原文標題:《Privacy Is a Feature Not a Product》
作者:Ryan Gentry & Matt Shapiro
編輯:Jhonny
隱私保護將成為無國界加密貨幣的一個特徵,但不會成為其核心特徵。使用者不應該單純為了實現金融隱私(financial privacy),而在價值較低、安全性較差的加密貨幣上承擔資產負債表風險 (例如,出售BTC或ETH以獲得ZEC)。
本文將提出以下觀點:諸如比特幣和以太坊這樣的通用平臺已經為大多數使用者提供了足夠的隱私保障,因此這部分使用者並不需要轉向以隱私為重點的小眾區塊鏈網路。
隱私必須成為開放金融、全球無國界貨幣和 Web3.0 的關鍵組成部分。然而,在迄今為止的加密貨幣生態系統中,與隱私相關的開發活動大多發生在以隱私為重點的區塊鏈上。而比特幣和以太坊社羣把解決可擴充套件性(scalability)和使用者體驗(user experience)等問題放在首位。
將金融隱私的重要性置於所有其他特性之上的開發人員構建了主要用於支援隱私保護的協議,用例包括大零幣(Zcash)和門羅幣(Monero)等資產,以及Grin和Beam等新入場者。它們都在功能和可用性之間做出各種權衡,以確保隱私是其核心價值主張。
但是,隱私是獨立區塊鏈應該構建的核心價值主張嗎?
加密投資者的一個共同論點是,由於隱私在金融交易中的重要性,因此專注於隱私的區塊鏈(如Zcash、Monero、Grin和Beam等)應該完全能夠積累價值。我們認同隱私在金融交易中非常重要的說法,但我們並不認為兩者之間存在因果關係。
我們預計,最有價值的區塊鏈將在一系列不同的技術權衡中勝出,使用者和企業將找到新穎的方式,將隱私帶入這些網路,而不是由網路參與者選擇原生隱私協議,併為之承擔資產負債表風險。
此外,Layer1資產(比如BTC、ETH等)一般應該被認為是貨幣,這些Layer1資產會產生明顯的網路效應,因此只有少數區塊鏈能夠打贏這場持久戰。
如果具有非原生隱私特性的區塊鏈平臺(如比特幣和以太坊等)已經能夠為大多數人提供足夠好的隱私,那麼具有原生隱私的區塊鏈(比如Zcash、Monero等)區塊鏈就會變得無關緊要了。
在本文中,我們將討論以下主題:
圍繞隱私的技術將如何帶來功能上的折衷;
使用專注於隱私保護的區塊鏈和加密資產所固有的資產負債表風險;
將隱私引入得到更廣泛採用的區塊鏈(如比特幣和以太坊)的不同方法;
在什麼情況下可以認為隱私保護已經“足夠好”;以及
我們如何看待隱私保護與投資之間的關係。
完全的隱私
在加密貨幣交易中可以洩漏四種型別的隱私資訊:傳送方、接收方、交易金額和IP地址。如果所有這四種資訊都能成功地對任何第三方觀察者隱藏,那麼交易就是完全隱私的。
表1:加密貨幣交易的隱私頻譜 (點選圖片可放大)
如上圖所示,隱私是一個頻譜:
一端是不隱藏任何上述資訊的交易,例如基本比特幣或以太坊交易;
另一端則是Zcash的樹苗(Sapling)交易,它遮蔽了上述四種型別的資訊(前提是與 Dandelion 或 Kovri 等模糊 IP 技術相結合時)。
Zcash 的 zk-SNARK 架構允許傳送方向匿名接收方傳輸一定量的代幣,傳輸的代幣數量不會被第三方獲知,且區塊鏈上始終不會記錄任何相關身份資訊,也不會在網路中洩露。從理論上說,Zcash 的這種隱私交易是完美的。
[備註:Zcash 的發展大體經過了OverWinter (過冬) -> Sprout (發芽) -> Sapling (樹苗) 這幾個階段]
雖然 Zcash 已經面市近3年,但是在 ZEC 中,只有5%的儲存使用 SNARKs 隱私技術 (其中大約一半使用傳統的 SNARKs 技術)。大約95%的 ZEC 儲存在沒有隱私保護的公開地址中。
2019年,加密貨幣市場普遍反彈,不過 ZEC 是個明顯的例外。
Zcash自2018年1月起的價格(以BTC計)
儘管給出了這樣的隱私保護承諾,但市場已經明確表態:Zcash 的 Sapling (樹苗) 交易提供的隱私保護並不會令 ZEC 變得有價值。
原因有幾個。
首先,加密貨幣的核心創新在於無需信任任何一方,就能以程式設計方式實現易於驗證的稀缺性。
稀缺性使得社會的可擴充套件性 (social scalabillity) 成為可能,因為來自不同文化和行業的人都可以驗證自己持有的代幣是已知整體中一個得到保證的百分比。但不幸的是,完美的隱私保護阻礙了加密貨幣的可審計性。
比如,2018年3月,Zcash 在他們的加密技術中發現了一個漏洞,可能導致 ZEC 代幣的無限通脹。正如 Zcash 基金會自己承認的那樣,在 Sprout 地址被棄用之前,不可能知道是否有任何一方利用了該漏洞來增發 ZEC 代幣。使用者可以驗證有多少代幣被髮送到隱蔽池中,但無法知道這些代幣是否是被攻擊者偽造而來的。
也就是說,完全隱私的交易會阻止投資者驗證 Zcash 是否像預期中那樣稀缺。
其次,以 Zcash 的方式最佳化隱私帶來了沉重的成本代價。每次建立一筆完全私密的交易時,傳送方都必須計算一系列精確的計算步驟,以便生成一個礦工可以使用零知識技術驗證的證明 (proof)。從計算成本的角度來說,這些步驟是非常昂貴的,而且 Sprout 版本過於繁瑣,因此無法廣泛採用。
之後,Zcash 團隊設計了 Sapling 版本,明確地為代幣傳輸進行了最佳化,避開了任何冗餘功能 (比如以太坊的有狀態智慧合約,或者門羅幣(Monero)的多重簽名合約),儘管這些功能可能將來可能會在 Zcash 中出現。但更高效的完美隱私交易消耗的是 Zcash 的可程式設計性。
隨著2016年和2017年一窩蜂式的牛市泡沫的終結,如今的市場更傾向於不那麼隱私、但更安全、可程式設計和可證明稀缺性的加密資產,比如比特幣和以太坊。
但儘管如此,無國界加密貨幣的未來似乎不太可能完全透明公開。抗審查性要求具有一定程度的金融隱私保護。
所以現在的問題是:提供多大程度的隱私保護才算是足夠好?
「藏身人群中」的隱私
比特幣和以太坊社羣都在努力將原生隱私性帶入他們的區塊鏈中。但比特幣和以太坊並沒有向完美的隱私方向進行最佳化,而是傾向於「藏身人群中 (Lost in the crowd)」的隱私——這是由 Tor 網路推廣的一種策略。
「藏身人群中」的隱私策略是指讓加密貨幣交易遵循一組規則,這些規則使第三方觀察者很難辨別特定交易的實際傳送方、接收方或傳送金額。遵循這些規則的交易越多,參與者就越多,觀察者也就越難以對交易進行去匿名化。
與 Zcash 等完全隱私的交易相反,這種「藏身人群中」的策略透過模糊化的方式來為使用者帶來交易的隱私性和安全性,因為第三方觀察者可以看到正在發生的交易,但不能對傳送方、接收方或交易數量做出任何明確的判斷。所有的判斷充其量都是概率性的,而且在絕大多數情況下,傳送方和接收方都可以實現「保持合理的否認」(plausible deniability) (也即隱匿自身)。
比特幣持有者們正在使用 CoinJoin (混幣交易) 隱私保護方案作為他們「藏身人群中」的工具。
Greg Maxwell 在2013年首次提出 CoinJoin 的概念,它指的是一些不同的參與方將他們的多個單輸入、單輸出交易組合成一個多輸入、多輸出的交易。這割裂了傳送方和接收方之間的直接聯絡,而且如果所有輸出都是相同的大小,這還會模糊由誰接收了多少 BTC。最近,諸如 Wasabi Wallet 和 Samourai Wallet 這類使用 CoinJoin 方案將信任需求度降到最低的應用大受歡迎。
Chainalysis 統計的2019年以來 (截至8月份) Wasabi Wallet 月度混合的美元價值上升趨勢。
同樣,CoinJoin 方案不是完全保護隱私的,因為觀察者可以分辨出哪些代幣被髮送到混合器(mixer),哪些被髮送出去。上圖這種顯著的增長趨勢表明,使用該方案的使用者群體已經足夠大,因此尋求隱私保護的使用者實際上可以「藏身人群中」。Chainalysis 是名聲最顯赫的區塊鏈分析公司之一,其客戶包括美國聯邦調查局(FBI)、緝毒局(DEA)和國稅局(IRS),該公司證實稱,他們“無法追蹤代幣在混合服務中移動的軌跡。”
在預設情況下,以太坊的基礎層預設沒有比特幣那麼隱私,因為以太坊使用基於帳戶的模型 (account-based model),而不是使用比特幣的基於未消費交易輸出 (UTXO) 的模型。這意味著在以太坊網路中,某個地址會在許多不同的交易中重複使用,而不是為每筆交易分配一個新的地址。
不過,諸如以太坊等智慧合約平臺相對於比特幣的一個優勢是,它們允許更高階的交易型別。一份智慧合約可以為傳送給它的所有資產提供「藏身人群中」的隱私性,甚至可以為傳送給它的所有資產提供完全的隱私性。目前,其中幾種支援隱私保護的智慧合約已經在主網上執行,還有更多的用例正在開發中。
諸如 Argent 的 Hopper、Heiswap 和 Tornado 等以太坊“混合器 (mixer)”提供了「藏身人群中」保護隱私的不同方式,其效果堪比比特幣的 CoinJoin 方案。
透過這些以太坊“混合器”,使用者可以將特定資產的固定金額 (如 0.1 ETH 或 10 DAI)存入一個智慧合約中,等待足夠多的使用者進行類似額度的存款,從而構建一個大型匿名集,然後將原始的金額提取到一個與原始地址沒有關聯的新地址中。
但由於每個使用者存入合約中的金額數量必須完全一樣,這些隱私解決方案將很難吸引大量的存款,這將限制這些方案向可持續的獨立業務擴張。
Aztec Protocol 開發了一系列模組化的智慧合約,允許實現資產機密、地址隱秘和零值輸出,本質上是為了在以太坊上建立一個「藏身人群中」的隱私資產池。使用者需要將他們的公開加密資產傳送到一個智慧合約,之後該合約將把這些資產的「私有版本 (private version)」生成到其隱私池中,併為使用者分配一個新的私有地址進行交易。隱私池吸引的資產越多,人群就越多,而這可以為所有參與者提供更有力的保護。
為現有區塊鏈提供隱私保護不僅是 Layer2 的附加功能。在不久的將來,諸如 Decred 和 Tezos 等這類具有強大治理能力的小型公鏈會新增協議原生的隱私保護功能。與比特幣和以太坊一樣,這些公鏈平臺社羣看到了隱私交易的價值主張,正致力於將隱私保護作為向社羣提供的一項功能,而不是將原生金融隱私保護作為核心產品的功能。此外,Tezos 社羣正直接盜用 Zcash 的 Sapling 設計!
以上所有這些公鏈的努力都是在試圖改進當前「藏身人群中」隱私方案的黃金標準:門羅幣 (XMR)。
如上文所述,目前僅有 5% 的 ZEC 是受到完全隱私的,但是100%的 XMR 都是遵循一組透過隱藏來創造隱私性/安全性的規則進行傳輸的。
門羅幣交易使用三種基本型別來隱藏傳送方、接收方和交易數量:環簽名 (ring siganatures)、隱秘地址 (stealth addresses)和環機密交易 (RingCT)
環簽名允許傳送方使用n個不同的金鑰來簽署交易,從而模糊了哪個金鑰是傳送者的金鑰。
隱秘地址允許接收者為每筆交易使用一個一次性地址,從而隱藏接收者的真實公鑰。
環機密交易實現了交易金額的模糊化,掩蓋真實的交易金額。
由於所有 XMR 交易都必須使用這些特性,因此所有的 XMR 都屬於相同的匿名集,並且隱藏於相同的人群中。這引發了潛在的 FloodXMR 攻擊可能性,我們將在下文中進行闡述。
同時,門羅幣在2018年熊市中的表現並不比 Zcash 好多少。見下圖:
門羅幣自2018年1月份以來的價格走勢(以BTC計)
雖然 XMR 的交易比 ZEC 稍微靈活一些,但門羅幣依舊無法實現有狀態的智慧合約功能。雖然最近的一項研究突破使 HTLC(雜湊時間鎖定合約)成為可能,但這方面可能需要大量的工程。遺憾的是,對於門羅幣來說,他們的開發人員社羣很小,而且資金匱乏,這意味著新特性開發相對來說是靜態的。
無論底層的公鏈如何,這些「藏身人群中」的隱私方案只能提供「保持合理的否認」,但人群越大,就越能隱匿自身。
提供多大程度的隱私保護才算是足夠好?這個問題現在可以這樣去理解:當交易發生在 Wasabi Wallet 的比特幣匿名集中,或者是在 Aztec Protocol 的以太坊匿名集中,亦或者在門羅幣的匿名集中,那如果第三方想要對使用者的交易進行去匿名化,那將分別需要花費多少成本才能實現交易的去匿名化?哪個成本將是最高的?(成本越高,則意味著越)
我們繼續往下看。
去匿名化成本
今年早些時候,有研究人員釋出報告指出,利用門羅幣環簽名選擇過程的某寫方面特性,對門羅幣發起低成本的 FloodXMR 攻擊,僅以1700美元的成本,即可在一年內使其50%的交易去匿名化。
門羅幣社羣拒絕接受這種成本估算,稱這個成本金額太低。他們還反駁了這種演算法,稱分析過於簡單,沒有考慮到現世界中的任何情況,比如同時發生多起襲擊,或者價格波動。
本部分內容的目的不是重述 FloodXMR 攻擊,而是利用它的原理,為我們在考量公鏈的隱私池時構建一個通用的框架。FloodXMR 攻擊的基本框架是這樣的:
每天都有一定數量的 XMR 交易在門羅幣網路上發生。這些交易都是混合在一起的,因此除了參與者自己,沒有其他人知道誰給誰傳送了多少價值。然而,由於所有交易都是公共的,並且地址在環簽名模式中被重複使用,攻擊者自己可能也會參與大量這些交易。
透過這樣做,攻擊者極大地降低了匿名集,並且可以更容易地確定每個交易的實際傳送方和接收方,從而有效地對他們進行去匿名化。具體來說,根據上述研究者的報告,一個“控制一年內生成的75%交易輸出的金鑰的惡意參與者,能夠跟蹤同一時間段內建立的所有交易輸入的47.63%。”
如果做出某些假設的話,這種攻擊可能擴充套件到比特幣的 CoinJoin 隱私池 (實際上已經出現了) 和以太坊的 Aztec Protocol 隱私池。在過去12個月的大部分時間裡,使用 CoinJoin 方案的交易比例佔到了比特幣交易量的5%到10%,2019年7、8月份有所上升。見下圖:
每月使用 Coinjoin 方案進行的比特幣交易佔當月所有比特幣交易量的比重趨勢
假設平均交易費用、尋求隱私保護的交易數量和在特定隱私池中持有的主流加密資產的佔比保持不變,則去匿名化的成本 (C) 為:
C = (平均交易費) x (每日平均交易量) x 1.25 x (隱私池所佔市值的%) x 365
下圖顯示了 BTC 的 Wasabi Wallet 隱私池、ETH 的 Aztec Protocol 隱私池(假設其佔據 ETH 5%的市值)和 XMR 的去匿名化成本,圖中的平均值 (平均交易費和每日平均交易量) 使用的是從2018年10月19日到發文時的平均值。
表2:對去匿名化各隱私池的成本做出的估值 (第三列的各隱私池的市值佔比為假設值)
下圖提供了另一種檢視去匿名化成本的方法。在這種方法中,我們要確定的是需要在以太坊或比特幣的隱私池中持有多大比例的市值,就可以達到與門羅幣一樣的去匿名成本。
表3:假設去匿名化成本不變,隱私池在市值中的佔比
當然,這種高階分析忽略了攻擊者針對不同的區塊鏈採取的攻擊方式的許多細微差別。上面兩張圖表並不是要提供確切的數字,而是要提供一個數量級的範圍,讓大家瞭解這些「藏身人群中」的解決方案到底能提供何種程度的隱私保護。
市場應該對這些數字持保留態度,但要明白,鑑於比特幣和以太坊的市值、交易量和交易費用都要比門羅幣高得多,攻擊比特幣和以太坊的隱私池的去匿名化成本很快就會比攻擊整個門羅幣匿名集的成本更高。
不過,除了預測未來,還有一種方法可以用來量化市場對隱私保護的看法,那就是看看暗網使用者 (他們是最需要保護隱私的人),看看這些人最常使用哪種加密貨幣。由於門羅幣目前被認為是最私密的加密貨幣,你也許會想當然地認為它仍然佔據統治地位;然而,CipherTrace 發現,只有不到5%的暗網交易使用門羅幣,大多數暗網加密貨幣交易都在使用比特幣。
寫在最後
加密貨幣存在的理由是提供一種無需依賴可信第三方的數字價值交易方法。要想成為全球性的無國界貨幣,加密貨幣必須能夠抗審查。而抗審查的先決條件是金融隱私保護。
加密貨幣的隱私之爭將是一場與那些試圖讓加密貨幣使用者去匿名化的人之間的軍備競賽,如果加密貨幣想要成功,就必須贏得這場戰爭。
遺憾的是,正如我們上面所論述的那樣,按照 Zcash 的方式在預設條件下進行完美隱私交易的成本太高。這種完全隱私的方式破壞了加密貨幣的另一個核心價值主張:在整個交易歷史中,使用無需許可的方式來驗證交易未曾發生雙重花費,也沒有發生不正當的通脹。沒有這個驗證屬性,任何加密貨幣都不可能具有足夠的社會可擴充套件性來成為一種全球性的、無國界的貨幣。
因此,獲勝的加密貨幣必須實現某種不完美的「藏身人群中」式隱私,這種隱私建立在可公開核查的公共賬簿之上。從上面的表2和表3可以看出,比特幣和以太坊社羣能夠將隱私池與它們本身的公鏈連線起來,而且由於交易量和交易費用更高,它們的去匿名化成本很快將超過整個門羅幣區塊鏈的去匿名化成本。
很明顯,隱私保護將成為無國界貨幣的一個特徵,但不會成為其核心特徵。
隱私保護的論點應該圍繞這一理解來表述。基金經理們將開始投資於那些在比特幣或以太坊等智慧合約平臺上提供“隱私即服務”(privacy-as-a-service) 的公司,而不是投資於在交易中最佳化匿名性的底層加密貨幣。Layer2 解決方案將預設為它們的交易參與者提供隱私保護,這可能會使大量資金從那些重視交易隱私的區塊鏈平臺 (如 Zcash 和 Monero 等) 中脫離出來。
從根本上說,在底層鏈上爭取完全的隱私,這太過昂貴,因此難以實現,這就給了 Wasabi Wallet、Samourai Wallet、Argent、Heiswap、Tornado 和 Aztec Protocol 等企業機會。我們相信,投資於 Zcash 和門羅幣的資金將開始流向這些企業或者它們正在構建的底層加密貨幣中。
原文連結:
https://multicoin.capital/2019/09/24/privacy-is-a-feature/
