作者：Ryan Gentry， 2019年9月24日

隱私是加密貨幣的一個(gè)特性锅很，而不應(yīng)該是產(chǎn)品本身其馏。用戶不應(yīng)該單純?yōu)榱藢?shí)現(xiàn)財(cái)務(wù)隱私凤跑，而在價(jià)值較低爆安、安全性較差的加密貨幣上承擔(dān)資產(chǎn)負(fù)債表風(fēng)險(xiǎn)（例如，出售一些BTC或ETH以獲得ZEC）仔引。本文將提出以下觀點(diǎn)：像比特幣和以太坊這樣的通用平臺(tái)已經(jīng)為大多數(shù)用戶提供了足夠的隱私保障扔仓，因此這部分用戶永遠(yuǎn)不需要以隱私為重點(diǎn)的小眾區(qū)塊鏈。

抗審查是我們這三篇重頭論文的核心原則咖耘，沒(méi)有隱私就無(wú)法實(shí)現(xiàn)這一目標(biāo)翘簇。因此，隱私必須成為開(kāi)放金融儿倒、全球無(wú)國(guó)界貨幣和互聯(lián)網(wǎng)3.0的關(guān)鍵組成部分版保。然而，在迄今為止的加密貨幣生態(tài)系統(tǒng)中夫否，與隱私相關(guān)的開(kāi)發(fā)活動(dòng)大多發(fā)生在以隱私為重點(diǎn)的區(qū)塊鏈上彻犁。比特幣和以太坊社區(qū)把解決可擴(kuò)展性和用戶體驗(yàn)等問(wèn)題放在首位。

將財(cái)務(wù)隱私置于所有其他特性之上的開(kāi)發(fā)人員構(gòu)建了支持它的協(xié)議凰慈。用例包括大零幣(Zcash)和門羅幣(Monero)等資產(chǎn)汞幢，以及Grin和Beam等新進(jìn)入者。他們都在功能和可用性之間做出各種權(quán)衡微谓，以確保隱私是其核心價(jià)值主張森篷。但是，隱私是獨(dú)立區(qū)塊鏈應(yīng)該構(gòu)建的正確的價(jià)值主張嗎豺型？

加密投資者的一個(gè)共同論點(diǎn)是仲智，由于隱私在金融交易中的重要性，專注于隱私的區(qū)塊鏈應(yīng)該獲得相應(yīng)的價(jià)值姻氨。雖然我們從根本上同意后者的說(shuō)法坎藐，但我們不認(rèn)為兩者之間存在因果關(guān)系。

我們預(yù)計(jì)哼绑，最有價(jià)值的區(qū)塊鏈將在一系列不同的技術(shù)權(quán)衡中勝出岩馍，用戶和企業(yè)將找到新穎的方式，將隱私帶入這些網(wǎng)絡(luò)抖韩，而不是任由網(wǎng)絡(luò)參與者選擇原生隱私協(xié)議蛀恩，為之承擔(dān)資產(chǎn)負(fù)債表風(fēng)險(xiǎn)。此外茂浮，正如我們已經(jīng)寫過(guò)的双谆，layer one第一層資產(chǎn)一般應(yīng)該被認(rèn)為是資金壳咕，而第一層的資金會(huì)產(chǎn)生明顯的網(wǎng)絡(luò)效應(yīng)，因此只有少數(shù)區(qū)塊鏈能夠打贏這場(chǎng)持久戰(zhàn)顽馋。如果具有非原生隱私特性的區(qū)塊鏈已經(jīng)能為大多數(shù)人提供足夠好的隱私谓厘，那么具有原生隱私的鏈就會(huì)變得無(wú)關(guān)緊要。

在本文中寸谜，我們將討論圍繞隱私的技術(shù)權(quán)衡如何抑制功能竟稳，使用區(qū)塊鏈和專注于隱私保護(hù)的資產(chǎn)的固有資產(chǎn)負(fù)債表風(fēng)險(xiǎn)，將隱私引入更廣泛采用的區(qū)塊鏈的不同方法熊痴，在什么情況下可以認(rèn)為隱私保護(hù)已經(jīng)“足夠好”他爸，以及我們?nèi)绾慰创c隱私相關(guān)的投資。

完全的隱私

在加密貨幣交易中有四種可以泄漏的信息：發(fā)送方果善、接收方诊笤、交易金額和IP地址。如果所有這四種信息都能成功地對(duì)任何第三方觀察者隱藏巾陕，那么這個(gè)交易就是完全隱私的讨跟。

?表1：加密貨幣交易的隱私頻譜。

如表1所示鄙煤，隱私是一個(gè)頻譜晾匠。一端是不隱藏任何上述信息的交易，例如比特幣或以太坊交易馆类。另一端則是Zcash的Sapling交易混聊，它屏蔽了上述四種類型的信息（前提是與Dandelion或Kovri等模糊IP技術(shù)相結(jié)合時(shí))。Zcash的zk-SNARK架構(gòu)允許發(fā)送方向匿名接收方傳輸盲量的代幣乾巧，而區(qū)塊鏈上始終不會(huì)記錄任何相關(guān)身份信息句喜，也不會(huì)泄露給網(wǎng)絡(luò)。從理論上講沟于，它們是完美的咳胃。

雖然Zcash已經(jīng)面市近3年，但是在ZEC中旷太，只有5%的存儲(chǔ)使用SNARK（其中大約一半使用遺留SNARK）展懈。大約95%的ZEC存儲(chǔ)在沒(méi)有隱私的透明地址中。2019年供璧，加密市場(chǎng)普遍反彈存崖，不過(guò)ZEC是個(gè)明顯的例外。

?數(shù)據(jù)來(lái)源：Zcash自2018年1月起的價(jià)格（以BTC計(jì)）

盡管給出了這樣的承諾睡毒，但市場(chǎng)已經(jīng)明確表態(tài)：Zcash的Sapling交易提供的隱私保護(hù)并不會(huì)令ZEC變得更有價(jià)值来惧。

原因有幾個(gè)。

首先演顾，加密貨幣的核心創(chuàng)新在于無(wú)需信任任何一方或一組成員供搀，就能以編程方式實(shí)現(xiàn)隅居，并提供易驗(yàn)證的稀缺性。該特性使得社會(huì)的可擴(kuò)展性成為可能葛虐，因?yàn)閬?lái)自不同文化和行業(yè)的人都可以驗(yàn)證他們的代幣是已知整體中一個(gè)得到保證的百分比胎源。不幸的是，理論上完美的隱私定義阻止了完美的可審計(jì)性屿脐。

2018年3月涕蚤，Zcash在他們的加密技術(shù)中發(fā)現(xiàn)了一個(gè)漏洞，可能導(dǎo)致無(wú)限通脹摄悯。正如Zcash基金會(huì)自己承認(rèn)的那樣赞季，在不使用Sprout地址之前愧捕，不可能知道是否有任何一方利用了這一問(wèn)題奢驯。用戶可以驗(yàn)證有多少代幣被發(fā)送到屏蔽池中，但無(wú)法知道這些代幣是否被攻擊者任意偽造次绘。

完全私有交易會(huì)阻止投資者驗(yàn)證Zcash是否像預(yù)期中那樣稀缺瘪阁。

其次，以Zcash的方式優(yōu)化隱私帶來(lái)了沉重的代價(jià)邮偎。每次創(chuàng)建一個(gè)完全私密的事務(wù)時(shí)管跺，發(fā)送方都必須計(jì)算一系列精確的計(jì)算步驟，以便生成一個(gè)礦工可以在零知識(shí)中驗(yàn)證的證明（有關(guān)零知識(shí)證明的背景知識(shí)請(qǐng)參考此文）禾进。這些步驟在計(jì)算上非常昂貴豁跑，而且Sprout版本過(guò)于繁瑣，因此無(wú)法廣泛采用泻云。Zcash團(tuán)隊(duì)設(shè)計(jì)了Sapling版本艇拍，明確地為代幣傳輸進(jìn)行了優(yōu)化，避免了任何冗余功能宠纯，比如以太坊的有狀態(tài)智能合約卸夕，或者門羅幣(Monero)的多重簽名合約（盡管這些功能可能會(huì)出現(xiàn)）。

更高效的完全私有事務(wù)會(huì)消耗Zcash的任何可編程性婆瓜。

隨著2016年和2017年一窩蜂式的牛市泡沫的終結(jié)快集，如今的市場(chǎng)更傾向于不那么私有、但更安全廉白、可編程和可證明稀缺的資產(chǎn)个初，比如比特幣和以太坊。

盡管如此猴蹂，無(wú)國(guó)貨貨幣的未來(lái)似乎不太可能完全透明院溺。抗審查要求一定程度的財(cái)務(wù)隱私晕讲。所以到了這一步覆获，我們肯定會(huì)提出這個(gè)問(wèn)題：提供多大程度的隱私保護(hù)才算是足夠好马澈？

“藏身人群中”的隱私

比特幣和以太坊社區(qū)都在努力將原生隱私帶入他們的區(qū)塊鏈。但他們并沒(méi)有向完美的隱私方向進(jìn)行優(yōu)化弄息，而是傾向于“藏身人群中”的隱私——這是由Tor網(wǎng)絡(luò)推廣的一種策略痊班。

“藏身人群中”的隱私是指讓交易符合一組規(guī)則，這些規(guī)則使觀察者很難辨別給定交易的實(shí)際發(fā)送方摹量、接收方或金額涤伐。遵守這些規(guī)則的交易越多，參與者就越多缨称，觀察者也就越難去匿名化交易凝果。

與完全私有的事務(wù)相反，這種策略通過(guò)模糊化為用戶創(chuàng)建安全性睦尽，因?yàn)榈谌接^察者可以看到正在發(fā)生的事務(wù)器净，但是不能對(duì)發(fā)送方、接收方或已處理的數(shù)量做出任何明確的判斷当凡。所有的判斷充其量都是概率性的山害，而且在絕大多數(shù)情況下，發(fā)送方和接收方都保持合理的否認(rèn)(plausible deniability)沿量。

比特幣持有者們正在使用CoinJoins作為他們藏身人群中的工具浪慌。

Greg Maxwell在2013年首次提出CoinJoins的概念，它指的是一些不同的參與方將他們的多個(gè)單輸入朴则、單輸出事務(wù)組合成一個(gè)多輸入权纤、多輸出的事務(wù)。這打斷了發(fā)送方和接收方之間的直接連接乌妒，而且如果所有輸出都是相同的大小汹想，它還會(huì)模糊由誰(shuí)接收了多少BTC。最近芥被，諸如Wasabi Wallet和Samourai Wallet這類使用CoinJoins欧宜、將信任度降到最低的應(yīng)用程序大受歡迎。

?數(shù)據(jù)來(lái)源：Chainalysis 統(tǒng)計(jì)的2019年Wasabi Wallet月度混合的美元價(jià)值

同樣拴魄，CoinJoins也不是完全私有的冗茸，因?yàn)橛^察者可以分辨出哪些代幣被發(fā)送到混合器(mixer)，哪些被送出去匹中。但在這種顯著增長(zhǎng)的背景下夏漱，用戶群體已經(jīng)足夠大，因此尋求隱私性的用戶實(shí)際上可能藏身于人群中顶捷。Chainalysis是名聲最顯赫的區(qū)塊鏈分析公司之一挂绰，其客戶包括美國(guó)聯(lián)邦調(diào)查局(FBI)、緝毒局(DEA)和國(guó)稅局(IRS)服赎，該公司證實(shí)稱葵蒂，他們“無(wú)法追蹤代幣在混合服務(wù)中移動(dòng)的軌跡交播。”?(1)

以太坊的基礎(chǔ)層默認(rèn)沒(méi)有比特幣那么私有践付，因?yàn)樗褂?a target="_blank">基于帳戶的模型秦士，而不是基于未消費(fèi)交易輸出(UTXO)的模型。這意味著在許多不同的事務(wù)上重用一個(gè)地址永高，而不是為每個(gè)事務(wù)分配一個(gè)新地址隧土。

不過(guò)，智能合約平臺(tái)相對(duì)于比特幣的一個(gè)優(yōu)勢(shì)是命爬，它們?cè)试S更高級(jí)的交易類型曹傀。一份智能合約可以為發(fā)送給它的所有資產(chǎn)提供“藏身人群中”的隱私。一份智能合約甚至可以為發(fā)送給它的所有資產(chǎn)提供完全的隱私饲宛。(2)?目前皆愉，其中幾種支持隱私保護(hù)的智能合約已經(jīng)在主網(wǎng)上運(yùn)行，還有更多的用例正在開(kāi)發(fā)中落萎。

像Argent的Hopper亥啦、Heiswap和Tornado這樣的以太坊“混合器”提供了“藏身人群中”隱私的不同版本炭剪，其效果堪比比特幣的CoinJoins练链。在這里，用戶可以將給定資產(chǎn)的固定金額（如0.1 ETH或10 DAI）存入一個(gè)智能合約奴拦，等待足夠多的用戶進(jìn)行類似規(guī)模的存款以構(gòu)建一個(gè)大型匿名集媒鼓，然后將原始金額提取到一個(gè)與原始地址沒(méi)有連接的新地址。由于面額必須準(zhǔn)確错妖，這些解決方案將很難吸引大量存款绿鸣，這將限制它們向可持續(xù)的獨(dú)立業(yè)務(wù)擴(kuò)展的能力。

Aztec Protocol開(kāi)發(fā)了一系列模塊化的智能合約暂氯，允許機(jī)密資產(chǎn)潮模、秘密地址和零值輸出，本質(zhì)上是為了在以太坊上建立一個(gè)“藏身人群中”的資產(chǎn)隱私池痴施。用戶需要將他們的公共資產(chǎn)發(fā)送到一個(gè)智能合約擎厢，該合約將把這些資產(chǎn)的私有版本生成到其隱私池中，并為用戶分配一個(gè)新的私有地址進(jìn)行交易辣吃。隱私池吸引的資產(chǎn)越多动遭，人群就越多，而這可以為所有參與者提供更有力的保護(hù)神得。

為現(xiàn)有區(qū)塊鏈提供隱私的競(jìng)爭(zhēng)不僅僅是第二層的附加功能厘惦。在不久的將來(lái)，像Decred和Tezos這類具有強(qiáng)大治理能力的小型公鏈會(huì)添加協(xié)議原生隱私功能哩簿。和比特幣與以太坊一樣宵蕉，這些社區(qū)看到了私有交易的價(jià)值主張酝静，正致力于將隱私作為社區(qū)的一項(xiàng)功能，而不是將原生金融隱私作為核心產(chǎn)品的功能羡玛。此外形入，Tezos社區(qū)正在直接盜用Zcash的Sapling設(shè)計(jì)！?(3)

所有這些關(guān)于公共區(qū)塊鏈的工作都是為了改進(jìn)當(dāng)前“藏身人群中”隱私的黃金標(biāo)準(zhǔn)：門羅幣缝左。目前僅有5%的ZEC是受到屏蔽的亿遂，但是100%的XMR根據(jù)一組通過(guò)隱藏來(lái)創(chuàng)造安全性的規(guī)則傳輸。

門羅幣事務(wù)使用三種基本類型來(lái)隱藏發(fā)送方渺杉、接收方和數(shù)量：環(huán)簽名(ring siganatures)蛇数、私密地址和環(huán)機(jī)密事務(wù)(RingCT)。環(huán)簽名允許發(fā)送方使用11個(gè)用戶的密鑰簽署事務(wù)是越，從而模糊了哪個(gè)密鑰是他們的耳舅。私密地址允許接收者為每個(gè)事務(wù)使用一個(gè)一次性地址，隱藏它們的真實(shí)公鑰倚评。環(huán)機(jī)密事務(wù)允許交易金額盲化浦徊，但需要是可驗(yàn)證的非通脹。

所有的事務(wù)都必須使用這些特性天梧，因此所有的XMR都屬于相同的匿名集盔性，并且隱藏于相同的人群中。盡管如此呢岗，門羅幣在2018年熊市中的表現(xiàn)并不比Zcash好多少冕香。

?資料來(lái)源：門羅幣自2018年1月起的價(jià)格（以BTC計(jì)）

雖然門羅幣的交易比Zcash稍微靈活一些，但有狀態(tài)的智能合約仍然是不可能的后豫。最近的一項(xiàng)研究突破使HTLCs（類似閃電網(wǎng)絡(luò)的第二層解決方案）成為可能悉尾，盡管這可能需要大量的工程。遺憾的是挫酿，對(duì)于門羅幣來(lái)說(shuō)构眯，他們的開(kāi)發(fā)人員社區(qū)很小，而且資金匱乏早龟，這意味著新特性開(kāi)發(fā)相對(duì)來(lái)說(shuō)是靜態(tài)的惫霸。

無(wú)論底層鏈如何，“藏身人群中”的隱私只能提供合理的否認(rèn)拄衰。人群越大它褪，否認(rèn)的合理性就越強(qiáng)。

提供多大程度的隱私保護(hù)才算是足夠好翘悉，這個(gè)問(wèn)題現(xiàn)在可以這樣去理解：如果一個(gè)對(duì)手想要對(duì)用戶的交易進(jìn)行去匿名化茫打，那么如果交易在Wasabi Wallet的比特幣匿名集、Aztec的以太幣匿名集、以及門羅幣的匿名集之間進(jìn)行老赤，他們需要花費(fèi)多少成本才能實(shí)現(xiàn)這一點(diǎn)轮洋？

去匿名化成本

今年早些時(shí)候，研究人員提出抬旺，利用門羅幣環(huán)簽名選擇過(guò)程的某方面特性弊予，對(duì)門羅幣發(fā)起低成本交易泛濫攻擊，僅以1700美元的成本开财，即可在一年內(nèi)去匿名化其50%的交易汉柒。門羅幣社區(qū)拒絕接受這種估算，稱這個(gè)數(shù)字畸低责鳍。他們還反駁了這種算法碾褂，稱分析過(guò)于簡(jiǎn)單，沒(méi)有考慮到現(xiàn)實(shí)世界中的任何情況历葛，比如同時(shí)發(fā)生多起襲擊正塌，或者價(jià)格波動(dòng)。

本節(jié)的目的不是復(fù)制交易泛濫攻擊恤溶，而是利用它的原理乓诽，為如何考慮非私有鏈上的隱私池構(gòu)建一個(gè)通用框架。交易泛濫攻擊的基本框架是這樣的：每天都有一定數(shù)量的交易在門羅幣上發(fā)生咒程。它們都是混合在一起的鸠天，因此除了參與者自己，沒(méi)有人知道誰(shuí)給誰(shuí)發(fā)送了多少價(jià)值孵坚。然而粮宛，由于所有事務(wù)都是公共的，并且地址在環(huán)簽名模式中被重用卖宠，攻擊者本身可能會(huì)參與大量這些事務(wù)。

通過(guò)這種做法忧饭，攻擊者極大地降低了匿名集扛伍，并且可以更容易地確定每個(gè)事務(wù)的實(shí)際發(fā)送方和接收方，從而有效地對(duì)其去匿名化词裤。具體來(lái)說(shuō)刺洒，根據(jù)上述報(bào)告，一個(gè)“控制一年內(nèi)生成的75%事務(wù)輸出量的惡意參與者能夠跟蹤同一時(shí)間段內(nèi)創(chuàng)建的所有事務(wù)輸入的47.63%吼砂∧婧剑”?(4)

如果做出某些假設(shè)的話，這種攻擊可以擴(kuò)展到比特幣的CoinJoin隱私池（實(shí)際上渔肩，已經(jīng)出現(xiàn)了）和以太坊的Aztec協(xié)議隱私池因俐。在過(guò)去12個(gè)月的大部分時(shí)間里，使用CoinJoins的比例占到了比特幣交易量的5%到10%。(5)

?數(shù)據(jù)來(lái)源：Coinjoins作為比特幣交易量的百分比抹剩。

假設(shè)平均交易費(fèi)用撑帖、尋求隱私的交易數(shù)量和在給定隱私池中持有的主流區(qū)塊鏈?zhǔn)袌?chǎng)資本的占比保持不變，則去匿名的成本(C)為：

C = （平均交易費(fèi)）x （平均#新交易/天）x 1.25 x（隱私池所占市值的%）x 365

表2顯示了BTC的Wasabi Wallet池澳眷、ETH的Aztec池（假設(shè)其占據(jù)ETH 5%的市值）和XMR的去匿名成本胡嘿，使用的是從2018年10月19日到今天的平均值。

?表2：假設(shè)各隱私池的市值占比钳踊，對(duì)去匿名化各隱私池的成本做出的估值

表3提供了另一種查看去匿名化成本的方法衷敌。在這里，我們要確定的是需要在以太坊或比特幣的隱私池中持有多大比例的市值拓瞪，可以達(dá)到與門羅幣一樣的去匿名成本逢享。

?表3：假設(shè)去匿名化成本不變，隱私池在市值中的占比

當(dāng)然吴藻，這種高階分析忽略了攻擊者對(duì)每個(gè)不同的區(qū)鏈采取各種手段的許多細(xì)微差別瞒爬。它并不是要提供確切的數(shù)字，而是要提供一個(gè)數(shù)量級(jí)的范圍沟堡，讓大家了解這些“藏身人群中”的解決方案到底能提供何種程度的隱私保護(hù)侧但。市場(chǎng)應(yīng)該對(duì)這些數(shù)字持保留態(tài)度，但要明白航罗，鑒于比特幣和以太坊的市值禀横、交易量和交易費(fèi)用都要高得多，它們的隱私池很快就會(huì)比整個(gè)門羅幣匿名集的攻擊成本更高粥血。

不過(guò)柏锄，除了預(yù)測(cè)未來(lái)，還有一種方法可以用來(lái)量化市場(chǎng)對(duì)隱私的看法复亏，那就是看看暗網(wǎng)用戶——他們是最需要保護(hù)隱私的人——最常使用哪種加密貨幣趾娃。由于門羅幣目前被認(rèn)為是最私密的加密貨幣，你也許會(huì)想當(dāng)然地認(rèn)為它仍然占據(jù)統(tǒng)治地位缔御；然而抬闷，CipherTrace發(fā)現(xiàn)，只有不到5%的暗網(wǎng)事務(wù)使用門羅幣耕突。大多數(shù)人都在使用比特幣笤成。

In Conclusion

加密貨幣存在的理由是提供一種不依賴可信第三方的價(jià)值交易數(shù)字方法。要想成為全球性的無(wú)國(guó)界貨幣眷茁，加密貨幣必須能夠抗審查炕泳。而抗審查的先決條件是財(cái)務(wù)隱私。加密貨幣的隱私之爭(zhēng)將是一場(chǎng)與那些試圖讓加密貨幣用戶去匿名化的人之間的軍備競(jìng)賽上祈，如果加密貨幣想要成功培遵，就必須贏得這場(chǎng)戰(zhàn)爭(zhēng)浙芙。

遺憾的是，正如我們上面所論述的那樣荤懂，按照Z(yǔ)cash的方式在默認(rèn)條件下進(jìn)行完全私有交易的成本太高茁裙。它破壞了加密貨幣的另一個(gè)核心價(jià)值主張：在整個(gè)交易歷史中，可以免許可驗(yàn)證未曾發(fā)生雙重支出节仿，也沒(méi)有出現(xiàn)過(guò)度通脹晤锥。沒(méi)有這個(gè)驗(yàn)證屬性，任何加密貨幣都不可能具有足夠的社會(huì)可伸縮性廊宪，進(jìn)而成為一種全球性的矾瘾、無(wú)國(guó)界的貨幣。

因此箭启，獲勝的加密貨幣必須實(shí)現(xiàn)某種不完美的“藏身人群中”式隱私壕翩，這種隱私建立在可公開(kāi)核查的賬簿之上。從表2和表3可以看出傅寡，比特幣和以太坊社區(qū)能夠?qū)㈦[私池與它們本身的公共鏈連接起來(lái)放妈，而且由于交易量和費(fèi)用較高，它們的去匿名化成本很快就超過(guò)了整個(gè)門羅幣區(qū)塊鏈荐操。很明顯芜抒，隱私將成為無(wú)國(guó)界資金的一個(gè)特征，但不會(huì)成為核心產(chǎn)品托启。

隱私的論點(diǎn)應(yīng)該圍繞這一理解來(lái)表述宅倒。基金經(jīng)理們將開(kāi)始投資于那些在比特幣或智能合約平臺(tái)上提供“隱私即服務(wù)”(privacy-as-a-service)的公司屯耸，而不是投資于在交易中優(yōu)化匿名性的底層加密貨幣拐迁。第二層解決方案將默認(rèn)為它們的事務(wù)處理程序提供隱私保護(hù)，這可能會(huì)使大量資金從那些重視事務(wù)處理隱私性的主鏈中脫離出來(lái)疗绣。

從根本上說(shuō)线召，在底層鏈上爭(zhēng)取完全的隱私，這太過(guò)昂貴持痰，因此難以實(shí)現(xiàn)灶搜，這就給了Wasabi Wallet、Samourai Wallet工窍、Argent、Heiswap前酿、Tornado和Aztec Protocol等企業(yè)機(jī)會(huì)患雏。我們相信，投資于Zcash和門羅幣的資金將開(kāi)始流向這些企業(yè)或者它們正在構(gòu)建的底層加密貨幣罢维。

(1)?Coinjoins如今已經(jīng)很有效淹仑，不過(guò)預(yù)計(jì)到2020年丙挽，當(dāng)比特幣在Taproot軟分叉時(shí)，Coinjoins將更便宜匀借、更有效颜阐。如今Coinjoins可能模糊了確切的發(fā)送方和接收方，但是每個(gè)簽名仍然在事務(wù)中列出吓肋，這可能仍然會(huì)被人嗅出蛛絲馬跡凳怨。使用Taproot，所有發(fā)送方和接收方簽名都可以聚合為一個(gè)簽名是鬼。通過(guò)從事務(wù)集中完全刪除發(fā)送方和接收方地址肤舞，Taproot既降低了CoinJoin事務(wù)的開(kāi)銷（通過(guò)增加利用它們的用戶數(shù)量），又使其更加私密均蜜。

與此同時(shí)李剖，重要的開(kāi)發(fā)工作正在進(jìn)入第二層解決方案，如閃電網(wǎng)絡(luò)(Lightning Network)和Liquid側(cè)鏈囤耳，它們都是默認(rèn)私有的篙顺，試圖緩解主鏈的不足。閃電網(wǎng)絡(luò)的事務(wù)都是在鏈下進(jìn)行充择，因此只有通道打開(kāi)和關(guān)閉是可見(jiàn)的德玫。此外，所有事務(wù)在默認(rèn)狀態(tài)下都是洋蔥路由數(shù)據(jù)包聪铺，這意味著路由節(jié)點(diǎn)看不到事務(wù)的發(fā)送方或接收方是誰(shuí)化焕，也看不到正在處理的金額。盡管發(fā)送方和接收方仍然可見(jiàn)铃剔，但Liquid側(cè)鏈將機(jī)密交易整合到盲量金額和資產(chǎn)類型中撒桨。

(2)?安永(Ernst & Young)的區(qū)塊鏈部門最近發(fā)布了使用zk-snarks在以太坊進(jìn)行私有交易的Nightfall協(xié)議，而摩根大通的Quorum部門發(fā)布了使用zk-snarks跟蹤私人余額的Anonymous-Zether協(xié)議键兜，Clearmatics發(fā)布了Zeth庫(kù)凤类，可直接在以太坊實(shí)現(xiàn)Zcash交易。所有這些企業(yè)都清楚普气，在使用公共區(qū)塊鏈之前谜疤，它們必須有私有交易的能力。

如果在像以太坊這樣的公共區(qū)塊鏈上實(shí)現(xiàn)Zcash級(jí)別的私有交易现诀，這看起來(lái)好得令人難以置信夷磕，這是因?yàn)榍闆r很可能就是這樣：這些交易非常昂貴。

?數(shù)據(jù)來(lái)源：The Block統(tǒng)計(jì)的以太坊上各種隱私實(shí)現(xiàn)的gas成本仔沿。

不過(guò)坐桩，該領(lǐng)域的幾項(xiàng)進(jìn)展可能有助于改變這一事實(shí)。就像Schnorr簽名和Taproot將有助于改善比特幣的隱私一樣封锉，EIP-1108應(yīng)該在今年秋天以太坊的伊斯坦布爾硬分叉上實(shí)現(xiàn)绵跷。它將大大降低橢圓曲線算法預(yù)編譯的gas成本膘螟，這在前面提到的所有智能合約中都得到了應(yīng)用方妖。特別是對(duì)Aztec來(lái)說(shuō)候衍，它應(yīng)該能將gas成本降低75%。

(3)?未來(lái)?yè)碛懈冗M(jìn)虛擬機(jī)的區(qū)塊鏈亿笤，比如Solana净当、Eth 2.0内斯、Polkadot等，應(yīng)該能夠?yàn)橥耆接械氖聞?wù)提供近乎原生的性能蚯瞧。這些都是再進(jìn)一步的事情了嘿期，超出了本文的范圍。

(4)?交易泛濫攻擊錯(cuò)誤地?cái)嘌月窈希挥薪灰浊?4小時(shí)的環(huán)簽名才能被重用备徐，而實(shí)際上，任何可以追溯到2017年9月15日的環(huán)簽名都可以被重用甚颂。在沒(méi)有特定假設(shè)的情況下蜜猾，這使得門羅幣的匿名集更大，攻擊成本更高振诬。自2017年9月15日以來(lái)蹭睡，門羅幣累計(jì)支付的交易費(fèi)用中，有60%發(fā)生在2017年11月1日-2018年2月1日的牛市高峰期赶么。從2017年9月-2018年10月（不含2017年11月-2018年2月）的平均月事務(wù)量為122k肩豁，相比之下，2017年11月-2018年2月的平均月事務(wù)量為182k辫呻，較平時(shí)增長(zhǎng)了50%清钥。如果我們假設(shè)這增加的50%的事務(wù)是投機(jī)者在交易所發(fā)生的存取款，那么它們實(shí)際上是去匿名的放闺，而對(duì)手不需要自己支付費(fèi)用祟昭。所以如果樂(lè)觀估計(jì)的話，交易對(duì)手總支出占17年9月以來(lái)所有交易的75%怖侦，略低于300萬(wàn)美元篡悟。但如果假設(shè)每月交易量的25%來(lái)自交易所，那么自17年9月以來(lái)匾寝，交易對(duì)手支出總額將下降到70萬(wàn)美元搬葬。

值得注意的是，在使用Bulletproof技術(shù)于2018年10月進(jìn)行了一次硬分叉后艳悔，門羅幣的交易費(fèi)用應(yīng)聲急落踩萎，下降了95%，交易對(duì)手支出為75%很钓，每月費(fèi)用不到1萬(wàn)美元香府。任何監(jiān)查機(jī)構(gòu)或好奇的觀察者都有預(yù)算承擔(dān)這筆開(kāi)始。因此码倦，去匿名化度量的成本是企孩，假設(shè)在2017年9月-2018年10月間，已經(jīng)泄漏了足夠的信息袁稽，導(dǎo)致對(duì)手已去匿名化在此期間發(fā)生的50%的交易勿璃，并且只需要花費(fèi)足夠的交易費(fèi)用來(lái)維持其在門羅幣交易量中占75%的地位。（所有交易費(fèi)用數(shù)據(jù)來(lái)自bitinfocharts.com）

(5)?所有數(shù)據(jù)從谷歌BigQuery公開(kāi)的加密比特幣數(shù)據(jù)庫(kù)中提取推汽。使用的方法在此處查詢欄的內(nèi)聯(lián)注釋中給予了說(shuō)明补疑。