Guardian：机构隐私保护的缺失拼图

0xmiden
发布于 17小时前
阅读 30

这篇文章介绍了 Miden 为隐私型区块链补上的“协调层”产品 Guardian。文章指出，传统公链依赖公开账本来完成多签、风控、审计和恢复，而隐私链把状态隐藏后，这些机制就失效了。Guardian 让用户保留私钥和账户控制权，同时由机构服务备份账户状态、进行恢复与策略校验，并在交易签名前执行合规规则。文章还分三阶段描述了其演进：先做备份与同步，再做政策/合规引擎，最终服务银行级机构场景，实现“无托管的机构级隐私金融”。

[![Image](https://img.learnblockchain.cn/2026/04/24/69385650_image.jpg)](/0xMiden/article/2047299476088365237/media/2046947463357956097)

区块链存在一个隐私问题和一个协调问题。大多数网络都迫使你做出选择：要么你的交易对任何拥有区块浏览器的人都公开可见，要么你的资产进入中心化托管方不透明的系统中。

Miden 是一条专注于隐私的区块链，它正是为了打破这种权衡而构建的。它的 zero-knowledge 架构将“account state”保留在本地，只把密码学承诺发布到链上。其结果是，在协议层面实现了真正的金融隐私。

在链上实现隐私不仅是一个技术挑战，也是一个运营挑战。当没有人能看到账本时，区块链和传统金融所依赖的协调工具就会失效。透明性是大多数网络的默认特性，并且已经对区块链的管理方式产生了连锁影响。例如，multisig 批准默认共享状态是可见的；欺诈监控默认余额是可读的；合规工作流默认存在可审计的轨迹。如果你移除了透明的公共账本（许多隐私项目确实如此），那么你就需要一种根本不同的方式来协调、恢复和执行策略。这就是 Miden Guardian——我们的机构后端——发挥作用的地方。

## 托管光谱上的新位置

[![Image](https://img.learnblockchain.cn/2026/04/24/33936900_image.jpg)](/0xMiden/article/2047299476088365237/media/2047291432306720768)

到目前为止，托管模型一直处在一个二元光谱上。一端是全托管：机构持有你的密钥，承担监管负担，并把资产集中到容易吸引灾难性黑客攻击的蜜罐中。比如，[2022 年 Ronin Network 遭入侵，损失了 6.25 亿美元。](https://www.coindesk.com/tech/2022/03/29/axie-infinitys-ronin-network-suffers-625m-exploit) 另一端则是纯自托管：用户完全控制资产，没有机构支持，如果你丢失了 seed phrase，也没有任何安全网。

Guardian 引入了第三种位置：用户保留自己的私钥并控制自己的账户，而 Guardian——由机构提供方运营——会在共签交易之前备份 account state 并执行合规规则。该提供方不持有任何密钥，也不承担任何托管责任。这确保了机构级别的信任，同时不会承担传统托管带来的风险。

## 在 Miden 上需要管理的两件事

在任何传统区块链上，用户只需要管理一件事：私钥（或 seed phrase）。密钥管理和恢复都已经是成熟问题：现有基础设施已经能够处理这一层。

[![Image](https://img.learnblockchain.cn/2026/04/24/82981176_image.png)](/0xMiden/article/2047299476088365237/media/2046953811533549568)

Miden 引入了第二层。因为 Miden 允许“account state”存储在链下（从而实现隐私），用户还需要一个可信方来同步、备份和恢复这部分私有状态。这就是 Guardian 发挥作用的地方。Guardian 运营方会在每笔交易之前保存你的 account state 快照，确保它始终可恢复，而且从不持有你的密钥。

可以把它理解为：银行保管你的保险箱钥匙，与保管保险箱里的东西，本质上是两回事。Guardian 处理的是现有托管基础设施不会触及的“内容层”。

## 它如何工作：三个阶段

Guardian 的能力分三个阶段演进，每一阶段都建立在前一阶段之上。

[![Image](https://img.learnblockchain.cn/2026/04/24/49982014_image.png)](/0xMiden/article/2047299476088365237/media/2046953917393616896)

在第一阶段，Guardian 充当备份和同步层。当一笔交易在本地执行时，用户会向 Guardian 发送一个 delta——对变化内容的紧凑描述——以供确认。Guardian 对这次更新进行共签，并将其标记为“candidate”状态。一旦在链上确认，它就会把规范更新同步回用户设备。手机丢了？Guardian 会帮你。你可以在几分钟内从另一台设备恢复最新状态，并像什么都没发生一样继续管理资产。

这种架构通过 2-of-3 密钥结构支持非托管 multisig：用户的热密钥用于日常使用，冷密钥用于恢复，Guardian 的服务密钥则用于策略执行和共签。Guardian 永远不能单独转移资金。用户始终可以使用自己的冷密钥独立恢复，也可以同时使用热密钥和冷密钥切换 Guardian。

第二阶段计划在今年晚些时候推出，它将把 Guardian 转变为策略和合规引擎。因为 Guardian 在共签之前会看到每个 delta，所以它可以执行可配置规则：比如限制每日流出额度、对高价值交易设置时间延迟、在怀疑欺诈时实施紧急冻结。关键在于，合规是一种配置选择，而不是协议约束。面向欧洲受监管市场的提供方可能会执行 MiCA 要求和 OFAC 筛查；而极致隐私主义的提供方则可能会完全跳过合规。Guardian 规范支持所有这些立场——重要的是，当提供方执行策略时，它是在共签层执行，而从不取得托管。

对于需要可审计性的机构，Guardian 会维护一条加密的策略决策轨迹。当监管机构询问交易 X 是否经过筛查时，提供方可以生成一个 ZK proof，证明检查已经发生——而不会暴露交易本身。监管机构知道策略已被执行，但不会知道余额、交易对手或金额。

第三阶段将把 Guardian 扩展到机构 rails：无托管的 crypto banking。银行或基础设施提供方将把 Guardian 作为一项服务来运行，为客户提供具有机构级功能的私有 Miden 账户，同时用户保留最终所有权。

在这个规模下，Guardian 可以批量处理来自多个用户的交易，并通过 ephemeral notes 对提供方内部的资金流进行净额结算——同一提供方用户之间的转账在内部结算，永远不需要触链。效率与传统 clearinghouse 相同；却没有任何托管开销。

## 更大的图景

[![Image](https://img.learnblockchain.cn/2026/04/24/54922110_image.png)](/0xMiden/article/2047299476088365237/media/2046954605775388672)

Miden Guardian 最好被理解为一种协调 primitive，而不是一个钱包功能——它是让隐私优先的金融在现实世界中可用的基础设施层。它解决了私有区块链的核心张力：当监控消失时，你就无法通过一个可读的公共账本来协调。Guardian 正是替代这一协调界面的东西。

对于用户而言，这意味着真正的金融隐私，以及机构级恢复和欺诈防护的安全网。对于机构而言，这意味着一种新的服务类别：在不承担责任负担的情况下提供信任。对于监管机构而言，这意味着可验证的合规，而不是侵入式监控。

区块链安全领域的黄金标准 OpenZeppelin 已经构建了[参考实现](https://github.com/OpenZeppelin/guardian/)，并且由其 Guardian 后端支持的 multisig 演示已在 Miden Testnet 上可用。

你现在就可以从 [https://multisig.miden.xyz/](https://multisig.miden.xyz/) 试用它。如果你有兴趣进一步了解 Guardian 运营方的用例和商业机会，请通过邮件联系 [bd@miden.team](mailto:bd@miden.team)——我们很乐意交流。

可编程、私有金融的时代正在到来。Guardian 是让这一切真正可行的基础设施。

>- 原文链接： [x.com/0xmiden/status/204...](https://x.com/0xmiden/status/2047299476088365237)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

托管光谱上的新位置

到目前为止，托管模型一直处在一个二元光谱上。一端是全托管：机构持有你的密钥，承担监管负担，并把资产集中到容易吸引灾难性黑客攻击的蜜罐中。比如，2022 年 Ronin Network 遭入侵，损失了 6.25 亿美元。另一端则是纯自托管：用户完全控制资产，没有机构支持，如果你丢失了 seed phrase，也没有任何安全网。