隱私幣回溯與投資：寡頭局面顯著，未來價值可期

第二章、隱私幣及協議的歷史發展：由隱私泄露和數字通證隱患問題產生

隨著互聯網的不斷發展和對技術的要求提高，許多知名企業先后被爆出存在泄漏大量用戶隱私的問題，如Facebook在2018年初發生的一起大規模數據泄露事件，導致其市值在短短兩天內蒸發上百億美元。于是，人們將視線轉向天然具備隱私屬性的數字通證。但當時的數字通證雖然利用數字和字母的組合作為地址在一定程度上隱藏了用戶的部分信息，但重復使用地址交易很容易將用戶信息和交易數據對應起來，在隱私方面存在很大的隱患。如2018年8月，在巴西享有極高人氣的加密貨幣投資平臺Atlas遭黑客攻擊，致使該交易所泄露了26.4萬名用戶個人信息。因此，基于線上交易和數字通證信息的泄露問題，隱私幣孕育而生。目前，據不完全統計，已有大約42種隱私幣上線。

圖1 隱私幣發行時間概覽

來源：非小號

而在區塊鏈中實現匿名是個極其困難的事，因為所有交易都是透明的，數字通證的供應量需要得到公開驗證，匿名機制在保護隱私的同時也必須注意維護公共可驗證性。

最早，人們嘗試實現匿名的第一種方式是資金池混幣，即在資金池中混合自己和他人的幣以在表面上混淆通證的歸屬權來達到目的，但這種方式只能提供較為基礎的匿名，而且還需要對資金池發起者有絕對的信任，因此存在一定的缺陷。

為了改善資金池混幣的弊端，混幣器的理念油然而生。混幣器能夠消除匿名發起者竊取通證的可能性，但由于后臺可以記錄相關交易信息，因此強烈依賴于匿名數字簽名和以匿名方式登錄，且會限制每次參與混幣的人數，要求參與混幣的人員對混幣數額達成一致。此外，研究顯示，即使經過多輪混幣器混合，如果用戶的錢包在進行支付時不清除瀏覽器cookie的話，可以通過技術手段識別用戶的錢包，因為混幣只會掩蓋地址之間的交易鏈接，但不會完全破壞它們。即使后來混幣器針對可信的第三方有所改進，例如CoinShuffle++，但仍避免不了其他的缺陷。

圖2 混幣器技術機制

另一個匿名方案是環簽，即某人簽署了交易，只能追蹤到一個組而不能具體追蹤到組中的這個人。環簽方案可以自動實現匿名，無需其他用戶指定想要和誰混合，也無需等待其他人提供資金，只是掃描區塊鏈以便使用輸出，因此大大提高了混幣器方案的匿名性。但目前實現的環簽實際大小有限制，因為隨著環的尺寸的增加，交易數據的大小線性增長，這意味著，在每筆交易的基礎上，匿名性受到環參與者數量的限制，可能存在去匿名化的隱患，而且一旦存在bug，那么整個區塊鏈的記錄就會被去匿名化和可追溯，并且無法事后修正。此外，環簽還犧牲了供應可審核性，并且輕錢包付款驗證也存在問題。盡管有這些缺點，但環簽目前是一種較好的匿名技術。

圖3 Cryptonote和環簽技術機制

緊接著出現了零知識證明用于匿名方案的案例。零知識證明，即你做某件事或知道某件事的證明，而不泄露任何其他信息。最著名但就是zk-SNARKS協議，支撐著ZCash。zk-SNARKs是較為新穎的零知識加密算法。基于Zcash，也分叉出了許多其他匿名幣，包括Komodo、Zcoin、Horizon、Zclassic、Zencash等，可以說zk-SNARKs協議造就了匿名幣的半壁江山。但zk-SNARKs對大規模應用有很大的限制，因此以色列的Eli-Ben Sasson教授提出了一種比 zk-SNARKs 更快的的替代性方案——zk-STARKs，用更簡單的對稱加密消除了zk-SNARKs 需要消耗大量算力的數論假設，但目前尚未有基于zk-STARKs的隱私幣。

圖4 零知識證明技術機制

除此之外還誕生了五種隱私協議，如：TEE（可信執行環境），TEE 技術隔離了代碼執行、遠程證明、安全配置、數據安全存儲以及代碼執行的可信路徑。在 TEE 中運行的 APP 受到安全保護，幾乎不可能被第三方訪問，是近來流行的將可信計算引入區塊鏈中的方法；Enigma協議，允許節點使用智能合約的加密片段進行計算，而不需要解密；MimbleWimble協議，旨在提高數字貨幣的可擴展性、隱私和可替代性，融合了保密交易、交易混合和蒲公英協議等多重隱私保護技術，隱去了交易金額，消除了交易地址，而且中間狀態可以合并，使其在保護交易隱私的同時簡化了交易大小；Zether（Quorum），在保護交易和節點級別的隱私基礎上，還能夠保護參與者的身份，與Quorum機制中已經存在的訪問控制特性相結合，提供了強大的端到端的安全體驗；SMPC（安全多方計算），允許對一組輸入執行計算，同時保持輸入數據的私密性，可用于安全代幣交換中的各方，以交換有關信息的同時保持實際信息的私密性等等。這些都是針對之前的弊端進行不斷改善而誕生的新型隱私協議。