本文宗旨在于簡(jiǎn)要概述當(dāng)今主流加密貨幣中實(shí)施的匿名機(jī)制

區(qū)塊鏈匿名是一個(gè)特別困難的事情，因?yàn)楣矃^(qū)塊鏈的設(shè)計(jì)使得所有的交易都是透明的，加密貨幣的供應(yīng)可以被公開(kāi)驗(yàn)證。即使在保護(hù)隱私和維護(hù)公共可驗(yàn)證性之間存在沖突，匿名機(jī)制也必須確保這兩個(gè)要素得以保留。 要了解Sigma和Lelantus背后的創(chuàng)新，我們需要研究區(qū)塊鏈匿名技術(shù)的歷史。

1.資金池混幣和混幣器混幣

用于：達(dá)世幣Dash，比特幣混幣器

優(yōu)點(diǎn)：

·不需要特定的共識(shí)就可以在大多數(shù)加密貨幣上運(yùn)行

·實(shí)施起來(lái)相對(duì)簡(jiǎn)單

·輕量化

缺點(diǎn)：

·只能提供基礎(chǔ)的匿名

·要求在線混幣

·早期的應(yīng)用需要可信的第三方

人們?cè)噲D實(shí)現(xiàn)匿名的第一種方法是通過(guò)在資金池中混合自己和他人的幣來(lái)達(dá)到目的，混合之后很難證明誰(shuí)的硬幣最初屬于誰(shuí)，從而提供某種程度的匿名。當(dāng)然，前提是相信別人不會(huì)偷你的幣。

混幣器是這種混合理念的改進(jìn)，消除了匿名發(fā)起者竊取幣的可能性，它在Darkcoin（現(xiàn)在稱為Dash）中被廣泛使用。但是混幣器仍然有很多缺點(diǎn)。

（1）因?yàn)楹笈_(tái)可以記錄信息，并且知道每個(gè)用戶的輸入地址和他們正在接收的地址，所以您需要信任匿名發(fā)起者。這個(gè)問(wèn)題可以通過(guò)使用匿名數(shù)字簽名來(lái)避免，因此混幣器的匿名強(qiáng)烈依賴于以匿名方式（例如通過(guò)Tor網(wǎng)絡(luò)）登陸。

（2）要求參與混幣的人員在線進(jìn)行混幣。如果雙方就混幣的數(shù)額不能達(dá)成一致的話則必須推遲。

（3）匿名受到人數(shù)限制。Dash的混幣（private transactions）的一輪只涉及3個(gè)參與者，但是這個(gè)過(guò)程可以重復(fù)。

（4）最近的研究（https://arxiv.org/pdf/1708.04748.pdf）顯示，即使經(jīng)過(guò)多輪混幣器混合，如果用戶的錢包在進(jìn)行支付時(shí)不清除瀏覽器cookie的話，可以通過(guò)技術(shù)手段識(shí)別用戶的錢包，因?yàn)榛鞄胖粫?huì)掩蓋地址之間的交易鏈接，但不會(huì)完全破壞它們。

（5）很容易破壞混幣器運(yùn)行，并延遲其他參與者完成混幣交易。

更嚴(yán)重的是，Dash中被稱為PrivateSend的應(yīng)用，容易受到集群交叉攻擊。

混幣器的其他改進(jìn)，例如CoinShuffle++不再需要可信的第三方，但仍然受到混幣器的其他缺點(diǎn)的限制，如有限的匿名、參與者必須在線等。

混幣器匿名的主要好處是它們相對(duì)簡(jiǎn)單，并且在加密貨幣的基礎(chǔ)上工作，而不需要使用特定的共識(shí)規(guī)則。通過(guò)適當(dāng)?shù)念A(yù)防措施，混幣器可以提供基礎(chǔ)匿名。

Tumblebit也是一個(gè)非常有希望的改進(jìn)混幣器匿名的方案，但超出了本文的范圍。與我們將在下一步討論的其它匿名方案相比，這是一個(gè)沒(méi)有在協(xié)議級(jí)別實(shí)施的匿名計(jì)劃，但仍然需要其他人提供用于混合的資金。它的主要優(yōu)點(diǎn)與混幣器相同，可以在比特幣或任何其他數(shù)字貨幣上實(shí)現(xiàn)，而不需要改變其協(xié)議。

2.Cryptonote和環(huán)簽

用于：門羅幣Monero

優(yōu)點(diǎn)：

·混合自動(dòng)完成

·可以默認(rèn)情況下自動(dòng)匿名

·隨著新的混幣加入和時(shí)間的推移，匿名性會(huì)增加

·使用RingCT（或防彈證明）執(zhí)行時(shí)可隱藏交易金額

·充分研究過(guò)的密碼學(xué)基礎(chǔ)

缺點(diǎn)：

·不能打斷交易鏈接，只能模糊它們，因此屬于“誘餌”模型

·因?yàn)槠鋮^(qū)塊鏈數(shù)據(jù)巨大且不可修剪，因此可擴(kuò)展性較差

·由于科技進(jìn)步或執(zhí)行錯(cuò)誤的原因，存在會(huì)被解密的風(fēng)險(xiǎn)

·無(wú)法利用現(xiàn)有的比特幣生態(tài)系統(tǒng)，需要單獨(dú)的工作

·環(huán)簽大小受限

·無(wú)法使用簡(jiǎn)單的付款驗(yàn)證（SPV），因此您始終必須運(yùn)行或連接至全節(jié)點(diǎn)（沒(méi)有輕錢包）

·很難實(shí)施一些第2層解決方案，如閃電網(wǎng)絡(luò)

·沒(méi)有供應(yīng)可審計(jì)性意味著隱藏的通貨膨脹可能無(wú)法被發(fā)現(xiàn)

我們將要探討的下一個(gè)匿名方案是在Monero等Cryptonote加密貨幣中使用的環(huán)簽，環(huán)簽方案大大提高了混幣器方案的匿名性。在環(huán)簽中，某人簽署了交易，只能追蹤到一個(gè)組而不能具體追蹤到組中的這個(gè)人。比如，可知某個(gè)“高級(jí)白宮官員”簽署了環(huán)簽，但不能追蹤到具體哪個(gè)官員簽署了這條信息。

Cryptonote和環(huán)簽可以自動(dòng)實(shí)現(xiàn)匿名功能，無(wú)需其他用戶指定想要和誰(shuí)混合，也無(wú)需等待其他人提供資金，因?yàn)樗皇菕呙鑵^(qū)塊鏈以便使用輸出。因?yàn)闆](méi)有混幣器，所以你不需要信任任何人。Monero最近還實(shí)施了RingCT (RingConfidential Transactions)，也隱藏了交易金額。

目前在Cryptonote加密貨幣中實(shí)現(xiàn)的環(huán)簽實(shí)際大小(你所使用的其他輸出的數(shù)量)上也有限制，因?yàn)殡S著環(huán)的尺寸的增加，交易數(shù)據(jù)的大小線性增長(zhǎng)。這就是為什么在默認(rèn)情況下，Monero的默認(rèn)環(huán)大小是4。實(shí)際上，使用不同的環(huán)大小，默認(rèn)情況下，有可能會(huì)讓你去匿名化。這意味著，在每筆交易的基礎(chǔ)上，匿名性受到環(huán)參與者數(shù)量的限制。區(qū)塊鏈分析師雖然可能無(wú)法證明交易是有關(guān)聯(lián)的，但他們可以計(jì)算出交易關(guān)聯(lián)的幾率。因此Cryptonote的主要缺點(diǎn)是無(wú)法破壞交易之間的鏈接，而只分別混淆交易雙方來(lái)讓交易難于跟蹤。

此外，安全研究人員已經(jīng)找到了方法，通過(guò)將交易與交易時(shí)間聯(lián)系起來(lái)，對(duì)哪個(gè)交易是真實(shí)交易做出有根據(jù)的猜測(cè)。在交易中捆綁的一個(gè)真實(shí)硬幣和一組假硬幣的任何組合中，真實(shí)硬幣很可能是在該交易之前移動(dòng)的最新硬幣。在Monero的開(kāi)發(fā)人員最近進(jìn)行更改之前，時(shí)序分析在90％以上的時(shí)間內(nèi)正確識(shí)別了真實(shí)硬幣，這實(shí)際上使Monero的隱私保護(hù)措施無(wú)效。在改變Monero如何選擇mixins之后，這個(gè)技巧現(xiàn)在可以有45％的機(jī)率發(fā)現(xiàn)真正的硬幣 -這種情況下識(shí)別真正的硬幣只用大約做兩次猜測(cè)了，遠(yuǎn)遠(yuǎn)低于大多數(shù)Monero用戶的預(yù)期。

另一種對(duì)此種加密技術(shù)的批評(píng)是，如果它的環(huán)簽技術(shù)存在bug，或者出現(xiàn)相當(dāng)強(qiáng)大的量子計(jì)算機(jī)，那么整個(gè)區(qū)塊鏈的記錄就會(huì)被去匿名化和可追溯，并且無(wú)法在事后修正。就像名為Shadowcash的Cryptonote加密貨幣，因?yàn)閎ug導(dǎo)致所有區(qū)塊數(shù)據(jù)全部被解密。然而，實(shí)用的量子計(jì)算機(jī)還有一段時(shí)間，它歸結(jié)為幾年前的交易數(shù)據(jù)是否仍然有價(jià)值。為了使這些數(shù)據(jù)有用，它很可能需要與外部數(shù)據(jù)相結(jié)合。

另外還需要注意的是，使用環(huán)簽來(lái)隱藏交易金額，犧牲了供應(yīng)可審核性。“供應(yīng)可審核性”可以驗(yàn)證在交易過(guò)程中，是否有新的加密貨幣被秘密生成，并確定在某一時(shí)刻加密貨幣的具體數(shù)量。在Monero的“環(huán)簽”的實(shí)現(xiàn)中，如果有人打破了支撐環(huán)簽的離散對(duì)數(shù)，他就可以在沒(méi)人知道的情況下偽造加密貨幣，雖然用目前的技術(shù)還很難做到。這可能只存在理論上的可能性，因?yàn)殡x散對(duì)數(shù)問(wèn)題在密碼學(xué)中被廣泛使用，并且預(yù)計(jì)離散對(duì)數(shù)在量子計(jì)算時(shí)代之前仍然可行。然而，代碼錯(cuò)誤也會(huì)出現(xiàn)偽造的情況，缺乏供應(yīng)可審查性會(huì)使檢測(cè)隱藏的通貨膨脹變得復(fù)雜。人們確實(shí)曾發(fā)現(xiàn)了一個(gè)允許無(wú)限通脹的Cryptonote的bug，雖然在有人都利用它之前就已經(jīng)修補(bǔ)了。

使用與比特幣完全不同的代碼庫(kù)也意味著第三方必須做更多的工作來(lái)將CryptoNote集成到他們現(xiàn)有的生態(tài)系統(tǒng)中。簡(jiǎn)單付款驗(yàn)證（SPV）也不被支持，使輕型錢包實(shí)施成為問(wèn)題。

盡管有這些缺點(diǎn)，但Cryptonote今天已被證明是一種非常好的匿名技術(shù)，它唯一公開(kāi)慘敗的例子是Shadowcash，被全部解密，通過(guò)使用混合了零交易的Monero交易導(dǎo)致一個(gè)級(jí)聯(lián)效應(yīng)，約87%的輸入被去匿名化。 (隨后被新的交易所緩和)。因此，區(qū)塊鏈分析中的新技術(shù)可能會(huì)大大降低Cryptonote的匿名性，因?yàn)樗鼉H僅是一個(gè)基于“誘餌”的系統(tǒng)。最近的FloodXMR論文中證明了這一點(diǎn)，該文件表明，通過(guò)大量碎片交易來(lái)使得輸入端的混合失效，就可以實(shí)施成本較低攻擊。 當(dāng)然，關(guān)于這種技術(shù)的成本和效率尚存在爭(zhēng)論。

3.Zerocoin協(xié)議和Zcoin

用于：Zcoin，PIVX

優(yōu)點(diǎn):

·不需要混幣

·成千上萬(wàn)個(gè)熔鑄和取回交易完全打亂了各地址通過(guò)交易建立起來(lái)的聯(lián)系，從而實(shí)現(xiàn)極高的匿名性

·保留總量的可審查性

·使用已被大量驗(yàn)證的密碼學(xué)

缺點(diǎn):

·由于其中一個(gè)證明存在加密缺陷，Zerocoin目前已被破解。 雖然它可以被修復(fù)，但更好的實(shí)施方案，如Sigma和Lelantus將取代它。

·證明尺寸目前比較大

·需要一個(gè)預(yù)信任機(jī)制

·錯(cuò)誤的實(shí)施方案或泄漏受預(yù)信任設(shè)置參數(shù)可能導(dǎo)致偽造zerocoin

·在熔鑄和取回的時(shí)候，需要多加注意。為防止時(shí)序攻擊，用戶必須在準(zhǔn)備取回匿名硬幣之前將被重鑄的硬幣保存一段時(shí)間。

現(xiàn)在，我們來(lái)看看在Zcoin上實(shí)施的Zerocoin。與之前只是打亂了交易的輸入輸出的匿名方案不同，在使用零知識(shí)證明的情況下，Zerocoin協(xié)議完全打斷了幣之間的交易鏈接。

簡(jiǎn)單地說(shuō)，零知識(shí)證明是你做某件事或知道某件事的證明，而不泄露任何其他信息。例如，要證明您知道密碼，而不需要實(shí)際顯示密碼。

Zerocoin的工作原理是，熔鑄掉你自己的加密貨幣(我們稱之為零幣熔鑄)，然后再兌換等量的做記號(hào)的新幣(被稱為零幣取回)。這些幣在沒(méi)有任何交易歷史的情況下出現(xiàn)，看上去就和新挖出的幣一樣。這一證明是用來(lái)證明你確實(shí)銷毀過(guò)了加密貨幣，而沒(méi)有透露你銷毀過(guò)的具體加密貨幣信息，因此你有權(quán)贖回等量的新幣。

這意味著，與混幣和Cryptonote技術(shù)（匿名集的大小受參與者的數(shù)量或環(huán)的大小所限制）不同，Zerocoin的匿名集要大的多。你的匿名集等于所有曾經(jīng)做過(guò)相同數(shù)值熔鑄的總量。這就使得匿名者可以在成千上萬(wàn)的人中使用零幣熔鑄和取回來(lái)擴(kuò)大規(guī)模。此外，這些硬幣的交易環(huán)節(jié)也被完全打破，因?yàn)樗鼈兛雌饋?lái)完全是全新的硬幣，與之相比，之前的匿名方法只是掩蓋交易環(huán)節(jié)。

這種匿名模式也有一些缺點(diǎn)。為了獲得巨大的匿名性，同時(shí)打破交易鏈接，Zerocoin需要一次可信的設(shè)置來(lái)生成初始的參數(shù)。在Zerocoin中，有兩個(gè)被摧毀的大質(zhì)數(shù)。如果有人獲取這兩個(gè)巨大的質(zhì)數(shù)，就可以憑空偽造出Zerocoin。為了解決這一問(wèn)題，Zcoin使用了1991年的RSA質(zhì)數(shù)挑戰(zhàn)中的方法，在該挑戰(zhàn)中，密碼學(xué)專家生成并摧毀了兩個(gè)大質(zhì)數(shù)，并為能在16年內(nèi)成功地將其分解的挑戰(zhàn)者提供了20萬(wàn)美元的獎(jiǎng)金，但無(wú)人能破解此難題。時(shí)至今日，RSA-2048方法仍然是我們所知的最好的方法，RSA-2048方法仍然被廣泛使用，直到某天能夠?qū)ｉT破解此類難題的量子計(jì)算機(jī)的出現(xiàn)。

值得注意的是，對(duì)這兩個(gè)質(zhì)數(shù)成功的分解不會(huì)影響零硬幣的匿名性，因?yàn)樗挥绊懭坭T。此外，Zcoin的總量可查，這樣就可以監(jiān)測(cè)硬幣的熔鑄過(guò)程。在項(xiàng)目前期由于編程中的一個(gè)bug(并非RSA被破解)，硬幣的熔鑄出現(xiàn)問(wèn)題，但我們及時(shí)檢測(cè)到了bug并進(jìn)行了修復(fù)，因此可見(jiàn)，總量可查是非常重要的。

同樣值得注意的是，即便是比特幣也在2010年遭遇惡性通貨膨脹bug，由于供應(yīng)可審計(jì)性人們監(jiān)測(cè)到了憑空產(chǎn)生的1844億個(gè)硬幣。 最近在2018年9月，在比特幣中發(fā)現(xiàn)了另一個(gè)惡性通貨膨脹的漏洞，但仍然未被開(kāi)發(fā)。

Zerocoin的另一個(gè)限制是，熔鑄和取回只能處理固定面值的貨幣，相比環(huán)簽交易，零幣的零知識(shí)證明的數(shù)據(jù)大小是25kb。值得注意的是，不同于Cryptonote交易（所有交易都占用同樣大小的數(shù)據(jù)），只有匿名取回的交易占據(jù)了25kb數(shù)據(jù)，而普通交易的數(shù)據(jù)大小與比特幣交易的數(shù)據(jù)大小相同。與其他交易相比，Zerocoin取回交易的計(jì)算密集程度也很高，需要大約半秒才能完成。

此外，不正確的使用或有規(guī)律的使用Zerocoin鑄幣和花費(fèi)交易，如總是定期鑄造和消費(fèi)，或做熔鑄和取回的間隔時(shí)間太短，或使用相同的IP地址熔鑄和取回可能會(huì)損害匿名，因此需要多加小心。建議用戶在他們想要取回硬幣之前預(yù)先熔鑄好硬幣。硬幣以鑄造形式存在的時(shí)間越長(zhǎng)，匿名性越好。這一點(diǎn)正在通過(guò)Zcoin即將推出的GUI來(lái)緩解，該GUI建議用戶保留一定比例熔鑄過(guò)的硬幣。

總而言之，Zerocoin提供了非常強(qiáng)大的匿名性，但為了實(shí)現(xiàn)該匿名，需要信任機(jī)制、區(qū)塊鏈上的存儲(chǔ)空間和額外的計(jì)算資源。Zcoin的發(fā)展正在解決這些問(wèn)題。

4.Sigma

用于：Zcoin，NIX

優(yōu)點(diǎn)：

·無(wú)需混幣

·匿名性非常高，匿名集可高達(dá)100,000左右。 熔鑄和取回交易可完全打破地址之間的交易鏈接。

·保留一定程度的供應(yīng)可審計(jì)性，因?yàn)榻灰捉痤~不會(huì)被隱藏，硬幣必須取回至基礎(chǔ)層。

·使用經(jīng)過(guò)深入研究的密碼學(xué)。

·很小的證明尺寸，僅為1.5 kB。

·無(wú)需預(yù)信任機(jī)制。

缺點(diǎn)：

·與Zerocoin一樣必須使用固定面值。

·操作Sigma熔鑄和取回時(shí)必須小心，使用者應(yīng)在取回之前熔鑄好相應(yīng)硬幣，以防止時(shí)序攻擊。

·在密碼學(xué)基礎(chǔ)沒(méi)有突破前匿名集難以突破100，000。

Sigma是由Zcoin發(fā)明并實(shí)施的匿名協(xié)議，其工作方式與Zerocoin非常相似。它有兩個(gè)關(guān)鍵的區(qū)別：它無(wú)需預(yù)信任機(jī)制，且其證明尺寸大幅變小，大約為1.5 kB（與Zerocoin的25 kB相比）。

Sigma基于學(xué)術(shù)論文《One-Out-Of-Many-Proofs：Or Howto Leak a Secret and Spend a Coin》（Jens Groth和Markulf Kohlweiss）利用Pedersen承諾及其它技術(shù)取代RSA累積器，使此加密構(gòu)造無(wú)需預(yù)信任機(jī)制。 Sigma設(shè)置中唯一需要的系統(tǒng)參數(shù)是ECC組規(guī)范和組生成器。這種結(jié)構(gòu)已在《Short Accountable Ring Signatures base on DDH》（Jonathan Bootle，Andrew Cerulli，Pyrros Chaidos，Essam Ghadafi，Jens Groth和ChristophePetit）中進(jìn)一步優(yōu)化。

Sigma嚴(yán)格來(lái)說(shuō)是深度優(yōu)化的Zerocoin。其唯一的缺點(diǎn)是它仍然需要固定的面額，這意味當(dāng)使用者不注意時(shí)會(huì)更容易被識(shí)別出熔鑄方和取回方，并且在保障性能前提下，匿名集僅限于大約100,000。

5.Lelantus

如：Zcoin（研發(fā)中）

優(yōu)點(diǎn)：

·無(wú)需混幣器

·匿名性非常高，匿名集高達(dá)100，000左右，使用熔鑄和取回交易完全打破交易地址之間的鏈接。

·使用成熟的密碼學(xué)，僅需DDH加密假設(shè)

·很小的證明尺寸，僅僅為1.5kB

·無(wú)需預(yù)信任機(jī)制

·可使用非固定面額

·可直接匿名付款而無(wú)法轉(zhuǎn)換至基礎(chǔ)層的硬幣

·良好的可擴(kuò)展性，足以支持默認(rèn)匿名交易

缺點(diǎn)：

·在加密技術(shù)取得突破之前匿名集難以突破100，000

·目前直接匿名付款時(shí)需要收入方再次取回并再熔鑄，以防止發(fā)送方發(fā)送的時(shí)間被發(fā)現(xiàn)

·仍處于早期發(fā)展階段。 Zcoin已完成其加密庫(kù)，Monero的Sarang Noether也完成其初步實(shí)施方案的證明。

Lelantus通過(guò)取消對(duì)固定面額的要求進(jìn)一步擴(kuò)展Sigma，并允許直接匿名付款，但不顯示金額。 Lelantus是Zcoin的密碼學(xué)家Aram Jivanyan的創(chuàng)作，是我們不斷改進(jìn)隱私協(xié)議的一部分，其全文可在此處閱讀。

Lelantus保留了Sigma不需要預(yù)信任機(jī)制的所有好處，但通過(guò)利用雙盲承諾和防彈證明來(lái)隱藏交易金額，消除了要求固定面額的剩余弱點(diǎn)。用戶可以燃燒任意金額并兌換任意金額，這樣就可以更加難以找出熔鑄和取回之間的聯(lián)系。

如果Lelantus存在某些弱點(diǎn)，那么就是其匿名集仍然限制在大約100,000，超出以后的性能使得實(shí)施起來(lái)不切實(shí)際，但我們認(rèn)為對(duì)如此大的匿名集進(jìn)行分析是不切實(shí)際的。與幾乎所有其他隱私機(jī)制相比，它的匿名集仍然更高，除了Zerocash有自己的一套權(quán)衡（預(yù)信任機(jī)制，復(fù)雜的構(gòu)造等），我們將在下面進(jìn)一步探討。

在當(dāng)前研究狀態(tài)下直接匿名支付還需要額外的取回和再熔鑄步驟來(lái)匿名化發(fā)送者。我們?nèi)栽谶M(jìn)一步研究，以進(jìn)一步改進(jìn)和擴(kuò)展。

6.Zerocash and Zcash

如:Zcash，Horizen，Komodo,

優(yōu)點(diǎn):

·在熔鑄過(guò)程和打破地址之間的交易鏈接方面可能是最好的匿名技術(shù)

·驗(yàn)證數(shù)據(jù)小，驗(yàn)證速度快

·隱藏交易金額

·不需要預(yù)先轉(zhuǎn)換成普通硬幣，匿名硬幣可以直接發(fā)送到對(duì)方。

缺點(diǎn):

·匿名交易是計(jì)算密集型的（雖然通過(guò)Sapling升級(jí)得到了很大改善）

·必須由團(tuán)隊(duì)安排的復(fù)雜預(yù)信任機(jī)制

·不正確的實(shí)施或預(yù)信任機(jī)制參數(shù)的泄漏可能導(dǎo)致偽造硬幣。

·因此，如果硬幣是偽造的并且憑空產(chǎn)生的，則無(wú)法檢測(cè)供應(yīng)，因此無(wú)法檢測(cè)到供應(yīng)。 這種性質(zhì)的漏洞既可以在發(fā)布之前找到，也可以在實(shí)時(shí)主網(wǎng)中找到。

·使用相對(duì)較新的密碼術(shù)并基于被批評(píng)的加密假設(shè)（KEA）。

·很難理解完全意義上只有少數(shù)人能夠掌握密碼學(xué)和代碼，并且可能出錯(cuò)。

我們討論的最后一個(gè)匿名方案是ZCash中使用的Zerocash協(xié)議。Zerocash采用了零知識(shí)證明，并試圖改進(jìn)Zerocoin協(xié)議。有了Zerocash和zkSNARKs技術(shù)，匿名數(shù)據(jù)大小現(xiàn)在只有1 kb，并且可快速驗(yàn)證。此外，所有交易金額都是隱藏的，在進(jìn)行熔鑄時(shí)不需要使用固定的面額。Zerocash還允許人們將Zerocash的“零硬幣”直接轉(zhuǎn)移給對(duì)方，而不需要將其轉(zhuǎn)化為等價(jià)的基本硬幣。它的匿名方法也是之前所有匿名計(jì)劃中規(guī)模最大的一個(gè)，包含了所有鑄造的硬幣，而沒(méi)有考慮區(qū)塊鏈的面值。

粗略來(lái)看，就會(huì)覺(jué)得Zerocash技術(shù)超出了Zerocoin，然而，相對(duì)Zerocoin，它也有一些不足。

首先，Zerocash缺乏供應(yīng)量可審核性。和Zerocoin一樣，Zerocash需要一個(gè)預(yù)信任機(jī)制，但Zerocash的設(shè)置要復(fù)雜得多。Zcash采用了一場(chǎng)涉及6人的多方儀式來(lái)完成設(shè)置，其參數(shù)泄露的唯一方式是，所有的6人相互串通，并保留相關(guān)參數(shù)。換句話說(shuō)，你必須信任這6個(gè)人中的任何一位，相信他們摧毀了初始參數(shù)并且相信這個(gè)儀式被正確執(zhí)行。這是一個(gè)嚴(yán)重的問(wèn)題，Zcash正在組織一個(gè)新的預(yù)信任機(jī)制儀式。

如果代碼中存在錯(cuò)誤，或加密缺陷或多方預(yù)信任機(jī)制存在問(wèn)題，攻擊者可能會(huì)生成無(wú)限制的Zcash，與Zerocoin不同，無(wú)法檢測(cè)到此額外供應(yīng)。特別是在使用Zerocoin以類似原理運(yùn)行的系統(tǒng)中，允許創(chuàng)建新硬幣，供應(yīng)可審計(jì)性變得越來(lái)越重要。

實(shí)際上，從發(fā)布到2018年10月28日，為期兩年，Zcash實(shí)際上已經(jīng)在其主網(wǎng)上修補(bǔ)其中一個(gè)漏洞。沒(méi)有辦法判斷這個(gè)bug是否在被修補(bǔ)之前被利用了，從發(fā)現(xiàn)bug到修補(bǔ)之間存在8個(gè)月的差距。這不是第一次發(fā)現(xiàn)這樣的錯(cuò)誤。 Zerocash在其開(kāi)發(fā)早期也有內(nèi)部碰撞漏洞，這也允許鍛造硬幣。雖然這個(gè)bug從未投入生產(chǎn)，但它突出了潛在的風(fēng)險(xiǎn)。

BTCP，一個(gè)同時(shí)基于Zcash和比特幣的分叉幣也遭受了隱藏的通貨膨脹，近十個(gè)月沒(méi)有被發(fā)現(xiàn)。只有在通過(guò)比特幣UTXO輸入時(shí)檢查UTXO輸出流程才能檢測(cè)到這種通貨膨脹。這不是由于密碼學(xué)的缺陷而是隱蔽的預(yù)設(shè)，它突出了具有不可審計(jì)的供應(yīng)的潛在問(wèn)題。

我們強(qiáng)調(diào)，即使是像比特幣這種經(jīng)過(guò)嚴(yán)格審查的項(xiàng)目也遭遇了許多惡性通貨膨脹的錯(cuò)誤，例如價(jià)值溢出事件和最近的CVE-2018-17144。比特幣保留供應(yīng)可審計(jì)性允許檢測(cè)到這些錯(cuò)誤或確認(rèn)沒(méi)有發(fā)生漏洞利用。

另一個(gè)值得商榷的是其使用稱為zkSNARKs的新實(shí)驗(yàn)密碼術(shù)，它實(shí)際上僅用于Zerocash。對(duì)它的審查要少得多，因此不像RSA那樣經(jīng)過(guò)實(shí)戰(zhàn)檢驗(yàn)，RSA已經(jīng)使用并經(jīng)過(guò)多年的審查并繼續(xù)得到廣泛應(yīng)用。 zkSNARKs使用加密假設(shè)，這些假設(shè)仍然是實(shí)驗(yàn)性的。與已建立的加密算法不同，如離散對(duì)數(shù)假設(shè)或分解硬度，zkSNARKs安全性基于雙線性群的指數(shù)知識(shí)（KEA）假設(shè)的變體（通過(guò)某些配對(duì)友好的橢圓曲線實(shí)例化）。 KEA尚未得到很好的研究或部署，也受到批評(píng)。一些專家認(rèn)為zkSNARKs背后的密碼學(xué)相對(duì)較弱。

Zerocash也非常復(fù)雜，這意味著只有少數(shù)人能夠正確理解和審核它。事實(shí)上，由于Zcash假設(shè)，產(chǎn)生如下現(xiàn)象：

·發(fā)現(xiàn)漏洞需要高水平的技術(shù)和加密復(fù)雜性，而很少有人擁有。

·該漏洞已存在多年，但許多專家密碼學(xué)家，科學(xué)家，第三方審核員和第三方工程團(tuán)隊(duì)都沒(méi)有發(fā)現(xiàn)這些漏洞，他們根據(jù)Zcash代碼啟動(dòng)了新項(xiàng)目。

這實(shí)際上是“基于默默無(wú)聞的安全”。

Zerocash的另一個(gè)主要缺點(diǎn)是，由于需要進(jìn)行復(fù)雜的數(shù)學(xué)計(jì)算，因此，在一臺(tái)功能強(qiáng)大的計(jì)算機(jī)上，匿名交易的生成時(shí)間要比之前任何一種匿名方式要長(zhǎng)得多，特別是對(duì)配置較低的計(jì)算機(jī)來(lái)說(shuō)，這一過(guò)程太長(zhǎng)。這使得人們無(wú)法廣泛使用它的匿名功能，也可能會(huì)不適用一些功能不太強(qiáng)大的系統(tǒng)，比如移動(dòng)設(shè)備。Zcash通過(guò)使用新的BLS12-381曲線在其最新的Sapling升級(jí)中對(duì)此進(jìn)行了重大改進(jìn)，將生成時(shí)間縮短至幾秒鐘，并且需要大約40 MB的內(nèi)存，這使其最終可用于移動(dòng)設(shè)備。但是，與本文中的其他匿名方案相比，它仍然是計(jì)算密集程度最高的。

因此，盡管Zerocash具備可能是最好的匿名性，但它以犧牲總量可查為代價(jià)，同時(shí)也包括如下缺點(diǎn)：復(fù)雜的預(yù)信任機(jī)制，使用過(guò)于新的加密技術(shù)，創(chuàng)建匿名交易需要很長(zhǎng)時(shí)間。

然而，Zcash團(tuán)隊(duì)正在對(duì)zkSTARKs（zkSNARKs的替代品）進(jìn)行研究，該研究不需要預(yù)信任機(jī)制，并使用加密算法和更簡(jiǎn)單的加密假設(shè)。但是，到目前為止，zkSTARKS目前由于尺寸較大而無(wú)法使用，而且創(chuàng)建zkSTARK的計(jì)算要求仍然很高。還有其他一些有趣的zkSNARKs變種尚未實(shí)現(xiàn)，例如Sonic和Spartan，它們以不同的方式解決了預(yù)信任機(jī)制問(wèn)題，但是它有一套超出本文范圍的權(quán)衡取舍。

7.Mimblewimble

用于：Grin,Beam

優(yōu)點(diǎn)：

·所有交易都是匿名的

·使用完善的密碼學(xué)

·隱藏交易金額

·區(qū)塊鏈可以減小尺寸，因?yàn)樗槐Ａ鬠TXO

·不存在重復(fù)使用地址的問(wèn)題

缺點(diǎn)：

·需要接收者和發(fā)送者之間的互動(dòng)。無(wú)法留下地址然后離線等待接收。多方交易存在問(wèn)題，因?yàn)楦鞣叫枰M(jìn)行通信以創(chuàng)建交易。

·不打破交易鏈接，只是模糊它們，因此是一個(gè)“誘餌”模型。

·監(jiān)控網(wǎng)絡(luò)可以揭示交易如何加入的詳細(xì)信息。

·如果一個(gè)塊中交易太少，那么匿名性會(huì)大大降低，因?yàn)樗蕾囉谄渌聞?wù)來(lái)加入。

·硬件錢包中的冷存儲(chǔ)很難實(shí)現(xiàn)

·Mimblewimble上的開(kāi)發(fā)智能合約更難，因?yàn)闆](méi)有腳本語(yǔ)言，只能通過(guò)“無(wú)腳本腳本”中的開(kāi)發(fā)來(lái)完成部分功能

·相對(duì)較早版本的開(kāi)發(fā)并且不共享Bitcoin core代碼，使其借用比特幣社區(qū)共識(shí)并將其集成到基礎(chǔ)架構(gòu)中需要獨(dú)立開(kāi)發(fā)。

Grin和Beam都是MimbleWimble的應(yīng)用。 Mimblewimble通過(guò)兩種主要方法工作，首先隱藏所有交易值，然后通過(guò)將所有交易到一個(gè)大事務(wù)中，以便在塊中，它看起來(lái)像是具有許多輸出和輸入的巨型交易。僅從區(qū)塊鏈中查看它，即使同一個(gè)塊中只有少量交易，您也只能通過(guò)猜測(cè)來(lái)判斷哪個(gè)輸出來(lái)自哪個(gè)輸入。 Mimblewimble還允許另一個(gè)稱為直通的功能，如果A向B支付然后將其全部支付給C，則區(qū)塊鏈可以記錄A到C而不顯示B。

較為簡(jiǎn)單的理解方法是比較交易比特幣中的交易方式與交易在Mimblewimble中匯總后的情況。

想象一下A發(fā)送到B和C.在單獨(dú)的事務(wù)中D發(fā)送給E和F.

在比特幣中，這將被視為

（輸入）A>（輸出）B，C

（輸入）D>（輸出）E，F(xiàn)

他們還將擁有進(jìn)一步使其獨(dú)特的交易價(jià)值。

在Mimblewimble中，所有交易值都被隱藏，并且這些交易被聚合，因此一旦交易在塊中連接，它將如下所示：

（輸入）A，D>（輸出）B，C，E，F(xiàn)

現(xiàn)在無(wú)法具體知道是誰(shuí)發(fā)送給誰(shuí)的！

對(duì)比比特幣和Mimblewimble交易方式

然而，最大的假設(shè)是，在這些事務(wù)傳播之前以及在將它們記錄到區(qū)塊鏈之前，沒(méi)有人監(jiān)視網(wǎng)絡(luò)。使用vanilla Mimblewimble，有人可以創(chuàng)建一個(gè)連接到網(wǎng)絡(luò)中所有其他節(jié)點(diǎn)的惡意節(jié)點(diǎn)，并在它們組合在一起之前記錄事務(wù)，從而能夠?qū)κ聞?wù)進(jìn)行去匿名化，這意味著它除了地址僅使用一次和交易值被隱藏之外，其他方面的匿名性僅僅相當(dāng)于比特幣。

為了緩解這種情況，Grin和Beam都使用蒲公英技術(shù)來(lái)改變交易的傳播方式。不是將每個(gè)事務(wù)廣播到所有對(duì)等體，而是首先通過(guò)一系列隨機(jī)選擇的對(duì)等體（主干階段）發(fā)送該事務(wù)，然后才擴(kuò)散到整個(gè)網(wǎng)絡(luò)（發(fā)散階段）。每個(gè)后續(xù)節(jié)點(diǎn)隨機(jī)確定是否繼續(xù)主干階段（90％幾率）或切換到發(fā)散階段（10％幾率）。雖然交易處于主干階段，但在廣泛廣播之前，它們也與其他交易結(jié)合在一起。這使得節(jié)點(diǎn)更難以全面了解交易如何連接在一起。然而，它不是一個(gè)完美的解決方案，并且在將交易添加到塊之前，交易仍然聚集在一起的方式仍然可以找到線索。

這與Mimblewimble也是類似于Cryptonote的基于誘餌的系統(tǒng)這一事實(shí)相結(jié)合（盡管它使用不同的方法實(shí)現(xiàn)了它），它仍然存在與其他基于“誘餌”的隱私系統(tǒng)相同的缺點(diǎn)，其中重復(fù)交易可以進(jìn)一步降低匿名性，交易網(wǎng)絡(luò)仍然存在。此外，如果區(qū)塊中的交易不多，則會(huì)極大地降低匿名性。如前所述，對(duì)網(wǎng)絡(luò)的主動(dòng)監(jiān)控可以進(jìn)一步威脅匿名性。

通過(guò)跟蹤MimbleWimble交易構(gòu)建的交易圖表

MimbleWimble的一個(gè)重大缺點(diǎn)是需要接收者和發(fā)送者之間的交互（意味著接收者和發(fā)送者需要直接通信以傳達(dá)一個(gè)致盲因素）和一個(gè)可消除地址的極為不同的方案。這意味著您不能只在網(wǎng)站上發(fā)布地址，而必須始終提供新值。這也使多方交易復(fù)雜化，例如，在一次交易中向B，C，D，E匯款將要求這些方中的每一方在發(fā)送之前與A通信。Beam的實(shí)現(xiàn)通過(guò)使用安全公告板系統(tǒng)解決了這個(gè)問(wèn)題，該系統(tǒng)允許人們將他們的消息發(fā)布到Beam的完整節(jié)點(diǎn)，以便一旦用戶上線就可以傳達(dá)盲目因素，但如果這會(huì)影響隱私，則需要進(jìn)一步研究。

此外，雖然沒(méi)有地址，但Pedersen承諾仍然是獨(dú)一無(wú)二的，因此MimbleWimble本身并不隱藏交易圖，這意味著您仍然可以看到資金如何流動(dòng)，因此可以被視為“一次性”地址。這意味著如果沒(méi)有蒲公英和Coinjoin的附加變通方法，Mimblewimble的隱私就相當(dāng)于比特幣，除了地址只使用一次并且隱藏了交易值。

Grin沒(méi)有腳本語(yǔ)言，因此實(shí)施智能合約可能十分困難，雖然“無(wú)腳本腳本”的開(kāi)發(fā)可能能在特定領(lǐng)域使用類似的功能。

憑借完全隱藏的交易值，Mimblewimble沒(méi)有供應(yīng)可審計(jì)性，它依靠防彈證明/機(jī)密交易來(lái)檢查是否已經(jīng)憑空創(chuàng)造了任何額外的硬幣。然而，因?yàn)樗澈蟮拿艽a學(xué)十分成熟，因此其供應(yīng)可審計(jì)性并不像Zerocash協(xié)議那樣是一個(gè)巨大的問(wèn)題。

8 .其他匿名方案以及為什么我喜歡的匿名幣沒(méi)有被分析？

在這里列出的所有區(qū)塊鏈匿名方案都得到了研究人員的好評(píng)，各種匿名方案都很容易理解。然而，現(xiàn)在的加密貨幣有好幾百種，但只有少數(shù)能真正實(shí)現(xiàn)匿名。以下是新的匿名機(jī)制是否可靠的關(guān)鍵因素：

?? 它能提供區(qū)塊鏈的匿名嗎?

一些匿名貨幣聲稱具備匿名技術(shù)，但在區(qū)塊鏈上完全看不到任何匿名保護(hù)。具體可見(jiàn)下文：（在區(qū)塊鏈上匿名與隱藏IP的區(qū)別）。

?? 專家撰寫的匿名保護(hù)機(jī)制是否被審查過(guò)?

看看他們的匿名計(jì)劃是否經(jīng)過(guò)密碼學(xué)家的審核，是否有學(xué)術(shù)論文引用它，許多程序都是由開(kāi)發(fā)人員或程序員編寫的，而他們沒(méi)有任何的加密或信息安全的背景，其實(shí)現(xiàn)匿名技術(shù)的技術(shù)通常并不可靠。

?? 它僅僅是利用現(xiàn)有技術(shù)的一個(gè)新名稱嗎?

一些項(xiàng)目將現(xiàn)有的匿名貨幣更名為自己的名字，并將其作為自己的名字進(jìn)行發(fā)行，如果他們公開(kāi)了原始的匿名技術(shù)，這是可以接受的。

?? 是否是中心化的？

如果依靠你信任別人來(lái)保護(hù)你的匿名計(jì)劃的話，它通常是一個(gè)糟糕的匿名計(jì)劃。

?? 團(tuán)隊(duì)是否理解這些匿名技術(shù)背后的密碼學(xué)?

除非你自己是專家，否則這很難確定。檢查他們的團(tuán)隊(duì)，看看他們的團(tuán)隊(duì)或者他們的顧問(wèn)名單上是否有密碼學(xué)相關(guān)的研究經(jīng)歷。

9.總結(jié)

每一個(gè)匿名模式都有自己的利益和權(quán)衡取舍，我們相信，對(duì)這些匿名方案進(jìn)行持續(xù)的探索和研究，會(huì)改善整個(gè)區(qū)塊鏈的匿名技術(shù)。

我們堅(jiān)信Zcoin中使用的Sigma和Lelantus協(xié)議與其他匿名方案相比，提供了一個(gè)非常全面的匿名方案，它使用經(jīng)過(guò)驗(yàn)證的加密技術(shù)提供了非常強(qiáng)大的匿名性，同時(shí)還保持了可擴(kuò)展性和可審計(jì)性。

可以在下面找到Zcoin解決方案與其它另悉吶隱私技術(shù)的對(duì)比圖表。

原文：https://card.weibo.com/article/m/show/id/2309404398302274650374

稿源（譯）：https://first.vip/shareNews?id=2041&uid=1

幣搜：比特幣領(lǐng)域的搜索引擎www.btcsearch.com

—-