隱私是特性，而不是產品

披露：Multicoin has established, maintains and enforces written policies and procedures reasonably designed to identify and effectively manage conflicts of interest related to its investment activities. Multicoin Capital abides by a「No Trade Policy」for the assets listed in this report for 3 days (「No Trade Period」) following its public release. Multicoin Capital is long BTC-USD and ETH-USD; and short ZEC-BTC and XMR-BTC.

撰文：RYAN GENTRY

發文日期：2019 年 9 月 24 日

隱私是有價值的加密貨幣的一個特性，而不是產品本身。用戶不應該單純為了實現財務隱私，而在價值較低、安全性較差的加密貨幣上承擔資產負債表風險（例如，出售一些 BTC 或 ETH 以獲得 ZEC）。本文將提出以下觀點：像比特幣和以太坊這樣的通用平台已經為大多數用戶提供了足夠的隱私保障，因此這部分用戶永遠不需要以隱私為重點的小眾區塊鏈。

抗審查是我們這三篇重頭論文的核心原則，沒有隱私就無法實現這一目標。因此，隱私必須成為開放金融、全球無國界貨幣和互聯網 3.0 的關鍵組成部分。然而，在迄今為止的加密貨幣生態系統中，與隱私相關的開發活動大多發生在以隱私為重點的區塊鏈上。比特幣和以太坊社區把解決可伸縮性和用戶體驗等問題放在首位。

將財務隱私置於所有其他特性之上的開發人員構建了支持它的協議。用例包括大零幣 (Zcash) 和門羅幣 (Monero) 等資產，以及 Grin 和 Beam 等新進入者。他們都在功能和可用性之間做出各種權衡，以確保隱私是其核心價值主張。但是，隱私是獨立區塊鏈應該構建的正確的價值主張嗎？

加密投資者的一個共同論點是，由於隱私在金融交易中的重要性，專注於隱私的區塊鏈應該嚴格計入價值。雖然我們從根本上同意後者的說法，但我們不認為兩者之間存在因果關係。

我們預計，最有價值的區塊鏈將在一系列不同的技術權衡中勝出，用戶和企業將找到新穎的方式，將隱私帶入這些網絡，而不是任由網絡參與者選擇原生隱私協議，為之承擔資產負債表風險。此外，正如我們已經寫過的，第一層資產一般應該被認為是資金，而第一層的資金會產生明顯的網絡效應，因此只有少數區塊鏈能夠打贏這場持久戰。如果具有非原生隱私特性的區塊鏈已經能為大多數人提供足夠好的隱私，那麼具有原生隱私的鏈就會變得無關緊要。

在本文中，我們將討論圍繞隱私的技術權衡如何抑制功能，使用區塊鍊和專注於隱私保護的資產的固有資產負債表風險，將隱私引入更廣泛採用的區塊鏈的不同方法，在什麼情況下可以認為隱私保護已經 “足夠好”，以及我們如何看待與隱私相關的投資。

完全的隱私

在加密貨幣事務中可以洩漏四種類型的私有信息：發送方、接收方、交易金額和 IP 地址。如果所有這四種信息都能成功地對任何第三方觀察者隱藏，那麼事務就是完全私有的。

如表 1 所示，隱私是一個頻譜。一端是不隱藏任何上述信息的交易，例如基本比特幣或以太坊交易。另一端則是 Zcash 的樹苗 (Sapling) 交易，它屏蔽了上述四種類型的信息（前提是與 Dandelion 或 Kovri 等模糊 IP 技術相結合時)。Zcash 的 zk-SNARK 架構允許發送方向匿名接收方傳輸盲量的代幣，而區塊鏈上始終不會記錄任何相關身份信息，也不會洩露給網絡。從理論上講，它們是完美的。

雖然 Zcash 已經面市近 3 年，但是在 ZEC 中，只有 5% 的存儲使用 SNARK（其中大約一半使用遺留 SNARK）。大約 95% 的 ZEC 存儲在沒有隱私的透明地址中。2019 年，加密市場普遍反彈，不過 ZEC 是個明顯的例外。

儘管給出了這樣的承諾，但市場已經明確表態：Zcash 的 Sapling 交易提供的隱私保護並不會令 ZEC 變得有價值。

原因有幾個。

首先，加密貨幣的核心創新在於無需信任任何一方或一組成員，就能以編程方式實現，並提供易驗證的稀缺性。該特性使得社會的可伸縮性成為可能，因為來自不同文化和行業的人都可以驗證他們的代幣是已知整體中一個得到保證的百分比。不幸的是，理論上完美的隱私定義阻止了完美的可審計性。

2018 年 3 月，Zcash 在他們的加密技術中發現了一個漏洞，可能導致無限膨脹。正如 Zcash 基金會自己承認的那樣，在不使用 Sprout 地址之前，不可能知道是否有任何一方利用了這一問題。用戶可以驗證有多少代幣被發送到屏蔽池中，但無法知道這些代幣是否被攻擊者任意偽造。

完全私有交易會阻止投資者驗證 Zcash 是否像預期中那樣稀缺。

其次，以 Zcash 的方式優化隱私帶來了沉重的代價。每次創建一個完全私密的事務時，發送方都必須計算一系列精確的計算步驟，以便生成一個礦工可以在零知識中驗證的證明（有關零知識證明的背景知識請參考此文）。這些步驟在計算上非常昂貴，而且 Sprout 版本過於繁瑣，因此無法廣泛採用。Zcash 團隊設計了 Sapling 版本，明確地為代幣傳輸進行了優化，避免了任何冗餘功能，比如以太坊的有狀態智能合約，或者門羅幣 (Monero) 的多重簽名合約（儘管這些功能可能會出現）。

更高效的完全私有事務會消耗 Zcash 的任何可編程性。

隨著 2016 年和 2017 年一窩蜂式的牛市泡沫的終結，如今的市場更傾向於不那麼私有、但更安全、可編程和可證明稀缺的資產，比如比特幣和以太坊。

儘管如此，無國貨貨幣的未來似乎不太可能完全透明。抗審查要求一定程度的財務隱私。所以到了這一步，我們肯定會提出這個問題：提供多大程度的隱私保護才算是足夠好？

“藏身人群中” 的隱私

比特幣和以太坊社區都在努力將原生隱私帶入他們的區塊鏈。但他們並沒有向完美的隱私方向進行優化，而是傾向於 “藏身人群中” 的隱私——這是由 Tor 網絡推廣的一種策略。

“藏身人群中” 的隱私是指讓交易符合一組規則，這些規則使觀察者很難辨別給定交易的實際發送方、接收方或金額。遵守這些規則的交易越多，參與者就越多，觀察者也就越難去匿名化交易。

與完全私有的事務相反，這種策略通過模糊化為用戶創建安全性，因為第三方觀察者可以看到正在發生的事務，但是不能對發送方、接收方或已處理的數量做出任何明確的判斷。所有的判斷充其量都是概率性的，而且在絕大多數情況下，發送方和接收方都保持合理的否認 (plausible deniability)。

比特幣持有者們正在使用 CoinJoins 作為他們藏身人群中的工具。

Greg Maxwell 在 2013 年首次提出 CoinJoins 的概念，它指的是一些不同的參與方將他們的多個單輸入、單輸出事務組合成一個多輸入、多輸出的事務。這打斷了發送方和接收方之間的直接連接，而且如果所有輸出都是相同的大小，它還會模糊由誰接收了多少 BTC。最近，諸如 Wasabi Wallet 和 Samourai Wallet 這類使用 CoinJoins、將信任度降到最低的應用程序大受歡迎。

同樣，CoinJoins 也不是完全私有的，因為觀察者可以分辨出哪些代幣被發送到混合器 (mixer)，哪些被送出去。但在這種顯著增長的背景下，用戶群體已經足夠大，因此尋求隱私性的用戶實際上可能藏身於人群中。Chainalysis 是名聲最顯赫的區塊鏈分析公司之一，其客戶包括美國聯邦調查局 (FBI)、緝毒局 (DEA) 和國稅局 (IRS)，該公司證實稱，他們 “無法追踪代幣在混合服務中移動的軌跡。” ( 1 )

以太坊的基礎層默認沒有比特幣那麼私有，因為它使用基於帳戶的模型，而不是基於未消費交易輸出 (UTXO) 的模型。這意味著在許多不同的事務上重用一個地址，而不是為每個事務分配一個新地址。

不過，智能合約平台相對於比特幣的一個優勢是，它們允許更高級的交易類型。一份智能合約可以為發送給它的所有資產提供 “藏身人群中” 的隱私。一份智能合約甚至可以為發送給它的所有資產提供完全的隱私。( 2 )目前，其中幾種支持隱私保護的智能合約已經在主網上運行，還有更多的用例正在開發中。

像 Argent 的 Hopper、Heiswap 和 Tornado 這樣的以太坊 “混合器” 提供了 “藏身人群中” 隱私的不同版本，其效果堪比比特幣的 CoinJoins。在這裡，用戶可以將給定資產的固定金額（如 0.1 ETH 或 10 DAI）存入一個智能合約，等待足夠多的用戶進行類似規模的存款以構建一個大型匿名集，然後將原始金額提取到一個與原始地址沒有連接的新地址。由於面額必須準確，這些解決方案將很難吸引大量存款，這將限制它們向可持續的獨立業務擴展的能力。

Aztec Protocol 開發了一系列模塊化的智能合約，允許機密資產、秘密地址和零值輸出，本質上是為了在以太坊上建立一個 “藏身人群中” 的資產隱私池。用戶需要將他們的公共資產發送到一個智能合約，該合約將把這些資產的私有版本生成到其隱私池中，並為用戶分配一個新的私有地址進行交易。隱私池吸引的資產越多，人群就越多，而這可以為所有參與者提供更有力的保護。

為現有區塊鏈提供隱私的競爭不僅僅是第二層的附加功能。在不久的將來，像 Decred 和 Tezos 這類具有強大治理能力的小型公鏈會添加協議原生隱私功能。和比特幣與以太坊一樣，這些社區看到了私有交易的價值主張，正致力於將隱私作為社區的一項功能，而不是將原生金融隱私作為核心產品的功能。此外，Tezos 社區正在直接盜用 Zcash 的 Sapling 設計！( 3 )

所有這些關於公共區塊鏈的工作都是為了改進當前 “藏身人群中” 隱私的黃金標準：門羅幣。目前僅有 5% 的 ZEC 是受到屏蔽的，但是 100% 的 XMR 根據一組通過隱藏來創造安全性的規則傳輸。

門羅幣事務使用三種基本類型來隱藏發送方、接收方和數量：環簽名 (ring siganatures)、私密地址和環機密事務 (RingCT)。環簽名允許發送方使用 11 個用戶的密鑰簽署事務，從而模糊了哪個密鑰是他們的。私密地址允許接收者為每個事務使用一個一次性地址，隱藏它們的真實公鑰。環機密事務允許交易金額盲化，但需要是可驗證的非通脹。

所有的事務都必須使用這些特性，因此所有的 XMR 都屬於相同的匿名集，並且隱藏於相同的人群中。儘管如此，門羅幣在 2018 年熊市中的表現並不比 Zcash 好多少。

雖然門羅幣的交易比 Zcash 稍微靈活一些，但有狀態的智能合約仍然是不可能的。最近的一項研究突破使 HTLCs（類似閃電網絡的第二層解決方案）成為可能，儘管這可能需要大量的工程。遺憾的是，對於門羅幣來說，他們的開發人員社區很小，而且資金匱乏，這意味著新特性開發相對來說是靜態的。

無論底層鏈如何，“藏身人群中” 的隱私只能提供合理的否認。人群越大，否認的合理性就越強。

提供多大程度的隱私保護才算是足夠好，這個問題現在可以這樣去理解：如果一個對手想要對用戶的交易進行去匿名化，那麼如果交易在 Wasabi Wallet 的比特幣匿名集、Aztec 的以太幣匿名集、以及門羅幣的匿名集之間進行，他們需要花費多少成本才能實現這一點？

去匿名化成本

今年早些時候，研究人員提出，利用門羅幣環簽名選擇過程的某方面特性，對門羅幣發起低成本交易氾濫攻擊，僅以 1700 美元的成本，即可在一年內去匿名化其 50% 的交易。門羅幣社區拒絕接受這種估算，稱這個數字畸低。他們還反駁了這種算法，稱分析過於簡單，沒有考慮到現實世界中的任何情況，比如同時發生多起襲擊，或者價格波動。

本節的目的不是複制交易氾濫攻擊，而是利用它的原理，為如何考慮非私有鏈上的隱私池構建一個通用框架。交易氾濫攻擊的基本框架是這樣的：每天都有一定數量的交易在門羅幣上發生。它們都是混合在一起的，因此除了參與者自己，沒有人知道誰給誰發送了多少價值。然而，由於所有事務都是公共的，並且地址在環簽名模式中被重用，攻擊者本身可能會參與大量這些事務。

通過這種做法，攻擊者極大地降低了匿名集，並且可以更容易地確定每個事務的實際發送方和接收方，從而有效地對其去匿名化。具體來說，根據上述報告，一個 “控制一年內生成的 75% 事務輸出量的惡意參與者能夠跟踪同一時間段內創建的所有事務輸入的 47.63%。” ( 4 )

如果做出某些假設的話，這種攻擊可以擴展到比特幣的 CoinJoin 隱私池（實際上，已經出現了）和以太坊的 Aztec 協議隱私池。在過去 12 個月的大部分時間裡，使用 CoinJoins 的比例占到了比特幣交易量的 5% 到 10%。( 5 )

假設平均交易費用、尋求隱私的交易數量和在給定隱私池中持有的主流區塊鏈市場資本的佔比保持不變，則去匿名的成本 (C) 為：

C =（平均交易費）x（平均 #新交易/天）x 1.25 x（隱私池所佔市值的%）x 365

表 2 顯示了 BTC 的 Wasabi Wallet 池、ETH 的 Aztec 池（假設其占據 ETH 5% 的市值）和 XMR 的去匿名成本，使用的是從 2018 年 10 月 19 日到今天的平均值。

表 3 提供了另一種查看去匿名化成本的方法。在這裡，我們要確定的是需要在以太坊或比特幣的隱私池中持有多大比例的市值，可以達到與門羅幣一樣的去匿名成本。

當然，這種高階分析忽略了攻擊者對每個不同的區鏈採取各種手段的許多細微差別。它並不是要提供確切的數字，而是要提供一個數量級的範圍，讓大家了解這些 “藏身人群中” 的解決方案到底能提供何種程度的隱私保護。市場應該對這些數字持保留態度，但要明白，鑑於比特幣和以太坊的市值、交易量和交易費用都要高得多，它們的隱私池很快就會比整個門羅幣匿名集的攻擊成本更高。

不過，除了預測未來，還有一種方法可以用來量化市場對隱私的看法，那就是看看暗網用戶——他們是最需要保護隱私的人——最常使用哪種加密貨幣。由於門羅幣目前被認為是最私密的加密貨幣，你也許會想當然地認為它仍然佔據統治地位；然而，CipherTrace 發現，只有不到 5% 的暗網事務使用門羅幣。大多數人都在使用比特幣。

In Conclusion

加密貨幣存在的理由是提供一種不依賴可信第三方的價值交易數字方法。要想成為全球性的無國界貨幣，加密貨幣必須能夠抗審查。而抗審查的先決條件是財務隱私。加密貨幣的隱私之爭將是一場與那些試圖讓加密貨幣用戶去匿名化的人之間的軍備競賽，如果加密貨幣想要成功，就必須贏得這場戰爭。

遺憾的是，正如我們上面所論述的那樣，按照 Zcash 的方式在默認條件下進行完全私有交易的成本太高。它破壞了加密貨幣的另一個核心價值主張：在整個交易歷史中，可以免許可驗證未曾發生雙重支出，也沒有出現過度通脹。沒有這個驗證屬性，任何加密貨幣都不可能具有足夠的社會可伸縮性，進而成為一種全球性的、無國界的貨幣。

因此，獲勝的加密貨幣必須實現某種不完美的 “藏身人群中” 式隱私，這種隱私建立在可公開核查的賬簿之上。從表 2 和表 3 可以看出，比特幣和以太坊社區能夠將隱私池與它們本身的公共鏈連接起來，而且由於交易量和費用較高，它們的去匿名化成本很快就超過了整個門羅幣區塊鏈。很明顯，隱私將成為無國界資金的一個特徵，但不會成為核心產品。

隱私的論點應該圍繞這一理解來表述。基金經理們將開始投資於那些在比特幣或智能合約平台上提供 “隱私即服務”(privacy-as-a-service) 的公司，而不是投資於在交易中優化匿名性的底層加密貨幣。第二層解決方案將默認為它們的事務處理程序提供隱私保護，這可能會使大量資金從那些重視事務處理隱私性的主鏈中脫離出來。

從根本上說，在底層鏈上爭取完全的隱私，這太過昂貴，因此難以實現，這就給了 Wasabi Wallet、Samourai Wallet、Argent、Heiswap、Tornado 和 Aztec Protocol 等企業機會。我們相信，投資於 Zcash 和門羅幣的資金將開始流向這些企業或者它們正在構建的底層加密貨幣。

---

( 1 ) Coinjoins 如今已經很有效，不過預計到 2020 年，當比特幣在 Taproot 軟分叉時，Coinjoins 將更便宜、更有效。如今 Coinjoins 可能模糊了確切的發送方和接收方，但是每個簽名仍然在事務中列出，這可能仍然會被人嗅出蛛絲馬跡。使用 Taproot，所有發送方和接收方簽名都可以聚合為一個簽名。通過從事務集中完全刪除發送方和接收方地址，Taproot 既降低了 CoinJoin 事務的開銷（通過增加利用它們的用戶數量），又使其更加私密。

與此同時，重要的開發工作正在進入第二層解決方案，如閃電網絡 (Lightning Network) 和 Liquid 側鏈，它們都是默認私有的，試圖緩解主鏈的不足。閃電網絡的事務都是在鏈下進行，因此只有通道打開和關閉是可見的。此外，所有事務在默認狀態下都是洋蔥路由數據包，這意味著路由節點看不到事務的發送方或接收方是誰，也看不到正在處理的金額。儘管發送方和接收方仍然可見，但 Liquid 側鏈將機密交易整合到盲量金額和資產類型中。

( 2 )安永 (Ernst & Young) 的區塊鏈部門最近發布了使用 zk-snarks 在以太坊進行私有交易的 Nightfall 協議，而摩根大通的 Quorum 部門發布了使用 zk-snarks 跟踪私人餘額的 Anonymous-Zether 協議，Clearmatics 發布了 Zeth 庫，可直接在以太坊實現 Zcash 交易。所有這些企業都清楚，在使用公共區塊鏈之前，它們必須有私有交易的能力。

如果在像以太坊這樣的公共區塊鏈上實現 Zcash 級別的私有交易，這看起來好得令人難以置信，這是因為情況很可能就是這樣：這些交易非常昂貴。

不過，該領域的幾項進展可能有助於改變這一事實。就像 Schnorr 簽名和 Taproot 將有助於改善比特幣的隱私一樣，EIP-1108 應該在今年秋天以太坊的伊斯坦布爾硬分叉上實現。它將大大降低橢圓曲線算法預編譯的 gas 成本，這在前面提到的所有智能合約中都得到了應用。特別是對 Aztec 來說，它應該能將 gas 成本降低 75%。

( 3 )未來擁有更先進虛擬機的區塊鏈，比如 Solana、Eth 2.0、Polkadot 等，應該能夠為完全私有的事務提供近乎原生的性能。這些都是再進一步的事情了，超出了本文的範圍。

( 4 )交易氾濫攻擊錯誤地斷言，只有交易前 24 小時的環簽名才能被重用，而實際上，任何可以追溯到 2017 年 9 月 15 日的環簽名都可以被重用。在沒有特定假設的情況下，這使得門羅幣的匿名集更大，攻擊成本更高。自 2017 年 9 月 15 日以來，門羅幣累計支付的交易費用中，有 60% 發生在 2017 年 11 月 1 日-2018 年 2 月 1 日的牛市高峰期。從 2017 年 9 月-2018 年 10 月（不含 2017 年 11 月-2018 年 2 月）的平均月事務量為 122k，相比之下，2017 年 11 月-2018 年 2 月的平均月事務量為 182k，較平時增長了 50%。如果我們假設這增加的 50% 的事務是投機者在交易所發生的存取款，那麼它們實際上是去匿名的，而對手不需要自己支付費用。所以如果樂觀估計的話，交易對手總支出佔 17 年 9 月以來所有交易的 75%，略低於 300 萬美元。但如果假設每月交易量的 25% 來自交易所，那麼自 17 年 9 月以來，交易對手支出總額將下降到 70 萬美元。

值得注意的是，在使用 Bulletproof 技術於 2018 年 10 月進行了一次硬分叉後，門羅幣的交易費用應聲急落，下降了 95%，交易對手支出為 75%，每月費用不到 1 萬美元。任何監查機構或好奇的觀察者都有預算承擔這筆開始。因此，去匿名化度量的成本是，假設在 2017 年 9 月-2018 年 10 月間，已經洩漏了足夠的信息，導致對手已去匿名化在此期間發生的 50% 的交易，並且只需要花費足夠的交易費用來維持其在門羅幣交易量中佔 75% 的地位。（所有交易費用數據來自 bitinfocharts.com）

( 5 )所有數據從谷歌 BigQuery 公開的加密比特幣數據庫中提取。使用的方法在此處查詢欄的內聯註釋中給予了說明。

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。文章內的信息僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。