一文看懂以太坊上的隱私保護技術_ARK

編者按：本文來自以太坊愛好者，作者：DeanPierce(ConsenSys盡調部)、RobertDrost(ConsenSys研發部)、以及MasonNystrom(ConsenSys)，翻譯&校對:曾汨&阿劍，Odaily星球日報經授權轉載。在這個聯系日益緊密的世界里，我們的信息被記錄、復制、傳播和出售的頻次與日俱增，想要維持我們預期的隱私水平并非易事。大多數事物都不是非黑即白的，隱私也不例外，它處在完全公開到完全隱私的范圍之間。因此，當我們談論隱私的時候，首先得搞清楚下面三個問題。用戶和企業想要保留哪些事項的隱私性？人們是否愿意為隱私付出財力？在公有鏈上達成隱私交易需要權衡什么？本文旨在簡單地研究公有鏈上實際的隱私需求，并在抽象層面上探討實行隱私解決方案的權衡。問題一：隱私的重要程度分幾等？

匿名是隱私的一種體現。在公有鏈的語境中，匿名是指參與者可以在不泄露身份信息的前提下進行交易。盡管這只是隱私的一個方面，但它也隨著區塊鏈的進化而變得越來越重要。越來越多的密碼學貨幣被追蹤到與其交易相關的公開地址，并通過分析密碼學貨幣與法幣的轉換而將該地址與鏈下交易者的真實身份關聯起來。這會導致交易者的身份變得更加公開。更何況公鏈上所有的歷史交易都是可查的，因此使用加密算法和協議來保護用戶和企業的隱私已經變得越來越重要。企業和用戶對于隱私有著截然不同的訴求。企業通常希望保護自己在交易數據方面的隱私，例如產品名稱、數量、價格、地址、以及可識別的個人財務信息，等等。網絡參與者的身份往往是公開的，但也會需要根據對方的身份來決定公開多少信息。舉例來說，貨運代理可能并不需要知道某個集裝箱里裝的是啥，而只需要知道它什么時候到就行了。銀行制度也限制了交易數據的訪問權限。對于想要在以太坊上開發隱私解決方案的企業而言，安永會計師事務所在以太坊上使用zk-snarks技術實現隱私交易的黃昏協議，以及摩根大通在Quorum上開發的匿名以太都是很好的學習樣本。企業對隱私往往有較強烈的商業需要或合規需要，與之相比，用戶則向來缺乏對隱私的關注及保護意識。盡管如此，用戶依然希望保護自己的身份、信用卡信息及其它敏感數據，以防被竊取身份或遭到詐騙。有時候，用戶希望可以匿名交易，這就要求交易雙方都具備隱私保護。可惜的是，在我們的日常生活中，隱私并不是天然存在的，絕大多數人都愿意犧牲自己的隱私來換取便利或免費的權益。問題二：隱私是偽需求么？

在收回@x推特賬戶后，馬斯克又將@xAI賬戶收走:金色財經報道，在收回@x推特賬戶后，馬斯克又將@xAI賬戶收走，該賬號原持有者是一個日本用戶，目前其推特賬戶已被更改為@xai_，歷史數據顯示該用戶似乎自2015年之后就沒有使用過推特。有消息稱馬斯克或將新人工智能公司的名稱命名為xAI，根據推特公司條款，用戶對自己的用戶名沒有合法權利，但只有在商標侵權的情況下，賬戶才會被刪除，此前未支付任何費用收回@x已經引發了加密社區的強烈不滿。（mashable）[2023/7/28 16:04:04]

我們在通信語境下常說的隱私指的是保護參與者之間發送的內容。其實除此之外，隱私還被用于通信通道及基礎網絡層的更加廣泛的構造中。從公鑰密碼學的演化到其他密鑰交換機制中用于生成端到端的安全網絡/傳輸層協議中，我們都能看見這種構造的身影。此外，這類構造的存在讓我們可以安全地使用DNS查詢以及基于Tor的中繼器。已經有學術研究從通用標準領域著手，開展了相當多的工作，且其成果已被企業用于保持數據傳輸中的隱私性和機密性——不過許多這類技術已經在零售用戶技術棧中找到了自己的適用場景——從而讓終端用戶受益。讓我們把眼光鎖定在區塊鏈領域——盡管Zcash已經誕生將近3年了，但現存的ZEC中仍然只有5%是采用SNARK技術存儲的。大約有95%的ZEC被存儲在透明的地址中，毫無隱私可言。通過這一現象，我們可以推斷也許大部分用戶還沒有意識到需要為隱私付出財力。然而，要想推動區塊鏈技術的大規模普及，隱私不可或缺。諸多致力于使互聯網成為一個可信商業媒介的內建隱私層的成功，表明用戶和企業希望可以將隱私原生地內建于系統和應用之中。問題三：隱私的權衡

問題三更具技術性，需要我們對如何在以太坊上保護隱私以及涉及到的各種機制的權衡進行更加深入的研究。正如區塊鏈網絡需要在可擴展性和去中心化之間做出權衡，隱私機制和技術本身也需要權衡。我們先來研究一下其它主打隱私的區塊鏈已經實施的隱私方案，然后討論一些以太坊上的隱私解決方案。來自其它主打隱私型區塊鏈的經驗教訓

Compound v2暫時禁用USDC存幣交易，用戶仍可正常借入、償還和提取USDC:3月11日消息，Compound Governance發推稱，由于USDC的波動性，Compound v2 Pause Guardian暫時已禁用Compound v2中的USDC 存幣交易（USDC supply transactions）。用戶仍可正常借入、償還和提取USDC。Compound v3具有升級后的風險引擎，目前運行沒有任何問題。[2023/3/11 12:56:18]

在深入介紹以太坊之前，先來了解一下隱私幣領域的兩個重量級玩家——Monero和Zcash。在早期的山寨幣時代，Monero顯得有點獨樹一幟，這是因為它的代碼庫并非基于比特幣，而是基于Bytecoin——一個與比特幣完全無關的項目。最初的CryptoNote設計是將交易發送者的簽名和其它引誘簽名混在一起。通過將這一技術與隱蔽地址輸出相結合，可以提供極強的隱私保障。“環簽名”設計早期由于其獨特的內置混合器而名聲大噪，余音尚存。2017年，由于引進了RingCT，環簽名隱藏交易數據的能力得以飛躍式地提升，RingCT使用了零知識范圍證明來豐富可以同時批處理的簽名種類。與此同時，RingCT的引進還強制執行了最低混合要求，從而減輕了困擾早期版本Monero的可鏈接性攻擊問題。然而，金無足赤，環簽名也并非完美的解決方案，它的一個主要的問題是占用了大量的磁盤空間來存儲Monero區塊鏈。此外，環簽名還無法擴展至大型群組，當前每個群組的參與者數量被限制為10-15個。2018年末，我們看到Monero區塊鏈上引進了“防彈證明”——一種令人興奮的新型零知識結構，它使得環中簽名的數量可以成對數擴展，從而減少交易所需占用的存儲。這項改進使得Monero得以追上其它區塊鏈項目的步伐。說起零知識證明，Zcash算是第一個吃螃蟹的項目了，它率先采用了zkSNARK技術。使用該技術，用戶可以發送僅限接收者可見的純私密交易。對于一個外部的觀察者而言，被發送到隱私地址的ZEC仿佛消失在一個巨大的密碼學黑箱中，當接收者想要將他們的ZEC轉移回一個非隱私地址時，原本消失的ZEC仿佛憑空出現，而觀察者永遠也看不到發送者和接收者之間的聯系。但不得不提的一點是，零知識證明需要耗費更多的計算資源，而這反過來會使得交易的成本更加高昂。對“同質性”的威脅

印度央行行長：印度央行應該禁止加密貨幣:金色財經報道，印度央行行長表示：印度央行的立場非常明確，即應該禁止加密貨幣，如果加密貨幣使用量增長，印度央行將失去對經濟的控制。[2023/1/13 11:10:57]

以太坊網絡上的交易具有偽匿名性，與此同時，得益于它分布式和透明的特性，許多新技術得以大展身手。然而，與比特幣類似，當使用此類技術進行諸如轉讓同質性數字資產的操作時，如果用戶對其所共享的信息廣度毫無所知，其身份可能在不知不覺之間就被以太坊暴露了。而與公私鑰對應的真實身份被暴露會嚴重威脅到隱私安全。考慮到諸如比特幣和以太坊等區塊鏈的公開性，當你天真地使用它們原生的交易框架進行交易時，所有資產的轉移痕跡如同面包屑一樣很容易留下來而被追蹤——即便是同質性資產。隱私保護之地址生成大法

隨著隱私技術的不斷進步，許多更加復雜的威脅模型被納入到了考慮范圍中來。在2012年，BIP32引入了層級確定性密鑰，通過該技術，我們可以使用一套助記詞來生成無數個“全新的”比特幣地址。這意味著用戶可以在每次收款時生成一個新地址，而所有的這些地址都可以輕松地在錢包之間導入導出，你再也不用拿著小本本記錄一堆隨機生成的毫無規律的密鑰了，聽上去是不是賊方便？以太坊中也有同樣的功能，盡管新生成的地址要想和智能合約交互，需要保證地址里的以太幣足夠支付Gas費。然而，由于許多基于以太坊構建的系統將用戶的現實世界身份在許多方面與他們的地址關聯了起來，問題又變得復雜了。與以太坊地址關聯的額外的大量元數據會使得以太坊特別容易遭受去匿名化攻擊。幸運的是，雖然某些智能合約功能會將以太坊暴露于這類威脅之下，但智能合約同樣可以為前沿的密碼學系統所用，可以帶給用戶安全無縫的隱私交易。零知識方案及受信任初始設置

許多零知識方案都要求有“受信任初始設置”。這意味著整個方案依賴于特殊隨機數的生成，而任何知道這些隨機數的人都可以洞悉內部的操作，聽上去好像很不靠譜的樣紙......為了部分緩解這方面的擔憂，一套復雜的隨機數生成流程應運而生，以此確保結構的可信度。這套流程通常需要幾個誠實的社區成員獨立生成各自私有的隨機數據，然后將這些數據以某種方式組合起來，只要其中任何一個成員刪除了TA的隨機數據，那么最終計算出來的數據就是安全的。因此，除非所有參與者共謀，否則相關的方案不會面臨風險。需要指出的是，Monero使用的子彈證明并不需要可信設置，但是Zcash中所應用的zkSNARK則需要。你可以在目前著名的RadioLab的文章中查看Zcash的可信設置流程文檔。相反，STARK并不需要任何可信設置，它們使用哈希函數的選擇作為它們的“設置”，而不是任何特殊數字。已經有多種形式的可信設置流程被提出來了，比如永續PowersofTau多方計算流程。零知識票據

知情人士：美財政部正探討是否有權審查馬斯克440億美元收購推特交易:11月2日消息，據知情人士報道，埃隆·馬斯克440億美元收購推特的協議條款顯示，大型外國投資者將有權獲得有關推特財務狀況的機密信息，可能還有推特用戶的信息。 知情人士稱，鑒于馬斯克與外國政府和投資者的關系，美國財政部官員開始探討他們是否擁有對這筆收購展開調查的法律授權。（《華盛頓郵報》）[2022/11/2 12:09:04]

作為以太坊隱私領域的先行者，AZTEC協議使用了一個“零知識票據”系統來追蹤隱匿的資產。這些票據公開在以太坊網絡上，但除非你是該票據的主人，否則無從知曉每條票據中的金額。當票據的所有者決定執行“joinSplit”操作時，零知識就開始施展它的魔力了——票據的所有者可以選取其所控制的任意數量的票據，并創建一組不一定屬于其他人的輸出票據。這與上文提到的隱蔽地址技術相結合，可以使得創建的每一個新票據都歸屬于一個完全嶄新的以太坊地址。來看一個常見的使用場景吧，一個“零知識資產”合約可以與任意兼容ERC20格式的代幣相連接，用戶可以將代幣存入這個合約，獲得一個零知識票據作為存款證明，當用戶想要取回存款時，只需“燒掉”零知識票據即可。有了這一機制，我們可以通過隱蔽地交易以太坊網絡上現存的任何資產。AZTEC協議采用的證明比ZK-Snark更加容易使用，但受信任啟動設施依然是其繞不過去的一道坎。Aztec也在使用其它新奇的方案來實現受信任初始設置。PLONK就是一種新型的高效ZK-SNARK結構，它只需要進行一次可信設置，然后所有的程序就都可以復用該設置啦。并且，由于PLONK對gas的需求量不高，因此對于以太坊上的實際使用而言，它已經足夠有效了。基于這樣的交易能力，AZTEC的CEOTomPocock相信PLONK可以以一種完美保護隱私的方式編寫邏輯復雜的程序。將安全多方計算引入零知識

加密借貸平臺Vauld向債權人發出信函，披露資金缺口達7000萬美元:金色財經消息，加密借貸平臺Vauld在上周停止客戶提款后，已向其債權人發出信函，并披露其總體缺口約為7000萬美元。Vauld稱其資產價值約3.3億美元，負債價值約4億美元，但這些數字可能不是最終數字，因為該公司目前正在接受法務和財務審計，數值仍可能發生變化。該公司表示，造成資金缺口的主要因素是比特幣(BTC)、以太坊(ETH)和Polygon(MATIC)按市值計價的損失，以及算法穩定幣terraUSD(UST)的風險敞口。該公司還表示，如果與Nexo的收購交易無法完成，還可以尋求其他計劃，例如籌集更多風險投資、等待部分部署的資本返還、債轉股、發行代幣并制定與未來收入掛鉤的付款計劃等等。（The Block）[2022/7/12 2:06:26]

此方案之前在ZKBoo中使用過，最近也被應用于Ligero，它將安全多方計算協議“編譯”進了ZK-PCP系統中，其實現方式為要求證明者提交一份安全多方計算協議的副本，然后驗證者可以隨機評估任一參與者的視圖。說白了就是指擁有相關數據信息的實體可以模擬多方之間的分布式計算，然后在評估的隨機點顯示該計算的副本。更重要的是，MPC的使用為創建隱私型智能合約帶來了希望。類似ZK-STARK，基于MPC的證明有如下優點：透明——隨機數的生成是公開信息后量子安全——依賴于公開的隨機性以及哈希函數的可用性使得量子系統無法發動大規模攻擊可擴展——基于MPC的證明具有證明時間和驗證時間，從而實現分批運算的高效率在使用這類技術時，還需要考慮如何對其權衡才能使中小型“電路”/問題達成最優——因為這可能會給驗證者帶來潛在的可擴展性問題。話雖如此，基于MPC的技術在區塊鏈領域還沒有發揮出它的全部潛力，它們可能會比現存的零知識技術更具通用性，尤其是在需要參與者保留與實際計算相關的機密信息的情況下。例如，當嘗試運行一個信用評分算法來評估用戶信用度的時候，MPC技術可能很有用，因為無論用戶還是銀行都不愿意泄露各自的機密信息——用戶不愿意泄露他們的交易歷史，銀行同樣不想交出它們的ML信用評分模型中的權重信息。硬件局限

當Zcash首次提出采用zk-SNARK來發送交易時，人們還很擔心生成隱匿交易所需的計算資源夠不夠，因為可能需要花費數小時才能生成一筆交易。不過自那以后，我們已經取得了長足的進步，如今我們已經可以在瀏覽器甚至移動設備上花費僅僅幾秒鐘就完成類似的任務了。隱私混幣器

混幣器最近備受矚目。時間退回到五月份，Vitalik發表了一篇文章，闡述了以太坊網絡上的下一混幣器設計的動機及大致輪廓。當錢包或個人想要進行原生的隱私交易時，以太坊混幣器就可以派上用場啦。以太幣的可追蹤性給了壞蛋可乘之機，他們可以通過對特定交易的跟蹤而獲得其背后的錢包、賬戶等信息。而混幣器可以通過對以太幣進行互換而實現匿名交易。從那時起，許多團隊都在夜以繼日地開發更具實用價值的以太坊混幣器。下面這張表中列出了截至目前為止各不同混幣方案在存取過程中的計算及gas成本。

-通過混幣器的GitHub狀態查看以太坊混幣器的種類和它們各自的計算及gas成本-處于應用層的獨立混幣器永遠無法百分之百地保證用戶的隱私，只能提供概率保證。然而，對于滿足絕大多數個人和企業的需求而言，這已經綽綽有余了。誰來為Gas買單？中繼的風險

上面提到的種種方案存在一個致命的缺陷，那就是到最后一定要有人來為獲得輸出支付gas費。可用于支付gas的這些以太幣從何而來呢？如果壞蛋可以通過這部分以太幣而追蹤到某些用戶頭上，那這些用戶還怎么匿名？這豈不是前功盡棄！于是，一場熟悉的“先有雞還是先有蛋”的劇本在隱私保護的舞臺上上演了，想要接收匿名的以太幣？你的錢包里必須先有匿名的以太幣！是不是很滑稽？Vitalik在最初關于混幣器的文章中提出使用一個簡單的中繼注冊合約來搞定這個問題——中繼運營者可以注冊一個HTTP端點，用于匿名發布任意交易。最后，別忘了考慮錢包的交互及操作的安全性。錢包的默認設置需要安全到能保護用戶隱私，但又不能讓用戶上手起來感覺太麻煩，至于如何實現這一點，大家還在努力當中。為使獲得的隱私保護符合預期，所有的這些混幣器方案都需要大量的參與者，因此該工具必須易于大眾上手，但是任何快捷方式都可能會帶來嚴重的隱私侵犯。舉個很簡單的例子吧，某用戶使用混幣器混合了一些以太幣，然后出于保護隱私的目的用了其中一些，過了一段時間之后，他忘記哪個錢包曾經發送過隱私交易了，然后把曾經發送過隱私交易的錢包中剩余的以太幣轉回了一個和其身份直接相關的公開地址......簡直是功虧一簣:(從上面提到的這些技術以及許多其它正在這個領域發力的技術中，很容易發現以太坊上的隱私技術正在斬獲越來越多的關注，并且這些進展也許很快就能得到大規模的推動。雖然在一個公有鏈上實現隱私看上去有些自相矛盾，但零知識以及其它隱私技術將使各種前沿的新玩法成為可能。與此同時，有了這些解決方案，用戶也不用再為財務隱私提心吊膽。展望未來

盡管本文并沒有完整概述以太坊上所有的隱私方案，但也研究了各種實現企業和用戶隱私的方式。帶來自由的抗審查技術啟發了許許多多密碼學貨幣生態中的項目。為了創造一個原生的加密世界，匿名交易或保護個人信息的能力至關重要。想要保護隱私，我們沒有什么靈丹妙藥，但有許多為特定用例提供隱私的方法和機制。因此，我們會持續研究和評估以太坊上的隱私解決方案，以幫助教育和推動這類技術的發展。未來，你還將看到我們發表的一系列內容，包括關于特定隱私解決方案的文章、解釋各類隱私技術的報告、以及對目前正在構建隱私解決方案的項目和公司的更加深入的分析。披露：ConsenSys依然對隱私和可擴展性技術充滿興趣，ConsenSysLabs已經投資了AztecProtocol、Ligero、和Starkware，并會持續關注為該領域帶來突破性進展的偉大項目。感謝MinTeo、JosephChow、以及ZacWilliamson和我一起商榷本文的初始大綱，同時感謝AmiraBouguera、PraneethSrikanti、以及SteveMarx提供的反饋。

Tags：以太坊區塊鏈ARKERO以太坊幣怎么挖礦賺錢區塊鏈技術的應用SharkBonkFLIBERO

LTC