ZEC 与 XMR 之殇:隐私很重要,但它不是全部

原文标题:《Privacy Is a Feature Not a Product》

原文来源:Ryan Gentry 、Matt Shapiro

原文翻译:Unitimes

作者 Ryan Gentry 以及 Matt Shapiro 是著名区块链投资 Multicoin Capital 技术分析师。

隐私保护将成为无国界加密货币的一个特征,但不会成为其核心特征。用户不应该单纯为了实现金融隐私 (financial privacy),而在价值较低、安全性较差的加密货币上承担资产负债表风险 (例如,出售 BTC 或 ETH 以获得 ZEC)。
本文将提出以下观点:诸如比特币和以太坊这样的通用平台已经为大多数用户提供了足够的隐私保障,因此这部分用户并不需要转向以隐私为重点的小众区块链网络。

隐私必须成为开放金融、全球无国界货币和 Web3.0 的关键组成部分。然而,在迄今为止的加密货币生态系统中,与隐私相关的开发活动大多发生在以隐私为重点的区块链上。而比特币和以太坊社区把解决可扩展性 (scalability) 和用户体验 (user experience) 等问题放在首位。
将金融隐私的重要性置于所有其他特性之上的开发人员构建了主要用于支持隐私保护的协议,用例包括大零币 (Zcash) 和门罗币 (Monero) 等资产,以及 Grin 和 Beam 等新入场者。它们都在功能和可用性之间做出各种权衡,以确保隐私是其核心价值主张。
但是,隐私是独立区块链应该构建的核心价值主张吗?
加密投资者的一个共同论点是,由于隐私在金融交易中的重要性,因此专注于隐私的区块链 (如 Zcash、Monero、Grin 和 Beam 等) 应该完全能够积累价值。我们认同隐私在金融交易中非常重要的说法,但我们并不认为两者之间存在因果关系。
我们预计,最有价值的区块链将在一系列不同的技术权衡中胜出,用户和企业将找到新颖的方式,将隐私带入这些网络,而不是由网络参与者选择原生隐私协议,并为之承担资产负债表风险。
此外,Layer1 资产 (比如 BTC、ETH 等) 一般应该被认为是货币,这些 Layer1 资产会产生明显的网络效应,因此只有少数区块链能够打赢这场持久战。
如果具有非原生隐私特性的区块链平台 (如比特币和以太坊等) 已经能够为大多数人提供足够好的隐私,那么具有原生隐私的区块链 (比如 Zcash、Monero 等) 区块链就会变得无关紧要了。
在本文中,我们将讨论以下主题:
1. 围绕隐私的技术将如何带来功能上的折衷;
2. 使用专注于隐私保护的区块链和加密资产所固有的资产负债表风险;
3. 将隐私引入得到更广泛采用的区块链 (如比特币和以太坊) 的不同方法;
4. 在什么情况下可以认为隐私保护已经「足够好」;以及
5. 我们如何看待隐私保护与投资之间的关系。

完全的隐私

在加密货币交易中可以泄漏四种类型的隐私信息:发送方、接收方、交易金额和 IP 地址。如果所有这四种信息都能成功地对任何第三方观察者隐藏,那么交易就是完全隐私的。

表 1:加密货币交易的隐私频谱 (点击图片可放大)

ZEC 与 XMR 之殇:隐私很重要,但它不是全部
如上图所示,隐私是一个频谱:

一端是不隐藏任何上述信息的交易,例如基本比特币或以太坊交易;
另一端则是 Zcash 的树苗 (Sapling) 交易,它屏蔽了上述四种类型的信息(前提是与 Dandelion 或 Kovri 等模糊 IP 技术相结合时)。

Zcash 的 zk-SNARK 架构允许发送方向匿名接收方传输一定量的代币,传输的代币数量不会被第三方获知,且区块链上始终不会记录任何相关身份信息,也不会在网络中泄露。从理论上说,Zcash 的这种隐私交易是完美的。
[备注:Zcash 的发展大体经过了 OverWinter (过冬) -> Sprout (发芽) -> Sapling (树苗) 这几个阶段]
虽然 Zcash 已经面市近 3 年,但是在 ZEC 中,只有 5% 的存储使用 SNARKs 隐私技术 (其中大约一半使用传统的 SNARKs 技术)。大约 95% 的 ZEC 存储在没有隐私保护的公开地址中。
2019 年,加密货币市场普遍反弹,不过 ZEC 是个明显的例外。
ZEC 与 XMR 之殇:隐私很重要,但它不是全部
Zcash 自 2018 年 1 月起的价格(以 BTC 计)

尽管给出了这样的隐私保护承诺,但市场已经明确表态:Zcash 的 Sapling (树苗) 交易提供的隐私保护并不会令 ZEC 变得有价值。

原因有几个。
首先,加密货币的核心创新在于无需信任任何一方,就能以编程方式实现易于验证的稀缺性。
稀缺性使得社会的可扩展性 (social scalabillity) 成为可能,因为来自不同文化和行业的人都可以验证自己持有的代币是已知整体中一个得到保证的百分比。但不幸的是,完美的隐私保护阻碍了加密货币的可审计性。
比如,2018 年 3 月,Zcash 在他们的加密技术中发现了一个漏洞,可能导致 ZEC 代币的无限通胀。正如 Zcash 基金会自己承认的那样,在 Sprout 地址被弃用之前,不可能知道是否有任何一方利用了该漏洞来增发 ZEC 代币。用户可以验证有多少代币被发送到隐蔽池中,但无法知道这些代币是否是被攻击者伪造而来的。
也就是说,完全隐私的交易会阻止投资者验证 Zcash 是否像预期中那样稀缺。
其次,以 Zcash 的方式优化隐私带来了沉重的成本代价。每次创建一笔完全私密的交易时,发送方都必须计算一系列精确的计算步骤,以便生成一个矿工可以使用零知识技术验证的证明 (proof)。从计算成本的角度来说,这些步骤是非常昂贵的,而且 Sprout 版本过于繁琐,因此无法广泛采用。
之后,Zcash 团队设计了 Sapling 版本,明确地为代币传输进行了优化,避开了任何冗余功能 (比如以太坊的有状态智能合约,或者门罗币 (Monero) 的多重签名合约),尽管这些功能可能将来可能会在 Zcash 中出现。但更高效的完美隐私交易消耗的是 Zcash 的可编程性。
随着 2016 年和 2017 年一窝蜂式的牛市泡沫的终结,如今的市场更倾向于不那么隐私、但更安全、可编程和可证明稀缺性的加密资产,比如比特币和以太坊。
但尽管如此,无国界加密货币的未来似乎不太可能完全透明公开。抗审查性要求具有一定程度的金融隐私保护。
所以现在的问题是:提供多大程度的隐私保护才算是足够好?
「藏身人群中」的隐私

比特币和以太坊社区都在努力将原生隐私性带入他们的区块链中。但比特币和以太坊并没有向完美的隐私方向进行优化,而是倾向于「藏身人群中 (Lost in the crowd)」的隐私——这是由 Tor 网络推广的一种策略。

「藏身人群中」的隐私策略是指让加密货币交易遵循一组规则,这些规则使第三方观察者很难辨别特定交易的实际发送方、接收方或发送金额。遵循这些规则的交易越多,参与者就越多,观察者也就越难以对交易进行去匿名化。
与 Zcash 等完全隐私的交易相反,这种「藏身人群中」的策略通过模糊化的方式来为用户带来交易的隐私性和安全性,因为第三方观察者可以看到正在发生的交易,但不能对发送方、接收方或交易数量做出任何明确的判断。所有的判断充其量都是概率性的,而且在绝大多数情况下,发送方和接收方都可以实现「保持合理的否认」(plausible deniability) (也即隐匿自身)。
比特币持有者们正在使用 CoinJoin (混币交易) 隐私保护方案作为他们「藏身人群中」的工具。
Greg Maxwell 在 2013 年首次提出 CoinJoin 的概念,它指的是一些不同的参与方将他们的多个单输入、单输出交易组合成一个多输入、多输出的交易。这割裂了发送方和接收方之间的直接联系,而且如果所有输出都是相同的大小,这还会模糊由谁接收了多少 BTC。最近,诸如 Wasabi Wallet 和 Samourai Wallet 这类使用 CoinJoin 方案将信任需求度降到最低的应用大受欢迎。
ZEC 与 XMR 之殇:隐私很重要,但它不是全部
Chainalysis 统计的 2019 年以来 (截至 8 月份) Wasabi Wallet 月度混合的美元价值上升趋势。

同样,CoinJoin 方案不是完全保护隐私的,因为观察者可以分辨出哪些代币被发送到混合器 (mixer),哪些被发送出去。上图这种显著的增长趋势表明,使用该方案的用户群体已经足够大,因此寻求隐私保护的用户实际上可以「藏身人群中」。Chainalysis 是名声最显赫的区块链分析公司之一,其客户包括美国联邦调查局 (FBI)、缉毒局 (DEA) 和国税局 (IRS),该公司证实称,他们「无法追踪代币在混合服务中移动的轨迹。」

在默认情况下,以太坊的基础层默认没有比特币那么隐私,因为以太坊使用基于帐户的模型 (account-based model),而不是使用比特币的基于未消费交易输出 (UTXO) 的模型。这意味着在以太坊网络中,某个地址会在许多不同的交易中重复使用,而不是为每笔交易分配一个新的地址。
不过,诸如以太坊等智能合约平台相对于比特币的一个优势是,它们允许更高级的交易类型。一份智能合约可以为发送给它的所有资产提供「藏身人群中」的隐私性,甚至可以为发送给它的所有资产提供完全的隐私性。目前,其中几种支持隐私保护的智能合约已经在主网上运行,还有更多的用例正在开发中。
诸如 Argent 的 Hopper、Heiswap 和 Tornado 等以太坊「混合器 (mixer)」提供了「藏身人群中」保护隐私的不同方式,其效果堪比比特币的 CoinJoin 方案。
通过这些以太坊「混合器」,用户可以将特定资产的固定金额 (如 0.1 ETH 或 10 DAI)存入一个智能合约中,等待足够多的用户进行类似额度的存款,从而构建一个大型匿名集,然后将原始的金额提取到一个与原始地址没有关联的新地址中。
但由于每个用户存入合约中的金额数量必须完全一样,这些隐私解决方案将很难吸引大量的存款,这将限制这些方案向可持续的独立业务扩张。
Aztec Protocol 开发了一系列模块化的智能合约,允许实现资产机密、地址隐秘和零值输出,本质上是为了在以太坊上建立一个「藏身人群中」的隐私资产池。用户需要将他们的公开加密资产发送到一个智能合约,之后该合约将把这些资产的「私有版本 (private version)」生成到其隐私池中,并为用户分配一个新的私有地址进行交易。隐私池吸引的资产越多,人群就越多,而这可以为所有参与者提供更有力的保护。
为现有区块链提供隐私保护不仅是 Layer2 的附加功能。在不久的将来,诸如 Decred 和 Tezos 等这类具有强大治理能力的小型公链会添加协议原生的隐私保护功能。与比特币和以太坊一样,这些公链平台社区看到了隐私交易的价值主张,正致力于将隐私保护作为向社区提供的一项功能,而不是将原生金融隐私保护作为核心产品的功能。此外,Tezos 社区正直接盗用 Zcash 的 Sapling 设计!
以上所有这些公链的努力都是在试图改进当前「藏身人群中」隐私方案的黄金标准:门罗币 (XMR)。
如上文所述,目前仅有 5% 的 ZEC 是受到完全隐私的,但是 100% 的 XMR 都是遵循一组通过隐藏来创造隐私性/安全性的规则进行传输的。
门罗币交易使用三种基本类型来隐藏发送方、接收方和交易数量:环签名 (ring siganatures)、隐秘地址 (stealth addresses) 和环机密交易 (RingCT)
环签名允许发送方使用 n 个不同的密钥来签署交易,从而模糊了哪个密钥是发送者的密钥。
隐秘地址允许接收者为每笔交易使用一个一次性地址,从而隐藏接收者的真实公钥。
环机密交易实现了交易金额的模糊化,掩盖真实的交易金额。
由于所有 XMR 交易都必须使用这些特性,因此所有的 XMR 都属于相同的匿名集,并且隐藏于相同的人群中。这引发了潜在的 FloodXMR 攻击可能性,我们将在下文中进行阐述。

同时,门罗币在 2018 年熊市中的表现并不比 Zcash 好多少。见下图:
ZEC 与 XMR 之殇:隐私很重要,但它不是全部
门罗币自 2018 年 1 月份以来的价格走势(以 BTC 计)

虽然 XMR 的交易比 ZEC 稍微灵活一些,但门罗币依旧无法实现有状态的智能合约功能。虽然最近的一项研究突破使 HTLC(哈希时间锁定合约)成为可能,但这方面可能需要大量的工程。遗憾的是,对于门罗币来说,他们的开发人员社区很小,而且资金匮乏,这意味着新特性开发相对来说是静态的。

无论底层的公链如何,这些「藏身人群中」的隐私方案只能提供「保持合理的否认」,但人群越大,就越能隐匿自身。
提供多大程度的隐私保护才算是足够好?这个问题现在可以这样去理解:当交易发生在 Wasabi Wallet 的比特币匿名集中,或者是在 Aztec Protocol 的以太坊匿名集中,亦或者在门罗币的匿名集中,那如果第三方想要对用户的交易进行去匿名化,那将分别需要花费多少成本才能实现交易的去匿名化?哪个成本将是最高的?(成本越高,则意味着越)
我们继续往下看。
去匿名化成本

今年早些时候,有研究人员发布报告指出,利用门罗币环签名选择过程的某写方面特性,对门罗币发起低成本的 FloodXMR 攻击,仅以 1700 美元的成本,即可在一年内使其 50% 的交易去匿名化。

门罗币社区拒绝接受这种成本估算,称这个成本金额太低。他们还反驳了这种算法,称分析过于简单,没有考虑到现世界中的任何情况,比如同时发生多起袭击,或者价格波动。
本部分内容的目的不是重述 FloodXMR 攻击,而是利用它的原理,为我们在考量公链的隐私池时构建一个通用的框架。FloodXMR 攻击的基本框架是这样的:

每天都有一定数量的 XMR 交易在门罗币网络上发生。这些交易都是混合在一起的,因此除了参与者自己,没有其他人知道谁给谁发送了多少价值。然而,由于所有交易都是公共的,并且地址在环签名模式中被重复使用,攻击者自己可能也会参与大量这些交易。
通过这样做,攻击者极大地降低了匿名集,并且可以更容易地确定每个交易的实际发送方和接收方,从而有效地对他们进行去匿名化。具体来说,根据上述研究者的报告,一个「控制一年内生成的 75% 交易输出的密钥的恶意参与者,能够跟踪同一时间段内创建的所有交易输入的 47.63%。」
如果做出某些假设的话,这种攻击可能扩展到比特币的 CoinJoin 隐私池 (实际上已经出现了) 和以太坊的 Aztec Protocol 隐私池。在过去 12 个月的大部分时间里,使用 CoinJoin 方案的交易比例占到了比特币交易量的 5% 到 10%,2019 年 7、8 月份有所上升。见下图:

ZEC 与 XMR 之殇:隐私很重要,但它不是全部
每月使用 Coinjoin 方案进行的比特币交易占当月所有比特币交易量的比重趋势

假设平均交易费用、寻求隐私保护的交易数量和在特定隐私池中持有的主流加密资产的占比保持不变,则去匿名化的成本 (C) 为:

C = (平均交易费) x (每日平均交易量) x 1.25 x (隐私池所占市值的%) x 365
下图显示了 BTC 的 Wasabi Wallet 隐私池、ETH 的 Aztec Protocol 隐私池(假设其占据 ETH 5% 的市值)和 XMR 的去匿名化成本,图中的平均值 (平均交易费和每日平均交易量) 使用的是从 2018 年 10 月 19 日到发文时的平均值。

ZEC 与 XMR 之殇:隐私很重要,但它不是全部
表 2:对去匿名化各隐私池的成本做出的估值 (第三列的各隐私池的市值占比为假设值

下图提供了另一种查看去匿名化成本的方法。在这种方法中,我们要确定的是需要在以太坊或比特币的隐私池中持有多大比例的市值,就可以达到与门罗币一样的去匿名成本。

ZEC 与 XMR 之殇:隐私很重要,但它不是全部
表 3:假设去匿名化成本不变,隐私池在市值中的占比

当然,这种高阶分析忽略了攻击者针对不同的区块链采取的攻击方式的许多细微差别。上面两张图表并不是要提供确切的数字,而是要提供一个数量级的范围,让大家了解这些「藏身人群中」的解决方案到底能提供何种程度的隐私保护。

市场应该对这些数字持保留态度,但要明白,鉴于比特币和以太坊的市值、交易量和交易费用都要比门罗币高得多,攻击比特币和以太坊的隐私池的去匿名化成本很快就会比攻击整个门罗币匿名集的成本更高。
不过,除了预测未来,还有一种方法可以用来量化市场对隐私保护的看法,那就是看看暗网用户 (他们是最需要保护隐私的人),看看这些人最常使用哪种加密货币。由于门罗币目前被认为是最私密的加密货币,你也许会想当然地认为它仍然占据统治地位;然而,CipherTrace 发现,只有不到 5% 的暗网交易使用门罗币,大多数暗网加密货币交易都在使用比特币。
写在最后

加密货币存在的理由是提供一种无需依赖可信第三方的数字价值交易方法。要想成为全球性的无国界货币,加密货币必须能够抗审查。而抗审查的先决条件是金融隐私保护。

加密货币的隐私之争将是一场与那些试图让加密货币用户去匿名化的人之间的军备竞赛,如果加密货币想要成功,就必须赢得这场战争。
遗憾的是,正如我们上面所论述的那样,按照 Zcash 的方式在默认条件下进行完美隐私交易的成本太高。这种完全隐私的方式破坏了加密货币的另一个核心价值主张:在整个交易历史中,使用无需许可的方式来验证交易未曾发生双重花费,也没有发生不正当的通胀。没有这个验证属性,任何加密货币都不可能具有足够的社会可扩展性来成为一种全球性的、无国界的货币。
因此,获胜的加密货币必须实现某种不完美的「藏身人群中」式隐私,这种隐私建立在可公开核查的公共账簿之上。从上面的表 2 和表 3 可以看出,比特币和以太坊社区能够将隐私池与它们本身的公链连接起来,而且由于交易量和交易费用更高,它们的去匿名化成本很快将超过整个门罗币区块链的去匿名化成本。
很明显,隐私保护将成为无国界货币的一个特征,但不会成为其核心特征。
隐私保护的论点应该围绕这一理解来表述。基金经理们将开始投资于那些在比特币或以太坊等智能合约平台上提供「隐私即服务」(privacy-as-a-service) 的公司,而不是投资于在交易中优化匿名性的底层加密货币。Layer2 解决方案将默认为它们的交易参与者提供隐私保护,这可能会使大量资金从那些重视交易隐私的区块链平台 (如 Zcash 和 Monero 等) 中脱离出来。
从根本上说,在底层链上争取完全的隐私,这太过昂贵,因此难以实现,这就给了 Wasabi Wallet、Samourai Wallet、Argent、Heiswap、Tornado 和 Aztec Protocol 等企业机会。我们相信,投资于 Zcash 和门罗币的资金将开始流向这些企业或者它们正在构建的底层加密货币中。