Canton与ZK之争：当许可链以“安全”之名挑战加密技术边界

当一家公司从防守转向进攻，改变姿态并调整话术时，会发生什么？我们对此并不陌生。想想微软，它曾多年坚称对Linux没有敌意，但随后便开始在政府会议上做安全简报，宣称开源软件对国家基础设施构成威胁。又比如谷歌，它曾对出版商说其只是在整理信息，但后来又开始资助研究，论证新闻付费墙有害于民主。曾经的“我们与众不同”逐渐变成了“他们很危险”。如果你足够优秀，并且拥有对的人脉，你甚至不需要在技术上赢，只需要让最终决定技术走向的人更信任你，而不是你的竞争对手。

Canton 现在就在做这件事，而加密货币行业在很大程度上被排除在了讨论之外。

今年一月，我曾指出 Canton 选择了效率而非自由，而机构也选择了 Canton。当时的论点是 Canton 和以太坊服务于不同受众，解决不同问题。这在当时是正确的。但自那以后，Canton 的目标已经发生了变化。

Canton 的创始人一直在公开场合和闭门会议中向买家和监管机构提出一个核心观点：零知识证明（ZKP）对关键任务金融系统构成了不可接受的风险。我认为，这是一场与其融资活动同步的监管游说，该融资吸引了高盛、Citadel、DRW、Circle、Paxos 和 Polychain 等重量级投资者。摩根大通币（JPM Coin）已于1月在 Canton 上线。Visa 于3月成为其超级验证者。3月27日，LayerZero 成为首个直接运行在 Canton 上的互操作性协议，使机构能够在超过165个公共区块链之间路由代币化资产。$CC 代币的完全稀释估值达到50亿美元。

这些进展本身并非重点。我想说的是，Canton 现在正试图界定银行能够使用的技术范围。而到目前为止，只有 Canton 一方的声音在主导这场讨论。

Canton 反对 ZK 的核心论点是什么？

Canton 的论点大致如下：零知识证明的漏洞可能难以察觉，因为底层数据是保密的。这种漏洞如果悄无声息地蔓延，没有审计跟踪，也无人需要为此负责，那将是致命的缺陷。

他们引用了一个现实案例：2025年4月16日，Solana 修复了其基于零知识证明的“机密转账”功能中的一个零日漏洞。该漏洞可能允许攻击者无限铸造代币。目前尚不清楚该漏洞是否已被利用。

提出这一论点的人是 Canton 的联合创始人兼首席运营官 Shaul Kfir，他也是著名的零知识证明库 libsnark（一个用于创建 zk-SNARK 证明的 C++ 库）的共同作者。他是在否定一项自己不了解的技术吗？显然不是。

他的核心论点是：当零知识证明失效时，没人能察觉到。数据保持私密，错误被隐藏，等到有人发现问题时，损害已经扩散。对于需要确保银行没有洗钱的监管机构而言，“相信数学”这样的系统无法提供满意的答案，他们需要查看记录。

而在 Canton 的模型中，唯一能够实时查看这些记录的实体就是那些超级验证者——也正是那些如果其密钥被攻破就会成为单一故障点的机构。

这个论点不需要完美才能奏效，它只需要听起来合理，足以说服那些本就对加密货币持怀疑态度的人。对于那些职业生涯建立在纸质记录和审计日志之上的人来说，加密货币一旦出现重大漏洞，证据就可能荡然无存。你不需要在技术辩论中获胜，你只需要让另一种选择显得风险很大。

ZKsync 的反驳：冗余与隔离才是关键

上周，ZKsync 联合创始人 Alex Gluchowski 公开回应了这一观点。他认为 Canton 的逻辑过于绝对。如果一项技术有缺陷，并且这些缺陷可能造成灾难，我们就永远不该使用它。按照这个逻辑，我们早在上世纪70年代就该停飞所有商业航班，不再制造飞机了。电传操纵系统有缺陷，发动机控制器有漏洞，自动驾驶软件也曾出过导致伤亡的故障。但我们没有停止飞行。我们制造的飞机配备了多个独立的系统，这样当一个系统故障时，另一个能捕捉并修复它，防止飞机坠毁。

Canton 是否回答了运营商密钥泄露后会发生什么？目前看来，没有备份系统或第二层安全机制来核查工作。受信任的运营商是唯一的防线。如果这条防线被突破，损害将在网络中无声地蔓延，且无人监督。按照 Canton 自身的标准，这种架构才真正应该让监管机构担忧。

解决技术缺陷的答案从来不是寻找一种绝对可靠的技术，而是构建能够预见故障并最终幸存的系统。核反应堆的安全并非源于其软件永不崩溃，而是因为某个环节失效时，必须再有其他五个环节同时失效才会导致灾难。心脏起搏器和商用飞机同理。工程学的精髓在于冗余和隔离：构建多个独立的系统层，确保当一层故障时，另一层能介入补救；同时确保故障发生时，损害能被控制在内部，不会扩散到所有连接部分。

Gluchowski 对 Canton 自身的架构进行了同样的审视。Canton 的隐私和完整性模型依赖于单一机制——由受信任的操作员在参与者之间隔离数据。该模型没有加密验证层或独立的检查机制。如果操作员密钥泄露，被篡改的状态会在不透明的 UTXO 链中悄然传播，没有任何监控。按照 Canton 自己的逻辑（单点故障，后果严重），这恰恰是监管者应警惕的架构。

ZK 漏洞、Solana 零日漏洞，这些都是真实存在的问题。但应对易错组件的方法，不是用另一个披着机构外衣的单点故障来替换它们。正确的方法是构建多重独立的防御，通过设计来限制攻击范围，并经受长达十年的公开审查所带来的对抗性压力测试。今天 EVM 的形态，正是全球顶尖攻击者在十余年间投入数千亿美元持续进行对抗性测试的结果。Canton 对 ZKP 提出的每一个关于成熟度的问题，同样适用于其自身使用的 DAML 智能合约语言，但 DAML 可用的缓解措施却少得多。

这些争论不会结束辩论，但它重新定义了辩论的焦点。一种机构风险管理方法，就是在制定规则的房间里主张，它应该是唯一被允许的方法。

开放验证 vs. 封闭信任：安全模型之争

Canton 的论点完全忽略了一个关键点：零知识技术的风险水平并非固定不变，而是随着更多验证者的参与而变得更加安全。其核心机制在于，零知识证明允许在不泄露底层数据的情况下证明某个陈述为真。验证者检查的是证明本身，而不是数据。越多的独立验证者验证同一个证明系统，任何漏洞或篡改就越难隐藏。例如，Nethermind 在2025年使用 EasyCrypt 正式验证了 ZKsync 链上零知识验证器的正确性，完成了实时零知识系统中的首个此类形式化证明。这表明，对开放系统进行对抗性审查，能随时间产生明显更强健的成果。

而 Canton 的模型则恰恰相反。信任集中在少数几个被批准的运营商身上，其累积效应完全不同。一个由被批准的验证者组成的封闭系统，其所能承受的审查是有限的。谁有权进行验证，这绝不是安全辩论中的细枝末节。随着验证者网络的增长，开放的零知识（ZK）系统会更难被攻破。而许可型信任模型的强度——及其脆弱性——取决于其最弱的运营商。2024年一项针对已知攻击的系统性分析发现，ZK 系统中约 96% 的记录在案的电路层漏洞源于约束不足，而开放的对抗性测试正是为了发现并消除这类漏洞而设计的。Canton 指出的漏洞是真实存在的，而开放的生态系统正是发现和修复它们的机制。保持生态系统封闭并不会让漏洞消失，只会减少关注它们的人。

LayerZero 集成：Canton 的战略转向

回顾我之前的观点，我曾将 Canton 定位为一个平行系统，为不同用户群解决不同问题，而非与以太坊争夺同一市场。

LayerZero 的集成改变了这一点。它使得 Canton 上的传统金融机构能够在超过165个公共区块链上路由代币化证券、数字债券和股票，同时满足合规和隐私要求。投资者现在可以使用外部公链上的稳定币购买在 Canton 本地发行的代币化现实世界资产。Canton 原生的代币化工具也可以进入其他生态系统进行二级市场交易。

LayerZero Labs 首席执行官 Bryan Pellegrino 表示：“Canton 已经为 TradFi 构建了基础设施，每天处理超过 3500 亿美元的美国国债回购交易。LayerZero 的任务是确保这些资产可以在全球所有市场和所有区块链上流动。”

Canton 正在涉足加密货币的流动性池，而非与之保持距离。这造成了一种矛盾：Canton 的创始人正与监管机构闭门磋商，声称零知识证明对机构金融过于危险；与此同时，基于 Canton 的资产正通过 LayerZero 流入一个公共区块链生态系统，而零知识证明正是该生态系统重要基础设施的基石，这其中也包括那些被定位为 Canton 的机构替代方案的产品。

这在实践中意味着什么？一家银行在 Canton 上持有代币化的美国国债。通过 LayerZero，这些国债现在可以转移到以太坊或 Arbitrum，在那里它们可以作为抵押品在 Aave 上使用，在 Ondo Finance 上借贷，或用作 DeFi 借贷协议的基础资产。该工具在 Canton 上保持机构级合规性，而它获得的流动性是加密原生的。Ondo Finance 已经使用 LayerZero 实现了类似功能。其代币化国债产品 USDY 在四个区块链上运行，拥有 7 亿美元的总锁定价值（TVL），并可用作 DeFi 抵押品。Canton 现在可以直接进入同一个生态系统。银行获得了收益和可组合性，DeFi 获得了机构抵押品，而 Canton 则可以一边向监管机构论证 ZK 过于危险，一边让其资产在运行着 ZK 的区块链上自由流动。

如果目标是监管俘获，那么一边利用加密货币的基础设施，一边向监管机构辩称加密货币的核心隐私技术构成系统性威胁，这本身就是一个连贯的策略，而非自相矛盾。你可以这样做，因为 ZK 阵营尚未组织起同等规模的回应。

截至上周，ZK 阵营在监管讨论中最引人注目的贡献就是 Gluchowski 的帖子。这固然是个好帖子。但 Canton 在这些会议上拥有律师、高盛的人脉，以及长达十年与监管机构建立的信任关系——这些监管机构的批准决定了系统重要性银行可以运行什么。

以太坊面临什么风险？

这对任何持有以太坊或关注机构代币化发展方向的人来说，都并非抽象概念。

如果 Canton 在监管之争中胜出，即零知识证明被归类为风险过高、过于晦涩、过于新颖而不符合系统重要性机构的监管框架，那么以太坊成为机构结算层的道路将在完全开放之前就被关闭。拉里·芬克在其年度信函中提到的 100 万亿美元代币化机遇将继续停留在许可轨道上。以太坊可以结算 DeFi，这固然重要，但它将无缘成为全球金融的结算层。

如果 ZK 阵营获胜，即 zkSync 的 Prividium 等新兴的机构级 ZK 基础设施能够与 Canton 的模式同时或更早获得监管批准，格局将发生重大转变。保障 DeFi 的区块链将开始保障机构代币化。以太坊在金融体系中的地位将得到提升。原本看似可能在机构层被边缘化的资产，最终可能成为机构层的基石。

Visa 刚刚加入成为 Canton 的超级验证节点。DTCC 正在向生产环境推进。Broadridge 已在 Canton 上处理每日数千亿美元的交易量。参与测试的机构包括高盛、法国巴黎银行、Tradeweb 和 Citadel Securities。机构采用的飞轮正在转动，并且已经转动了足够长的时间，积累了真正的势头。

今年一月，我说过 Canton 的目标不是取代以太坊。这一点至今未变。它的目标比取代更明确、更有效：是确保以太坊永远没有机会在同一市场竞争。 不是通过开发更好的产品，而是通过抢先获得认证；是在监管机构介入技术之前就设定好框架，并以此框架来评判所有后续技术。

加密货币一直以来都在可见的指标上竞争：总锁定价值（TVL）、手续费、用户数、交易量、代币价格。而 Canton 从未在这些指标上竞争。它基于信任进行竞争——这种信任是无形的，积累缓慢，且一旦被他人拥有，几乎无法复制。

有趣的是，零知识证明的发明初衷，正是为了解决 Canton 正在利用的“信任”问题。如果数学能在不展示结果的情况下证明某事，你就不必信任任何人。Canton 的论点是，数学本身也不可信。所以，还是信任机构吧。在这场游戏中，最后被点名承担风险的一方，往往就是赢家。

本文的讨论源于一场关于区块链基础设施未来的重要辩论，此类深度技术分析在云栈社区中持续引发着开发者与行业观察者的思考。