編者按:本文來自Unitimes(ID:Uni-times)編者按:本文來自
編者按:本文來自
編者按:本文來自
,作者:Ryan Gentry & Matt Shapiro,編輯:Jhonny,經授權發布。
原文標題:《Privacy Is a Feature Not a Product》
隱私保護將成為無國界加密貨幣的一個特徵,但不會成為其核心特徵。用戶不應該單純為了實現金融隱私(financial privacy),而在價值較低、安全性較差的加密貨幣上承擔資產負債表風險(例如,出售BTC或ETH以獲得ZEC)。
本文將提出以下觀點:諸如比特幣和以太坊這樣的通用平台已經為大多數用戶提供了足夠的隱私保障,因此這部分用戶並不需要轉向以隱私為重點的小眾區塊鍊網絡。
隱私必須成為開放金融、全球無國界貨幣和Web3.0 的關鍵組成部分。然而,在迄今為止的加密貨幣生態系統中,與隱私相關的開發活動大多發生在以隱私為重點的區塊鏈上。而比特幣和以太坊社區把解決可擴展性(scalability)和用戶體驗(user experience)等問題放在首位。
將金融隱私的重要性置於所有其他特性之上的開發人員構建了主要用於支持隱私保護的協議,用例包括大零幣(Zcash)和門羅幣(Monero)等資產,以及Grin和Beam等新入場者。它們都在功能和可用性之間做出各種權衡,以確保隱私是其核心價值主張。
但是,隱私是獨立區塊鏈應該構建的核心價值主張嗎?
加密投資者的一個共同論點是,由於隱私在金融交易中的重要性,因此專注於隱私的區塊鏈(如Zcash、Monero、Grin和Beam等)應該完全能夠積累價值。我們認同隱私在金融交易中非常重要的說法,但我們並不認為兩者之間存在因果關係。
我們預計,最有價值的區塊鏈將在一系列不同的技術權衡中勝出,用戶和企業將找到新穎的方式,將隱私帶入這些網絡,而不是由網絡參與者選擇原生隱私協議,並為之承擔資產負債表風險。
此外,Layer1資產(比如BTC、ETH等)一般應該被認為是貨幣,這些Layer1資產會產生明顯的網絡效應,因此只有少數區塊鏈能夠打贏這場持久戰。
如果具有非原生隱私特性的區塊鏈平台(如比特幣和以太坊等)已經能夠為大多數人提供足夠好的隱私,那麼具有原生隱私的區塊鏈(比如Zcash、Monero等)區塊鏈就會變得無關緊要了。
在本文中,我們將討論以下主題:
圍繞隱私的技術將如何帶來功能上的折衷;
我們如何看待隱私保護與投資之間的關係。
二級標題
在加密貨幣交易中可以洩漏四種類型的隱私信息:發送方、接收方、交易金額和IP地址。如果所有這四種信息都能成功地對任何第三方觀察者隱藏,那麼交易就是完全隱私的。
圖片描述
圖片描述
圖片描述
表1:加密貨幣交易的隱私頻譜(點擊圖片可放大)
如上圖所示,隱私是一個頻譜:
一端是不隱藏任何上述信息的交易,例如基本比特幣或以太坊交易;
另一端則是Zcash的樹苗(Sapling)交易,它屏蔽了上述四種類型的信息(前提是與Dandelion 或Kovri 等模糊IP 技術相結合時)。
2019年,加密貨幣市場普遍反彈,不過ZEC 是個明顯的例外。
圖片描述
圖片描述
圖片描述
Zcash自2018年1月起的價格(以BTC計)
儘管給出了這樣的隱私保護承諾,但市場已經明確表態:Zcash 的Sapling (樹苗) 交易提供的隱私保護並不會令ZEC 變得有價值。
原因有幾個。
首先,加密貨幣的核心創新在於無需信任任何一方,就能以編程方式實現易於驗證的稀缺性。
稀缺性使得社會的可擴展性(social scalabillity) 成為可能,因為來自不同文化和行業的人都可以驗證自己持有的代幣是已知整體中一個得到保證的百分比。但不幸的是,完美的隱私保護阻礙了加密貨幣的可審計性。
比如,2018年3月,Zcash 在他們的加密技術中發現了一個漏洞,可能導致ZEC 代幣的無限通脹。正如Zcash 基金會自己承認的那樣,在Sprout 地址被棄用之前,不可能知道是否有任何一方利用了該漏洞來增發ZEC 代幣。用戶可以驗證有多少代幣被發送到隱蔽池中,但無法知道這些代幣是否是被攻擊者偽造而來的。
也就是說,完全隱私的交易會阻止投資者驗證Zcash 是否像預期中那樣稀缺。
其次,以Zcash 的方式優化隱私帶來了沉重的成本代價。每次創建一筆完全私密的交易時,發送方都必須計算一系列精確的計算步驟,以便生成一個礦工可以使用零知識技術驗證的證明(proof)。從計算成本的角度來說,這些步驟是非常昂貴的,而且Sprout 版本過於繁瑣,因此無法廣泛採用。
所以現在的問題是:提供多大程度的隱私保護才算是足夠好?
二級標題
二級標題
二級標題
「藏身人群中」的隱私
比特幣和以太坊社區都在努力將原生隱私性帶入他們的區塊鏈中。但比特幣和以太坊並沒有向完美的隱私方向進行優化,而是傾向於「藏身人群中(Lost in the crowd)」的隱私——這是由Tor 網絡推廣的一種策略。
Greg Maxwell 在2013年首次提出CoinJoin 的概念,它指的是一些不同的參與方將他們的多個單輸入、單輸出交易組合成一個多輸入、多輸出的交易。這割裂了發送方和接收方之間的直接聯繫,而且如果所有輸出都是相同的大小,這還會模糊由誰接收了多少BTC。最近,諸如Wasabi Wallet 和Samourai Wallet 這類使用CoinJoin 方案將信任需求度降到最低的應用大受歡迎。
圖片描述
圖片描述
圖片描述
Chainalysis 統計的2019年以來(截至8月份) Wasabi Wallet 月度混合的美元價值上升趨勢。
同樣,CoinJoin 方案不是完全保護隱私的,因為觀察者可以分辨出哪些代幣被發送到混合器(mixer),哪些被發送出去。上圖這種顯著的增長趨勢表明,使用該方案的用戶群體已經足夠大,因此尋求隱私保護的用戶實際上可以「藏身人群中」。 Chainalysis 是名聲最顯赫的區塊鏈分析公司之一,其客戶包括美國聯邦調查局(FBI)、緝毒局(DEA)和國稅局(IRS),該公司證實稱,他們“無法追踪代幣在混合服務中移動的軌跡。”
在默認情況下,以太坊的基礎層默認沒有比特幣那麼隱私,因為以太坊使用基於帳戶的模型(account-based model),而不是使用比特幣的基於未消費交易輸出(UTXO) 的模型。這意味著在以太坊網絡中,某個地址會在許多不同的交易中重複使用,而不是為每筆交易分配一個新的地址。
不過,諸如以太坊等智能合約平台相對於比特幣的一個優勢是,它們允許更高級的交易類型。一份智能合約可以為發送給它的所有資產提供「藏身人群中」的隱私性,甚至可以為發送給它的所有資產提供完全的隱私性。目前,其中幾種支持隱私保護的智能合約已經在主網上運行,還有更多的用例正在開發中。
諸如Argent 的Hopper、Heiswap 和Tornado 等以太坊“混合器(mixer)”提供了「藏身人群中」保護隱私的不同方式,其效果堪比比特幣的CoinJoin 方案。
通過這些以太坊“混合器”,用戶可以將特定資產的固定金額(如0.1 ETH 或10 DAI)存入一個智能合約中,等待足夠多的用戶進行類似額度的存款,從而構建一個大型匿名集,然後將原始的金額提取到一個與原始地址沒有關聯的新地址中。
但由於每個用戶存入合約中的金額數量必須完全一樣,這些隱私解決方案將很難吸引大量的存款,這將限制這些方案向可持續的獨立業務擴張。
Aztec Protocol 開發了一系列模塊化的智能合約,允許實現資產機密、地址隱秘和零值輸出,本質上是為了在以太坊上建立一個「藏身人群中」的隱私資產池。用戶需要將他們的公開加密資產發送到一個智能合約,之後該合約將把這些資產的「私有版本(private version)」生成到其隱私池中,並為用戶分配一個新的私有地址進行交易。隱私池吸引的資產越多,人群就越多,而這可以為所有參與者提供更有力的保護。
為現有區塊鏈提供隱私保護不僅是Layer2 的附加功能。在不久的將來,諸如Decred 和Tezos 等這類具有強大治理能力的小型公鏈會添加協議原生的隱私保護功能。與比特幣和以太坊一樣,這些公鏈平台社區看到了隱私交易的價值主張,正致力於將隱私保護作為向社區提供的一項功能,而不是將原生金融隱私保護作為核心產品的功能。此外,Tezos 社區正直接盜用Zcash 的Sapling 設計!
以上所有這些公鏈的努力都是在試圖改進當前「藏身人群中」隱私方案的黃金標準:門羅幣(XMR)。
如上文所述,目前僅有5% 的ZEC 是受到完全隱私的,但是100%的XMR 都是遵循一組通過隱藏來創造隱私性/安全性的規則進行傳輸的。
門羅幣交易使用三種基本類型來隱藏發送方、接收方和交易數量:環簽名(ring siganatures)、隱秘地址(stealth addresses)和環機密交易(RingCT)
環簽名允許發送方使用n個不同的密鑰來簽署交易,從而模糊了哪個密鑰是發送者的密鑰。
同時,門羅幣在2018年熊市中的表現並不比Zcash 好多少。見下圖:
圖片描述
圖片描述
圖片描述
門羅幣自2018年1月份以來的價格走勢(以BTC計)
二級標題
二級標題
去匿名化成本
二級標題
去匿名化成本
今年早些時候,有研究人員發布報告指出,利用門羅幣環簽名選擇過程的某寫方面特性,對門羅幣發起低成本的FloodXMR 攻擊,僅以1700美元的成本,即可在一年內使其50%的交易去匿名化。
門羅幣社區拒絕接受這種成本估算,稱這個成本金額太低。他們還反駁了這種算法,稱分析過於簡單,沒有考慮到現世界中的任何情況,比如同時發生多起襲擊,或者價格波動。
本部分內容的目的不是重述FloodXMR 攻擊,而是利用它的原理,為我們在考量公鏈的隱私池時構建一個通用的框架。 FloodXMR 攻擊的基本框架是這樣的:
每天都有一定數量的XMR 交易在門羅幣網絡上發生。這些交易都是混合在一起的,因此除了參與者自己,沒有其他人知道誰給誰發送了多少價值。然而,由於所有交易都是公共的,並且地址在環簽名模式中被重複使用,攻擊者自己可能也會參與大量這些交易。
通過這樣做,攻擊者極大地降低了匿名集,並且可以更容易地確定每個交易的實際發送方和接收方,從而有效地對他們進行去匿名化。具體來說,根據上述研究者的報告,一個“控制一年內生成的75%交易輸出的密鑰的惡意參與者,能夠跟踪同一時間段內創建的所有交易輸入的47.63%。”
如果做出某些假設的話,這種攻擊可能擴展到比特幣的CoinJoin 隱私池(實際上已經出現了) 和以太坊的Aztec Protocol 隱私池。在過去12個月的大部分時間裡,使用CoinJoin 方案的交易比例占到了比特幣交易量的5%到10%,2019年7、8月份有所上升。見下圖:
下圖顯示了BTC 的Wasabi Wallet 隱私池、ETH 的Aztec Protocol 隱私池(假設其占據ETH 5%的市值)和XMR 的去匿名化成本,圖中的平均值(平均交易費和每日平均交易量) 使用的是從2018年10月19日到發文時的平均值。
圖片描述
下圖提供了另一種查看去匿名化成本的方法。在這種方法中,我們要確定的是需要在以太坊或比特幣的隱私池中持有多大比例的市值,就可以達到與門羅幣一樣的去匿名成本。
圖片描述
圖片描述
二級標題
二級標題
寫在最後
寫在最後
寫在最後
寫在最後
加密貨幣存在的理由是提供一種無需依賴可信第三方的數字價值交易方法。要想成為全球性的無國界貨幣,加密貨幣必須能夠抗審查。而抗審查的先決條件是金融隱私保護。
加密貨幣的隱私之爭將是一場與那些試圖讓加密貨幣用戶去匿名化的人之間的軍備競賽,如果加密貨幣想要成功,就必須贏得這場戰爭。
遺憾的是,正如我們上面所論述的那樣,按照Zcash 的方式在默認條件下進行完美隱私交易的成本太高。這種完全隱私的方式破壞了加密貨幣的另一個核心價值主張:在整個交易歷史中,使用無需許可的方式來驗證交易未曾發生雙重花費,也沒有發生不正當的通脹。沒有這個驗證屬性,任何加密貨幣都不可能具有足夠的社會可擴展性來成為一種全球性的、無國界的貨幣。
因此,獲勝的加密貨幣必須實現某種不完美的「藏身人群中」式隱私,這種隱私建立在可公開核查的公共賬簿之上。從上面的表2和表3可以看出,比特幣和以太坊社區能夠將隱私池與它們本身的公鏈連接起來,而且由於交易量和交易費用更高,它們的去匿名化成本很快將超過整個門羅幣區塊鏈的去匿名化成本。
