隨著隱私保護需求的日益增長，TEE 再次成為討論的焦點。雖然 TEE 在數年前就已經被討論過，但由于硬件安全性問題未能得到廣泛采用。然而，隨著 MPC 和 ZK 技術在性能和技術要求方面遇到挑戰，許多研究者和開發者重新關注起了 TEE。

這種趨勢也引發了 Twitter 上關于 TEE 是否會取代 ZK 技術的討論。一些用戶認為，TEE 和 ZK 是互補關系，而非競爭關系，因為它們解決的是不同的問題，且二者都不完美。還有用戶指出，AWS 和 Intel 提供的安全性比 Rollup 的多重簽名保護更高。考慮到 TEE 在設計空間上的擴展性，這是 ZK 無法實現的，因此這種權衡是值得的。

什么是 TEE？

TEE 其實并不是一個陌生的概念。我們常用的蘋果手機中就應用了 TEE 技術，即「Secure Enclave」，其主要功能是保護用戶的敏感信息和執行加密操作。Secure Enclave 集成在系統級芯片中，與主處理器隔離以確保高安全性。舉個例子，每當你使用 Touch ID 或 Face ID 時，Secure Enclave 都會驗證你的生物識別信息，并保護這些信息不被泄露。

TEE 全稱為 Trusted Execution Environment（可信執行環境），是計算機或移動設備內的一個安全區域，獨立于主操作系統運行。其主要特點包括：與主操作系統隔離，即使主操作系統受到攻擊，內部數據和執行仍然安全；通過硬件支持和加密技術，防止內部的代碼和數據在運行過程中被篡改；使用加密技術保護敏感數據，防止泄露。

目前，常見的 TEE 實現方式有以下幾種：

• Intel SGX：提供硬件支持的隔離執行環境，創建一個安全的內存區域（enclave）來保護敏感數據和代碼。
• ARM TrustZone：在處理器內創建了一個安全世界和一個正常世界，安全世界運行敏感操作，正常世界處理普通任務。
• AWS Nitro Enclaves：基于 AWS Nitro TPM 安全芯片，提供在云端的可信執行環境，專為處理機密數據的云計算場景設計。

在加密市場，TEE 技術最常用于在可信和安全的環境中進行鏈下計算。同時，TEE 的遠程證明（Remote Attestation）功能允許遠程用戶驗證在 TEE 中運行的代碼的完整性，確保數據處理的安全性。然而，TEE 也存在去中心化不足的問題，因為它們依賴于如 Intel 和 AWS 等中心化供應商。如果這些硬件存在后門或漏洞，系統安全性可能會受到威脅。但作為輔助手段，TEE 技術易于構建且成本較低，適合需要高安全性和隱私保護的應用場景。這些優勢也使得 TEE 技術能夠應用于各種加密應用，如隱私保護及增強 Layer2 安全性等。

TEE 項目盤點

Flashbots：通過 SGX 實現隱私交易和去中心化區塊構建

Flashbots 于 2022 年開始探索 SGX 等可信執行環境相關的隱私技術，并將其作為交易供應鏈上無需信任協作的重要構建模塊。2023 年 3 月，Flashbots 成功在 Intel 開發的可信執行環境 SGX enclace 中運行了一個區塊構建器，向實現隱私交易和區塊構建者去中心化的方向邁進了一步。借助 SGX enclace，區塊構建者和其他基礎設施供應商無法看到用戶交易的內容，且構建者在 enclave 內構建可驗證的有效區塊，并如實報告其出價，可能可以消除對 mev-boost 中繼的需求。此外，這一技術有助于減少獨家訂單流的風險，使交易在保持私密的同時，仍然可供所有在 enclave 內運行的區塊構建者訪問。

雖然 TEE 確實能夠提供外部資源訪問及隱私保護，但其性能相較于非 TEE 技術而言并不高。而且存在一些中心化風險。Flashbots 發現，僅依賴 TEE 并不能解決所有問題，還需要結合其他安全措施，并引入其他實體來驗證 TEE 的計算和代碼，以確保系統的透明性和可信性。因此，Flashbots 構想了一個由 TEE 組成的網絡（Kettles），同時還有一個可信的無權限公共鏈（SUAVE Chain）負責管理這個網絡，并托管 TEE 中要運行的程序等。這就是 SUAVE 的基本構想。

SUAVE（Single Unified Auction for Value Expression）是旨在解決 MEV 相關挑戰的基礎設施，專注于將內存池和區塊生成的角色從現有的區塊鏈中分離出來，形成一個獨立的網絡（排序層），可作為任何區塊鏈即插即用的內存池和去中心化區塊構建者。

SUAVE 將分兩個階段推出。首個版本為 SUAVE Centauri，包括隱私訂單流拍賣（OFA）和 SUAVE Devnet（測試網）。這個版本的實現并不涉及密碼學和 TEE 技術。第二個版本是 Andromeda，將在受信任的執行環境（如 SGX）中運行執行節點。為了確保離線運行的 TEE 節點上的計算和代碼如預期運行，Flashbots 通過 TEE 的遠程證明功能，使智能合約能夠驗證來自 TEE 的消息。具體步驟包括：為 Solidity 代碼添加新的預編譯功能以生成遠程證明；利用 SGX 處理器生成證明；在鏈上完全驗證證明；并使用 Automata-V3-DCAP 庫來驗證這些證明。

總結起來，SUAVE 將通過整合 TEE 來替代當前的第三方，SUAVE 系統中運行的應用程序（如訂單流拍賣或區塊構建器）都將在 TEE 內運行，并且通過鏈上遠程證明確保 TEE 計算和代碼完整性。

Taiko：通過 SGX 構建多重證明系統 Raiko

TEE 的概念還可以擴展到 Rollup，以構建多重證明系統。多重證明指的是為一個區塊生成多種類型的證明，類似于以太坊的多客戶端機制。這種機制能夠確保即使一個證明存在漏洞，其他證明仍然有效。

在多重證明機制下，任何有興趣生成證明的用戶都可以運行一個節點，提取交易和所有狀態訪問的 Merkle 證明等數據。使用這些數據生成不同類型的證明，然后將所有證明一起提交到智能合約中，由智能合約驗證證明的正確性。對于 TEE 生成的證明，需要檢查 ECDSA 簽名是否由預期地址簽名。當所有證明通過驗證并確認區塊哈希一致后，該區塊將被標記為已證明，并記錄在鏈上。

Taiko 正在利用 Intel SGX 技術構建多重證明系統 Raiko，用于驗證 Taiko 和以太坊區塊。通過使用 SGX，Taiko 能夠確保執行關鍵任務時的數據隱私和安全性，即使存在潛在漏洞，TEE 也能提供額外的保護，防止攻擊者破壞證明系統。SGX 證明可以在單臺計算機上運行，僅需幾秒鐘即可完成，不會影響生成證明的效率。此外，Taiko 推出了一個新架構，支持將客戶程序編譯為能夠在 ZK 和 TEE 中運行的格式，確保區塊狀態轉換的正確性，并通過基準測試和監控評估性能和效率。

盡管 TEE 提供了許多優勢，但在實現過程中仍面臨一些挑戰。例如，SGX 設置需要支持不同云提供商的 CPU，并優化驗證過程中的 Gas 成本。此外，還需要建立一個安全通道來驗證計算和代碼的正確性。為了解決這些挑戰，Taiko 使用 Gramine OS 將運行的應用程序封裝在可信 enclave 中，并提供易于使用的 Docker 和 Kubernetes 配置，使得任何擁有 SGX 功能的 CPU 的用戶都可以方便地部署和管理這些應用程序。

根據 Taiko 的公告，Raiko 目前支持 SP1、Risc0 和 SGX，并不斷努力集成 Jolt 和 Powdr。未來，Taiko 計劃集成更多 Riscv32 ZK-VM，擴展 Wasm ZK-VM ，與 Reth 直接集成以實現區塊的實時證明，及采用模塊化架構以支持多鏈區塊證明。

Scroll：與 Automata 合作開發 TEE Prover

Scroll 的多重證明機制旨在實現三個目標：增強 L2 安全性、不增加終局時間及僅為 L2 交易引入邊際成本。因此，除了 ZK 證明，在選擇輔助證明機制時，Scroll 需要權衡終局性和成本效益。欺詐證明盡管安全性高，但終局時間太長。而 zkEVM 驗證器雖然強大，但開發成本高且復雜。最后，Scroll 選擇了使用 Justin Drake 提出的 TEE Prover 作為輔助證明機制。

TEE Prover 在受保護的 TEE 環境中運行，能夠快速執行交易并生成證明，因此并不會增加終局性。此外，TEE Prover 的另一個重要優勢在于其效率。證明過程相關的開銷可以忽略不計。

目前，Scroll 正在與模塊化證明層 Automata 合作開發用于 Scroll 的 TEE Prover。Automata 是一個模塊化的驗證層，旨在通過 TEE 協處理器將機器級信任擴展至以太坊。Scroll 的 TEE Prover 由鏈上和鏈下兩個主要組件組成：

• SGX Prover：鏈下組件，運行在 enclave 中，用于檢查在 enclave 內執行區塊后的狀態根是否與現有狀態根匹配，隨后向 SGX Verifier 提交執行證明（PoE）。
• SGX Verifier：這是一個部署在 L1 鏈上的智能合約，需要驗證 SGX Prover 提出的狀態轉換及 Intel SGX enclave 提交的證明報告是否正確。

SGX Prover 會監控排序器在 L1 上提交的交易批次，確保其在執行狀態轉換時所用的數據完整且未被篡改。然后，SGX Prover 會生成一個包含所有必要信息的區塊證明（PoB），確保所有參與驗證和執行的節點都使用相同的數據集。執行完畢后，SGX Prover 會提交執行證明（PoE）到 L1。隨后，SGX Verifier 將檢查 PoE 是否由有效的 SGX Prover 簽署。

SGX Prover 使用 Rust 編程語言編寫，并使用 SputnikVM 作為其執行智能合約的 EVM 引擎。該實現可以在支持 SGX 硬件模式的機器上編譯和運行，同時也可以在非 SGX 環境中進行調試。而 SGX Verifier 則使用了 Automata 開源的 DCAP v3 驗證庫，可以對 Scroll 測試網的整個區塊歷史進行驗證。

此外，為了減少對 TEE 實現和硬件制造商的信任問題，Scroll 還在研究一種協議，聚合來自不同硬件和客戶端的 TEE Prover。該協議將結合閾值簽名方案。閾值簽名方案是一種密碼學技術，允許多個參與者共同生成一個簽名，只有至少達到特定數量的參與者同意時，簽名才有效。具體來說，TEE Prover 需要多個（例如 N 個）TEE 證明者中至少 T 個證明者生成一致的證明。

Automata：利用 TEE 協處理器增強區塊鏈的安全性和隱私性

Automata Network 是一個模塊化驗證層，將硬件作為共同的 Root of Trust，啟用了很多用例，包括基于 TEE 驗證器的多驗證器系統，為 RPC 中繼提供公平性和隱私及在加密 enclave 中構建區塊等。

上文也提到，Scroll 的多證明系統就是與 Automata 合作開發的。除此之外，Automata 還將 TEE 協處理器作為多證明 AVS 引入了 EigenLayer 主網。TEE 協處理器是一種執行特定計算任務的硬件，用于補充或擴展主鏈的能力。Automata Network 的 TEE 協處理器通過在被 TEE 隔離區內執行安全計算，擴展了區塊鏈的功能。

具體而言，Multi-Prover AVS 是一個任務控制中心，負責根據不同協議的要求協調和管理多個獨立的驗證器。各個協議可以公開發布需要驗證的任務，然后可以組織一個由長期獎勵激勵的承諾 TEE 委員會。實際進行驗證的節點（操作者）可以注冊參與這些任務，并且可以互相合作以確保安全。而持有代幣并愿意支持協議安全性的用戶為質押者，他們將質押權委托給信任的操作者。這種質押增強了協議在初期階段所需的經濟安全性，因為質押的資金作為一種保障，激勵操作員誠實和高效地工作。EigenLayer 創建了一個無需許可的市場，允許質押者、運營商和協議自由參與。

Secret Network：基于 SGX 技術實現隱私保護

隱私公鏈 Secret Network 主要通過 Secret Contract 和 TEE 實現數據隱私保護。為了實現這一目標，Secret Network 采用了 Intel SGX 可信執行環境技術，且為了保障網絡一致性，Secret Network 只允許使用 Intel SGX 芯片，而不支持其他 TEE 技術。

Secret Network 采用遠程認證過程來驗證 SGX 安全區的完整性和安全性。每個全節點在注冊前都會創建認證報告，證明其 CPU 使用了最新的硬件升級，并在鏈上進行驗證。新節點獲得共識的共享密鑰后，便能夠并行處理網絡中的計算和交易，從而保障網絡的整體安全性。為了減少可能的攻擊向量，Secret Network 選擇使用 SGX-SPS（服務器平臺服務）而不是 SGX-ME（管理引擎）。

具體實現上，Secret Network 使用 SGX 進行帶有加密輸入、輸出和狀態的計算。這意味著數據在其生命周期內始終保持加密狀態，防止未經授權的訪問。而且 Secret Network 的每個驗證節點使用支持 Intel SGX 的 CPU 來處理交易，確保敏感數據僅在每個驗證節點的安全區內解密，而外部無法訪問這些數據。

Oasis：采用 SGX 構建隱私智能合約

隱私計算網絡 Oasis 采用模塊化架構，將共識和智能合約執行分別分為共識層和 ParaTimes 層。作為智能合約執行層，ParaTimes 由多個并行 ParaTime 組成，每個 ParaTime 代表一個具有共享狀態的計算環境。這允許 Oasis 在一個環境中處理復雜計算任務，在另一個環境中處理簡單交易。

ParaTimes 可以分為隱私和非隱私兩種類型，不同的 ParaTimes 可以運行不同的虛擬機，還可以設計為許可或無許可系統。作為 Oasis 的核心價值主張之一，Oasis 結合 TEE 技術推出了兩種隱私智能合約：Cipher 及 Sapphire。二者都采用了 Inte SGX 的 TEE 技術。加密數據和智能合約會一起進入 TEE 中，數據會被解密并由智能合約處理，隨后在輸出時還會再次加密。這個過程確保了數據在整個處理過程中保持機密，不會泄露給節點操作員或應用開發者。區別在于，Sapphire 是隱私 EVM 兼容的 ParaTime，而 Cipher 是用于執行 Wasm 智能合約的隱私 ParaTime。

Bool Network：結合 MPC、ZKP 和 TEE 技術，增強比特幣驗證的安全性和去中心化

Bool Network 融合了 MPC、ZKP 及 TEE 三種技術，將外部驗證者集群改造為動態隱藏委員會（DHC），以增強網絡安全性。

在動態隱藏委員會中，為了解決驗證過程中外部驗證節點需要共識簽名導致的私鑰暴露問題，Bool Network 引入了 TEE 技術。例如，通過 Intel SGX 技術，將私鑰封裝在 TEE 中，使節點設備可以在本地的安全區域內運行，而系統中的其他組件無法訪問數據。通過遠程證明，見證者節點可以出示證明以驗證其確實在 TEE 中運行并存放密鑰，其他節點或智能合約則可以在鏈上驗證這些報告。

此外，BOOL Network 是完全開放準入的，任何擁有 TEE 設備的主體都可以通過質押 BOOL 成為驗證節點。

Marlin：結合 TEE 和 ZK 協處理器實現去中心化云計算

Marlin 是一個可驗證計算協議，結合了可信執行環境和 ZK 協處理器，將復雜工作負載委托給去中心化云。

Marlin 包括多種類型的硬件和子網絡。其 TEE 技術主要應用于子網絡 Marlin Oyster 上。Oyster 是一個開放平臺，允許開發者在不可信的第三方主機上部署定制計算任務或服務。Oyster 目前主要依賴于 AWS Nitro Enclaves，這是一種基于 AWS Nitro TPM 安全芯片的可信執行環境。為了實現去中心化的愿景，Oyster 未來可能會兼容更多的硬件供應商。此外，Oyster 允許 DAO 通過智能合約調用直接配置 enclave，無需特定成員管理 SSH 或其他認證密鑰。這種方法減少了對人工操作的依賴。

Phala Network：基于 TEE 的多重證明系統 SGX-Prover

Phala Network 是一個去中心化的鏈下計算基礎設施，致力于通過 TEE 實現數據隱私和安全計算。目前，Phala Network 僅支持 Intel SGX 作為其 TEE 硬件。基于去中心化 TEE 網絡，Phala Network 構建了基于 TEE 的多重證明系統 Phala SGX-Prover。具體來說，鏈下模塊 sgx-prover 運行狀態轉換程序后會生成包含計算結果的 TEE Proof，并將其提交給鏈上的 sgx-verifier 進行驗證。

而為了解決用戶對 SGX 中心化的擔憂，Phala Network 引入了 Gatekeeper 和 Worker 兩種角色。Gatekeeper 由 PHA 代幣持有者通過 NPoS 選舉產生，負責管理網絡密鑰并監督經濟模型。而 Workers 則運行在 SGX 硬件上。通過引入密鑰輪換機制，Gatekeepers 可以確保 TEE 網絡的安全。

目前，Phala Network 擁有超過 3 萬個由全球用戶注冊和運行的 TEE 設備。此外，Phala Network 還在探索基于 TEE 的快速終局性解決方案。理論上，可以基于 TEE 證明實現快速終局性，僅在必要時提供 ZK 證明。

總結

面對 Twitter 上的爭論，Uniswap CEO Hayden Adams 也發表了自己的觀點，他表示，「TEE 收到的負面評價都帶有追求完美反而阻礙了好結果的意味。任何事物都存在取舍。在保護區塊鏈領域，可用的工具應該是越多越好。」

而通過對上面這些用例的探索，可以看出 TEE 技術在解決隱私及安全方面的應用潛力。例如，Flashbots 通過 TEE 實現隱私交易和去中心化構建，Taiko 和 Scroll 則利用 TEE 實現多重證明制度，確保 L2 交易的安全性。不過，目前大部分項目都依賴單一的中心化供應商，這可能會帶來一定的風險。未來，或許可以兼容更多的硬件供應商，并通過設置節點比例，以確保節點在不同硬件上運行，以進一步減少因過度依賴某一供應商而帶來的中心化風險。