法定数字货币安全与隐私保护论坛

介绍论坛背景、主题和会议安排。

分布式公共随机数生成（Distributed Common Coin Generation），即如何让分布式网络中的各个节点通过执行协议，获得同一个均匀分布且不可预测的随机数，是密码学与分布式计算领域的核心问题之一。在区块链系统中，领导者选举（leader election）、分片（sharding）等关键技术组件，往往都依赖于此类公共随机数来实现。 随着区块链系统的大规模部署，如何在大规模网络环境下实现高效的分布式随机数生成，成为了学术界和工业界共同关注的焦点。然而，尽管该问题已有几十年的研究历史并积累了大量解决方案，但此前所有安全的方案都会产生至少呈网络节点数三次方（$O(n^3)$）的通信开销，难以在实际的中大规模网络中部署应用。 在本次报告中，我们将介绍首个不依赖私有初始化的通信复杂度仅为平方级（$O(n^2)$）的异步公共随机数协议。我们的协议具备适应性安全性（adaptive security），能够容忍高达三分之一的节点被攻击者控制。在该模型下，平方级的通信开销已经达到了理论上的最优下界。

随着智能体开始自主调用第三方大模型 API，推理服务正从传统的黑箱调用转变为一种高频、细粒度、按次计费的链下服务交易。这一变化为区块链系统带来了新的可信验证与原子交付问题：一方面，用户需要判断服务商是否真实使用了承诺模型，而非通过小模型或低精度模型降低成本；另一方面，用户与服务商需要在弱信任环境中实现“有效结果交付”与“支付释放”的公平绑定。本报告围绕这一问题，介绍两个相互衔接的工作：首先，通过用户侧模型一致性监测，利用 logits-based token confidence 为推理服务质量提供轻量级验证信号；其次，通过 PACE 原子交付框架，基于支付通道与 secret reveal 机制，将结果解密与支付结算绑定为同一事件，并通过可插拔验证层支持不同强度的服务验证。整体上，这两个工作尝试把智能体推理服务从黑箱 API 调用转化为可验证、可交付、可结算的可信服务交易。

自由交流与合影安排。

随着区块链与智能合约技术的广泛应用，智能合约中存储和处理的数据隐私保护问题日益突出。对称可搜索加密（Searchable Symmetric Encryption, SSE）允许在密文上直接执行关键词查询，成为保护智能合约数据隐私的重要技术。然而，现有具备前向安全与后向安全的动态对称可搜索加密（DSSE）方案大多仅支持单关键词查询，无法满足智能合约中复杂业务逻辑所需的联合查询（如多关键词与/或查询）需求。尽管已有部分方案尝试支持联合查询，但其后向安全本质上仍退化为单关键词的安全性保障，或前向安全覆盖不全面， 难以抵御智能合约环境下恶意对手通过链上历史记录实施的分析攻击。我们提出了两个新的支持联合查询的动态对称可搜索加密方案，它们同时具有前向和后向安全。为了分析其安全性，我们提出了两种新的后向安全定义（Type-O和Type-O-，安全性逐渐提高），这对OXT框架中的联合查询泄露提供了更全面的理解。安全性分析和实验评估表明，所提出的方案在合理的计算和通信开销下实现了更好的安全性，能够更好地提升智能合约中密文数据联合查询的隐私保护强度。

Web3技术的出现催生了许多新应用，如去中心化金融（DeFi）、稳定币和现实世界资产通证化（RWA）等。与此同时，以大语言模型（LLM）为代表的人工智能技术正推动着新一轮的技术创新。大语言模型和Web3这两项技术展现出了很强的互补性，即大语言模型赋能Web3，Web3助力大语言模型。本次报告将介绍大语言模型为Web3领域带来的两大机遇。其一，大语言模型可为Web3系统赋予智能，使Web3应用更具可用性和可访问性。其二，大语言模型为安全审计开辟了新的方法途径，使Web3应用可能更具安全性。然而，大语言模型本身存在诸如幻觉等问题，Web3系统也面临复杂的攻击面。本次报告将探讨上述机遇与挑战，并介绍我们在这些主题上的一些最新研究成果。

共识机制是区块链系统安全性的基础，决定了节点如何就交易顺序、区块有效性和账本状态达成一致。Proof-of-Authority（PoA）是其中一类重要机制，广泛用于许可链、联盟链和部分高性能公链，也是现行主流公链的基础，包括但不限于以太坊和币安链。PoA 通过授权验证者集合实现快速出块和低延迟确认，但其安全性高度依赖具体的领导者选择、出块优先级、投票规则和最终性设计。 本次报告聚焦 PoA 共识中的 finality 安全问题。报告将从 PoA 的两类主流实现 Clique 和 Aura 出发，介绍其基本运行逻辑，并进一步结合 Binance Smart Chain 和 VeChainThor 两个真实系统，分析快速最终性机制在实际部署中可能暴露的安全风险。相关攻击表明，协议中的时序假设、消息传播差异和同步机制缺陷，可能导致最终性延迟、投票分裂、活性失败，甚至区块重组。我们还将讨论这些问题背后的共性原因及可能的改进方向，以及对现行区块链系统的启示。

机密计算旨在保护多方不可信环境中的数据使用安全（data-in-use），可信执行环境（TEE）为其提供硬件级安全保障。分布式机密计算通过将TEE与分布式协议深度融合，实现机密服务的可靠性、状态连续性与去中心化可信。本报告以三个代表性系统为主线，介绍该方向的发展脉络：Engraft（CCS’22）探索TEE赋能的拜占庭容错复制机制；Achilles（EuroSys’25）通过抗回滚恢复机制保障长期运行系统的安全性与可用性；TeeDAO 则进一步通过异构TEE协同与去中心化BFT框架实现自治可信。除系统基础能力外，分布式机密计算也正逐渐支撑机密区块链、跨链与Rollup基础设施，以及隐私保护联邦学习等新兴应用。整体而言，这一演进过程展示了从正确性保障、到恢复能力、再到自治可信的分布式机密计算发展路径。

可信执行环境（Trusted Execution Environment, TEE）被广泛用于在不可信平台上保护敏感数据与计算过程，但其隔离机制并不能完全阻断硬件侧信道泄漏。本报告聚焦 TEE 防护下的 AI 系统，重点讨论其中两类数据泄漏面。第一类泄漏来自数据处理阶段所依赖的通用数据处理库，如 Libjpeg 和 FFmpeg。此类程序在处理图像、音频等输入时，往往存在与输入内容相关的控制分支和内存访问行为，其缓存访问模式可能随输入变化而改变，从而使攻击者能够从缓存访问轨迹中重构敏感输入数据。第二类泄漏来自 AI 模型自身的计算过程。尽管 TEE 会对 AI 模型、输入、输出及中间结果进行加密保护，但主流商业 TEE 受制于性能开销，通常采用确定性内存加密机制：当相同明文被写入相同内存地址时，会产生相同密文。攻击者因此可以通过观察密文变化模式，推断模型计算过程中的数据相关信息，并进一步重构原始输入。此外，本报告还将分析 AI 系统固有属性对上述两类泄漏的放大作用，说明其如何增强侧信道观测与隐私数据之间的关联，并推动数据重构攻击走向现实可利用。本报告旨在揭示可信 AI 系统中算法特性、软件行为与硬件机制协同作用下的数据泄漏风险机理。

本研究重新审视了针对NC1泄漏的抗泄漏电路（LRC），并提出了一系列新的构造方案，以最大限度地减少对安全硬件组件的依赖。首先，设计了新型无状态LRC，并将其扩展为具有辅助输入的泄漏容忍电路（AI-LTC）。在此基础上，实现了仅需少量安全硬件组件的有状态LRC。此外，本研究还提出了一种非黑盒的有状态LRC构造方案，从而得到了规模更小的编译电路。 与Miles和Viola（STOC 2013）提出的此前最优构造相比，本方案中的无状态LRC所需的可信阶段编码器和有状态LRC所需的安全硬件组件规模均更小，且其大小与原始电路规模无关。所有方案的安全性均基于一个极弱的最坏情况复杂性假设NC1⊊⊕L/poly，该假设严格弱于Miles和Viola所采用的NC1⊊L假设。 进一步地，本研究提出了一种从AI-LTC到细粒度的离线模拟非交互零知识证明（oNIZK）的通用转换。由此得到的oNIZK实例具有较短的公共参考串、完美的可靠性、针对NC1敌手的零知识性以及极低的验证复杂度，并能用于证明任意NP语言。 最后，本研究证明了任何细粒度的oNIZK方案均不可能同时实现完美可靠性和可验证的公共参考串。这一不可能性结果排除了通过消除AI-LTC中的可信初始化步骤来构造完全不依赖安全硬件的有状态LRC的可能性。 本研究成果发表于Crypto 2025。

本报告关注区块链生态中连接用户、应用与链上系统的接入层基础设施安全。相比传统上以智能合约为中心的安全研究，本报告将视角转向浏览器钱包和以太坊节点 API 这两类关键入口组件：前者直接影响用户对交易意图、风险提示和资产变动的理解，后者则决定应用和服务获取链上状态的正确性与一致性。报告将介绍两项安全测试工作：一项面向 Web3 浏览器钱包扩展，系统发现 UI 展示、交易模拟和安全告警中的误导性风险；另一项面向以太坊客户端 API，通过规范引导的差分测试发现多客户端实现不一致。两项工作共同说明，区块链安全不仅依赖链上合约，也依赖接入层基础设施的可靠实现。

自由交流与会间讨论。

x402 协议通过 HTTP 402 状态码实现 Web 原生微支付，为智能体调用 API、内容访问和自动化交易提供了新的支付基础设施。然而，该协议将同步 HTTP 授权与异步区块链结算相结合，形成了跨层安全边界，可能引发结算不一致、支付重放、缓存泄露和服务选择操纵等风险。 本报告系统分析 x402 智能体支付协议的安全问题，归纳五类典型攻击：结算路径不一致、结算抢占、支付载荷重放、HTTP/代理混淆以及服务发现操纵。实验与实现审计表明，这些问题可能导致未支付服务访问或已支付但服务被拒绝。报告进一步提出结算确认、资源绑定、幂等性检查、缓存隔离和发现层防护等建议，为智能体支付协议的安全设计与部署提供参考。

在本次报告中，我将介绍两种后量子安全的区块链共识协议。第一种是TetraBFT，这是一种基于领导者的拜占庭容错协议，能够在无需依赖签名的情况下解决共识问题。TetraBFT具备几个显著优势：它只需常量级的本地存储，具备最优的通信复杂性，确保乐观响应，并能够在仅五个消息延迟内达成共识，优于所有已知具有类似属性的无签名协议。第二种协议是Sailfish++，一种无签名、后量子安全的基于有向无环图的拜占庭容错协议。其核心创新是引入了一种乐观可靠广播协议，在保持最佳容错的同时，在某些乐观条件下仅需两步即可终止。因此，Sailfish++实现了三步确认延迟，与最佳的基于签名的协议相同。我们的实验评估显示，Sailfish++在CPU资源有限的机器上显著优于现有的后量子安全和基于签名的协议。这些结果表明，无签名协议在后量子时代有望成为区块链实际部署的理想选择。

通用安全多方计算是密码学中的重要技术，旨在使多个参与方在不泄露各自私有输入的前提下，联合完成任意函数计算。现有协议按照安全性大体可分为两类：被动（半诚实）安全协议假设参与方严格按照协议执行，仅可能通过交互信息推断他人输入，因而通常具有较高效率，但一旦参与方偏离协议，其安全性将难以保障；主动（恶意）安全协议则允许参与方在执行过程中任意偏离协议，仍能保证输入隐私和计算正确性，但往往需要付出较高的计算和通信开销。 报告人近期的研究围绕上述安全性与效率之间的核心矛盾，尝试在被动安全与主动安全之间建立新的折中路径。通过设计新的协议结构和安全机制，在尽可能接近主动安全保障的同时，显著降低协议执行开销。本报告将介绍相关研究思路、技术方法及近期研究成果。