スマートコントラクト・プライバシー研究 Deep Dive

既存研究の理論詳細と現状課題を深く掘り下げる。Hawk から ZEXE 系譜、zkay/ZeeStar 言語アプローチ、KACHINA UC フレームワーク、Ekiden/Sapphire の TEE 系、SmartFHE/fhEVM の FHE 系まで、設計トレードオフと未解決問題を 25+ 論文で解剖。

ZK approach TEE approach FHE approach UC framework DSL / Compiler Open problems
25+収録論文
8タブ構成
4主要アプローチ
6大課題
2016→2025研究系譜
6SVG 図解

01スマートコントラクト・プライバシーの 4 アプローチ

スマートコントラクトに「秘密」を持ち込む方法は大きく 4 系統に分かれる。ZK(証明可能秘匿)、TEE(ハードウェア隔離)、MPC(分散秘密計算)、FHE(暗号化計算)。それぞれ trust assumption・性能・成熟度・適用領域が異なり、単一の「正解」は存在しない。本ページでは各アプローチの理論的核と現状の壁を解剖する。

決定木: あなたのユースケースはどれを選ぶべきか

SC プライバシーが必要 ? ├── 計算ロジック自体を秘匿したい ? │ ├── YesFHE (SmartFHE / fhEVM) or TEE (Ekiden / Sapphire) │ │ // ロジック非公開・暗号化状態演算 │ └── No何を秘匿したい ? │ ├── State 秘匿 ────→ ZK + commit (Hawk / ZEXE) │ ├── 入出力のみ ────→ ZK + commit-reveal (Zether / Penumbra) │ └── 当事者間のみ ──→ MPC (Insured-MPC / Kaleidoscope) │ ├── DSL レベルで宣言したい ? │ └── Yeszkay (CCS'19) / ZeeStar (S&P'22) / Eagle / Seahorse │ ├── 複数 protocol の Composability が必要 ? │ └── YesKACHINA UC framework (CSF'21)// 形式化のみ — instantiation はほぼ未実装 │ └── 監査・規制対応が必須 ? └── Yesselective disclosure + Compliance Manager // Privacy Pools / zkLedger / Derecho 系

注: 決定木は単純化したヒューリスティクス。実際は脅威モデルとガス予算で再評価する。

4 アプローチの比較表

アプローチTrust Assumption性能 (秘匿1演算)成熟度典型応用代表実装
ZK Trustless
(setup次第)
~100k–1M gas
~1–60s prover
Production shielded pool, mixer, private DEX Aztec / Penumbra / Tornado
TEE HW vendor信頼
(SGX/SEV)
~native (10x) Production EVM秘匿実行、機密DEX Oasis Sapphire / Phala / Secret
MPC honest-majority
or t-of-n
3–100x slower Pilots auction, OTC, dark pool Renegade / Partisia
FHE Trustless
(LWE仮定)
10⁴–10⁶x slower Research blind computation, FHE-MEV Zama fhEVM / SmartFHE
Hybrid 各方式に依存 状況依存 Emerging compliance + privacy Privacy Pools / Derecho

Trust ↔ Performance の散布図

← Trust 信頼度 (右ほどtrustless) ← 性能 (上ほど高速) 高速 × 信頼必要 理想領域 遅い × 信頼必要 遅い × Trustless TEE Sapphire/Phala MPC Renegade ZK Aztec/Penumbra FHE fhEVM/SmartFHE Hybrid Pareto frontier

図1: Trust × Performance トレードオフ。理想領域 (右上 = trustless × 高速) は誰も到達していない。Hybrid (中央) はパッチワークで近づく試み。

各アプローチの詳細プロパティ

ZK (Zero-Knowledge)

証明者が「ある計算が正しく行われた」ことだけを公開し、入力・中間状態は秘匿。

trustless prover slow verifier fast circuit設計困難

適用: shielded payment、mixer、private DEX、auction。
限界: ロジック自体は公開、相互作用 (composability) は研究中。

TEE (Trusted Execution Environment)

CPU内の隔離領域 (Intel SGX, AMD SEV) で計算し、attestation で正当性を証明。

HW vendor信頼 native速度 EVM互換可 side-channel

適用: confidential L1 (Sapphire)、機密 DEX、AI推論。
限界: SGX攻撃 (Foreshadow, ÆPIC, SGAxe) で過去複数回致命的破綻。

MPC (Multi-Party Computation)

複数ノードが秘密分散した入力で関数を共同計算。閾値仮定下でtrustless。

t-of-n仮定 通信コスト大 UC合成可 参加者調整必要

適用: dark pool matching、auction、co-signing。
限界: 参加者集合がdynamicな場合、reshareが重い。

FHE (Fully Homomorphic Encryption)

暗号文のまま加減乗除を実行。ノードはplaintextを見ずに計算結果暗号文を得る。

trustless 10⁴-10⁶x遅い bootstrap重い DSL未成熟

適用: blind auction、privacy-preserving ML、FHE-MEV。
限界: 128-bit比較で5-10秒(CPU)、本番gas予算で実用化困難。

重要観察 — 「銀の弾丸はない」

2026年現在、4 アプローチのいずれも「trustless かつ high-performance かつ fully composable かつ auditable」を同時に満たさない。実用 SC privacy は常にハイブリッドであり、設計者は「何を捨てるか」を明示的に選ばなければならない。

02Hawk → ZEXE → VeriZEXE 系譜

ZK ベース SC プライバシーの主流系譜。2016 年の Hawk が「private contract」概念を導入し、2020 年の ZEXE が trustless decentralized private computation (DPC) に拡張、2023 年の VeriZEXE が verifier 効率化を達成。三世代の進化を数式・回路・gas コストで追う。

系譜タイムライン

Hawk S&P 2016 Kosba et al. trusted manager private contract 概念 trustless化 ZEXE S&P 2020 Bowe, Chiesa, Green, Miers, Mishra, Wu birth-death predicate DPC モデル verifier最適化 VeriZEXE USENIX 2023 Xiong, Chen, Zhao, Wang, Long on-chain verifier 簡素化 proof aggregation DSL統合 / recursion Next? composable DPC + KACHINA

図2: 7年スパンの ZK SC privacy 系譜。各世代は前世代の核心限界 (trusted manager → 重い verifier → 単独 protocol) を解消してきた。

Hawk (Kosba, Miller, Shi, Wen, Papamanthou — IEEE S&P 2016)

Hawk のモデル

private contract」を初めて形式化した論文。スマートコントラクト C は次の二部構造を持つ:

C = (C_priv, C_pub) where C_priv = (在 manager 下) 秘密入力 → 出力 commitment C_pub = (在 chain 上) commitment 検証 + 公開状態遷移

Manager: trusted な off-chain entity。参加者は自分の入力 x_i を manager に暗号化送信、manager は f(x_1,…,x_n) を計算し、結果を ZK 証明付きで chain に投稿する。

性質:

Hawk の限界

Hawk が残した遺産: 「private contract = on-chain commitment + off-chain compute + ZK proof」という基本パターンを確立。後続 (Ekiden, Zexe, Aztec Connect) はすべてこのテンプレートの変種。

ZEXE (Bowe, Chiesa, Green, Miers, Mishra, Wu — IEEE S&P 2020)

Decentralized Private Computation (DPC)

ZEXE は Hawk の trusted manager を排除し、純粋 trustless な private computation を実現した。中核概念は record: 各 record r は (payload, birth_predicate Φ_b, death_predicate Φ_d) を持ち、その「一生」を ZK で証明する。

record r = (data, Φ_b, Φ_d, sn, cm, ρ) data : payload (任意 bytes) Φ_b : birth predicate (誕生時に満たすべき条件) Φ_d : death predicate (消費時に満たすべき条件) sn : serial number (double-spend防止) cm : commitment (chain 上に登録) ρ : randomness state transition: ∃ r_in_1, ..., r_in_m, r_out_1, ..., r_out_n : ∀i. Φ_d(r_in_i) holds AND ∀j. Φ_b(r_out_j) holds AND custom_predicate(r_in, r_out, aux) holds

Predicate Language (pl): predicate は arbitrary な NP 関係。これにより任意の private state machine を定義可能 (private DEX、private auction、private voting すべて)。

ZEXE の貢献

  • 世界初の trustless DPC 形式化
  • predicate モデルで任意計算を表現
  • UC-secure な構成証明
  • Recursive SNARK (Groth16 + BCTV14) の実装
  • shielded transactions の一般化

ZEXE の限界

  • 巨大な回路 — 単一 tx で 5M+ constraint
  • Prover 重い — 数十秒〜数分
  • Verifier 重い — 数百万 gas、Ethereum で実用困難
  • Trusted setup — pp が universal でない
  • Predicate設計が複雑 — 普及せず

VeriZEXE (Xiong, Chen, Zhao, Wang, Long — USENIX Security 2023)

VeriZEXE の改善

ZEXE の最大の壁「on-chain verifier が重すぎて Ethereum で動かない」を解決。三つの工夫:

  1. Verifier 簡素化: BLS12-381 での pairing-based verification を最適化、verifier gas を ZEXE 比 ~10x 削減
  2. Proof aggregation: 複数 tx の proof を一つに集約。バッチ検証で amortized cost が低下
  3. UC-secure な再構成: ZEXE の証明をより明示的な UC-formulation で再記述

ベンチマーク (paper より): Ethereum mainnet 想定で、tx あたり ~250k gas で verify 可能。ZEXE 原論文の ~2.5M gas と比較して桁違いに改善。

VeriZEXE の残存課題

三世代の数式比較

項目Hawk (2016)ZEXE (2020)VeriZEXE (2023)
Trust model trusted manager trustless trustless
計算抽象 (privateF, publicF) birth-death predicate birth-death + aggregation
ZK system SNARK (libsnark) Groth16 + BCTV14 (recursive) Plonk-like + aggregation
Setup per-contract per-predicate (universal) universal SRS
Prover time ~30s (報告) ~60s (5M constraints) ~20s (集約後)
Verifier gas impractical ~2.5M gas ~250k gas
Composability なし predicate 内のみ predicate 内のみ
実装状況 PoC のみ aleo の前身 研究実装

典型的 birth-death predicate の擬似コード

// ZEXE における private payment の predicate 擬似コード
predicate PaymentBirth(record r) {
  assert r.data.amount >= 0;
  assert r.data.owner_pk != 0;
  return true;
}

predicate PaymentDeath(record r, witness w) {
  // 所有権の証明
  assert verify_signature(r.data.owner_pk, w.sig, r.cm);
  return true;
}

tx Transfer(in: [r1, r2], out: [r3, r4]) {
  assert sum(in.data.amount) == sum(out.data.amount);  // 保存則
  assert PaymentDeath(r1) and PaymentDeath(r2);
  assert PaymentBirth(r3) and PaymentBirth(r4);
  // すべて ZK proof π で証明
}

03言語アプローチ — DSL / Compiler 設計

ZK 回路の手書きは熟練者でも数週間かかる作業。zkay (CCS 2019) を皮切りに、Solidity ライクな DSL から ZK 回路を自動生成する言語アプローチが台頭した。所有権アノテーション、暗号化変数、自動 proof 生成といった抽象化により、ZK 経験ゼロの開発者が private SC を書けるようにする試み。

DSL 進化マップ

zkay CCS 2019 Steffen et al. (ETH) @owner annotation single-owner var ZeeStar S&P 2022 Steffen, Bichsel, Vechev multi-owner homomorphic op Eagle 2023 efficiency-focused circuit reduction cost-aware compile Seahorse 2023+ FHE × MEV (Solana) 混在計算 encrypted+normal tx 表現力 最適化 FHE 統合

図3: DSL アプローチの進化。zkay (基本概念) → ZeeStar (一般化) → Eagle (効率) → Seahorse (FHE 統合)。

zkay (Steffen, Bichsel, Schläpfer, Vechev — CCS 2019)

zkay の中核アイデア: @owner アノテーション

変数に「誰が所有するか」を型レベルで宣言。compiler は所有者間の暗号化境界を解析し、必要な ZK proof を自動生成する。

// zkay の擬似コード例
contract PrivateAuction {
  final address seller;
  mapping(address => uint@me) bids;  // 各 bidder のみ自分の bid を見える
  uint@seller best_bid;                  // seller のみ最高入札を見える

  function submit_bid(uint@me amount) {
    bids[me] = amount;
    if (reveal(amount > best_bid, seller)) {
      best_bid = amount;  // re-encrypt for seller
    }
  }
}

compiler は reveal() で要求される比較を ZK 回路に変換し、変数の暗号化境界を type system で保証する。

zkay の貢献

  • 世界初の Solidity-like privacy DSL
  • Type system による non-interference 保証
  • NIZK 自動生成 (libsnark backend)
  • 形式 semantics 定義 (CCS proceeding)

zkay の限界

  • Single-owner のみ — multi-party 計算不可
  • 表現力制限 — loop, dynamic owner 困難
  • 追試報告少 — production deployment 0
  • 暗号化オーバーヘッド大 — 各 var で ElGamal

ZeeStar (Steffen, Bichsel, Vechev — IEEE S&P 2022)

ZeeStar = zkay の一般化

zkay の「single owner」制約を撤廃し、multi-owner 状態と homomorphic operations をサポート。複数の所有者が暗号化された値を加算・比較するシナリオを記述できる。

主な拡張:

compiler architecture: AST → ZK IR → Circom-like circuit → Groth16 proof。

ZeeStar の残存課題

Eagle / Seahorse — 効率と統合への試み

Eagle

zkay/ZeeStar の compile 効率に着目。回路サイズを 削減するための制約推論・ dead code elimination・回路 reuse を実装。

貢献: 同等プログラムで回路 constraints を 30–60% 削減 (報告)。

限界: 言語表現力は zkay レベルにとどまる、本番採用なし。

Seahorse

Solana × FHE を意識した DSL。encrypted txnormal tx を一つの program 内で混在記述できる。MEV 緩和のための encrypted mempool との連携を想定。

貢献: FHE primitive を Solana program に Rust-like syntax で組み込み。

限界: FHE の根本的遅さ (秒オーダー) は変えられない、デバッグツール未成熟。

DSL コンパイルパイプライン

DSL Source .zkay / .zeestar parse Typed AST + owner annot. analyze ZK IR priv/pub split compile R1CS / Plonk Circom-like prove on-chain π + Solidity stub ⚠ 各段で 2–10x の inflation が起こり、最終回路は手書きの 5–50x になる

図4: DSL コンパイルパイプライン。各段で回路 inflation が積み重なり、最終的に手書き比 5–50x のサイズになるのが現状の最大課題。

04UC フレームワーク — KACHINA

単独の private SC を作るのは可能でも、複数の private SC が互いに呼び合うとき安全性は維持されるか。Universal Composability (UC) は Canetti が提唱した形式手法だが、SC privacy への適用は KACHINA (CSF 2021) で初めて達成された。理論は美しい、しかし具体的 instantiation はほぼゼロ — これ自体が大きな研究機会。

KACHINA (Kerber, Kiayias, Kohlweiss — CSF 2021)

KACHINA の目的

「private smart contract 同士を組み合わせても、全体の機密性・正確性が保たれる条件」を形式化する。Canetti の UC framework を blockchain × privacy 文脈に拡張。

核心アイデア:

  1. Ideal contract functionality 𝓕_C を定義 — 理想化された privacy preserving SC
  2. 実装 protocol π が 𝓕_C を UC-emulate する条件を形式化
  3. 合成定理: 𝓕_C を UC-emulate する任意の π たちは、組み合わせても全体として理想化を emulate
∀ 環境 𝓩, 攻撃者 𝓐: EXEC[π, 𝓐, 𝓩] ≈ EXEC[𝓕_C, 𝓢, 𝓩] where 𝓢 is a simulator

KACHINA の意義

理論的価値

  • 合成可能性保証 — 個別検証で全体安全
  • 形式手法ベース — 監査者が proof を確認可能
  • blockchain 抽象化 — ledger functionality を含む
  • privacy + correctness を同時保証

実用上の壁

  • 具体的 instantiation がほぼゼロ
  • AMM, mixer, lending への適用例なし
  • KACHINA-secure な ZEXE/Hawk 拡張は未公開
  • tooling (proof checker, IDE) ゼロ
  • 研究者が 10 人以下と推定

KACHINA を実装するための研究機会

未着手のテーマ群 (高インパクト)

UC framework と従来 game-based モデルの比較

項目Game-based (従来)UC (KACHINA)
攻撃者モデル 固定 game challenger 任意の environment 𝓩
合成性 保証なし 合成定理で保証
複数 protocol 連携 個別再証明必要 自動的に合成
記述コスト 低い 数倍〜10x
tooling EasyCrypt 等 ほぼ無し
SC への適用例 多い (Hawk, ZEXE 部分的) KACHINA 論文のみ

KACHINA のアーキテクチャ概念図

Environment 𝓩 (任意の文脈) 𝓕_LEDGER (blockchain abstraction) 𝓕_C1 (private) e.g., AMM 𝓕_C2 (private) e.g., Lending cross-call (UC-secure) Adversary 𝓐 controls some parties Simulator 𝓢 ≈ EXEC indistinguishable UC emulation

図5: KACHINA のアーキテクチャ。複数の private SC (𝓕_C1, 𝓕_C2) が ledger と cross-call し、全体が adversary 𝓐 に対して simulator 𝓢 で UC emulate される構成。

05TEE 系 — Ekiden / Phala / Oasis Sapphire

Trusted Execution Environment (TEE) は CPU 内の暗号化メモリ領域 (Intel SGX, AMD SEV) で計算を実行し、attestation で正当性を証明する技術。「計算は速い、しかし HW vendor を信頼しなければならない」 という根本トレードオフを抱える。Ekiden が学術的基盤を、Sapphire / Phala / Secret Network が production 化を担う。

Ekiden (Cheng, Zhang, Kos, He, Hynes, Johnson, Juels, Miller, Song — IEEE EuroS&P 2019)

Ekiden の設計

計算と consensus を分離する off-chain TEE compute + on-chain commitment モデル。世界初の本格的「TEE × blockchain」アーキテクチャ提案。

役割分担:

tx flow:

  1. User が暗号化 input を Compute Node に送信
  2. Compute Node が SGX 内で復号 → 計算 → 結果暗号化
  3. 結果 + attestation を Consensus Node に提出
  4. Consensus Node が attestation 検証 → ledger に commit
Ekiden の限界 — TEE 攻撃の現実

SGX は過去 7 年で複数の致命的攻撃を受けた:

これらは 論文では「seal-of-trust」とされた enclave を実質破壊した。Intel は SGX 12世代以降廃止 (consumer)。Ekiden は学術的価値は高いが、SGX 単独信頼の脆弱性が顕在化。

Oasis Sapphire — production EVM-compatible confidential L1

Sapphire の特徴

Ekiden の系譜上の production deployment。EVM 互換でありながら、状態と calldata が TEE 内で暗号化される confidential L1。

developer ergonomics は ZK 系と比較して 圧倒的に高い: ZK 回路設計不要、デバッガ使える、既存ツールチェイン (Hardhat, Foundry) 流用可。

Phala / Secret Network

Phala Network

Polkadot 系の TEE chain。Phat Contract と呼ばれる off-chain SC を SGX 内で実行。AI/Web2 統合 (HTTPS 呼び出し) を売りにする。

差別化: 任意 HTTP リクエストを enclave 内から発行できる「oracle」的役割。

Secret Network

Cosmos SDK ベース、最も古い production TEE chain (2020)。Secret Contracts は CosmWasm + SGX。

事件: 2022 年に viewing key 漏洩、過去 tx 全 plaintext 化。TEE 信頼仮定の脆弱性を実証してしまった。

TEE vs ZK の根本比較

項目TEE (Sapphire)ZK (Aztec / Penumbra)
Trust modelHW vendor + side-channel resistancecryptographic (LWE / DL / pairing)
性能native ~10xprover 1–60s
EVM 互換性高 (既存 Solidity 動く)低 (専用 DSL 必要)
監査性attestation log 経由proof で公開検証
破綻時の影響過去 tx 全 plaintext 化リスクforward secrecy あり
developer ergonomics高 (Hardhat/Foundry)低 (Circom/Noir 学習)
実用採用Sapphire/Phala/Secret 稼働中Aztec/Penumbra 稼働中
TEE 派の本音

TEE 派は「ZK は 100x 遅い、developer は learn 不可、production 使えない」と主張。ZK 派は「TEE は trust 仮定が暗号学的に正当化できない、Intel に依存」と主張。両者とも正しい。本質的にトレードオフなので、設計者は脅威モデルで選ぶしかない。

06FHE 系 — SmartFHE / Zama fhEVM

Fully Homomorphic Encryption は理論上「完璧な privacy」を提供する: 暗号文のまま任意計算可能、誰も plaintext を見ない、HW 信頼不要。しかし 10⁴–10⁶ 倍遅い。SmartFHE (EuroS&P 2023) が SC 統合の理論を、Zama fhEVM が実装を進めるが、本番 gas 予算とは桁違いの差が残る。

SmartFHE (Solomon, Almashaqbeh — EuroS&P 2023)

SmartFHE の設計

EVM の precompile として FHE op を提供する提案。TFHE スキーム (Chillotti et al.) ベースで、gate-by-gate に bool 演算を行う。

提案された precompile:

// SmartFHE precompile addresses (proposal)
0x80: FHE_AND(c1, c2)    → c1 ∧ c2  (~1ms gate)
0x81: FHE_OR(c1, c2)     → c1 ∨ c2
0x82: FHE_XOR(c1, c2)    → c1 ⊕ c2
0x83: FHE_NOT(c1)        → ¬c1
0x84: FHE_BOOTSTRAP(c)   → noise refresh (~10ms)
0x85: FHE_DECRYPT(c, sk) → plaintext (off-chain)

Solidity 上では euint8, ebool といった暗号化型を導入し、通常の演算子で書ける UX を目指す。

SmartFHE の現状: ほぼ proposal-only

Zama fhEVM — production への挑戦

Zama fhEVM のアーキテクチャ

TFHE-rs ベースの EVM 互換 chain。Solidity から FHE primitive を直接呼べる:

// Zama fhEVM での暗号化型の使用例
import "fhevm/lib/TFHE.sol";

contract PrivateAuction {
  mapping(address => euint32) bids;  // 暗号化整数
  euint32 highest_bid;

  function submit_bid(bytes calldata enc_amount) public {
    euint32 amount = TFHE.asEuint32(enc_amount);
    bids[msg.sender] = amount;
    ebool is_higher = TFHE.gt(amount, highest_bid);
    highest_bid = TFHE.cmux(is_higher, amount, highest_bid);
  }
}

Developer ergonomics: Solidity から透過的に書ける、これは大きな進歩。

性能: 2024 時点で TFHE.gt(euint32, euint32) は CPU で 数十ms〜数百ms、Ethereum の単一 op (~3ns) と比較して 10⁷x オーダーの差。

FHE-MEV — Flashbots / Imperial 概念実証

FHE で MEV を防ぐ

encrypted mempool の延長として、価格情報を暗号化したまま arbitrage を計算する PoC。AMM の reserve、pool 価格、user の slippage tolerance すべて暗号化。

難点:

FHE の根本ボトルネック

128-bit 比較演算の所要時間 (log scale) Plain CPU ~1 ns ZK prove ~10 ms ZK verify ~5 ms TEE ~10 ns TFHE ~5–10 s FHE+bootstrap ~30+ s 1ns 1ms 1s 100s ⚠ FHE は他より 10⁹–10¹⁰ 倍遅い

図6: 128-bit 比較を各方式で実行した時の所要時間。FHE の遅さが圧倒的で、本番 SC で常用するには 10⁴–10⁶x の改善が必要。

FHE がいつ実用になるか

業界の楽観的見積もりでも:

つまり、本格的に 「FHE が EVM の precompile」 になるのは10年後の見通し。それまでは ZK + TEE のハイブリッドが現実解。

07現状課題 — 6 大未解決問題

SC privacy 研究は 10 年経っても production deployment は限定的。「なぜ広まらないか」を 6 つの根本課題に分解し、それぞれの「なぜ難しいか」「既存試み」「研究機会」を整理する。これらは博士テーマや Bug Bounty / Audit business のシーズでもある。

01Composability — 複数 private SC 連携

なぜ難しいか

private SC A の出力を private SC B が消費するとき、A の状態は B から見えない。しかし B の正当性証明には A の状態が必要 — どう証明するか。さらに、A と B が同時に走ると cross-tx leakage (片方の挙動から他方の状態推定) が起こる。

既存試み

KACHINA (CSF 2021) が UC ベース理論を提供。Aztec Connect は「bridge contract」で外部 protocol 連携を回避策的に実装。しかし実用 composable framework は無い。

研究機会

KACHINA を AMM / Lending に instantiate、cross-protocol leakage の定量化、private intent の合成可能性 (CowSwap × privacy)。

02Gas Cost — ZK は 100k+ gas、FHE は 1M+ gas

なぜ難しいか

ZK verifier (Groth16/Plonk) は pairing-heavy で ~250k gas、複雑な回路だと数百万。FHE precompile は単一 gate で 10x 通常 op、整数演算で 1M+ gas。Ethereum の block gas limit (30M) を考えると、純粋 private DApp は 10–30 tx/block で詰まる。

既存試み

VeriZEXE の verifier 簡素化 (10x 改善)、proof aggregation (Halo, Nova で recursion)、L2 でのバッチ化 (Aztec)、precompile EIP (ecAdd/ecMul/ecPairing)。

研究機会

SNARK-friendly hash (Poseidon, Reinforced Concrete)、native field 整数演算、custom gates、ZK-rollup × privacy のハイブリッド設計。

03Developer Ergonomics — 学習曲線が極端

なぜ難しいか

Circom / Noir / Halo2 の習得には数ヶ月。デバッガがない、エラーは「constraint not satisfied」のみ、step debug 不可。Solidity 開発者を ZK 化するには再教育コストが prohibitive。

既存試み

zkay/ZeeStar の DSL アプローチ、Noir (Aztec) の Rust-like syntax、Halo2 IDE、ZoKrates。Sapphire は ZK 不要で Solidity 流用可能 (TEE side)。

研究機会

ZK 回路 step debugger、symbolic execution × constraint solver、AI-assisted circuit synthesis、formal verification × DSL 統合 (Lean/Coq pipeline)。

04State Opacity — 監査者が状態を読めない問題

なぜ難しいか

private SC の状態が「誰にも見えない」場合、規制対応 (AML/CFT)internal audit が成立しない。Tornado.cash 制裁 (OFAC 2022) はこの問題の象徴。完全な privacy は規制との両立が困難。

既存試み

Privacy Pools (Buterin et al. 2023) の association set、selective disclosure (zkLedger)、Compliance Manager パターン (Derecho, ZEBRA)、view key (Zcash)。

研究機会

auditable mixing scheme、threshold view key (t-of-n の auditor 集合)、ZK proof of compliance (regulator が読める証明)、Compliance Manager の標準化

05Auditability — 規制対応との両立

なぜ難しいか

state opacity と表裏一体だが、より具体的に「監査ログをどう作るか」「誰が何を見られるか」の設計問題。複数管轄 (US/EU/JP/SG) で要求が異なる。selective disclosure を間違えると 過大開示が起こる。

既存試み

Ekiden の attestation log、zkLedger の auditable transactions、Sapphire の selective public state、PEReDi (CBDC × KYC)、PARScoin、Coconut credentials。

研究機会

差分プライバシー × audit log、policy-language で disclosure 制御、regulator 視点の formal model、cross-jurisdiction policy enforcement。

06Frontrun Protection — encrypted mempool との組合せ

なぜ難しいか

private SC でも、tx の 順序 がリークすれば MEV bot が攻撃可能。encrypted mempool (Shutter, F3B, Aztec) は順序を秘匿するが、復号タイミングと private state 更新の整合性は未解決。cross-tx leakage (A の暗号化 tx と B の挙動の相関) も定量化されていない。

既存試み

Shutter Network (threshold encryption based)、F3B (Bertrand & Shoshitaishvili 2024)、CoW Protocol の batch auction、Penumbra の sealed-bid auction。FHE-MEV PoC (Flashbots/Imperial)。

研究機会

commit-reveal × private state の整合性証明、cross-tx leakage の定量モデル、time-lock encryption の trustless 化、batch auction × MEV ROI 分析。

未解決課題マトリクス

課題 × アプローチ別 解決状況 課題 ZK TEE MPC FHE DSL 1. Composability × 2. Gas cost × 3. Dev ergonomics × × × 4. State opacity 5. Auditability × 6. Frontrun proof × 凡例: 良好 部分的 × 未解決 注: 各セルは「研究機会の大きさ」とも読める。× が多い課題ほど博士テーマ化しやすい。

図7: 6 大課題 × 4 アプローチのマトリクス。FHE は 4 課題で × — 性能改善まで本格採用は困難。DSL は composability/audit が弱点。

08論文インデックス — 25+ 主要論文

SC privacy 研究の主要論文を、アプローチ別 (ZK / TEE / FHE / MPC / Lang / UC) にカード化。各論文に 著者の貢献limitation今後の課題 を明示。

Hawk: The Blockchain Model of Cryptography and Privacy-Preserving Smart Contracts
2016
Kosba, Miller, Shi, Wen, Papamanthou
IEEE S&P 2016

「private contract」概念を初めて形式化。trusted manager + on-chain commitment + ZK proof のテンプレートを確立。

著者の貢献
private/public split の formal model、posterior privacy 概念、SNARK 統合の最初期実証
Limitation
trusted manager 必須、production 実装ゼロ、predicate 表現力低
今後の課題
trustless 化 (→ ZEXE)、composability (→ KACHINA)
ZKprivate contractfoundational
ZEXE: Enabling Decentralized Private Computation
2020
Bowe, Chiesa, Green, Miers, Mishra, Wu
IEEE S&P 2020

trusted manager を排除した DPC モデル。birth-death predicate で任意 private state machine を表現。Aleo の前身。

著者の貢献
predicate language pl、recursive SNARK 実装、UC-secure DPC formal proof
Limitation
5M+ constraints、verifier 2.5M gas、predicate 設計コスト極大
今後の課題
verifier 簡素化 (→ VeriZEXE)、DSL 化、composability
ZKDPCrecursive SNARK
VeriZEXE: Decentralized Private Computation with Universal Setup
2023
Xiong, Chen, Zhao, Wang, Long
USENIX Security 2023

ZEXE の verifier gas を 10x 削減。Plonk-like + proof aggregation で Ethereum mainnet で実用可能なレベルに。

著者の貢献
universal SRS、verifier 250k gas、batch verification
Limitation
predicate 設計コストは未解決、composability 未対応
今後の課題
recursion (Halo/Nova) 統合、DSL 経由の利用
ZKaggregationPlonk
Enigma: Decentralized Computation Platform with Guaranteed Privacy
2015
Zyskind, Nathan, Pentland (MIT)
arXiv 2015

MPC ベースで「decentralized private compute」を提唱した最初期。後の Secret Network へ進化。

著者の貢献
DAG-based secret sharing、incentive 設計、Web2 連携想定
Limitation
MPC overhead 大、theoretical sketches 中心
今後の課題
production 化 (→ Secret Network が部分継承)
MPCfoundational
Quisquis: A New Design for Anonymous Cryptocurrencies
2019
Fauzi, Meiklejohn, Mercer, Orlandi
ASIACRYPT 2019

UTXO ベース anonymous coin の革新的設計。account 不要、constant-size proof。

著者の貢献
key-image なし、updatable public key、scalable anonymity set
Limitation
純粋 payment 専用、汎用 SC には未拡張
今後の課題
SC への一般化、Sigma protocol の効率化
ZKanonymous coin
Aztec Connect: Production-Grade Private DeFi Bridge
2022
Aztec team (Williamson et al.)
whitepaper

Aztec rollup から外部 DeFi (Uniswap, Lido 等) へ private 接続する bridge contract 設計。

著者の貢献
production deployment、batched bridge tx、UX-first design
Limitation
2023 年に shutdown、user adoption 想定下回る
今後の課題
Aztec Network (新世代) への教訓、Noir DSL 導入
ZKproductionbridge
Bulletproofs++: Next Generation Confidential Transactions
2022
Eagen, Kanjalkar, Ruffing, Nick
ePrint 2022

Bulletproofs の改良版。range proof / set membership を 2-3x 効率化。

著者の貢献
norm linear argument、reciprocal argument、constant-size aggregation
Limitation
汎用 SC には directly applicable でない
今後の課題
SC primitive への組み込み、aggregator 共有
ZKprimitive
Experimenting with Collaborative zk-SNARKs
2022
Ozdemir, Boneh
USENIX Security 2022

複数 prover が共同で SNARK を生成する collaborative ZK-SNARK の実証。MPC × ZK の橋渡し。

著者の貢献
MP-SPDZ 統合、prover sharding、threshold proving
Limitation
通信コスト大、参加者 trust 仮定
今後の課題
private DEX matching、auction への応用
ZKMPCcollaborative
Many-out-of-Many Proofs and Applications to Anonymous Zether
2021
Diamond
IEEE S&P 2021

Anonymous Zether の効率化。one-out-of-many を多数選択に拡張、proof size を log scale に。

著者の貢献
proof size O(log N)、Zether anonymity set 拡大
Limitation
純粋 payment 中心、汎用 SC は要拡張
今後の課題
multi-asset 化、cross-chain anonymity
ZKanonymous payment
MASP: Multi-Asset Shielded Pool (Anoma)
2022
Anoma team
spec

Zcash Sapling を multi-asset 化。Namada / Penumbra で採用。

著者の貢献
asset type を ZK 内で扱う、shielded MASP set
Limitation
SC 内呼び出しは制約あり、composability 限定
今後の課題
cross-chain MASP、IBC privacy
ZKshielded poolproduction
Zether: Towards Privacy in a Smart Contract World
2020
Bünz, Agrawal, Zamani, Boneh
FC 2020

account-based EVM 上の private payment scheme。Σ-Bullets による amount 秘匿。

著者の貢献
Σ-Bullets、account model 適合、Solidity 実装
Limitation
anonymity set 小、full SC privacy 未対応
今後の課題
Many-out-of-Many との統合、汎用化
ZKpaymentEVM
zkFi: Privacy-Preserving and Regulation Compliant Transactions
2023
Wang et al.
ePrint 2023

DeFi tx に対する compliance-aware privacy。selective disclosure を ZK で実現。

著者の貢献
policy-based disclosure、threshold reveal、auditor key
Limitation
specific compliance frameworks に tied、universal でない
今後の課題
multi-jurisdiction policy、Privacy Pools との統合
ZKcompliance
Veksel: Simple, Efficient, Anonymous Payments with Large Anonymity Sets from Well-Studied Assumptions
2022
Campanelli, Hall-Andersen
AsiaCCS 2022

accumulator + Σ-protocol で anonymous coin。trusted setup 不要、効率良い。

著者の貢献
accumulator-based anonymity、log-size proof
Limitation
payment 限定、汎用 SC 未対応
今後の課題
SC 状態 commitment への拡張
ZKaccumulator
Flax: Privacy-Preserving DeFi Stack
2021
Flax authors
whitepaper

DeFi 全般に適用可能な privacy stack。AMM / Lending / DAO の private 化。

著者の貢献
unified stack design、modular privacy primitives
Limitation
production 実装少、aggregation efficiency 課題
今後の課題
composability formalization、L2 統合
ZKDeFi stack
Safeguarding the Unseen: a Study on Data Privacy in DeFi
2022
DeFi privacy researchers
2022

DeFi の privacy リスクを実証分析。on-chain leakage の定量化、対策提案。

著者の貢献
empirical leakage measurement、threat model 整理
Limitation
対策は survey 中心、新規 protocol 提案は限定
今後の課題
automated leakage detector、policy 自動生成
ZKprivacy analysis
Ekiden: A Platform for Confidentiality-Preserving, Trustworthy, and Performant Smart Contracts
2019
Cheng, Zhang, Kos, He, Hynes, Johnson, Juels, Miller, Song
IEEE EuroS&P 2019

TEE (SGX) × blockchain の決定的論文。Compute / Consensus / Key Manager 分離アーキテクチャ。Oasis Sapphire の前身。

著者の貢献
3-tier architecture、attestation flow、formal security model
Limitation
SGX 攻撃 (Foreshadow 等) で trust 仮定動揺
今後の課題
multi-TEE 信頼分散、ZK との hybrid
TEESGXfoundational
SmartFHE: Privacy-Preserving Smart Contracts from Fully Homomorphic Encryption
2023
Solomon, Almashaqbeh
IEEE EuroS&P 2023

EVM precompile として FHE op を提供する初の formal proposal。TFHE ベース、euint/ebool 型導入。

著者の貢献
precompile spec、Solidity 統合 syntax、cost model
Limitation
本番実装ゼロ、推定 gas 1M+/op、bootstrap 不可避
今後の課題
HW 加速 (Intel HEXL)、leveled FHE 採用
FHEprecompileTFHE
zkay: Specifying and Enforcing Data Privacy in Smart Contracts
2019
Steffen, Bichsel, Schläpfer, Vechev (ETH Zurich)
ACM CCS 2019

世界初の Solidity-like privacy DSL。@owner annotation で変数の所有者を宣言、compiler が ZK 回路自動生成。

著者の貢献
type system、non-interference proof、libsnark backend
Limitation
single-owner のみ、loop/dynamic owner 困難
今後の課題
ZeeStar への拡張、production 採用
DSLtype system
ZeeStar: Private Smart Contracts by Homomorphic Encryption and Zero-Knowledge Proofs
2022
Steffen, Bichsel, Vechev
IEEE S&P 2022

zkay の一般化。multi-owner state、homomorphic op、混在計算をサポート。

著者の貢献
multi-owner type system、HE+ZK hybrid、formal semantics
Limitation
回路 inflation 5-50x、Solidity 互換性なし、tooling 未整備
今後の課題
circuit optimization (→ Eagle)、debugger、IDE
DSLHE+ZKmulti-owner
Eagle: Efficient Privacy-Preserving Smart Contracts
2023
Eagle authors
2023

zkay/ZeeStar の compile 効率に着目。dead code elimination + 回路 reuse で 30-60% constraint 削減。

著者の貢献
cost-aware compile、circuit reduction、benchmark suite
Limitation
表現力は zkay レベル、本番採用なし
今後の課題
DSL の表現力拡張、production deployment
DSLoptimization
Seahorse: A DSL for Encrypted/Plain Mixed Computation on Solana
2023+
Seahorse community
community

Solana program で FHE primitive と通常 tx を混在記述する DSL。MEV 緩和を意識。

著者の貢献
Rust-like syntax、FHE primitive 統合、Solana 統合
Limitation
FHE の遅さは変えられない、debugger 未整備
今後の課題
cross-program FHE composition、optimizer
DSLFHESolana
KACHINA — Foundations of Private Smart Contracts
2021
Kerber, Kiayias, Kohlweiss
CSF 2021

SC privacy への Universal Composability 適用。ideal contract functionality 𝓕_C と composition theorem を定式化。

著者の貢献
UC framework × blockchain × privacy、composition theorem、formal model
Limitation
具体的 instantiation がほぼゼロ、tooling なし
今後の課題
AMM/Lending への適用、proof skeleton automation
UCcomposabilitytheory
Secure Multiparty Computations on Bitcoin
2014
Andrychowicz, Dziembowski, Malinowski, Mazurek
IEEE S&P 2014

Bitcoin script を使った MPC の最初期論文。fair MPC を financial penalty で実現。

著者の貢献
stateless smart contract で MPC、deposit-based fairness
Limitation
Bitcoin script の制約、scalability 低
今後の課題
EVM 移植、Insured-MPC 系への発展
MPCBitcoinfoundational
Insured MPC: Efficient Secure Computation with Financial Penalties
2020
Baum, David, Dowsley
FC 2020

aborting party に financial penalty を課す MPC。SC との統合で fair な auction/DEX を実現。

著者の貢献
economic incentive で abort 防止、formal proof
Limitation
collateral 必要、liquid market 前提
今後の課題
Renegade / dark pool への適用、UC 統合
MPCincentive
Algebraic MACs and Keyed-Verification Anonymous Credentials
2014
Chase, Meiklejohn, Zaverucha
CCS 2014

anonymous credential の基礎技術。後の Coconut / SyRA / DeFi KYC 系に影響。

著者の貢献
algebraic MAC、keyed verification、efficient anon-cred
Limitation
BB-issuer、threshold issuance 未対応
今後の課題
threshold MAC、DeFi KYC への適用
credentialprimitive