ZKP. Обзор 2025
Zero-Knowledge Proofs (доказательства с нулевым разглашением) и криптографические протоколы, на нём базирующиеся, позволяют доказать истинность некоторого утверждения, не раскрывая саму проверяемую информацию.
Вот что нашёл, делая мета-анализ: "В 2025 году ZKP-технологии получили широкое применение в блокчейн-индустрии и цифровой идентификации благодаря возможности повысить приватность пользователей и масштабируемость систем".
Поэтому ниже решил рассмотреть основные виды ZKP и области их использования сегодня.
Ключевые технологии и протоколы ZKP
zk-SNARK (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge) – компактные независимые доказательства с нулевым разглашением. Они предлагают краткие доказательства, проверяемые за миллисекунды, даже для очень больших программ.
Первым широким применением zk-SNARK стала криптовалюта Zcash, где с 2016 г. эти доказательства обеспечивают приватные (т.н. «шилдованные») транзакции: отправитель, получатель и сумма скрыты, но их валидность подтверждается SNARK-доказательством по консенсусным правилам сети.
Классические zk-SNARK (например, схема Groth16) требуют доверенной настройки – единовременной церемонии генерации общих параметров, после которой «токсичные» случайные данные должны быть уничтожены.
Наличие доверенной настройки считается уязвимостью (в теории злоумышленник с «токсичными» данными мог бы подделывать доказательства), поэтому современное развитие направлено на схемы без доверенной фазы либо с универсальными параметрами.
Например, протокол PLONK – это усовершенствованный zk-SNARK с универсальной настройкой (одно совместное генерирование параметров, повторно используемое для любых схем). Если коротко, то в отличие от Groth16, где новая схема требует новой церемонии, PLONK существенно упрощает внедрение ZKP в разных приложениях.
Другой пример – система Halo 2, внедрённая в Zcash в 2022 г., представляющая новый вид zk-SNARK, который не требует доверенной настройки и поддерживает рекурсивные доказательства, решая давние проблемы производительности и доверия.
zk-STARK (Zero-Knowledge Scalable Transparent Argument of Knowledge) – прозрачные доказательствас нулевым разглашением, не требующие доверенной настройки вовсе.
Разработаны они в 2018 г. (Eli Ben-Sasson et al.) как альтернатива SNARK.
STARK основан на доказательствах на основе хэш-функций и проверяемого случайного оракула, благодаря чему все необходимые случайные параметры публичны и отсутствует этап предварительной генерации секретов.
Преимущества zk-STARK: отсутствие «токсичных» параметров делает их проще и безопаснее в аудите, а криптографические примитивы (хэши) устойчивы к квантовым атакам.
Они масштабируемы (scalable) - могут обрабатывать большие объёмы вычислений - но размер доказательств больше, а проверка медленнее по сравнению со SNARK.
Поэтому STARK обычно применяются там, где важнее отказ от доверенных настроек и пост-квантовая устойчивость.
StarkWare первой внедрила STARK-доказательства для масштабирования Ethereum: их движок StarkEx и сеть StarkNet выносят вычисления off-chain и публикуют на основной цепи только краткое STARK-доказательство корректности всей партии транзакций.
Это позволило достичь высокой пропускной способности без компромисса безопасности и с полной прозрачностью алгоритма (без доверенных сторон).
Другие протоколы ZKP
Помимо SNARK/STARK, используются и другие виды доказательств.
Bulletproofs – небольшие (но не столь краткие, как SNARK) доказательства без доверенной настройки, основанные на диапазонных доказательствах на эллиптических кривых.
Они позволяют доказать, например, что число принадлежит диапазону, не раскрывая его. Bulletproofs внедрены в криптовалюте Monero для проверок сумм транзакций (диапазонных доказательств) и заметно сократили размер конфиденциальных транзакций.
Скажем, в 2019 г. ING тоже представил свою реализацию Bulletproofs, отметив, что они устраняют проблемы скорости и доверия, присущие ранним ZKP-схемам.
Также развиваются интерактивные ZKP (Sigma-протоколы, применяемые, например, в анонимных учетных данных) и новые SNARK-подобные системы без доверенной настройки (Sonic, Marlin, Halo и др.).
Общий тренд – сделать доказательства максимально эффективными, универсальными и надёжными без этапов инициализации, требующих доверия.
Использование ZKP в крипто-активах
Приватность и масштабируемость – два ключевых запроса в блокчейн-индустрии, которые решаются с помощью ZKP.
В 2025 году доказательства с нулевым разглашением внедрены в ряде публичных блокчейнов и решений второго уровня:
Приватные и анонимные криптовалюты
ZKP лежат в основе privacy coins – криптовалют, обеспечивающих конфиденциальность транзакций.
Пример был выше – Zcash, первый протокол с полной реализацией zk-SNARK. В Zcash пользователи могут отправлять shielded-транзакции, где детали шифруются, а их легитимность доказывается SNARK-доказательством.
Zcash предлагает два типа адресов: прозрачные (как в Bitcoin) и shielded – на них баланс и переводы скрыты с помощью ZKP.
SNARK-доказательства позволяют показать право потратить монеты без раскрытия ни суммы, ни сторон транзакции. Это обеспечивает высокую степень приватности – внешние наблюдатели не могут отследить движение средств.
Другие проекты, как Monero, используют иные подходы (например, кольцевые подписи), но также внедряют ZKP потихоньку: скажем, в 2018 г. Monero применили Bulletproofs для доказательства диапазонов сумм, что сократило размер конфиденциальных транзакций ~80%.
Firo (бывш. Zcoin) реализует протокол Lelantus, основанный на доказательствах знания без раскрытия, а Horizen (ZEN) использует zk-SNARK для приватных транзакций.
Таким образом, ZKP стали стандартным решением для анонимности в криптовалютах. По крайне мере - для большинства.
Масштабирование и L2-решения
Zero-knowledge proof активно применяются в Layer-2 сетях для увеличения пропускной способности блокчейнов.
ZK-Rollup – технология, где сотни или тысячи транзакций обрабатываются вне основного блока, а затем одним доказательством их корректности заверяются на L1.
В 2023–2024 гг. запущены несколько ZK-роллапов для Ethereum: zkSync Era (Matter Labs) – использовали базово SNARK-доказательства (основанные на Groth16/PLONK) для группировки транзакций, Polygon zkEVM – EVM-совместимый роллап от Polygon на базе доказательств Plonky2 (вышел из гонки), StarkNet – роллап от StarkWare на zk-STARK, Scroll – ещё один ZK-EVM проект.
См. подробности по типам в моём переводе: teletype.in/@menaskop/zk-evm.
Эти решения позволяют существенно снизить нагрузку на основной слой, сохраняя его безопасность: валидатор Ethereum проверяет только небольшое доказательство, а не каждую транзакцию.
Например, zkSync и StarkEx обрабатывают тысячи операций, взимая минимальную комиссию.
В отчёте же Protocol Labs отмечалось, что к 2023-2025 гг. сеть Filecoin (децентрализованное хранилище) стала крупнейшим потребителем zk-SNARK: она генерирует 6–7 миллионов SNARK-доказательств ежедневно, подтверждая хранение данных (каждое включает >100 миллионов ограничений).
Для многих - именно это показывает зрелость технологии – ZK-доказательства масштабно работают в связанныхсистемах. Я пока не уверен в зрелости, но то, что связки - это круто: факт.
Также ранним примером был Loopring, запустивший первый ZK-rollup DEX еще в 2019 г., обеспечивая торговлю без загрузки Ethereum.
Фактически все исследователи сходятся в одном: в ближайшие годы ZK-rollups станут краеугольным камнем масштабируемости Ethereum, постепенно вытесняя альтернативы.
Другие кейсы в блокчейнах
Отдельно стоит упомянуть т.н. "сжатие" блокчейна с помощью ZKP.
Проект Mina Protocol реализовал «блокчейн с постоянным размером»: весь блокчейн Mina – рекурсивное SNARK-доказательство текущего состояния, размером всего несколько килобайт.
То есть, внимание! Если упростить, то узлы (aka ноды) могут проверить всю историю без загрузки гигабайтов данных – достаточно одного заверенного доказательства.
Это новый подход к масштабированию L1, основанный на рекурсивных ZKP. Кроме того, Filecoin (как сказано выше) и другие распределённые системы хранения (например, Scilla от Protocol Labs) используют ZKP для подтверждения хранения данных и вычислений без доверия.
В корпоративных (permissioned) реестрах также внедряют ZKP для приватности: как ни странно - но это прежде всего Quorum (Ethereum-платформа JPMorgan), которая пошла этим путём ещё в 2018 г., когда был добавлен протокол Zether и позже - тестирование протокола AZTEC для анонимных платежей.
Как отмечается: "Эти решения позволяют в частном "блокчейне" скрывать сумму и стороны транзакции, сохраняя возможность верификации корректности.
ZKP в системах цифровой идентификации
ZKP получили применение и за пределами финансов – в сфере децентрализованной идентичности (SSI) и управления персональными данными.
Здесь задача немного иная – дать пользователям контроль над раскрытием своих данных: подтверждать определённые факты об идентичности без разглашения лишних персональных сведений.
Самосуверенная идентичность (SSI) и анонимные креденшелы
Проекты Sovrin / Hyperledger Indy первыми внедрили нулевые доказательства в обмене цифровыми удостоверениями личности.
В сети Sovrin при выдаче и проверке "verifiable credentials" использовались как раз доказательства с нулевым знанием: держатель мог доказать валидатору, что его атрибуты проходят требуемые условия, не раскрывая самих атрибутов.
Например, можно доказать «мне больше 18 лет» или «у меня есть действующее водительское удостоверение» без передачи даты рождения или номера документа.
Технологически это реализовано было на базе криптографии AnonCreds (CL-подписи и ZKP) в Hyperledger Indy.
Совокупность проектов Hyperledger (Indy, Aries, Ursa) предоставляла инструменты для таких взаимодействий: Ursa - библиотеку ZKP (диапазонные доказательства, доказательства владения аттрибутами и т.п.), Aries – протокол обмена сообщениями для согласования запроса и ответа ZKP.
Сейчас эти стандарты используются в пилотах цифровых удостоверений – от университетских дипломов до национальных ID – позволяя проверять информацию по принципу «минимального раскрытия».
Децентрализованные ID в блокчейне (DID)
В экосистеме Web3 появился ряд решений, объединяющих блокчейн и ZKP для удостоверения личности.
Polygon ID – пример платформы, которая предоставила пользователям Zero-Knowledge идентичность на базе Ethereum.
В Polygon ID заявления (credentials), выданные проверенными органами, хранятся у пользователя, а при проверке создается zk-DSNARK-доказательство, подтверждающее достоверность атрибута без передачи самого атрибута и без сохранения данных у сторонних сервисов.
Этот сервис был запущен в 2023 г. и позиционировался как решение проблемы «digital trust» (оцифрованной правды), позволяющее пройти KYC, подтвердить право доступа и т.д., не раскрывая приватные данные ни проверяющей стороне, ни в блокчейн.
Технически Polygon ID базировался на протоколе iden3 и языках Circom/ZoKrates для написания схем доказательств.
Пользователь может, например, с их помощью доказать смарт-контракту право на учаcтие в токенсейле (что прошел KYC и не является гражданином запрещенной страны) с помощью офчейн-аттестата и on-chain верификации доказательства.
Особенность – хранение удостоверений локально на устройстве и отсутствие паролей: авторизация происходит обменом зашифрованных ZK-доказательств (вплоть до сканирования QR-кода).
Proof-of-Personhood и уникальность личности
Worldcoin - ещё один хайповый проект в этом сфере: он использует ZKP для подтверждения уникальности человека без раскрытия его личности.
Worldcoin сканирует радужку глаза «Orb-устройством и генерирует уникальный идентификатор (World ID), добавляемый в публичный реестр.
Пользователь получает приватный ключ, связанный с этим ID, и может доказывать любым сервисам, что он – верифицированный уникальный человек, не раскрывая, кто именно.
При каждой такой проверке приложение Worldcoin генерирует ZK-доказательство знания секретного ключа, соответствующего одному из записанных ID, но не указывает, какому именно.
Тем самым доказываются сразу три факта:
- Membership – пользователь входит в множество верифицированных идентификаторов;
- One-shot – он не использовал свой статус больше допустимого (через механизм nullifier, предотвращающий двойное голосование или повторное получение бонуса);
- Signal – по желанию добавляется сообщение (например, голос в голосовании).
Данные ZK-доказательства проверяются публично, а настоящая личность человека нигде не раскрывается. Такой подход – пример использования ZKP для Proof-of-Personhood (доказательства уникальности личности) в глобальном масштабе, что может найти применение в голосованиях, UBI-системах и т.д.
Правда, сам Worldcoin мне лично не нравится. Совсем: централизован и опасен.
Основные направления развития ZKP
Область Zero-Knowledge Proofs развивается чрезвычайно активно – как в академических исследованиях, так и в инженерных решениях. Теория здесь при этом не менее важна.
Ниже выделил ключевые направления, в которых идёт прогресс и которые решают текущие вызовы технологии:
Повышение эффективности и масштабируемости
Исторически ZK-доказательства были вычислительно дорогими, но новые протоколы и алгоритмы улучшают ситуацию. Идёт работа над снижением времени генерации и проверки доказательств, сокращением их размера.
Пример – переход от Groth16 (с очень коротким доказательством, но требующим долгой настройки) к более эффективным схемам: PLONK уже быстрее в генерации доказательств, чем Groth16, при схожем размере.
Но это не всё - развиваются, например, техники рекурсии: доказательство может включать проверку другого доказательства. Это позволяет, скажем, складывать множество доказательств в одно – так устроена архитектура той же Mina и планируется в Ethereum (валидаторы смогут проверять состояния с помощью одного рекурсивного SNARK - хотя тут ещё доработки появились недавно и их обсудим отдельно).
Компания Zcash разработала протокол Halo2, позволяющий рекурсивные доказательства без доверенной настройки – это проложило путь к бесконечной композируемости ZKP.
Кроме того, на повестке многих стартапов стоит и аппаратная оптимизация: специализированные библиотеки используют GPU и FPGA для ускорения вычислений.
Проще говоря, в ближайшие годы возможно появление аппаратных ускорителей ZKP, что снимет барьер производительности для мобильных устройств и IoT. По крайне мере - вера в это сильна.
Устранение доверенной настройки и новые криптопримитивы
Доверенная настройка (trusted setup ceremony) – уязвимое место ранних SNARK-систем, и сообщество активно ищет альтернативы.
Один путь – “transparent” протоколы (без настройки): zk-STARK уже сейчас не требует никакой инициализации, но расплата за это всё – большие доказательства.
Другой путь – универсальная настройка: протоколы Sonic, Powers of Tau, PLONK предоставляют единый набор параметров для неограниченного числа схем доказательств. Это значит, что достаточно один раз провести публичную церемонию (в которой могут участвовать сотни добровольцев, как было в проекте Perpetual Powers of Tau), и дальше любые разработчики могут строить свои SNARK-схемы на этих общих параметрах.
Так устраняется нужда доверять каждой конкретной реализации.
Ещё шаг – полное избавление от потребности в таких параметрах: новые SNARK, основанные на примитивах типа гомоморфного шифрования или супервосстановимых кодов, обещают как раз “transparent SNARKs”.
К примеру, схема Supersonic (2019) от Stanford – SNARK без trusted setup, доказательства ~10 Кб.
Также пост-квантовый аспект важно учитывать: усиленно исследуются ZKP на основе постквантовых допущений (например, lattice-based). Пока zk-STARK квантоустойчив (на основе хэшей), а SNARK на эллиптических кривых – нет.
То есть: в долгосрочной перспективе могут появиться STARK-аналоги с меньшими доказательствами или комбинации SNARK+STARK.
Новые языки и инструменты для разработчиков
Составление арифметических схем и настройка ZK-протоколов долгое время были уделом экспертов (т.н. «moonmath»).
Сейчас же идёт активное развитие DSL (domain-specific languages) и фреймворков, упрощающих создание ZK-приложений.
Больше скажу - появились высокоуровневые языки: Circom (для описания SNARK-схем, популярен в Ethereum-сообществе), Cairo (язык от StarkWare для писания программ, преобразуемых в STARK-программы), Noir (язык от Aztec, похожий на Rust, для написания приватных смарт-контрактов).
Эти языки абстрагируют низкоуровневую математику, позволяя разработчикам писать обычный код, который потом компилируется в ZK-пруфы. Так, благодаря Cairo экосистема StarkNet привлекает множество разработчиков новых дапсов, а Noir позволит создавать приватные DeFi-приложения на Aztec без глубокого знания криптографии.
Кроме языков, появляются готовые SDK и сервисы: например, библиотека snarkJS для верификации SNARK в браузере, сервис ZKP-as-a-Service (от AWS и др.) для генерации доказательств в облаке.
И, как указано в одном из исследований, которые удалось прошерстить: "Эти инструменты снижают порог для внедрения ZKP, стимулируя рост приложений".
Стандартизация и аудиты
По мере того, как ZKP входят в мейнстрим, остро стоит вопрос стандартизации протоколов и безопасности.
Допустим, работает инициатива ZKProof – открытая группа экспертов, формирующая стандарты описания доказательств, единые форматы для circuit и transcript, рекомендации по безопасности.
Более того! Уже публикуются RFC для форматирования доказательств – чтобы разные доказательства были взаимозаменяемы и совместимы с разными верификаторами.
Параллельно, компании и фонды финансируют аудиты ZK-схем. Пример – аудиты от Trail of Bits, Least Authority известных проектов (SEAudit Aztec, Mikuli library и т.д.).
Так как ошибки в реализации ZKP могут быть критичны (напомню про баг 2022 г. в Tornado Cash, позволивший взломщику сгенерировать доказательство «из воздуха»), коьюмнити стремится формализовать и тщательно проверить каждую новую систему.
В дальнейшем можно ожидаю появления формальной верификации для ZK-схем и библиотек, а также, вероятно, стандартизации на уровне таких организаций, как NIST. По крайне мере - без них мало что обходится.
Да и есть прецеденты в других юрисдикциях: скажем, в 2023 г. ГОСТ Р (Россия) предложил проект стандарта на «доказательства с нулевым разглашением» для использования в госуслугах, что явно говорит о внимании регуляторов.
Расширение применений
Пприватность + совместимость с регуляторами - сложная история? Весьма!
Новое направление поэтому – использование ZKP для обеспечения приватности с учётом требований как раз этих самых регуляторов. Если раньше приватные транзакции ассоциировались с риском отмывания денег (пример – санкции против миксера Tornado Cash), то теперь разрабатываются «комплаентные» схемы приватности.
Года два назад Виталик Бутерин и соавторы предложили концепцию privacy pools – это улучшение к миксерам, где пользователь с помощью ZKP может доказать, что его выводимые из пула средства не происходят от нелегальных депозитов, не раскрывая, от какого именно депозита они произошли.
То есть идея в том, что: Zero-Knowledge доказательства позволяют честным пользователям отделить свои средства от средств злоумышленников, оставаясь анонимными.
Такая технология даст возможность соблюсти регуляторные требования (подтверждать «чистоту» средств) без тотальной де-анонимизации.
Авторы отмечают, что "приватность и комплаенс могут сосуществовать, если протокол позволяет доказывать определённые свойства о происхождении средств без раскрытия всей истории".
В целом, тренд в отрасли – убедить регуляторов, что ZKP – не инструмент укрытия, а наоборот, средство безопасного обмена данными.
К примеру, уже реализованы прототипы ZK-KYC: пользователь предоставляет бирже доказательство «Мне исполнилось 18 и я не из санкционного списка», а не скан всего паспорта. Банки и финтех-стартапы тестируют «криптографический комплаенс» для AML, где транзакции шифруются, но можно доказать по запросу, что они не нарушают установленных правил.
Но, конечно, тропинка эта, мягко говоря, опасная.
Интеграция ZKP в новые сферы
Появляются инновационные применения ZKP помимо финтеха и SSI. Коротко сегодня обозначу.
Одно из таковых – Zero-Knowledge Machine Learning: проверка того, что модель ML была правильно обучена или классифицирована, без раскрытия данных и модели.
Например, ZK-доказательство, что «нейросеть определила диагноз на основе медицинских данных пациента, не раскрывая сами данные» – актуальная задача на стыке приватности и ИИ.
Уже существуют стартапы (как ZkML, Modulus Labs), демонстрирующие прототипы ZK-доказательств корректности вывода нейросетей.
Ещё одна понятная сфера – IoT и смарт-гриды: датчики могут отчитываться об агрегированных показателях (например, общее потребление электричества в доме) с доказательством честности данных, не раскрывая индивидуальных показателей жильцов.
В госсекторе ZKP начинают применять для электронного голосования – доказательство, что голос учтён и система подсчитана честно, без раскрытия, за кого проголосовал каждый избиратель. Такие системы уже пилотируются (например, голосования в DAO, и исследования в Евросоюзе по e-voting). Но всё это, конечно, Франкенштейны.
Таким образом, закончу опять цитатой: "ZKP эволюционируют в общее решение для безопасной обработки данных, и в ближайшие годы мы увидим их проникновение в самые разные индустрии (от здравоохранения и логистики до государственных реестров)".
Ниже - чуть подробней об этом...
Перспективы и тренды на ближайшие 2–5 лет
“ZK-везде” и массовое внедрение
Эксперты прогнозируют, что Zero-Knowledge Proofs станут неотъемлемой частью инфраструктуры блокчейна. В Ethereum-дорожной карте на 2023-2025 гг. ZK-технология занимает центральное место: предполагается, что через 2–3 года все крупные решения масштабирования для Ethereum будут основаны на ZK-роллапах (Rollup-centric roadmap). По крайне мере - этого хотелось бы многим.
Уже сейчас Ethereum L2, использующие ZKP, стремительно развиваются, а конкурирующие подходы (optimistic rollups) постепенно уступают – благодаря отсутствию задержек финализации и более высоким гарантиям безопасности (нет зависимостей от честности участников). Хотя понятно, что Optimism & Arbitrum просто так не уйдут :).
Ожидаю, что к 2025–2027 гг. основная масса транзакций Ethereum будет обрабатываться на ZK-роллапах, таких как zkSync, Polygon zkEVM, StarkNet и др., с последующим заверением на L1.
Это даст пользователям низкие комиссии и мгновенное подтверждение при уровне безопасности L1. Более того, сам Ethereum L1 может со временем интегрировать ZKP: Виталик Бутерин указывал, что в перспективе даже проверка блоков Ethereum light-клиентами будет происходить через SNARK-доказательства состояния. И да, в 2025 году мы ждём этого как никогда: уже пруф родился.
Другими словами, конечная цель – валидируемость без доверия для всех узлов, от полного до мобильного, с помощью ZKP.
Рост приватности и новые приложения
В ближайшие годы увидим (?), возможно, расцвет приватных приложений на смарт-контрактах.
Если ранее DeFi-протоколы работали полностью открыто, то новый тренд – приватные DeFi. Платформа Aztec прокладывает путь к полноценным приватным смарт-контрактам: команда разрабатывает L2-решение, где пользователи смогут взаимодействовать с DeFi-протоколами Ethereum, сохраняя анонимность и конфиденциальность данных.
Например, можно будет брать кредит в стейблкоинах, не раскрывая публично залог, либо торговать, скрывая адреса и суммы.
Это потребует встраивания ZKP в логику смарт-контрактов – задача сложная, но ожидается прогресс ближайшие годы (Aztec анонсировала запуск новой сети с приватными смарт-контрактами к 2024–2025 гг., а по факту - многое реализовано).
Параллельно появятся ZK DEX (децентрализованные биржи с приватными ордерами), ZK-аукционы, игровые приложения с проверкой ходов без раскрытия стратегии и пр.
Забавно, но даже в Web2 планируются внедрения: концепция «Zero-Knowledge login» – авторизация на сайтах с помощью криптографического доказательства, без отправки пароля. Это улучшит безопасность (пароли не хранятся на серверах) и приватность (сайт узнает только, что вы – авторизованный пользователь, но не получает лишнего).
Первые реализации ZK-авторизации (например, был такой проект как Sismo Connect) позволили агрегировать свой разрозненный цифровой «репутационный» след и входить на сервисы, предъявляя ZK-аттестаты вместо персональных данных.
Таким образом, ZK-протоколы станут базисом для Web3-сервисов, ориентированных на приватность пользователя, но, может, повлияют положительно и на Web2? Навряд ли, но мало ли...
Баланс с регулированием и доверие государственных структур
Пропустить этот момент не могу, т.к. тут - основные риски.
На горизонте 2–5 лет ожидается формирование правовой основы для использования криптографии нулевого знания. Регуляторы по всему миру уже изучают эту тему: Банк Англии, ЕЦБ, BIS опубликовали отчёты о Privacy-Enhancing Technologies, где отдельно выделяют роль ZKP. Может, что-то из этого переведу в блоге.
Предполагается, что CBDC (цифровые валюты центральных банков) могут использовать ZK-доказательства для реализации ограниченной анонимности: мелкие платежи будут приватными, но пользователь при этом сможет доказывать, что не превышен лимит анонимного оборота, и регулятор при наличии ордера сможет получить доступ к данным.
Эксперимент BIS Project Tourbillon (2023) показал, что технически возможно реализовать розничную CBDC с анонимностью наличных: платежи совершаются анонимно (личность плательщика не раскрывается), а против отмывания денег борются, требуя при крупных суммах доказательств «чистоты» с помощью ZKP.
Центробанк Бразилии, к примеру, приостановил запуск своей цифровой валюты DREX, ожидая развития таких приватных технологий для блокчейна. В ближайшие годы, вероятно, несколько центральных банков запустят пилоты CBDC с функцией приватности на ZKP.
То же касается государственных цифровых ID: Евросоюз в рамках eIDAS 2.0 обсуждает внедрение EU Digital Identity Wallet с возможностью ZK-доказательств аттрибутов (возраста, резидентства и т.д.) для онлайн-сервисов.
Если правительства утвердят эти подходы, ZKP выйдут на сотни миллионов пользователей – в виде госуслуг и валют. И это не так, чтобы радужная новость.
Развитие экосистемы и инвестиции
Тренды показывают, что ZK-стартапы и проекты получают значительные инвестиции и поддержку. В 2021–2023 гг. проекты вроде StarkWare, Matter Labs (zkSync), Aztec, Aleo привлекли раунды финансирования в десятки и сотни миллионов долларов – инвесторы видят потенциал технологии как основы будущей инфраструктуры блокчейна. В 2024-2025 гг. скупаю потихоньку их активы :), но поможет ли это в первичном индексном портфеле? Не знаю.
В любом случае всё это означает увеличение ресурсов на R&D, привлечение лучших криптографов, быстрый рост команд.
Знаю одно - конкуренция между проектами стимулирует инновации: уже появляются специализированные предприятия вроде ZK Hardware (разработчики ASIC для ускорения доказательств), ZK-audit компании, консорциумы для продвижения стандартизации.
Можно ожидать, что через 2–3 года произойдёт первичная консолидация: слабые проекты отсеются, а сильнейшие (топ-5 решений для ZK-rollup, пара лидеров в ZK-Id, пара в ZK-DeFi) завоюют основной рынок. При этом открытый код и академическая природа многих протоколов позволит и новаторам вклиниваться – экосистема останется динамичной. По крайне мере - надеюсь на это я.
Пользовательский опыт и обучение
Наконец, в перспективе 5-7 лет отмечу как важную работу над UX и осведомлённостью. Не сторонник, но объективно это так.
Для массового принятия мало сделать "классные протоколы" (читай - простые для масс) - они должны быть удобны.
Скорее всего, появятся невидимые для пользователя ZK-решения: например, кошелек автоматически генерирует ZK-доказательство при каждой транзакции или авторизации, и от пользователя не требуется ничего, кроме нажатия кнопки «Одобрить».
Уже сейчас в мобильных крипто-кошельках (Argent X для StarkNet, Polygon ID Wallet) эта функциональность встраивалась – через пару лет она станет стандартом? Не факт, но посылы на то есть.
Образование - ключ на мой взгляд куда более важный: концепция нулевого знания еще сложна для непрофессионалов, поэтому будут программы, объясняющие простым языком выгоды (защита приватности, безопасность) и устраняющие страх «магии» криптографии.
Виталик Бутерин не даром же отметил, что повсеместное внедрение ZKP сделает блокчейны более безопасными и приватными по умолчанию, а пользователи должны требовать таких решений для защиты своих данных.
Иными словами, через 5 лет Zero-Knowledge Proofs могут стать таким же обыденным элементом технологий, как сегодня шифрование HTTPS в вебе – с той разницей, что они откроют новые возможности, ранее невозможные без доверия к третьим лицам.
Проекты вне крипты
Итак, попробую всё это обобщить через кейсы.
Приватные блокчейны и корпоративные решения
JPMorgan Quorum (Onyx) – корпоративный форк Ethereum от JPMorgan. Для обеспечения приватности транзакций банк внедрил Zether, а позднее тестировал протокол AZTEC.
Это позволило совершать в Quorum приватные платежи: данные шифруются, а корректность переводов доказывается ZKP без разглашения сумм.
Представители AZTEC подтверждали, что Quorum экспериментировал с их технологией ради «индустриализации ZKP в банковской сети». Хотя Quorum – permissioned-сеть, то есть просто так не подключишься, ZKP дали ей возможность поддерживать конфиденциальность на уровне, сопоставимом с публичными цепями.
ING Bank (Corda Zero-Knowledge Notary) – голландский банк ING реализовал нулевое знание для нотариуса в R3 Corda. В стандартном Corda-"нотаре" есть выбор: либо видеть детали транзакций (нарушая приватность), либо не видеть (рискуя подтвердить некорректную транзакцию).
Решение ING – применять ZKP: транзакции подаются нотариусу в зашифрованном виде вместе с доказательством их валидности.
Нотариус подтверждает уникальность и корректность, не читая содержимое транзакции. Этот Zero-Knowledge Notary устранил дилемму приватность/безопасность и даже оказался быстрее стандартного метода.
ING опубликовала WP и исходный код (проект ZKNotary/ZKFlow на GitHub), став пионером по сути внедрения ZKP в enterprise-blockchain. Ранее ING уже демонстрировала ZKP-прототипы: range proofs для KYC (доказать совершеннолетие без раскрытия возраста) и set membership (доказать, что человек резидент ЕС, не сообщая страны) – эти наработки легли в основу индустриальных решений. Посмотрим, что будет дальше?
EY Nightfall – инициатива Ernst & Young для приватных транзакций в публичных сетях. Nightfall изначально запущен в 2019 г. как протокол на Ethereum, совмещающий ZKP и роллап.
К 2023–2025 гг. EY выпустила Nightfall 4 – обновление, переведшее протокол на чистый zk-Rollup (до этого была смешанная схема с оптимистичным роллапом).
Nightfall_4 позволяет компаниям совершать конфиденциальные транзакции на Ethereum с моментальной финализацией (больше не нужно ждать завершения challenge-периода, как в optimistic rollup).
ZK-доказательства здесь гарантируют приватность, а отсутствие спорных периодов упрощает работу. EY открыла исходный код Nightfall в открытом доступе (GitHub) для поддержки принятия стандарта приватных транзакций в корпоративной среде.
Уже несколько продуктов EY (например, цепочка поставок EY OpsChain) используют Nightfall как базис приватности. EY прогнозирует, что упрощённая архитектура Nightfall с ZK будет ускоренно внедряться бизнесом в ближайший год.
Hyperledger Fabric и Ursa – в экосистеме Hyperledger корпоративные блокчейны тоже получают ZKP-функции.
Hyperledger Fabric – в общем-то популярная платформа для permissioned-блокчейнов – поддерживает приватность через каналы, а дополнительные модули позволяют интегрировать доказательства с нулевым разглашением.
Библиотека Hyperledger Ursa предоставляет реализацию ZKP (включая вышеупомянутые AnonCreds, диапазонные доказательства), которую могут использовать проекты на Fabric.
К примеру, компания Oracle ещё в 2022 г. продемонстрировала прототип SSI на основе Fabric: удостоверяющие органы выпускают верифицируемые креденшлы с ZKP, а смарт-контракты Fabric проверяют доказательства, не видя личных данных.
Как указано в отчётах: "Это открывает путь к корпоративным блокчейнам, где участники обмениваются данными о транзакциях, сертификатах и т.п., подтверждая их корректность Zero-Knowledge методами".
Только вот нет никаких корпоративных блокчейнов-то...
Децентрализованная цифровая идентичность (Self-Sovereign Identity)
Эта отрасль мне ближе. Всё перечислять не буду, но примеры приведу.
Sovrin / Hyperledger Indy (AnonCreds) – глобальный некоммерческий проект Sovrin Foundation запустил в 2018 г. публичную SSI-сеть Sovrin, на базе которой многие организации строят системы цифровых удостоверений. В Sovrin/Indy реализованы анонимные удостоверения с помощью ZKP: пользователь хранит аттестованные данные (например, удостоверение личности) и при необходимости предъявляет доказательство необходимых аттрибутов, а не сами данные.
Sovrin использовал схему zk-SNARK-like ZKP(протоколы CL и Idemix) для того, чтобы верификатор мог убедиться в подлинности данных, не получив эти данные напрямую.
Эта технология позволила избежать коренного изъяна традиционных цифровых ID – избыточного сбора персональных данных – и при этом базово она отвечает принципам GDPR по минимизации раскрытия информации.
Совместно с Hyperledger Aries (протокол общения) и Ursa (криптобиблиотека) Sovrin заложил основу множества SSI-пилотов: от программ университета MIT по цифровым дипломам до проектов правительств Канады, Финляндии и др. Sovrin продемонстрировал, что ZKP для всех – реально: любой может воспользоваться библиотеками, чтобы встроить поддержку анонимных доказательств в свои приложения.
Поэтому это такой себе переход от Web2 к Web3.
Polygon ID / iden3 – коммерческое решение на стыке блокчейна и SSI. Polygon ID был публично запущен в 2023 г. как децентрализованная платформа идентичности на Zero-Knowledge доказательствах. Его особенность – ориентированность на Web3: интеграция с Ethereum-смарт-контрактами, набор SDK для разработчиков dApps.
С Polygon ID пользователи могут получать верифицируемые креденшлы от проверенных организаций (например, KYC-провайдеров, вузов) и затем генерировать ZKP для взаимодействия со смарт-контрактами вместо передачи данных.
Например, DeFi-протокол может требовать от участника доказательство «этот кошелек прошел KYC и не из США», которое пользователь предъявит в виде ZK-доказательства, не раскрывая ни имени, ни страны.
Polygon ID утверждает, что стал первой ID-платформой, где все хранится локально у пользователя, а проверка аттрибутов происходит через ZKP. Код Polygon ID тоже открыт (проект iden3).
Десятки партнеров объявили об интеграции Polygon ID: например, платформа для DAO Collab.Land (4 млн пользователей) и система KYC Fractal. Но что и как теперь - не ясно: надо изучать, а времени пока нет.
(Другой вектор ZK там закрылся по сути: zkEVM Polygon имею ввиду).
Worldcoin (World ID) – "амбициозный проект глобальной цифровой идентичности". Да, и крайне страшный.
World ID – proof-of-personhood система, подтверждающая, что пользователь – реальный уникальный человек, с помощью сканирования радужки. ZKP здесь используются, чтобы соблюсти приватность: каждый участник получает идентификатор в виде хэша биометрических данных, добавленный в Меркл-дерево всех идентификаторов.
При подтверждении личности (например, для голосования или получения разового бонуса) приложение генерирует доказательство с нулевым знанием, что «Я принадлежу списку зарегистрированных людей и еще не использовал право X», не раскрывая свой идентификатор.
В ZKP Worldcoin включены механизмы, гарантирующие уникальность: через Merkle-проверку удостоверяется членство в множестве (верифицированный человек), а с помощью nullifier доказывается, что данный контекст (например, голосование Y) ещё не использован этим пользователем.
Такая конструкция позволяет реализовать анонимную голосовалку или UBI-систему, где честные участники не «светят» свою биометрию, но система предотвращает обход ограничения «одно лицо – один голос/бонус».
Worldcoin – спорный проект, но технологически он демонстрирует мощь ZKP в решении ранее нерешаемой задачи глобальной уникальной идентичности.
KILT Protocol и другие SSI-стартапы. В экосистемах Polkadot, Cosmos также появляются решения SSI на ZKP. KILT – parachain, где пользователи могут создавать дипломы, удостоверения и предъявлять доказательства их валидности.
Lighthouse (стартап из Эстонии) работает над ZK-паспортом вакцинации. Многие проекты (Civic, Bloom и др.) заявляют о планах внедрения ZK для улучшения приватности в идентификационных сервисах.
Всё это для меня указывает на общий тренд: Selective disclosure (селективное раскрытие) через Zero-Knowledge "скоро станет стандартом в цифровой идентификации, вытеснив копирование документов и передачу лишних данных".
Решения уровня L2 и масштабирование блокчейнов
Без них обойтись не могу, поэтому...
StarkWare (StarkEx, StarkNet) – пионер применения zk-STARK для масштабирования.
StarkEx – движок L2, работающий с 2020 г., используется биржами dYdX (в прошлом), Immutable X, Sorare и др. Он позволяет проводить расчёты (торги, трансферы) off-chain и периодически публиковать на Ethereum сжатое доказательство STARK, подтверждающее все изменения балансов. Текущая версия StarkEx обрабатывает тысячи транзакций в секунду с низкими комиссиями.
StarkNet – публичная общая L2-сеть (запущена в 2022 г.), поддерживающая смарт-контракты на языке Cairo. StarkNet делает ставку на масштабируемость без компромисса безопасности: все вычисления происходят вне Ethereum, но их корректность доказывается STARK-доказательством, проверяемым смарт-контрактом на L1.
Преимущество – отсутствие доверия к операторам (даже если они злонамеренны, они не смогут создать валидное доказательство неправильного состояния).
Поэтому моя ставка за счёт AirDrop выкупить как можно больше дешёвых токенов и держать как можно дольше.
Проекты Scroll, Polygon Miden и zkSync 2.0 – аналогичные инициативы, но StarkNet выделяется применением STARK (остальные используют SNARK). Благодаря прозрачности STARK (нет trusted setup) StarkNet привлекательна для разработчиков, хотя доказательства больше по размеру.
На конец 2024 - начало 2025 г. StarkNet ещё раз повысил производительность (ввод рекурсивного STARK, агрегирующий блоки доказательств), чтобы достичь тысяч TPS. Но эта игра мне не так важна.
Matter Labs zkSync Era – одно из первых EVM-совместимых ZK-решений.
Запущена в 2023 г., zkSync Era(ранее zkSync 2.0) предлагает смарт-контракты на Solidity/Vyper, которые автоматически интегрируются в ZK-роллап. zkSync использует модифицированный протокол SNARK (Plonkish) и поддерживает функцию Atomic Swap в ZK, позволяя сложные многокомпонентные транзакции.
Отличительной особенностью является план Hyperchains – сеть из многих ZK-роллапов, которые могут объединяться в дерево, масштабируя производительность еще дальше.
Команда Matter Labs также акцентирует внимание на сообществе с открытым исходным кодом: язык Zinc, SDK, документация – всё доступно, и многие проекты уже развернули контракты в zkSync Era (например, Curve, Uniswap портировали свои протоколы).
Это демонстрирует, что "ZK-роллап может быть пригоден для широкого круга DApp, а не только для простых переводов". Но пока ZK токен, как и STRK - не блещет, конечно. Но храню.
Polygon zkEVM – решение от команды Polygon (ранее Hermez Network), полностью совместимое с Ethereum (EVM-байткодом). Закрыто дефакто решение как проект.
При этом mainnet (beta) запустили только в марте 2023 г. И, цитирую: "Polygon zkEVM позволяет разработчикам перенести приложения без изменений, получая ~90% сокращение комиссий. Основой служат доказательства SNARK (на основе PLONK и улучшений). Важно, что Polygon zkEVM прошёл внешние аудиты и имеет поддержку от Ethereum Foundation (часть кода – исходно разработан EF в проекте zkEVM Proto-Danksharding). Это добавляет доверия к технологии. К середине 2025 г. ожидается выход из беты с полным переходом на децентрализованных sequencer-узлов. Polygon активно развивает экосистему: программы грантов, инструменты (например, плагин для Hardhat) – все для ускорения принятия zkEVM. Успех этого проекта покажет, насколько готовы ZK-роллапы заменить существующие решения на основе sidechain и optimistic rollup".
Loopring и остальные ZK-DEX – Loopring в 2019 г. первым внедрил концепцию ZK-rollup для биржи: ордера обрабатывались off-chain, а цепь Ethereum видела только доказательства исполнения торгов и обновления балансов. Это дало возможность трейдить с почти нулевой комиссией, не раскрывая подробности ордербука на chain (частично, так как сами ордера были публичны, но средства лежали в «свернутом» контракте).
Loopring и сейчас работает, поддерживая тысячи пользователей. Но дела пока не в гору идут по ряду показателей.
Другой пример – dYdX (v3): в 2020–2021 гг. популярная децентрализованная биржа dYdX функционировала на StarkEx, обрабатывая сотни сделок в секунду с итоговыми ZK-доказательствами на Ethereum. Хотя dYdX решила перейти на независимую сеть, её опыт по сути подтвердил, что ZK-пруфы достаточны для высокочастотной торговли.
Отдельного упоминания заслуживает Aleo: это L1-блокчейн , который приватен по умолчанию. Aleo предлагает свой язык Leo для написания «приватных приложений», где логика выполняется off-chain, а на блокчейн выкладывается доказательство правильности и хеш результатов.
Таким образом, вся сеть Aleo – это платформа для ZK-приложений (игры, DeFi, мессенджеры) с полной приватностью данных пользователей. Это попытка построить «приватный Ethereum» с нуля. Инвесторы вложили >200 млн. $ в проект, ожидая, что за приватностью будущее. Если Aleo удастся реализовать масштабирование и удобство, в течение 5-7 лет он может сформировать вокруг себя экосистему DApp, аналогичную Ethereum, но с нулевым разглашением информации.
См. подробней: https://coinmarketcap.com/currencies/aleo/.
Про Mina Protocol уже рассказал – воплощает интересный подход масштабирования: сжатый блокчейн. Размер всей истории Mina – ~22 Кб, не увеличивается со временем, благодаря рекурсивному zk-SNARK, который генерируется каждый блок и заменяет собой весь предыдущий блокчейн. Это позволило создать "lightweight-сеть", где узлом может быть даже смартфон, проверяющий цепь за миллисекунды.
Концепция Mina перспективна для IoT и широкого распределения узлов, хотя за это приходится платить ограниченной пропускной способностью (пока ~tps единицы).
Тем не менее, идея «завернуть блокчейн в SNARK» может найти развитие и в других сетях (в том числе, Ethereum обсуждает Validity proofs для шардинга). Mina также внедряет функциональность ZK-Oracles: сайты могут выдавать пользователям ZK-доказательства о своих данных (например, доказать на Mina, что у пользователя >1000 фолловеров в Twitter, не раскрывая точное число и список). Это уникальное совмещение off-chain Web2 данных с on-chain приватностью, и, возможно, мы увидим подобные решения и на других блокчейнах.
Приватность в DeFi и финансовых приложениях
Ещё один важный вектор. О нём - тоже краткО.
Tornado Cash – хоть и печально известный теперь, но он остаётся ключевым примером применения ZKP в DeFi.
Это смарт-контракт миксер на Ethereum, запущенный в 2019 г., который позволял пользователям отправлять ETH или токены в пул и затем выводить их на новый адрес, разорвав связьмежду изначальным источником и конечным получателем.
Связующим звеном служил zk-SNARK: при выводе пользователь предъявлял доказательство, что он ранее депонировал в этот пул определенную сумму, но не раскрывал, какой именно депозит принадлежал ему. Контракт проверял доказательство и, если оно верно, выдавал средства, не зная идентичности. Этот подход дал высокую анонимность (весь пул депонировавших одной суммы – как бы одна группа).
Популярность Tornado выросла, но привела к санкциям США в 2022 г. за использование преступниками.
Тем не менее, технологически Tornado – успешный кейс: ZKP-миксеры доказали эффективность. Сейчас ведутся работы над «Tornado 2.0» – privacy pools, обсуждавшимися ранее, где добавят селективное исключение грязных средств.
Также появились ответвления Tornado в других сетях (Blender, Railgun’s pool и др.).
Aztec Network (Aztec Connect) – ещё один проект, нацеленный на приватные взаимодействия с DeFi. Aztec v1(2018) предлагал протокол ZKP для выпуска анонимных токенов и приватных платежей в Ethereum (с использованием range proofs). В 2021–2022 гг. Aztec Connect работал (по сути) как L2-пул: пользователи депонировали средства в L2, внутри L2 могли переводить их друг другу и делать приватные взаимодействия с L1 DeFi.
Например, через мост Aztec Connect можно было внести DAI в протокол Curve анонимно – L1 видел только агрегированные транзакции от имени пула. Это было реализовано через PLONK-доказательства и smart contracts, проверяющие их. Aztec Connect привлек внимание, но в 2023 г. проект решил переключиться на создание полноценных приватных смарт-контрактов (Aztec 3), временно закрыв Connect.
Открытый исходный код Connect доступен, и возможно будет форкнут сообществом.
В перспективе Aztec намерен запустить hybrid ZK-rollup, сочетающий приватные и публичные функции, чтобы разработчики могли строить dApps с избирательной прозрачностью. Если это удастся, Aztec станет уникальной платформой для «приватного DeFi», позволяя реализовать сценарии вроде анонимных DEX, приватных DAO-голосований и т.д. Что-то из этого даже сделано... Но об этом - лучше отдельно и в другой раз.
Railgun – протокол конфиденциальности на Ethereum, запущенный в 2021 г. Railgun – это набор смарт-контрактов, который создает приватный слой поверх любых DeFi-активностей.
Пользователи могут внести средства в Railgun-смарт-контракт, получить анонимный баланс и далее взаимодействовать с DeFi – торговать на DEX, давать займы – через прокси Railgun, скрывая свои адреса.
Внутри Railgun действует механизм zk-SNARK: каждое действие заверяется доказательством, что пользователь обладает необходимыми средствами, не раскрывая его личность или сумму.
Например, для свопа на Uniswap Railgun доказывает, что «У пользователя есть X токенов для обмена», не показывая, кто этот пользователь.
Railgun примечателен тем, что не требует собственного блокчейна или роллапа – это чисто смарт-контрактный ZK-сервис, работающий поверх Ethereum и даже поддерживающий кросс-чейн (есть версия на BSC, Polygon).
В 2023 г. о Railgun много писали из-за одобрения со стороны Виталика Бутерина, назвавшего его «мощным инструментом приватности DeFi». В 2025 году инфоповодов меньше, но случаются :).
Общий объем средств в Railgun (TVL) превышал уже $100 млн, что говорит о пользовательском спросе на приватные транзакции в DeFi.
Проект продолжает развиваться, добавляя Proof-of-Innocence (механизм исключения «грязных» адресов по желанию пользователя) и др. функции.
Manta Network – специализированная приватная DeFi-сеть в экосистеме Polkadot.
Manta – парачейн, предлагающий «plug-and-play» приватность для токенов и приложений. Пользователи могут через мост конвертировать свои Polkadot-активы в приватные версии (zpAssets) на Manta, после чего совершать анонимные трансферы и торги на MantaSwap – встроенной приватной DEX.
В основе Manta – zk-SNARK Groth16: доказательства используются, чтобы подтвердить соответствие между публичными и анонимными баланcами при конвертации и проводить торги без раскрытия адресов.
Команда заявляет цель сделать Polkadot экосистему приватной «с первого принципа». Manta также разрабатывает ZK-авторизацию для межцепных действий через XCM (кросс-чейн коммуникации в Polkadot).
Ещё в.2023 г. Manta запустила продукт MantaPay – простые приватные платежи.
Ожидается, что после полной реализации (2024-2025 гг.) Manta станет решением для всех парачейнов, кому нужна опциональная приватность. Binance Labs, Polychain поддержали проект, что подчеркивает уверенность инвесторов в приватных DeFi-сетях.
Secret Network, Oasis, Findora – хотя технически Secret (SCRT) и Oasis (ROSE) используют TEE (конфиденциальное вычисление на SGX) а не ZKP, их миссия схожа – приватность смарт-контрактов.
При этом Findora (FRA) же сочетает ZKP (например, Adaptative Anonymous ZKP) с обычными UTXO. Поэтому эти проекты менее известны, но экспериментируют с разными подходами к приватным финансам.
Можно ожидать, что лучшие идеи конвергируют: например, Findora внедрила ZK-акселератор на GPU, чтобы ускорить доказательства – это может пригодиться и другим.
В целом, DeFi-приватность – "бурно развивающаяся ниша, где ZKP играют ведущую роль, и конкуренция здесь приведет к появлению более удобных и быстрых решений для пользователей, которые хотят финансовой конфиденциальности".
CBDC и государственные проекты
Завершу на них, т.к. этот оксюморон точно заслуживает отдельного описания.
BIS Project Tourbillon – эксперимент Банка международных расчетов (BIS) в 2023 г., целью которого было исследовать анонимность, безопасность и масштабируемость в дизайне CBDC.
В рамках проекта была построена тестовая система розничной CBDC, где применены передовые PET (privacy enhancing technologies): сочетание слепых подписей на решетках (пост-квант) и Zero-Knowledge доказательств.
Итог: разработчики продемонстрировали «аналог-наличных» режим цифровой валюты – пользователь мог получать монеты и совершать платежи анонимно, без возможности отслеживания.
При этом введены механизмы лимитов и мониторинга: ZKP позволяли подтверждать, что, например, сумма одной анонимной транзакции не превышает X и общее число анонимных транзакций не более Y за период – без раскрытия деталей получателей.
В отчёте BIS отмечено, что Zero-Knowledge Proofs – ключевой инструмент балансирования приватности и требований AML в CBDC.
Хотя это пока опытный образец, он оказал влияние на центробанки: регуляторы увидели, что ZKP могут сделать CBDC приемлемой для общества, обеспокоенного тотальной слежкой.
Цифровой Евро и Digital Dollar (проекты ЕЦБ, ФРС) – европейский центральный банк в 2022–2023 гг. активно изучал варианты приватности для будущего Digital Euro. Второй (доллар) к 2025 г. потерял актуальность, а вот первый (евро) - нет.
Один из сценариев, обсуждаемых ЕЦБ, – offline-записи до определенной суммы (например, до 50 €, как наличные).
Другой – ZKP для доказательства легальности средств. Эксперты ЕЦБ совместно с технологами (из Франции, Германии) предложили концепцию: пользователь генерирует доказательство нулевого знания, что его кошелек не превышает лимит анонимного хранения и не в черном списке, и может транслировать транзакцию без раскрытия личности.
ЕЦБ отмечает, что для суммы, не превышающей лимит, может быть реализована полная анонимность, а сверх лимита – требуется идентификация.
Для этого в уравнение вступают ZK-доказательства или доверенные посредники. Федеральный Резерв (США) более консервативен, но Project Hamilton (MIT+Boston Fed) второй фазы тоже собирается рассмотреть криптографические методы приватности, включая ZKP, чтобы внедрить selective disclosure для правоохранителей. Но это всё пока на воде вилами...
В общем, тема ZKP в CBDC становится из теоретической – прикладной: центральные банки хотят убедиться, что смогут дать гражданам «цифровые наличные» без рисков.
Вероятно, уже через 2–3 года увидим (или через 5-10 лет??) первые пилотные запуски с элементами ZKP: например, Цифровой фунт (Bank of England) может ограниченно использовать zk-SNARK для анонимности мелких платежей (BofE в своем отчёте 2023 тоже упоминал PET, включая ZKP).
Если/когда эти пилоты пройдут успешно и не будут злоупотреблены, можно ожидать новых стандартов: возможно, BIS или IMF выпустят рекомендации по использованию ZKP в CBDC для всех стран.
HSBC e-HKD+ trial (Гонконг) – в 2022–2023 гг. в Гонконге шли расширенные пилоты цифрового HKD (e-HKD). HSBC в частности исследовал возможность использования публичных блокчейнов (Ethereum, Polygon, Arbitrum) для выпуска розничной CBDC с сохранением приватности транзакций.
В рамках экспериментов HSBC создал приватную сеть на Hyperledger Besu для токенизации e-HKD и затем проводил транзакции в разных режимах.
Главной задачей была «private payments in a public environment» – то есть транзакции e-HKD на публичном блокчейне, но без раскрытия деталей. Для этого банк тестировал Privacy-Enhancing Technologies (PET) и децентрализованную идентичность.
Хотя детали не раскрыты публично, очевидно, что речь идет об использовании либо ZKP, либо TEEs для шифрования сумм/адресов. HSBC пообещал раскрыть больше технических деталей к концу 2025 г., но уже известно, что регулятор HKMA отложил широкое внедрение e-HKD, пока технологии приватности не «дозреют».
Это прямо указывает: "сейчас многие хотят использовать публичные блокчейны, но не хотят публично светить все транзакции, ожидая решения от ZKP".
Другие проекты. В 2023 г. Бразильский Центральный банк приостановил запуск своей wholesale-CBDC DREX, заявив, что ждет появления надежных средств приватности на смарт-контрактах (привет ZKP).
Проект Enigma (Израиль) – тестировал межбанковские расчеты с приватностью. CBDC Китая (цифровой юань) – пока фокусируется на контролируемой анонимности через централизованные меры, но китайские исследователи также публикуют статьи о ZKP.
Национальные системы цифрового идентификатора (например, Индия, ОАЭ) рассматривают ZKP для межведомственного обмена данными: чтобы одно ведомство могло проверить у гражданина наличие прав без раскрытия деталей (водительские права, налоговая декларация – через ZKP).
В сумме получаем, что государственный сектор движется осторожно, но все более очевидно, что ZKP станет ключевым элементом «цифрового суверенитета» – позволит странам внедрять цифровые услуги, сохраняя доверие граждан путем гарантированной криптографией приватности.
Это не значит отсутствие контроля – напротив, через ZKP контроль может осуществляться точечно (как мы видели с примерами AML). Если эти тенденции продолжатся, через 5 лет мы увидим гибридные системы: к примеру, цифровой паспорт, который при проверке граничником предоставляет ZK-доказательство «виза действительна и билет оплачен», не показывая все путешествия гражданина. Это поменяет ландшафт взаимодействия личности и государства, и ZKP в этом сыграет фундаментальную роль.
Заключение
Zero-Knowledge Proofs прошли путь от теоретических разработок 1980-х до must-have технологии 2020-х, решающей насущные проблемы приватности и масштабируемости.
Сегодня zk-SNARKs и zk-STARKs обеспечивают анонимность криптовалютных транзакций, помогают обрабатывать миллионы операций в блокчейнах, защищают цифровые удостоверения личности.
Развитие продолжается ускоренными темпами: новые протоколы устраняют доверие, повышают скорость, упрощают внедрение.
В ближайшие годы ZKP, по сути, станет краеугольным камнем доверия в цифровом мире, позволяя реализовать принцип «не доверяй, а проверяй» во всех сферах – от финансов до государственного управления. Как отмечено в одном из исследований, масштабируемые решения на ZK-пруфах переживут взрывной рост по мере развития регуляций и растущего запроса пользователей на защиту приватности.
Индикаторы этого для меня – миллионы инвестиций в ZK-стартапы, поддержка от сообществ (Ethereum, Polkadot, Hyperledger) и интерес правительств.
Таким образом, Zero-Knowledge Proofs из нишевой «математики для криптоэнтузиастов» превращаются в основу новой парадигмы интернета и финансов, где приватность и прозрачность наконец достигают баланса, а безопасность не требует слепого доверия.
ZKP открывает эру, в которой мы сможем пользоваться прогрессивными цифровыми сервисами без страха за свои данные, и это, возможно, один из самых значимых сдвигов в цифровой цивилизации за последние десятилетия.