通證通研究院× FENBUSHI DIGITAL 聯合出品

摘要

導讀

導讀

摘要

摘要

目前常見的匿名技術（包括隱私地址技術、環簽名技術、Coinjoin、zk-SNARKs、RING-CT和Mimblewimble）使用了不同的策略提供對數字通證交易的隱私保護。其中Coinjoin的隱匿性相對最弱，且是唯一需要第三方參與的技術；zk-SNARKs的隱匿性相對最強；隱私地址技術和環簽名技術都是在CryptoNote中被提出的，但不能隱藏交易金額，之後的RING-CT解決了這一問題；Mimblewimble是一種較新的匿名技術，其特點是交易時無須地址。

自數字通證誕生以來，不可篡改的分佈式賬本帶來了全新的交易模式，極大地降低了信任成本。然而遺憾的是，信息公開可查的交易模式不能適應一切交易，其中之一就是隱私交易。匿名通證的出現解決了這一痛點，填補了高隱私性通證的需求缺口，滿足了匿名交易的需要。

整體而言，提供隱私保護的匿名通證的市值正在不斷上漲，這也和公眾對隱私權日益重視的趨勢相符。時至今日，匿名通證在市場已有較高市值。截至2019年7月5日，匿名通證總市值達45.1億美元，佔加密通證總市值的1.4%。

匿名性是匿名通證相比其他數字通證最突出的特點，但其不可追踪性是一把雙刃劍。匿名通證面臨著嚴峻的監管壓力，匿名通證合規化存在困難，短期內可能難以取得多方共識，可審計的隱私協議是解決這一困境的有效方案。

目錄

目錄

目錄

1 匿名技術比較

2 隱私捍衛者：匿名通證的興衰史

3 “前有猛虎,後有惡狼”——夾縫中生存的匿名通證

二級標題

正文

正文

二級標題

1 匿名技術比較

在常見的匿名技術中，Coinjoin的隱匿性相對最弱，且是唯一需要第三方參與的技術；zk-SNARKs的隱匿性相對最強；隱私地址技術和環簽名技術都是在CryptoNote中被提出的，但不能隱藏交易金額，之後的RING-CT解決了這一問題；Mimblewimble是一種較新的匿名技術，其特點是交易時無需地址。

隱私地址技術和環簽名技術都是在CryptoNote協議中提出的技術，前者提供對數據接收方的隱私保護，後者提供對數據發送方的隱私保護，二者一般結合使用，匿名效果較強且不依賴任何第三方；缺點是不能隱藏交易金額，且交易量不足會削弱匿名效果。

Coinjoin提供對數據發送方和接收方的隱私保護，有助於隱藏交易金額。 Coinjoin的特點是輕量級，相對簡單、容易實施且不需要特定的共識就可以在大多數數字通證上運行；但其缺點也較為明顯，Coinjoin的匿名能力相對較弱，早期需要可信的第三方參與，改進後的CoinShuffle++雖然不再需要可信的第三方，但由於交易量不足會影響混幣效果，該方法仍需通證資源相對集中的節點參與才能保證混幣效果。此外，用戶需要保持在線狀態才能進行混幣。

zk-SNARKs的匿名能力相對最強，並且能提供交易過程全程的隱私保護，包括對數據發送方、數據接收方和交易金額的隱私保護。驗證數據小、佔用存儲空間少且無須任何第三方參與；但zk-SNARKs依賴於可信的初始設置且流通通證總量不可查，如果出現信任問題，篡改者能夠無限生成數字通證並無法被檢測到。此外在使用zk-SNARKs進行匿名交易時需要進行複雜的數學計算，交易生成時間相對較長（尤其是對於配置較差的私人計算機而言）。

二級標題

二級標題

2 隱私捍衛者：匿名通證的興衰史

自數字通證誕生以來，不可篡改的分佈式賬本帶來了全新的交易模式，極大地降低了信任成本。然而遺憾的是，信息公開可查的交易模式不能適應一切交易，其中之一就是隱私交易。匿名通證的出現解決了這一痛點，填補了高隱私性通證的需求缺口，滿足了匿名交易的需要。

匿名通證總市值自2013年7月15日以來持續上升。匿名通證和數字通證總市值高度相關，二者走勢極為相似。 2017年，匿名通證曾受到數字通證市場整體向上的牽引力影響，隨後其市值一度跌至20億美元以下。而在2019年，匿名通證市值步入了相對穩定的上升階段。整體而言，提供隱私保護的匿名通證的市值正在不斷上漲，這也和公眾對隱私權日益重視的趨勢相符。

注：匿名通證總市值根據Cryptoslate統計的目前市場上的58個匿名通證計算。

Bytecoin是最早出現的匿名通證，但一開始是在深網運行，因此缺少相關數據。 2013年7月15日，Anoncoin進入市場，成為當時唯一正式在二級市場流通的匿名通證。此後幾年間，Dash、Dreamcoin、Monero、Cloakcoin、Bytecoin等匿名通證相繼出現。

Dash是當時的代表性通證，在二級市場流通後市值佔比迅速攀升，高峰時達98.0%，至今Dash仍為匿名通證三巨頭之一。但當時匿名通證不論總市值還是通證數量都很少。

2016年起，各種各樣的匿名通證在市場上嶄露頭角（目前的匿名通證三巨頭之一Zcash創立於2016年10月）。 Monero由於在2016年8月獲AlphaBay（一個在線暗網市場）支持，一度佔據匿名通證總市值的66.7%，目前仍在匿名通證市場獨佔鰲頭。

二級標題

二級標題

3 "前有猛虎，後有惡狼“——夾縫中生存的匿名通證

3.1 “前有猛虎”——嚴峻的監管壓力

匿名性是匿名通證相比其他數字通證最突出的特點，但其不可追踪性是一把雙刃劍。

一方面，匿名通證有助於解決很多實際難題，例如企業不希望自己的交易流向被競爭對手掌握、國家安全技術發展的投入信息不適合公開等。同時，匿名技術能確保個人隱私信息不被濫用。互聯網時代用戶數據具有巨大的商業價值已經是共識，基於用戶習慣精準地投送廣告或進行電話營銷甚至電信詐騙等行為常令人不堪其擾。而匿名技術可以有效解決這些問題，讓隱私權重新歸屬於用戶自身。

另一方面，不能否認的是匿名通證的出現也方便了非法交易。 BTC曾是暗網市場上流通的“官方通證”，但其在匿名性上的局限制約了其在暗網的規模擴張。而匿名通證提供了另一種選擇，犯罪分子能夠利用匿名通證進行洗錢、販毒等違法活動，這對監管部門、執法部門提出了新的挑戰。

日本是最早承認數字通證合法的國家，也是最早將加密通證納入監管的國家之一，但在日本加密通證交易所CoinCheck被黑客盜走價值約5.3億美元的加密通證後，CoinCheck宣布於2018年6月18日下架匿名性足夠強的加密通證，包括XMR、DASH和ZEC等。

在這一大型盜竊事件發生後，FSA（日本金融廳）開展了一系列措施，包括修訂更嚴格的交易所審查制度、協助建立日本虛擬通證交易所協會（由日本數字通證交易所組成的行業自律協會）等，並一度表達禁止交易匿名通證的態度，儘管最終沒有明確的法規或行業自律條例限制匿名通證交易，但是在日本通證上市交易有著嚴格的要求，而且從現實情況來看，日本的各大數字通證交易所都不支持匿名通證交易。

除日本外，其他一些國家（地區）也提出針對匿名通證的相關規定或建議。 2018年1月，韓國政府出台法律要求所有加密通證交易者提供身份證明；2018年5月，韓國交易所Korbit下架了五種匿名通證；2019年3月，法國國民議會財政委員會負責人建議禁止匿名加密通證。

匿名通證合規化存在困難，短期內可能難以取得多方共識。目前各國對於數字通證態度不一，對於匿名通證的態度更加謹慎，主要原因是匿名通證大大超出了監管可及範圍。如果匿名通證始終與犯罪活動緊密相關，無法受到有效的監管，想要走向合規化會相當困難。

嚴峻的監管壓力在前，旨在保護交易者隱私的匿名通證暫時還難以獲得各國官方認同，這是匿名通證走向大眾難以逾越的深壑，也是製約其發展擴張的瓶頸。

隱私協議層或可使匿名通證擺脫困境。隱私協議層能夠在協議層上拓展可供監管和審計機構監控審查的接口，從而做到分級式的隱私，對用戶做到完全隱私，而對有限的機構提供審計權限的隱私協議是解決監管問題較優的方案。協議層包括了構建區塊鏈的底層技術，除審計功能外，還可通過協議層實現匿名交易附加加密的包含發送接收方身份和地址的備忘錄字段，或使交易者有權限賦予他人監管權的方式，確保其合規運行，遵守反洗錢和反恐融資的原則。目前協議層擴展已是區塊鏈技術研發的重要環節之一。

Monero核心技術開發者Dr. Duncan S.Wong曾表示，絕對的隱私通證將不再受到歡迎，對公眾和個人做到完全隱私、對監管及審計機構做到可問責隱私的加密通證將逐漸走向主流。 2018年9月，Dr. Wong提出了Abelian Coin（ABE），一種隱私分級方案。該方案基於可驗證的加密系統。用戶可選擇完全隱私模式或可問責隱私模式，後者使用戶交易數據可供特定第三方機構監控。 ABE綜合了多種隱私技術，身為Monero核心開發者的作品，ABE天生融合了Monero的RING-CT隱私技術，在此之上加入可選的問責功能。

3.2 “後有惡狼”——加密之王BTC的挑戰

目前已經被大眾廣泛接受的數字通證，如BTC、ETH等都可能在未來加入隱私保護功能。 Coinjoin技術已經是BTC的可選屬性之一，截至2019年4月，BTC交易中使用Coinjoin的交易量為一年前的三倍，佔全部BTC交易的4.09%（數據來自Longhash），而未來Schnorr簽名、Dandelion++或者MimbleWimble等技術都可能加入BTC以增強其隱私性。

作為提升BTC區塊鏈性能的可行方案之一，Schnorr簽名與BTC已使用的橢圓曲線參數secp256k1相兼容，並且與ECDSA（橢圓曲線數字簽名算法）具有相同的安全假設，可完美替代ECDSA。 Schnorr簽名的核心用途是將多個簽名聚合成一個新簽名。由於Schnorr簽名具有線性屬性，兩個或者更多的Schnorr簽名可以組合成一個新的Schnorr簽名，並且新的聚合簽名依然僅有常規簽名的大小，這樣的設計能夠使觀察者無法區分聚合多重簽名和常規簽名，從而有效提升數字通證的隱私性（尤其是在使用基於Schnorr的Coinjoin技術時），同時提升區塊的交易容量。

以一筆具有多個輸入和一個輸出的交易為例，鏈上需要記錄每位輸入方各自的簽名，目前的簽名策略使區塊鏈變得相當臃腫。

Schnorr聚合簽名能夠有效提升BTC交易的匿名能力，並且新生成的聚合簽名還僅有常規簽名的大小，如果每位用戶都使用Schnorr，大約能使BTC區塊的交易容量增加10-20%。

Dandelion是一種簡單有效的提升匿名性的技術，由Giulia Fanti等人於2017年提出。 Dandelion對通信節點的行為作了修改，使交易的原始IP地址在廣播過程中被隱藏。

Dandelion將交易過程劃分為“主幹階段”和“絨毛階段”：在主幹階段，交易信息會被傳輸到另一個節點，而不是向全網廣播；交易信息經過一些節點後將進入絨毛階段，改為向全網廣播交易信息。初始版本的Dandelion正常運行依賴三個假設：所有節點都遵守協議、每個節點只生成一筆交易、所有BTC節點都運行Dandelion。

如果上述假設成立，向全網廣播交易信息的節點將不再是發布交易信息的初始節點，而是“中繼節點”，攻擊者將難以追踪交易信息的初始地址。遺憾的是，在現實中上述三個假設都不一定成立。為突破Dandelion的局限，研究者於次年發布了Dandelion++，優化了算法並增強其匿名性，同時也允許節點生成多份交易。

Dandelion設計的匿名圖是折線圖，容易量化，但無法有效評估匿名能力。直覺上，頻繁地改變折線圖會使攻擊者沒有足夠的時間掌握匿名圖；而實際上，評估攻擊者對匿名圖的啟發式學習非常困難，這使交易的匿名性難以獲得實際的保證。折線圖是2-正則圖，而Dandelion++將折線圖改為近似的4-正則圖，用戶會將交易信息隨機轉發給周圍的兩個節點之一，直到進入絨毛階段。

Dandelion++設計了攻擊者難以學習的匿名圖，為通證交易的隱私性提供了保證。

因一些原因，本文中的一些名詞標註並不是十分精準，主要如：通證、數字通證、數字currency、貨幣、token、Crowdsale等，讀者如有疑問，可來電來函共同探討。

因一些原因，本文中的一些名詞標註並不是十分精準，主要如：通證、數字通證、數字currency、貨幣、token、Crowdsale等，讀者如有疑問，可來電來函共同探討。

因一些原因，本文中的一些名詞標註並不是十分精準，主要如：通證、數字通證、數字currency、貨幣、token、Crowdsale等，讀者如有疑問，可來電來函共同探討。

因一些原因，本文中的一些名詞標註並不是十分精準，主要如：通證、數字通證、數字currency、貨幣、token、Crowdsale等，讀者如有疑問，可來電來函共同探討。

本文為通證通研究院（ ID:TokenRoll ）原創。未經授權，禁止擅自轉載。