基于 OpenZeppelin 保密库的保密型 Solidity 合约 Zama 开发者专区・第九届以太坊开发者大会（EthCC 9）

• 1

  1. 機密 Solidity 的根本差異在於「沒有明文、沒有分支、沒有 revert」

• 2

  所有變數返回的都是密文句柄，需在鏈下解密；無法用 if 分支，必須用 FHESELECT 選擇路徑；函數不能 revert，不足餘額時只能返回加密零值，呼叫者自行判斷結果。

• 3

  2. 機密代幣（EC-7984）是 ERC-20 的隱私版本，介面設計全面加密化

• 4

  balanceOf 返回加密句柄、totalSupply 同樣加密、transfer 需提供帶有 ZK 證明的加密金額；此外支援 operator 機制，授權他人在一定期間內使用代幣。

• 5

  3. ERC-20 包裝器實現「公開代幣 ↔ 機密代幣」雙向轉換，解包需兩步驟

• 6

  包裝直接呼叫 wrap() 即可完成；解包因須鏈下解密，必須先呼叫 unwrap() 觸發解密請求，取得明文與解密證明後，再呼叫 finalizeUnwrap() 才能取回 ERC-20 代幣。

• 7

  4. 機密合約的安全模型與一般合約截然不同，需主動防禦靜默失敗

• 8

  由於沒有 revert，開發者必須透過 FHESELECT 主動捕捉餘額不足、必須用暫態授權（transient allowance）避免密文被複製濫用、必須讀取實際轉帳結果而非假設成功。

• 機密代幣標準：EC-7984
• 庫分類：Utilities（安全 Map、Access Control）、Confidential Token、進階合約（Confidential Mixer、Confidential Vesting Wallet）
• ERC-20 擴展：EC-20 Wrapper、Observer Access、RWA 合規模組
• 真實案例：已有 3200 萬美元 USDT 以機密包裝器在生產環境中運行
• 解包流程：兩步驟 — ① 呼叫 unwrap(加密金額 + 證明) → ② 取得明文後呼叫 finalizeUnwrap(明文 + 解密證明)
• 安全漏洞一：靜默下溢（silent underflow）— 餘額不足不 revert，直接默默扣成負數；解法：FHESELECT 檢查餘額，不足返回加密零值
• 安全漏洞二：持久授權（persistent allowance）被惡意複製密文攻擊；解法：改用暫態授權（transient allowance），並在第 14 行驗證 msg.sender 是否有權存取該密文句柄
• 安全漏洞三：拍卖合約未驗證實際轉帳金額，零餘額用戶可成為最高出價者；解法：讀取實際轉帳結果，用 FHE gt + FHESELECT 判斷
• 開發工具：OpenZeppelin Wizard 新增 Confidential 頁籤，可視化生成機密合約
• 三條開發守則：① 避免靜默下溢 ② 使用暫態授權取代持久授權 ③ 始終讀取機密操作的實際返回值

“機密 Solidity 的最大陷阱是「失敗不報錯」，開發者必須主動用 FHESELECT 讀取每次操作的實際結果，而非依賴 revert 來保障正確性。”