写在前面 这两天，TEE 区块链圈子炸了。 两篇独立发表的学术论文，用不到 1000 美元的硬件设备，直接把 Intel SGX 和 AMD SEV-SNP 这两个「可信执行环境」的底裤扒了个干净。 Phala、Secret Network、Crust、IntegriTEE……这些把「隐私计算」当作核心卖点的项目，一夜之间发现自己建立在流沙之上。 我不想幸灾乐祸，但这件事必须说清楚：TEE 从一开始就是个错误的技术路线，只是很多人不愿意承认而已。 一、这次攻击有多严重？ 先说结论：这是 TEE 区块链的切尔诺贝利时刻。 两个攻击，一个叫 Battering RAM，一个叫 Wiretap。前者成本不到 50 美元，后者成本 500-1000 美元。 它们做了什么？ 读取所有加密数据：TEE 里存储的私钥、合约状态、用户数据，全部可以被解密 篡改数据：不只是读，还能写入后门，伪造认证报告 完全隐蔽：攻击过程不会留下任何痕迹，受害者毫无察觉 更可怕的是，这不是软件漏洞，是硬件设计缺陷。 Intel 和 AMD 为了性能，在内存加密时选择了「确定性加密」（deterministic encryption）——同样的明文加密后永远得到同样的密文。这种设计在全盘加密场景下没问题，但在 CPU 和内存之间的动态数据传输中，简直是灾难。 攻击者只需要在 CPU 和内存之间插入一个「中间人」硬件（interposer），就能捕获密文，然后通过重放攻击（replay attack）破解整个系统。 而且，Intel 和 AMD 都明确表示：这不在我们的威胁模型范围内，我们不会修复。 二、TEE 区块链的谎言 过去几年，TEE 区块链一直在讲一个故事： 「我们用 Intel SGX / AMD SEV 保护智能合约的隐私，节点运营者无法查看或篡改合约状态，用户数据完全安全。」 听起来很美好，对吧？ 但现实是：这个故事建立在一个巨大的假设之上——没有人会对硬件动手脚。 而这次攻击证明，这个假设根本站不住脚。 研究人员在论文中展示了对 Phala Network 的攻击： 攻击者运行一个恶意节点，通过伪造的 SGX 认证加入网络 获取集群密钥（cluster key），解密所有合约交互 当节点被提升为「守门人」（gatekeeper）时，直接获得主密钥（master key） 用主密钥推导出所有集群密钥和合约密钥，解密整个测试网 整个过程，链上没有任何异常。 类似的攻击也成功应用在 Secret Network、Crust、IntegriTEE 上。 这意味着什么？ 意味着任何运行验证节点或 RPC 节点的人，只要愿意花 1000 美元买个硬件设备，就能窃取整个网络的所有隐私数据。 而这些项目的「缓解措施」是什么？ 「不允许不受信任的人运行节点，或者强制他们使用云服务商。」 这不是在开玩笑吗？一个区块链项目，最后的解决方案是「不要去中心化」？ 三、为什么 TEE 从一开始就错了？ TEE 的核心逻辑是：把信任外包给硬件厂商。 你相信 Intel 的 SGX，就是相信 Intel 的设计没有缺陷、Intel 的供应链没有被渗透、Intel 的威胁模型覆盖了所有可能的攻击场景。 但事实一次又一次证明，这种信任是脆弱的。 2018 年，Spectre 和 Meltdown 攻击利用 CPU 的推测执行（speculative execution）机制，从 Intel 和 AMD 处理器中提取秘密 2020 年，Plundervolt 攻击通过调整电压破坏 SGX 的完整性 2021 年，LVI 攻击利用缓存侧信道泄露 SGX 数据 2025 年，Battering RAM 和 Wiretap 直接从硬件层面摧毁 TEE 的安全承诺 每一次，Intel 和 AMD 的回应都是：「这不在我们的威胁模型范围内。」 翻译一下就是：「我们只保证软件层面的安全，硬件层面你自己看着办。」 但问题是，区块链是一个完全去中心化的环境，你无法控制谁在运行节点，也无法阻止他们对硬件动手脚。 TEE 的威胁模型和区块链的信任模型，从根本上就是矛盾的。 四、FHE 才是正确答案 Rand Hindi（Zama 创始人）在推特上说得很直白： 「So let's stop taking shortcuts and start using real cryptography such as FHE. It works, it's fast and it's secure!」 我完全同意。 全同态加密（FHE）才是隐私计算的正确技术路线。 为什么？ 1. 不依赖硬件信任 FHE 的安全性建立在数学难题之上（比如 LWE 问题），而不是某个硬件厂商的承诺。 你不需要相信 Intel、AMD、或者任何芯片制造商。你只需要相信数学。 2. 抗物理攻击 即使攻击者拿到了加密数据，甚至拿到了整个服务器，他也无法解密——除非他能破解底层的数学难题。 而这在计算上是不可行的。 3. 真正的去中心化 FHE 不需要「可信硬件」，所以任何人都可以运行节点，不需要担心硬件被篡改。 这才是区块链应该有的样子。 4. 性能已经足够好 过去，FHE 的性能是个问题。但现在，Zama 的 fhEVM 已经证明，FHE 可以在实际应用中使用——虽然还有优化空间，但已经足够支撑很多场景。 五、TEE 项目该怎么办？ 如果你是 Phala、Secret Network、或者其他 TEE 区块链的投资者或用户，现在应该问自己一个问题： 这个项目还值得信任吗？ 我的答案是：取决于他们是否愿意迁移到 FHE。 TEE 不是不能用，但它只适合那些「威胁模型不包括物理攻击」的场景——比如企业内部的隐私计算，或者云服务商自己运行的可信环境。 但在公链上，在任何人都可以运行节点的环境中，TEE 就是个定时炸弹。 那些还在坚持 TEE 路线的项目，要么是技术上不够前瞻，要么是利益上不愿意承认错误。 而那些愿意拥抱 FHE 的项目，才是真正在为用户的隐私和安全负责。 六、写在最后 这次攻击不是偶然，而是必然。 TEE 的设计缺陷早就存在，只是很多人选择视而不见。 现在，两篇论文把这个问题摆在了台面上，再也没有人能假装它不存在。 隐私计算的未来，不在 Intel 的芯片里，而在数学的证明中。 FHE 不是完美的，但它是目前唯一一个在理论和实践上都能提供真正隐私保护的技术。 如果你是开发者，请认真考虑 FHE。 如果你是投资者，请重新审视那些依赖 TEE 的项目。 如果你是用户，请问问你使用的服务：你们的隐私承诺，建立在什么基础之上？ 因为如果答案是「Intel SGX」或「AMD SEV」，那这个承诺可能不值一文。 @randhindi @zama_fhe #ZamaCreatorProgram