匿名币,是保障隐私?还是危害社会?(上)丨 币橙研报

一直以来,如何保障人们的隐私是一个经久不衰的话题,互联网世界是这样,区块链世界更是。随着区块链和数字货币概念的深入人心,人们迫切想要创造一种Privacy Coin来达到真正匿名的效果,也想要打造一些Privacy Protocol来保密自己在数字世界的痕迹。

本期,币橙研究院将从匿名币出发,探究其技术背景、价格周期,并对其未来发展做出展望,同时也将简单介绍知名的隐私类项目。

一、Privacy Coin的由来

比特币经常被一些人宣传成是一种“去中心化、匿名、抗审查的数字货币”,实际上,这一表述是有漏洞的。原因就在于“匿名”方面,比特币虽然做到了交易地址的模糊化——即外部观察者无法直接将地址追溯到交易双方个人,但是随着线下支付场景的涌入、监管力度的不断加深,外部观察者只要在某一笔交易中知晓了某个人(机构)的持币地址,他便可以顺藤摸瓜般检测该地址的其他动向。同样,监管机构甚至还能够联络有牌照的数字货币交易所,拿到变现比特币地址对应的真实身份,从而按图索骥地追查案件。从上述举例中我们知道,比特币并非做到真正的“匿名”,而是“假名”,外部观察者仍然有许多办法,来探究比特币地址真实身份的蛛丝马迹。

其次,严格意义上讲,每一枚比特币并不是完全相同的(即比特币不满足货币的可替换性),因为它们在链上的记录是不一样的,例如转账记录是不一样的。有些比特币过去曾被拿来用作非法用途,甚至涉及违法、刑事案件,如果案情严重且国家法律部门强势介入,这就有可能让下一个无辜的持币者卷入一场司法冻结案件中;有些则刚刚被开采出来,无不良记录。事实上,国外社区对于此类情况已经有所报道和讨论,甚至有人对于那些干净的比特币发明出了Virgin Bitcoin(处女币)的说法。

第三,正由于比特币网络的数据公开性,败也萧何,这一特性给实际落地场景中的富人以极大的困扰,没有人希望自己因为使用了比特币作为餐饮、出行等支付手段而暴露财富。哪怕通过分割数字钱包中的资产,把持有的比特币分散到不同地址,外部观察者也还是能通过转账记录的公开去窥探财务隐私。

于是,“P2P”的比特币既没有做到完全的“Privacy”(隐私性),也没有做到完全的“Fungibility”(可替换性)。要知道,现实世界的现金至少在流通中能做到一定程度的匿名,每张现金最终的目的地是难以完全统计出来的,尤其是小额现金的最终交易去向(当然,大额现金的去向能够通过政府机构的监控获得)。同时,现金的交易记录是无法被完全溯源的,也就是说每张现金除了发行时间、版号的不同外,在表面的使用记录上几乎无二致。总结来看,现金虽然牺牲了“decentralization”,但是做到了一定程度的“Privacy”和较完备的“Fungibility”。

在这样的背景下,Privacy Coin的概念应运而生,它们想要在保证分布式的前提下,做区块链世界真正匿名的货币,兼具“Privacy”和“Fungibility”。极客们综合了近10-20年的加密学理论和技术,开发出多种原理的匿名币。较为早期的匿名币开拓者,包括第一个基于CryptoNote技术的反追踪加密货币Bytecoin、同样基于CryptoNote但开创Ring Signature的Monero、开创masternode机制结合Coinjoin的Dash等等。可以说,币圈关于匿名币的热情从未完全消散过,无论是技术的创新上,还是价格的炒作上。

二、Privacy Coin的发展现状

不可避免地,每一个事物都有它的两面性,匿名币发展历程越来越被灰色地带的人们认知,因其能够被用于洗钱和非法交易,监管部门对匿名币的看法也十分保守和谨慎。毫不夸张的说,如何平衡人类每一个个体应该拥有的隐私和财产权利,与利用权利越界而产生的违法行为对社会的危害,是一个经久不衰的话题。技术本身无罪,只是有些时候利用的手段发生了偏移。

另一方面,匿名币在目前的使用频率较比特币仍有较大差距。美国FBI的一项调查显示,基于加密货币交易的非法活动中,75%的交易仍然使用比特币而非匿名币。另外,暗网“Silk Road”的调研数据也显示,匿名币XMR、DASH等仅仅在问世之初受到极大追捧,使用人数飙升,而随着时间的推移、比特币强共识的吞噬,匿名币的市场份额相较于比特币暴跌,比特币在暗网交易中仍处于主导地位。

货币支付之外,在Privacy Coin发展的历程中,人们也在不停地探索区块链世界中其他层面的隐私保护,例如智能合约层的隐私、基础设施层的隐私、复合层的隐私保护等,这一点会在后文继续探讨。

三、Privacy Coin的分类

截止目前,技术开发者在匿名币的研究中,比较知名的案例有Bytecoin、Monero(门罗币)、Dash(达世币)、Zcash(大零币)、Grin(古灵币)等等,共有10款匿名币流通市值超越1000万美金,匿名币板块在加密货币排行榜中占据了举足轻重的位置。从匿名交易的技术手段,我们大致可以分成四个类别:XMR、DASH、ZEC和GRIN。如下将首先介绍他们的基本面情况、匿名技术手段。

1.Monero(XMR)

Monero原名Bitmonero,起源于世界语中的“硬币”之义。由于在预挖等历史问题上与Bytecoin核心开发团队产生分歧,XMR是第一个分叉基于CryptoNote系统BCN的匿名币。创立之初,XMR主要在出块时间、释放速率、代码质量上对BCN做出改进。随着时间的流逝,门罗币发展出非常庞大、健康的生态,今年我们可以看到市场上有很多小矿币就是基于门罗Cryptonight算法(或Cryptonote协议,理论上对CPU和GPU友好)开发而成,例如Pundi、Loki、Lithe、Obscure等等。

有意思的是,门罗币是一个对待ASIC矿机最为抵触的大币种,曾因比特大陆破解Cryptonight的ASIC抗性多次分叉,产生包括Monero Classic(XMC,门罗经典)、Monero original(XMO,原始门罗)、Monero 0(门罗0)等多个社区分裂的产物。

门罗币(Monero,XMR)的匿名技术可以分为四大板块:隐匿地址、环签名、环隐匿交易、防弹技术。(Stealth Address、Ring Signature、Ring C.T.、Bulletproof)

隐匿地址(Stealth Address)在每次转账交易中随机生成,而且不断变化,可以隐藏接收方信息,并且分散交易记录。我们以Alice发送XMR给Bob的一次转账交易举例,简述其原理。首先,Alice根据自己的私钥(x)生成公钥【X】,Bob根据自己的私钥(a)(b)生成公钥【A】【B】,生成的方式是使用Ed25519椭圆曲线加密。其次,Alice需要使用自己的私钥(x)、Bob的公钥【A】【B】、哈希函数H、椭圆曲线上公开基点G计算P值,具体算法是P=H(xA)G+【B】,值得注意的是,P值本质上就是最终隐匿地址的公钥。在这个时候,Bob同时计算一个P*值,P*的算法整体形如P值,只是哈希函数的自变量更改为自己的私钥(a)与Alice的公钥【X】,有P*=H(Xa)G+【B】。Alice和Bob均会广播自己计算得到的P和P*,此时应得到P=P*(这涉及到次幂函数取模算法的原理,在此不做展开),即(a)【X】=(x)【A】,翻译成自然语言就是Alice的公钥【X】乘以Bob的其中一个私钥(a)等于Alice的私钥(x)乘以Bob的公钥【A】。以上过程能证明两件事:一是Alice通过(x)确认自己给Bob发送了XMR,二是隐匿地址是跟随每一次交易不断变化的临时地址,因此具有反追踪的功能。接下来,只需要Bob能够证明这个随机地址是寄给他钱的地址,他就可以调用这笔XMR。于是,他需要计算q值,算法是q=H(Xa)+(b),再使用椭圆曲线的公开基点G验证,如果能得到qG=H(Xa)G+(b)G=P*,就能够证明Bob拥有这笔XMR。q值本质上是P值对应的私钥,是Bob对于临时地址中的财产权益证明。整个过程中,门罗币是依托其多重密钥的特点进行的,其中View key的公钥就用来生成上文解释的临时随机地址,私钥就用来验证Bob拥有临时随机地址中资金的所有权。

环签名(Ring Signature)可以将交易发送方和网络其他参与者的公钥混合,并对消息进行签名,从而隐藏发送方信息。以Alice将XMR发送给Bob为例,Alice先确认环的大小,即有多少网络参与者进入到此次环签名中。并与网络参与者构建一个具有外部混淆性的公钥集合,公钥集合被环签名后再形成一个复杂方程。Alice使用她的私钥能够解出该方程,并计算出一个签名,该值由方程的解、Alice的公钥和公开参数算出。这一签名设计的巧妙之处在于,验证节点能够验证交易本身,却不能够通过方程的解、公钥或参数反推真正的发送方是谁。这个过程中,门罗币同样依托多重密钥的特点,Spend key中的公钥就被用于环签名交易中的验证环节,而私钥(本例中由Alice私有)则能够创建key image,key image是为了防止双花攻击、验证交易唯一性的凭证。

环隐匿交易(Ring C.T.)可以将随机数和转账金额混合,从而达到隐藏transaction信息的效果。Ring C.T.的发展经历了两个阶段,一是分割总交易金额为不同的单位金额,每一分片再环签名,最后汇总的方法,这一方法的哲学思想和混币有异曲同工之妙,都是通过打散、混合、再汇合的方式隐匿金额信息;二是目前通过随机数扰动的方法,生成一个RCT值,该值由随机数和实际交易金额组成,从而扩大了表明的交易金额,起到隐匿信息的作用。

防弹技术(Bulletproof)其实不算纯粹的“匿名”技术,因为它不完全是为了解决“匿名”的问题,更多的是解决区块链上“匿名”的成本、“匿名”的效率问题。它是一种高性能的隐私协议,也是零知识证明系统的变种,旨在提供快捷、轻便的区块链隐私服务协议,最早在2018年10月被门罗币社区采纳。Bulletproof改变了比特币等其他加密货币现有的线性(n)范围证明,采用对数形式2log2(n)+9进行验证,大大提高了区块验证速度,降低转账交易费率。感性认知其原理,即对数函数作为幂指函数的反函数,相比较原来的线性函数,在因变量例如交易的占用和验证的效率上自然大有提升,但其自变量时间验证依然是线性的。关于Bulletproof和此类隐私协议的优劣,我们将在下文探讨,在此不做展开。

总结来说,门罗币包含的主要技术手段如下图所示:

2.Dash(DASH)

Dash原名Darkcoin,“暗黑币”最早带有暗网交易的含义,因为Dash早期的商业支付合作伙伴多是大麻零售商、赌场等传统灰色地带,随着区块链和数字货币的逐渐发展,更改为“达世币”,名字受众更加广泛。和另一匿名币元老门罗2014年的出生时间类似,达世币也在2014年1月发布了白皮书、启动项目,发行总量1890万个,采用X11算法。X11是一种将11个不同哈希函数首尾相连的算法,每一个函数的哈希计算结果会提交给下一个连接的函数进行计算,企图达成ASIC抗性。当然,道高一尺魔高一丈,X11算法早已被比特大陆攻破,不过其算法思想后来多次被引用、演化,比较出名的例子就是2018年的矿币新秀Ravencoin乌鸦币,正是使用了经X11改进的X16R算法。近两年,Dash代码fork出来的矿币生态也比较繁荣。

达世币(Dash)的匿名技术主要依赖于Coinjoin混币机制,交易发送方通过将转账交易金额拆分成标准单位,如0.1 DASH、1 DASH、10 DASH、100 DASH等,等待网络参与者加入后,在主节点混币,最后输出给交易接收方。整个过程中,为不暴露交易信息,输入的混币总金额应和输出的混币总金额保证相等。多次混币之后,该笔交易信息将被更好地隐匿。不过,据国外的一份调研报告显示,实操中每次混币要在全网广播等待参与者加入,最终的参与者往往只有2-4人,因此仍然能够解密约67%的混币交易。在这样的数学推理下,我们知道:哪怕多次混币,外部观察者仍然有一定概率破解交易信息。究其根本,Dash不像Monero从技术根本上隐藏了发送方、接收方、交易转账的信息,还是在公开区块链上通过混合的方式尽量混淆视听。

其实,Dash的最大亮点可能不在于匿名性,而在于Dash是早期加密货币中第一个成功运转masternode主节点机制的币种,并在今天成为类PoW+PoS机制的hybrid consensus鼻祖。基于主节点机制,Dash的交易分为普通交易、即时交易、匿名交易三种类型,即时交易通过多中心的主节点完成,有点类似Ripple/Stellar中的锚点,而匿名交易同样通过主节点进行,主节点在这匿名交易中起到了类似第三方洗币机、迷你混币交易所的作用。Dash三类型的交易方式是明显区分于Monero全部是默认匿名的交易,而这完全依赖于其主节点、混合共识的设定。

Dash的区块奖励会分成三份,45%给予矿工、45%给予主节点、10%预留给Dash DAO(Dash链上自治的基金会),这样的好处在于激励矿工抵押1000 DASH成为主节点,参与到维护达世网络的工作中来,如此他们就能够分得近似90%的区块奖励(近似是因为PoW池和PoS池的权重不完全一样)。而Dash DAO预算系统的资金拨款、即时交易的仲裁等任务指示,是根据主节点投票结果而来,因此Dash是第一批具有链上治理功能的PoW币,不同于链下讨论、分叉的比特币和早期PoW加密货币。

在笔者个人看来,Dash能够在区块链发展早期切换成混合共识,这是一个至少放到今天仍不过时的激励机制,非常有前瞻性。纵览纯PoW币,我们会发现一个永远无法解决的困境在于,

矿工(miner)和持币者(community)未必是一帮人,也就是说区块的生产者和网络安全的维护者、生态的建设者很可能不是“一伙”的。除了部分信仰者(hodler)外,很多大矿工其实不关心比特币未来是否能涨到100万美金,是否能颠覆现有的金融体系,他们不会把所谓的信仰当饭吃,他们只关心是否有足够便宜的电力和政府资源使得自己能够cover掉挖矿的成本,他们不想博弈超额收益,只想在远期套保对冲掉价格波动的风险,稳稳地赚取边际收益不断累加而成的财富。那么问题来了,Power Talks的纯PoW币种,这群掌握着巨大算力的矿工很可能对该币的生态“不屑一顾”,或者轻微点说“没有太多顾忌”,对生态最为关注的开发者们(developer/team)、持币大众其实并没有拿到什么权益。而纯PoS的技术支撑尚浅,安全性、实际性能在现在仍然存疑,甚至现有市面上所谓的纯PoS币的最后,一定会是弱中心化的“权力的游戏”,是一场关于领头资本(leading capital)的马太终局。因此,在Dash那个年代,能够率先提出PoW+PoS优势互补,权衡生态发展的妥协方案,并付诸行动成功在币圈落地,这是非常值得称赞的。(值得一提的是,现在看上去新鲜的区块链共识方案,从顶层理念上看大多是从类PoW+PoS、主节点演变而来,例如Quarkchain的PoSW机制,PoW矿工需要在PoS池中质押QKC以获取算力份额,这和Dash最早的masternode是有几分殊途同归的,只不过一个强制性一点,一个仅是可选项)

总结:

本期,币橙研究院着重介绍了匿名币由来的背景、发展和门罗达世的技术概览,下期我们将继续对Zcash、Grin的匿名技术进行介绍,同时分析匿名币在二级市场、链上的数据,以及隐私类项目未来发展前景的展望。

【免责声明】

本报告只作项目分析、解读,仅供阅读者了解、学习资料,不作为投资参考的依据。本报告最终解释权归币橙评测所有。

币橙网

专注于区块链项目投研分析、测评领域。通过分布式、社区协作的方式形成评测报告,致力于公正,公平,客观的角度剖析区块链项目本身。目前拥有评测报告(文字报告)和庖丁解币(视频解读)。

+1
0