）：Zama协议支持的Layer 1和Layer 2，开发者可在此基础上部署机密去中心化应用。

• FHEVM库 (FHEVM Library)：开发者用于构建机密智能合约的库。

• FHEVM执行器 (FHEVM Executor)：由去中心化应用调用的链上合约，以便在主链上执行全同态加密运算。每当合约使用一次全同态加密运算时，执行器就会自动发出事件以通知协处理器进行计算。

• 访问控制列表（Access Control List, ACL)：部署在每个主链上的智能合约，用于跟踪哪个地址有权解密哪部分加密数据。ACL是Zama协议运营的核心，既用于验证合约是否被允许对加密值进行计算，也用于验证某个地址是否有权对其进行解密。每次某个合约允许某个地址使用密文时，都会触发一个事件并通过协处理器中继至网关，从而将所有主链的ACL聚合到一个统一的网关ACL中，供密钥管理服务用于验证解密请求。

• $ZAMA代币：Zama协议的原生代币，用于支付费用、质押和治理。

• 网关（Gateway）：一组用于协调 Zama 协议运行的智能合约集合，它允许用户发起以下请求：验证加密输入的正确性，解密密文数据，以及在各个主链之间跨链转移加密资产。上述每项操作都是针对网关合约的交易，需要支付少量 $ZAMA 代币作为费用。虽然网关合约可以部署在任何Layer 1或Layer 2上，但我们选择为Zama协议运行一个专用的Arbitrum rollup，以确保最佳性能和成本效益。请注意，我们的rollup仅服务于Zama协议本身，不支持第三方合约的部署。

• 协处理器（Coprocessors）：一组负责以下任务的节点：1. 验证用户的加密输入，2. 执行实际的全同态加密计算并存储生成的密文，3. 将访问控制列表事件中继到网关。Zama协议使用多个协处理器，每个协处理器将其结果提交给网关，网关再执行多数共识。协处理器执行的所有任务都是公开可验证的。协处理器可以根据各种机密去中心化应用的吞吐量需求进行纵向和横向扩展。

• 密钥管理服务（KMS）：一组运行各种安全多方计算（MPC）协议的节点，用于密钥生成、公共参考字符串（CRS）生成和阈值解密。密钥管理服务确保没有任何单一方能够访问解密密钥。密钥管理服务节点由网关编排，确保所有操作公开可见。此外，所有密钥管理服务节点必须在AWS Nitro Enclaves内运行安全多方计算软件，这样能够防止节点运营方泄露其密钥份额，同时为安全多方计算计算提供一定程度的完整性保证。我们的最终目标是使用零知识证明-安全多方计算来实现无需硬件假设的可验证性。

• 运营方（Operators）：运行Zama协议节点的一组实体。这包括协处理器和密钥管理服务节点。

下图展示了机密代币跨越不同组件进行转移的生命周期。

性能

Zama协议采用横向可扩展架构，其核心能力基于我们尖端的 TFHE-rs库。与EVM的顺序执行特性不同，Zama协议实现了全同态加密运算的并行化处理。只要特定密文未参与顺序关联的全同态加密操作链，协处理器即可通过横向扩展服务器集群直接提升系统吞吐量。

自启动Zama协议研发以来，我们已实现吞吐量的指数级增长——从初期的每秒0.2笔交易提升至CPU环境下每秒超20笔交易，这足以支撑整个以太坊网络的加密需求。

预计到2026年底，我们将完成向GPU架构的迁移，实现单链500至1000 TPS的处理能力，届时将足以覆盖所有Layer2网络及大多数Solana应用场景。

我们正在推进专用硬件加速器（ASIC）的研发，这将实现单服务器单链10万+ TPS的突破性性能，为全球支付系统提供具备机密性的链上处理能力。

关键突破在于，全同态加密的性能瓶颈已从底层算法转移至硬件演进轨道。现在该技术主要受摩尔定律驱动：硬件性能越强大，Zama协议的吞吐量就越高。

安全性

Zama协议采用纵深防御策略，通过多重技术组合确保最高安全级别：

• 所有全同态加密操作均采用128位安全强度和2^-128的失效概率。这远远超过了目前区块链中使用的任何其他全同态加密方案。此外，我们的全同态加密方案具备后量子安全性，这意味着它能抵御量子计算机攻击。

• 所有的全同态加密操作均支持公开验证，任何参与者均可复核计算结果，并识别恶意FHE节点。这种架构类似乐观Rollup（Optimistic Rollup）的安全模型，但专门针对FHE计算场景进行了优化。此外，Zama不运行单个FHE节点，而是让3个运营方运行FHE节点并对其输出结果进行签名，从而实现结果的乐观安全性与共识。

• 我们在安全多方计算协议中采用13个节点，并以 2/3 多数共识机制运行，而大多数其他项目仅使用3到5个节点。此外，我们的安全多方计算协议具备鲁棒性（robustness），这意味着即使有高达1/3的恶意节点，系统仍能给出正确的输出。据我们所知，这是首个在生产环境中实现的鲁棒安全多方计算协议。

• 此外，Zama的安全多方计算协议在AWS Nitro Enclaves内运行，增加了一层纵深防御，并防止从协议外部访问全同态加密私钥的基础份额。Enclave还提供安全多方计算节点正在运行的软件版本的证明，允许协议跟踪软件更新。安全多方计算与Nitro Enclaves的结合意味着，若要恢复密钥份额并在协议外使用，必须同时攻破AWS基础设施并与多个安全多方计算节点串通。

• 创世节点运营方（Genesis Operators）均为信誉卓著的机构，其非Zama业务涉及数十亿美元资产规模——包括专业验证者、基础设施提供商和实体企业。由于这些机构都是实名的，任何不当行为都将公开可见。这种机制创造了超越链上质押的经济安全性：在Zama协议中的违规行为将直接影响其他业务的声誉。

• 罚没（Slashing）通过治理机制执行，任何人发现运营方不当行为均可提出处罚动议。这种设计既能处理常规情况，也保留了针对特殊个案的灵活处置空间。

• Zama协议正在接受Trail of Bits和Zenith的联合审计。这是对加密协议进行的最大规模审计之一，截至目前已投入超过34周的审计工作量。

合规性

构建机密应用通常需要遵守当地合规监管要求。例如，金融机构需要了解客户的身份，验证他们是否有资格使用特定的金融工具，是否未被列入黑名单等。同样，代币发行方也可保留查看用户交易余额和交易的权限，并在线下沿用传统金融目前使用的现有反洗钱/合规工具。

与多数将合规责任转嫁给终端用户的区块链机密协议不同，Zama协议允许应用程序直接在智能合约中定义专属合规规则。

全同态加密技术实现的“可编程合规”能力是一项关键优势，这意味着协议层本身不干预具体加密数据的访问权限判定。应用开发者可自主制定最适合其业务场景的规则，Zama协议不做任何干预。

未来演进

Zama协议是迄今为止最先进的机密性协议，已具备支撑主流区块链应用场景的扩展能力。尽管如此，我们仍在持续推进三大技术方向的创新，以实现更高程度的去中心化、安全性和可扩展性。这些突破主要依托于硬件升级、算法优化及全链路零知识证明化的协同发展：

实现10万TPS

• 新型全同态加密技术：我们持续研发能显著提升性能的全同态加密技术。我们预计未来几年基础算法可实现10-20倍的性能跃升，类似于零知识证明领域近年来的突破轨迹。

• 全同态加密专用集成电路（ASICs）：我们正与多家公司合作开发能够加速全同态加密的专用硬件。我们的目标是通过专用集成电路（ASIC）实现全同态加密计算速度100至1000倍的提升，这将复现比特币挖矿与人工智能领域通过专用硬件实现性能飞跃的成功模式。首批加速器预计将于2027至2028年间投入使用。

• ZK-Rollup网关：网关目前使用乐观Rollup。我们的目标是通过迁移至ZK-Rollup架构，将网关性能提升至支持每秒数万笔交易，同时将延迟控制在100毫秒以内。

密钥管理服务强化方案

• 零知识证明-安全多方计算：当前所有安全多方计算协议均需依赖节点多数假设。虽然实践可行，但理论上存在安全多方计算节点串通输出错误结果的风险。我们当前的设计依赖于AWS Nitro Enclaves来确保安全多方计算节点运行正确的软件，但可验证性仍依赖于硬件安全假设，此为次优解。为了解决这个问题，我们正在研究为安全多方计算协议添加零知识证明，允许任何参与者验证安全多方计算节点的个体贡献是否正确。

• 大型安全多方计算委员会：安全多方计算的可扩展性不佳：参与节点数量与系统性能呈负相关关系。因此，安全多方计算协议普遍采用10节点以下的架构。而Zama协议通过13节点配置已实现突破。我们正推动节点规模向100节点量级扩展，以达成更高层级的鲁棒性与去中心化目标。

允许任何人成为运营方

• 在硬件安全模块内运行安全多方计算：安全多方计算协议面临的一个核心挑战在于，需要确保参与节点不会泄露其持有的私钥份额。目前行业普遍采用可信执行环境（TEE）与可信节点委员会相结合的方式来实现这一目标。然而，这无法实现无许可参与，因为恶意攻击者可能会试图破解可信执行环境来窃取其中存储的机密信息。作为替代方案，我们正在探索如何将安全多方计算协议部署于银行等关键基础设施所使用的硬件安全模块。

• 零知识证明-全同态加密（ZK-FHE）：通过零知识证明验证全同态加密计算的正确性，未来可采用类似工作量证明的开放参与模式：任何参与者只要提供计算结果的有效证明，即可参与全同态加密运算执行的竞争机制。当前零知识证明与全同态加密的双重计算开销使该方案尚不具备实用性，但我们的研发团队已取得一些不错的进展。

确保协议完全后量子安全

• 后量子零知识证明：Zama的全同态加密和安全多方计算技术已具备后量子能力。但现有零知识证明系统（与多数ZK-SNARK类似）仍存在量子安全风险。我们正开发基于格密码学的后量子零知识证明体系作为替代方案。

• 后量子签名：虽然我们可以使Zama协议组件实现后量子安全，但主链使用的签名方案目前并不具备后量子安全性。遗憾的是，我们无法控制这一点，因为这取决于以太坊、Solana和其他Layer 1/Layer 2社区是否迁移到后量子签名。

运营与治理

Zama协议采用了委托权益证明机制（Delegated Proof-of-Stake, DPoS），目前由18个运营方运行协议，其中包括13个密钥管理服务节点和5个全同态加密协处理器（后续会陆续增加）。这些运营方需要符合以下筛选标准：

• 创世纪运营节点基于声誉、运维经验和链下价值（股权、收入、市值等）进行筛选。这种机制通过声誉来促进安全性建设，因为业务价值高昂的运营方如果在Zama协议中被发现行为不当，其客户与商业信誉都将受到损害。

• 我们将逐步开放节点资格，让任何人都能成密钥管理服务或协处理器运营方。为此，申请者首先需证明自己能在测试网中稳定运行节点，随后质押至少流通中$ZAMA总供应量的0.5%。每个周期（例如3个月）结束时，将按质押量排名，选出新的密钥管理服务和协处理器节点运营方，负责下一个周期的协议运行。

• 活跃的运营方根据其角色和质押获得$ZAMA代币作为质押奖励。

基础设施能力有限、不符合运营方资格的代币持有者，仍可通过将其$ZAMA代币委托给白名单运营方来参与保障协议安全并赚取奖励。每个运营方有权自主决定其委托者的激励方案，要么降低手续费，要么发放除$ZAMA以外的额外奖励。

Zama协议的更新必须由多数运营方采纳才能生效。这包括软件更新、费用变更、添加对新主链的支持等。唯一的例外是：任何运营节点均可在紧急情况下暂停协议或将垃圾信息发送者列入黑名单（然而，取消暂停/从黑名单中移除则需要多个协处理器共同参与）。若发生滥用行为，运营方可能会被罚没。这确保了Zama协议有一个迅捷的机制来处理关键问题，同时激励运营节点保持诚实行为。

$ZAMA代币

$ZAMA代币是Zama协议的原生代币。该代币可用于支付协议费用和质押。该代币遵循销毁和铸造模型：100%的协议费用被销毁，并铸造代币以奖励运营方。

费用模型

在支持的链上部署机密应用是免费且无需许可的。此外，Zama协议不对全同态加密计算收费，而是对以下服务项目收费：

• 验证零知识证明 (ZKPoKs)：用户每次在交易中包含加密输入时，都需要向Zama协议支付验证费用。

• 解密密文：当用户需要解密密文时，需向Zama协议支付费用。

• 桥接密文：当用户需要将加密数据从一条链桥接至另一条链时，需向Zama协议发起请求并支付费用。

协议费用可由最终用户、前端应用或中继器支付。因此，开发者可以构建应用，而用户无需直接持有$ZAMA代币。

协议费用以$ZAMA代币支付，但以美元计价。价格预言机会定期更新网关上的$ZAMA/USD价格，从而调整各项协议功能所需支付的$ZAMA代币数量。这种机制有几个优点：

• 确保协议费用与使用量成正比，而不是依赖于投机行为。

• 为用户、开发者和中继器带来了成本可预测性，使其能够基于美元（而非潜在波动的代币）来估算成本。

此外，Zama协议采用基于使用量的费用模型：用户使用协议越多，其单次操作支付的费用就越低。网关上的智能合约会追踪每个地址在过去30天内验证/解密/桥接的比特数，并基于使用量给予折扣。

其初始费用结构如下。此费用结构可根据网络性能、运营成本或代币持有者提出的其他理由，通过社会共识进行调整：

• 零知识证明验证：0.005美元 至 0.5美元

• 桥接：0.01美元 至 1美元

• 解密：0.001美元 至 0.1美元

以机密代币转账为例：

• 金额和余额是加密的。

• 每笔交易通常需要3次解密：发送方余额解密一次，接收方余额解密一次，最终转账金额解密一次（若转账失败，则该金额将被设为0）。

• 因此，总成本将根据折扣比例的不同而有所差异，具体如下所示：

• 加密金额的零知识证明验证：[0.005美元 - 0.5美元]

• 2次余额 + 1次金额解密：3 * [0.001美元 - 0.1美元] = [0.003美元 - 0.3美元]

• 总成本：0.008美元 至 0.8美元

这种费用模式旨在确保大户成本可控，同时为运营方带来利润，而且不受市场状况与价格波动的影响。例如，每月仅与机密应用交互一次的用户，每笔交易费用可能低于1美元；而与高频应用（如机密稳定币支付应用或钱包）交互的用户，每笔交易费用可能低于1美分。

在此费用结构下，主链上每实现3 TPS，平均每年可为Zama协议产生约100万美元的费用。考虑到稳定币支付和链上金融的增长，我们预计在不久的将来全球每秒交易量将超过10万笔。若这些交易中有10%由Zama提供机密性保障，则每年可为协议带来约30亿美元的费用收入。

质押奖励

运营方需质押$ZAMA代币才能参与运行协议并获取相应的质押奖励。作为质押奖励分配的代币，根据通胀率（初始为5%）进行增发，该利率可通过治理机制调整。

分配奖励时，首先按角色（定序器、协处理器、密钥管理服务节点）划分，然后依据该组内每个运营方质押量的平方根按比例分配。随后，各运营方可自行决定如何与其委托者分享奖励。

此种奖励分配方式确保了各运营方能按其贡献获得相应回报，同时避免了奖励仅集中在少数运营方手中。

下表列出了分配给每个组的奖励百分比，以及预期的运营方基础设施成本：

奖励分配

详情请参阅英文版白皮书。

关于Zama公司

Zama协议是开源密码学公司Zama旗下的项目，该公司专注于为区块链与人工智能领域开发最先进的全同态加密解决方案。

Zama已从多家顶级区块链投资者募集超过1.5亿美元，估值达10亿美元，这些投资者包括Multicoin、Pantera、Blockchange和Protocol Labs，以及一些主流协议的创始人，如Juan Benet（IPFS/Filecoin）、Gavin Wood（Ethereum/Polkadot）、Anatoly Yakovenko（Solana）、Sandeep Nailwal（Polygon）等。

团队介绍

Zama是一家全球运营的加密公司。公司由Rand Hindi博士（首席执行官）和Pascal Paillier博士（首席技术官）于2020年联合创立，公司领导层的其他知名研究人员包括Nigel Smart教授（首席学术官）和Marc Joye博士（首席科学家）。目前Zama拥有90余名员工，其中半数员工持有博士学位，使其成为全球全同态加密领域规模最大的研究团队。

关于创始人：

• Rand是一位企业家，同时也是一位深科技领域的投资者。他是Zama的首席执行官，也是 Unit.vc的合伙人，他通过该公司投资了100多家涉及密码学、人工智能和生物技术的公司。Rand还是一位竞技生物黑客，目前在Rejuvenation Olympics中排名前5%，衰老率为0.68。Rand在10岁时开始编程，14岁创办了一个社交网络，21岁时开始攻读博士学位。随后，他创立了专注于机密计算的人工智能初创公司 Snips，该公司后被 Sonos 收购。他曾担任法国数字理事会成员，就人工智能与隐私保护问题为政府提供咨询服务，曾担任巴黎政治学院讲师，并为多家生物科技、人工智能及国防领域的企业提供顾问服务。Rand拥有伦敦大学学院的计算机科学学士学位和生物信息学博士学位。

• Pascal是全同态加密和密码学领域的先驱，现任 Zama 首席技术官。他发明了最早的同态加法方案之一（Paillier加密方案），该方案至今仍被广泛使用。Pascal发表了数十篇论文，在全同态加密、智能卡等多个密码学分支领域做出了重大贡献。在加入Zama之前，他领导了Gemalto的密码学创新团队，并创立了领先的密码学咨询公司CryptoExperts。Pascal是2025年度国际密码研究协会（IACR）会员，曾多次荣获研究奖项，并主导制定了多项密码学相关的 ISO 国际标准。他拥有巴黎高等电信学院的密码学博士学位。

产品与服务

我们所有技术均采用双重许可模式开源发布。非商业用途、原型开发、研究及个人项目可免费使用；商业用途则需获取企业授权，或基于已获得授权的协议进行构建。

注意：基于 Zama 协议进行开发的开发者无需额外授权。但若在 Zama 协议之外对 Zama 技术进行分叉、复制或使用，则必须获得许可。

我们提供多种产品和服务：

• 用于人工智能和区块链的全同态加密库。其中包括 TFHE-rs, FHEVM、 Concrete ML、 TKMS.这些加密库对非商业用途免费，但商业应用需获取企业许可。

• 托管服务，例如加密/解密中继器与解密预言机，致力于帮助应用开发者便捷使用 Zama 机密区块链协议及其他基于 FHEVM 技术的协议。

• 高级支持，为需要协助构建与管理全同态加密应用的企业与开发者提供支持服务。

目前已有超过 5000 名开发者使用我们的密码库，占据了约70%的市场份额。此外，我们的技术已进一步授权给数十家企业，涵盖 Layer 1、Layer 2、金融及人工智能等领域。几乎所有使用全同态加密的去中心化协议，其底层均采用了 Zama 的技术。

需要注意的是，Zama协议是作为一个独立的、去中心化的协议运营的。Zama公司提供的服务独立于协议之外，旨在服务于所有希望构建机密应用的企业与开发者，无论其应用是否部署于 Zama 协议之上。

附加链接

• Zama协议文档

• FHEVM白皮书

• TFHE-rs手册

• 安全多方计算协议规范（即将发布）

• 审计报告（即将发布）

• Zama GitHub

• Discord

• X

• Zama blog

免责声明

本简版白皮书和/或任何其他随附文档（“文档”）仅提供关于Zama协议和$ZAMA代币的说明性材料。请注意，Zama协议和$ZAMA代币正在积极开发中，后续可能发生变更。Zama保留自行决定随时更改本文档的权利，恕不事先另行通知。

任何文档仅供参考，不构成任何形式的招股说明书、关键信息文件或类似文件。任何时候均不构成任何招股说明书、关键信息文件或类似文件。我们不保证所提供文档的完整性。本文档及任何随附材料中提及的所有数据及前瞻性陈述仅为估计或指示。这些文档不具备保证性，并可能发生重大变化。

ZAMA Switzerland AG和/或任何关联法律实体或个人，对于所提供文档的完整性、准确性以及因依赖该文档而引发的任何损害，在法律允许的最大范围内不承担任何责任。

因本文档及任何随附材料所提供信息引发或与之相关的任何争议，均应提交至瑞士楚格州有管辖权的法院专属管辖，排除任何其他司法管辖区及仲裁程序之管辖。

本免责声明、文件及任何随附文档均受瑞士实体法管辖并据其解释，排除瑞士冲突法规则之适用。