使用加密貨幣就可以為所欲為？

在很多媒體文章中，通常將加密貨幣描述成具有匿名屬性，然而在其他文章中卻又說成加密貨幣要比法幣（如美元）更容易被追蹤。那實際情況究竟如何呢？首先我們需要理解的是：加密貨幣的隱私性意味著什么？

這個問題并不像表面上那么容易回答，因為在區塊鏈領域中，隱私可以意味著很多不同的東西。要成為更加知情的開發者、投資者或加密貨幣的參與者，了解隱私在加密經濟系統中的實際含義是非常重要的。

假設Alice想要開設一個Venmo帳戶（PayPal旗下的一個支付服務，讓用戶可以在手機或網頁上通過該平臺轉賬給他人），這需要她提供并驗證她的真實身份信息，如此一來Venmo平臺掌握了她的真實身份信息并且可能與其他人共享這些信息。

假設Bob通過Venmo平臺向Alice轉賬$20，并將此信息在該平臺的Feed版塊上分享出來（注：用戶使用Venmo平臺進行轉賬時，可以設置成叫該筆轉賬信息公布出來，包括轉賬時間和原因、雙方的姓名等，但具體金額不會顯示），這就意味著這筆交易信息是公開的了，盡管Alice的賬戶余額信息只有Venmo平臺知道。

相比之下，假設Alice創建了一個比特幣賬戶，并要求Bob向她發送價值$20的BTC，與Venmo相比，此時Alice的身份信息并不會公開，因為她的真實姓名并不會與這個比特幣賬戶聯系在一起。

然而，Bob賬戶向Alice賬戶發送了BTC這件事情，以及Alice賬戶還剩多少余額等信息將公開被世界上任何人看到。我們可以看到，通過使用比特幣，Alice在某種意義上保護了自己的一些隱私，但在其他方面卻失去了一些隱私。

類似這種折衷性（tradeoff）在使用不同的加密貨幣時都很常見。在加密貨幣領域中，我們通過三個方面來探討其中涉及的折衷情況，即：

• 使用加密貨幣來完成某種操作的用戶的身份信息；

• 用戶執行操作所產生的具體交易數據；

• 集合所有交易信息的區塊鏈整體狀態。

區塊鏈協議可以通過利用密碼學來使任何一個外部的觀察者無法知曉或計算出以上這三個方面中的任何信息（從理論上來說是非常困難的）。但同時，攻擊者如果想要發現區塊鏈的某個屬性，可以通過組合不同的信息，來推斷或猜測出他們想要知道的信息。

為了保護隱私，區塊鏈協議的設計需要盡可能少地向潛在攻擊者顯露出有關特定屬性的信息。

重要的是，某個特定屬性（attribute）是否屬于隱私保護范疇，這并不是非黑即白的。比如，某個屬性對于一些觀察者來說是可知的，但對于另一些觀察者卻不可知，或者觀察者可能在一定概率上可以猜測出某個屬性，但無法完全確定。

這種隱晦性意味著諸如“我最喜歡的幣能夠保護隱私”和“我最喜歡的幣要比你最喜歡的幣更加能保護隱私”這樣的言論通常都是站不住腳的。相比之下，“門羅幣（XMR）中的交易金額是隱秘的”，甚至“ZCash的匿名性保護了發送者賬戶的隱私”這樣的言論會更說得通。

正如下文將提到，在某些加密工具（如零知識證明）能夠幫助我們量化這些言論，甚至為這些言論提供嚴格的證明。我們現在一起來研究一下與加密貨幣相關的隱私保護的各個方面。

當我們聽到“隱私”一詞時，會想要的一件事情就是匿名（anonymity），即用戶的行為不會聯系到他們在現實世界中的真實身份。一種隱私保護的方式就是使用假名，這是很容易實現的。

實際上，我們早已通過使用諸如bitcoinlover2008@gmail.com這樣的假名在互聯網上與他人進行交互，而不是使用自己真實的姓名。在這種情況下，bitcoinlover2008@gmail.com的真實身份（假設是Alice Jones）是不會出現在與協議中的其他人進行交互的過程中的。

在大多數加密貨幣（如比特幣）中，用戶被給予公鑰/私鑰簽名對，其中公鑰就相當于用戶名，而私鑰就類似于密碼。其中的重要屬性在于，只有知道正確的私鑰（不管是合法獲得還是通過盜竊獲得）的人才能解密那條經過你“簽名”的消息。這就意味著，任何擁有公鑰的人都可以通過私鑰來查看這些消息是來自于哪個人。

這種特性允許用戶通過自己的一個公鑰或賬戶接收加密貨幣，也可以通過使用私鑰來發送加密貨幣，所有這些過程都無需中心化機構的介入。這些概念構成了現代數學密碼學的基石。然而，擁有私鑰/公鑰對僅僅只是我們在去中心化環境中用來實現使用假名的方式。

假名通常是加密貨幣協議中固有的屬性，這給各媒體和公眾產生一種錯誤的印象，認為所有加密貨幣都是匿名性的，或者至少比使用假名更加具有匿名性。不足為奇，這種誤解使得很多用戶將加密貨幣用于各種非法目的，如網絡賭博或在暗網進行交易等等。然而，這些用戶或許將對他們實際獲得的匿名性程度非常失望。

盡管用戶確實是通過使用公鑰地址發送或接受加密貨幣，也就是說在交易過程中并沒有使用真實的姓名，但用戶執行的某些操作可以通過其他方式來將他們的公開賬戶與真實身份聯系起來。

首先，大多數用戶通過在交易所使用法幣來購買加密貨幣（如比特幣）。使用法幣進行交易往往需要與常規的銀行系統進行交互，因此可以證明用戶的真實身份。因為所有比特幣的交易數據是完全公開的（在下文中將進一步闡釋這一點），這就使得能夠訪問該交易所數據庫的人可以將賬戶地址與真實姓名聯系起來。

比如，假設Alice從Coinbase中取出0.1個BTC并將之存放在自己的賬戶中，這樣Coinbase就可以將Alice的真實姓名與該地址聯系起來。如果接下來Alice將自己賬戶中的比特幣發送給一個涉嫌參與網絡體育賭博的賬戶中，如此一來，外部觀察者就能夠推斷出（并提供不可篡改的公開證據），Alice正在參與非法賭博活動。

諸如此類的技術稱為區塊鏈分析（blockchain analysis），且有些公司（如Chainalysis）已經在使用這種技術來按所有權對公鑰進行聚類，從而將公鑰與真實身份聯系起來，并分析交易資金流動。

其次，進行加密貨幣交易需要通過互聯網來發送一些信息。在某些情況下，可以通過交易過程中的交互元數據（metadata）來追蹤發起交易的用戶的IP地址，即便該用戶使用諸如Tor這樣的匿名化服務。

將以上這兩個原因結合起來，使得想要通過加密貨幣的假名屬性來進行真正的匿名交易并非易事。

當我們談論隱秘的加密貨幣（private cryptocurrencies）時，想表達的意思通常是交易的某些方面是隱秘的。大致來說，用戶執行的交易操作可以更改區塊鏈的狀態。

例如，Alice可以從自己的賬戶中將X個幣發送到Bob的賬戶中。但即便是這個看似很簡單的一個例子也包含了一些數據：

• Alice的賬戶地址：假設該賬戶是36n452uGq1x4mK7bfyZR8wgE47AnBb2pzi

• Alice和Bob賬戶之間的聯系

• Bob的賬戶地址

• 交易的金額

更加復雜的交易可能會包含其他類型的信息，比如以太坊中的智能合約代碼。不同的區塊鏈會以不同的方式來表征所有這些交易數據，其中有些區塊鏈的表征方式是只允許第三方觀察者看到區塊鏈上的原始數據（raw data）。不同類型的交易數據在隱私保護的程度上可能是不同的。

能夠實現隱秘化的最重要的數據就是Alice和Bob的賬戶地址。如果賬戶地址是隱秘的，則無法通過交易本身來識別出交易的發起者和接收者，這有助于阻礙上文中提到的區塊鏈分析。

比如，如果Alice從幣安交易所購買了門羅幣（XMR，一種能夠隱秘交易中的賬戶地址的加密貨幣）并將之取出，則幣安將無法在此基礎上將之與Alice使用這些XMR進行的其他交易聯系起來。相反地，如果Bob從Alice那里收到了XMR，他將無法知曉這些XMR是Alice從幣安那里購買的。

但更復雜的是，某條交易數據是否是隱秘的并不是絕對的。在Alice的例子中，她的賬戶地址可以通過匿名集的大小來進行衡量，匿名集（anonymity set）是指僅根據區塊鏈數據就可以辨識出的交易發送方地址的最小集合。

匿名集越大，則在區塊鏈數據中，有關交易發起者的信息就越少。比如，在比特幣中，即便是最簡單的交易類型的匿名集的大小為1，因為發送者的地址也包含在交易中，而門羅幣可以提供一個更大的匿名集。

在比特幣區塊鏈中，所有的交易數據都是公開的，這就意味著一個能夠看到比特幣鏈中所有區塊的外部觀察者能夠重新構建有關所有賬戶的余額的賬本（盡管這些余額也許會被分配進不同的UTXO（未使用交易輸出）中），即我們所說的區塊鏈整體狀態。

但是，如果交易的某些部分是隱秘的，則即便掌握了整個區塊鏈的信息，用戶也無法知道該區塊鏈的整體狀態，因為這些信息會在不同的用戶之間共享，且區塊鏈會保證用戶信息的一致性。

盡管用戶能否了解區塊鏈狀態的某一特定屬性，取決于該區塊鏈的協議，以及該用戶對觸發該狀態的交易的了解，但這兩者之間的聯系可能引發復雜的互動。因此，區塊鏈狀態的不同屬性的隱秘性程度可能是不同的，其中一些屬性包括：

• 所有地址列表；

• 某個特定賬戶的余額，比如賬戶0x2569C92345013F55CFb47C633c57F2f5756B9acA 中有1個ETH；

• 某個特定賬戶的智能合約代碼，比如賬戶0x06012c8cf97BEaD5deAe237070F9587f8E7A266d 中的CryptoKitties合約代碼；

• 合約的具體狀態，如CryptoKitties合約中存儲的數據。

舉個簡單的例子：ZCoin（小零幣）中的每筆交易的金額都是公開的，但發送者和接受者的地址是隱秘的，這意味著用戶的賬戶余額依然是隱秘的。

另一方面，在Mimblewimble協議（一種區塊鏈格式和協議）中，每筆交易中涉及的具體金額是隱秘的，但發送者和接收者的地址是公開的，這是保護用戶賬戶余額隱私的另一種方式。Mimblewimble協議中的用戶必須自行存儲余額，因為區塊鏈只會存儲有限的信息來確保用戶花費的金額不會超過其真正擁有的金額。

在多數情況下，交易中加入更多的隱私保護措施，對用戶個體而言是有益的，但對區塊鏈整體狀態未必是好事。比如，如果某種加密貨幣的總發行數量是隱秘的，那用戶將無法判斷該區塊鏈協議中的加密貨幣總供應時間表等具體屬性，而且也很難偵測出一個想要利用協議中的加密漏洞或后面來進行非授權鑄幣的攻擊行為。

到目前為止，我們主要關注的是特定的信息是公開的還是隱秘的。同時，也有必要整理一下用于保護隱私所采用的技術方法。我將粗略地概述一下這些方法，在后期的文章中，再細致地討論那些混合或基于零知識的方法。

• 建立在區塊鏈底層之上的第二層協議，如閃電網絡、狀態通道或Plasma，允許小部分用戶之間在“鏈下”進行交易。這意味著所有中間狀態（intermediate state）將存儲在這些用戶之間，主區塊鏈只會定期地寫入這些狀態變化。其結果是，外部觀察者是看不到這些中間狀態的，因為這些中間狀態根本不會出現在主區塊鏈之上。當然，在鏈下狀態方面，第二層協議本身可能對參與者具有（或者選擇沒有）不同程度的隱私保護，因此這更多的是設計理念而非隱私保護技術的問題。因此，我們將不再進一步探討第二層協議，但感興趣的讀者可以找到非常多的相關文章來閱讀。

• 混合的方法，即通過將不同交易的輸入和輸出組合成單筆大交易，從而隱匿這些交易的發送者和接收者的賬戶之間的聯系。其中包括加密領域中一些最早的隱私保護協議，如tumblers、CoinJoin、Mimblewimble 和門羅幣等。

• 基于零知識的隱私保護方法：某個協議的用戶通過提供零知識證明（ZKP），即在不揭示信息本身的情況下，證明自己知曉某條信息。如果使用得當，這種加密技術可以既可以確保交易/狀態的隱秘性，也可以保證整個區塊鏈的安全性。

• 用戶的最佳操作。即便是使用那些不附加任何隱私保護功能的加密貨幣，用戶也有辦法在一定程度上抵御網絡安全威脅和區塊鏈分析技術。為了抵御攻擊者利用網絡元數據來發現用戶的真實身份，用戶可以使用Tor或者I2P來掩蓋其交易的原始地址。為了抵御區塊鏈分析技術，一般建議用戶為收到的每筆款項更換一個新地址。門羅幣和 Verge等加密貨幣提供了這種功能，作為一個原生選項（盡管在有些加密貨幣中，用戶之后的操作依舊能與這些新的地址聯系起來）。

• 可信執行環境（TEE）：TEE是一個號稱能通過使用密碼技術來保護在上面的數據和代碼的完整性和機密性的處理器（如英特爾SGX）。有一些協議（如Oasis Labs的商業化協議Ekiden）正在提議使用TEE。比如，賬戶余額可以使用存儲在TEE中的私鑰來進行加密，從而確保賬戶余額只能在TEE中進行解密和修改。這其實是把確保隱私保護的責任交給了TEE。但TEE也有自身的缺陷。比如，通過側通道攻擊（side channel attacks）可以提取出密鑰（英特爾SGX已經發生了這樣的攻擊），而且當前的TEE需要制造商的許可，或允許制造商可以破解數據機密性（當然，Keystone和Gradient等替代方案試圖解決這一問題）。

當我們思考加密貨幣的隱私性時，與其說出“我的幣比她的幣更加具有隱私性”等言論，我們建議更應該試著回答以下這些問題：哪些信息何時受到何種程度的隱私保護？對這些信息哪些人保密？這種思維方式能夠使我們更加客觀地分析隱私保護技術，以及這些技術包含的折衷之處。

作者：Yi Sun，Yan Zhang

翻譯：Hulin

原文鏈接：

https://medium.com/@yi.sun/privacy-in-cryptocurrencies-d4b268157f6c