Zerocash早期版本有个卡脖子的问题：生成一笔隐私交易得花接近一分钟，在配置一般的电脑上更是如此，还要吃掉几个GB的内存。这直接导致真正用隐私功能的人少得可怜，手机这种低配设备更是完全用不了。

Zcash在Sapling升级后算是狠狠优化了一把。他们引入了BLS12-381曲线，生成时间压到了几秒钟，内存占用也就40MB出头，这样才让隐私交易在手机上真正跑起来成为可能。

不过呢，要实现最强的匿名性 и顶级性能，代价就是复杂的加密结构、可信设置和高计算复杂度——这些都是绕不过去的。

Electric Coin Company最近又搞出了Halo 2验证系统，配套的新协议叫Orchard。和用不同验证系统的Sapling相比，Orchard的杀手锏在于完全不需要可信设置流程。测试网的跑分数据显示，性能虽然略低于基于Sapling的zkSNARKs，但竞争力依然很强。

但这里有个坑：Halo 2和Orchard都用的BOSL许可证，在宽限期结束前，外人根本没法用Halo 2的代码。而且，虽然最早的Halo验证系统有学术预印本发表，但Halo 2目前还没有公开的学术论文支撑。

审计机构QEDIT指出了一个更尖锐的问题：Orchard不像Sapling那样有完整的安全证明和摘要说明。他们还强调，这样复杂的系统和实现简直是审计的噩梦，协议的许多组件文档还很不完善。所以说，Orchard虽然前景不错，但架构复杂度太高，需要更多审查和理解。加上授权的严格限制和文档的不足，任何使用Orchard或Halo 2的人最后都得信任Electric Coin Company的安全保障。