Oasis成功地在TEE的漏洞面前保持了隐私，下面是它的方式

igomu33
发布于 2022-12-31 12:39
阅读 44

本文介绍了Oasis网络如何通过信任执行环境（TEE）有效执行保密智能合约，并解决了最近出现的Æpic漏洞带来的安全问题。Oasis强调其数据完整性不受TEE漏洞影响，同时在保密性、灵活性和可用性之间取得了良好平衡。文章还比较了TEE与其他隐私保护方法的优缺点，指出TEE在能够保护隐私的同时，具有更低的计算成本和更高的灵活性。

![](https://img.learnblockchain.cn/2025/03/05/69873896_image.jpg)

## Oasis成功保持隐私，面对TEE的漏洞，我们是这样做的

**_注意_** **！此翻译由Oasis大使完成；Oasis基金会对本翻译的错误或疏漏不承担任何责任。原文可在_** [**_这里_**](https://learnblockchain.cn/article/12083) **找到**

在Oasis网络上，机密智能合约可以高效执行，得益于受信执行环境（TEE）。例如，机密ParaTime如Sapphire和Cipher为开发人员提供了使用TEE的极大灵活性。开发人员可以编写完全保密、完全公开或介于两者之间的智能合约。

TEE实现了开发者与用户之间的流畅交互，这也是Oasis的一个关键因素。与其他EVM一样，Sapphire（兼容EVM的机密ParaTime）提供了一个可承载的执行环境，并通过TEE内置了隐私保护。

由于最近记录的[Æpic漏洞](https://aepicleak.com/)和关于它如何可能被利用以针对其他区块链网络的[信息](https://sgx.fail/)，有关TEE及其安全性的担忧被提出。本文将尝试描述该漏洞，我们如何降低其带来的危险，以及我们为何依然认为TEE在灵活性、易用性和隐私方面提供了最佳的折中方案。

总结

1) Oasis网络的TEE漏洞并不构成资金损失的威胁； 2) Oasis网络的安全性不受Æpic漏洞及攻击影响； 3) Oasis具备高级防御设计，降低了与TEE漏洞相关的隐私风险； 4) Oasis继续开发其尖端安全和隐私技术，以推动行业发展。

### Oasis网络确保降低TEE漏洞的影响

安全研究人员已经发现TEE系统中存在多种漏洞，TEE供应商已经创建了补丁来修复这些漏洞，并以CPU微码更新的形式发布。Æpic攻击，一个最近影响Intel SGX的漏洞，揭示了处理器微码中的数据泄漏弱点，可能会允许从合约应用程序中提取数据，原因在于不安全的缓存行。这一漏洞可能会泄露智能合约私有数据的保护措施。

在这种情况下，这一漏洞对Oasis网络的影响是什么？Oasis网络并不依赖TEE来维护其数据的完整性，包括代币余额，因此TEE的漏洞永远不会危及数据完整性，也不会导致Oasis网络上的资金损失。Oasis帮助我们的节点运营商在Intel针对Æpic攻击实施补丁后的新情况中更新他们的系统，而这些补丁在几个月前已发布的微码更新中得以处理。更重要的是，Oasis保护隐私的创新防御方法确保了在Æpic攻击的极端情况下，从未出现严重数据泄露的风险。

依赖TEE来保护数据隐私的系统，必须适应TEE漏洞的韧性，因为此类问题可能会发生。在这种漏洞发生的情况下，Oasis网络采用了一系列缓解措施来防止数据泄露。首先，加密密钥的访问限制在当选到负责执行Oasis机密ParaTime（即Sapphire和Cipher）委员会的SGX兼容节点之间。为了进一步防止恶意行为者利用这些漏洞，我们将加入这些委员会的资格限制在值得信赖的运营合作伙伴之内。最后，网络节点必须定期更新他们的认证。因此，任何未能应用必要安全更新的节点将失去对机密ParaTime委员会的资格，从而失去对加密密钥的访问权。由于如此，在所有有漏洞的系统通过微码补丁进行修复之前，当新的漏洞出现时，Oasis的ParaTime的数据泄露风险降至最低。

在解释了Oasis如何降低因TEE漏洞导致的数据泄露风险后，我们将其易用性与其他隐私保护方法进行比较。

### 为什么TEE仍然提供最大的价值

开发的便利性和用户之间的顺利交互对于一切至关重要，包括网络的组成和使用计算方法以保护隐私。全同态加密（FHE）、安全多方计算（MPC）和零知识证明（ZKP）都是保护隐私的计算方法，但它们在成本、灵活性和易用性方面存在缺陷。

全同态加密的主要缺陷是计算费用和处理成本高。

MPC是一种强大的保持隐私的计算方法。然而，在计算上可能是昂贵的，并且需要各方之间进行广泛的通信，这会引入显著与计算相关的延迟。这些问题限制了MPC在区块链网络中的应用。

通过结合多个数据来源，零知识证明（ZKP）在保护智能合约执行的隐私方面特别低效。此外，值得注意的是，ZKP仅在证明者了解生成证明所需状态时才能保护隐私，而验 fichiter则不必了解。当某些状态同样需要对证明者保密时，这是不可适用的。

相比之下，Oasis的Sapphire ParaTime所采用的基于TEE的技术，其计算成本低得惊人。该网络的适应性更强，开发人员可以按最符合其需要和用户需要的方式修改智能合约并增强隐私保护。即使应用需要结合来自不同来源的数据，它也能够在与其他任何EVM网络相比具有竞争力的速度执行通用智能合约。

更重要的是，在Sapphire上启动一个项目非常简单。开发人员只需修改几行代码，便可在几分钟内使用熟悉的语言开始迁移他们的应用。用户可以轻松参与私人dApp，并发现Sapphire的方法更少复杂，更具多功能性，且成本更低。

**综合考虑这些方面，以及Oasis如何降低由于TEE漏洞引发的数据泄露风险，目前TEE已成为在Web3行业确保广泛隐私的最现实方法。**

Sapphire最近举行的“保持机密”黑客松的成功表明，开发人员对这一策略反应积极。参与者确认，基于Sapphire的构建是可承载的。在短短一个月的时间里，我们收获了一系列惊人的应用开发成果，它们是Web3的首创。这些类型的dApp无法在没有TEE及Sapphire的EVM兼容性的情况下创建。

我们欢迎希望将Sapphire用作隐私层或在其上开发dApp的项目。此外，我们也愿意向合格团队提供资金支持。欲申请，请点击[这里](https://oasisprotocol.org/grant-programs)。

>- 原文链接： [medium.com/oasis-protoco...](https://medium.com/oasis-protocol/oasis-r%C3%A9ussit-%C3%A0-conserver-la-confidentialit%C3%A9-face-aux-vuln%C3%A9rabilit%C3%A9s-du-tee-voil%C3%A0-comment-df181d53fca0)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～