匿名加密貨幣的技術對比_OIN

本文宗旨在于簡要概述當今主流加密貨幣中實施的匿名機制

區塊鏈匿名是一個特別困難的事情，因為公共區塊鏈的設計使得所有的交易都是透明的，加密貨幣的供應可以被公開驗證。即使在保護隱私和維護公共可驗證性之間存在沖突，匿名機制也必須確保這兩個要素得以保留。要了解Sigma和Lelantus背后的創新，我們需要研究區塊鏈匿名技術的歷史。

1.資金池混幣和混幣器混幣

用于：達世幣Dash，比特幣混幣器

優點：

·不需要特定的共識就可以在大多數加密貨幣上運行

·實施起來相對簡單

·輕量化

缺點：

·只能提供基礎的匿名

·要求在線混幣

·早期的應用需要可信的第三方

人們試圖實現匿名的第一種方法是通過在資金池中混合自己和他人的幣來達到目的，混合之后很難證明誰的硬幣最初屬于誰，從而提供某種程度的匿名。當然，前提是相信別人不會偷你的幣。

混幣器是這種混合理念的改進，消除了匿名發起者竊取幣的可能性，它在Darkcoin中被廣泛使用。但是混幣器仍然有很多缺點。

因為后臺可以記錄信息，并且知道每個用戶的輸入地址和他們正在接收的地址，所以您需要信任匿名發起者。這個問題可以通過使用匿名數字簽名來避免，因此混幣器的匿名強烈依賴于以匿名方式登陸。

要求參與混幣的人員在線進行混幣。如果雙方就混幣的數額不能達成一致的話則必須推遲。

匿名受到人數限制。Dash的混幣的一輪只涉及3個參與者，但是這個過程可以重復。

最近的研究顯示，即使經過多輪混幣器混合，如果用戶的錢包在進行支付時不清除瀏覽器cookie的話，可以通過技術手段識別用戶的錢包，因為混幣只會掩蓋地址之間的交易鏈接，但不會完全破壞它們。

很容易破壞混幣器運行，并延遲其他參與者完成混幣交易。

更嚴重的是，Dash中被稱為PrivateSend的應用，容易受到集群交叉攻擊。

混幣器的其他改進，例如CoinShuffle++不再需要可信的第三方，但仍然受到混幣器的其他缺點的限制，如有限的匿名、參與者必須在線等。

混幣器匿名的主要好處是它們相對簡單，并且在加密貨幣的基礎上工作，而不需要使用特定的共識規則。通過適當的預防措施，混幣器可以提供基礎匿名。

Tumblebit也是一個非常有希望的改進混幣器匿名的方案，但超出了本文的范圍。與我們將在下一步討論的其它匿名方案相比，這是一個沒有在協議級別實施的匿名計劃，但仍然需要其他人提供用于混合的資金。它的主要優點與混幣器相同，可以在比特幣或任何其他數字貨幣上實現，而不需要改變其協議。

2.Cryptonote和環簽

用于：門羅幣Monero

優點：

·混合自動完成

·可以默認情況下自動匿名

·隨著新的混幣加入和時間的推移，匿名性會增加

·使用RingCT執行時可隱藏交易金額

·充分研究過的密碼學基礎

缺點：

·不能打斷交易鏈接，只能模糊它們，因此屬于“誘餌”模型

·因為其區塊鏈數據巨大且不可修剪，因此可擴展性較差

·由于科技進步或執行錯誤的原因，存在會被解密的風險

·無法利用現有的比特幣生態系統，需要單獨的工作

·環簽大小受限

數據：23.7億美元的USDT從匿名地址轉移到幣安:8月17日消息，據Whale Alert，北京時間今日21:38，約23.7億美元的USDT從匿名地址轉移到幣安交易所。[2022/8/18 12:32:24]

·無法使用簡單的付款驗證，因此您始終必須運行或連接至全節點

·很難實施一些第2層解決方案，如閃電網絡

·沒有供應可審計性意味著隱藏的通貨膨脹可能無法被發現

我們將要探討的下一個匿名方案是在Monero等Cryptonote加密貨幣中使用的環簽，環簽方案大大提高了混幣器方案的匿名性。在環簽中，某人簽署了交易，只能追蹤到一個組而不能具體追蹤到組中的這個人。比如，可知某個“高級白宮官員”簽署了環簽，但不能追蹤到具體哪個官員簽署了這條信息。

Cryptonote和環簽可以自動實現匿名功能，無需其他用戶指定想要和誰混合，也無需等待其他人提供資金，因為它只是掃描區塊鏈以便使用輸出。因為沒有混幣器，所以你不需要信任任何人。Monero最近還實施了RingCT(RingConfidentialTransactions)，也隱藏了交易金額。

目前在Cryptonote加密貨幣中實現的環簽實際大小(你所使用的其他輸出的數量)上也有限制，因為隨著環的尺寸的增加，交易數據的大小線性增長。這就是為什么在默認情況下，Monero的默認環大小是4。實際上，使用不同的環大小，默認情況下，有可能會讓你去匿名化。這意味著，在每筆交易的基礎上，匿名性受到環參與者數量的限制。區塊鏈分析師雖然可能無法證明交易是有關聯的，但他們可以計算出交易關聯的幾率。因此Cryptonote的主要缺點是無法破壞交易之間的鏈接，而只分別混淆交易雙方來讓交易難于跟蹤。

此外，安全研究人員已經找到了方法，通過將交易與交易時間聯系起來，對哪個交易是真實交易做出有根據的猜測。在交易中捆綁的一個真實硬幣和一組假硬幣的任何組合中，真實硬幣很可能是在該交易之前移動的最新硬幣。在Monero的開發人員最近進行更改之前，時序分析在90％以上的時間內正確識別了真實硬幣，這實際上使Monero的隱私保護措施無效。在改變Monero如何選擇mixins之后，這個技巧現在可以有45％的機率發現真正的硬幣-這種情況下識別真正的硬幣只用大約做兩次猜測了，遠遠低于大多數Monero用戶的預期。

另一種對此種加密技術的批評是，如果它的環簽技術存在bug，或者出現相當強大的量子計算機，那么整個區塊鏈的記錄就會被去匿名化和可追溯，并且無法在事后修正。就像名為Shadowcash的Cryptonote加密貨幣，因為bug導致所有區塊數據全部被解密。然而，實用的量子計算機還有一段時間，它歸結為幾年前的交易數據是否仍然有價值。為了使這些數據有用，它很可能需要與外部數據相結合。

另外還需要注意的是，使用環簽來隱藏交易金額，犧牲了供應可審核性。“供應可審核性”可以驗證在交易過程中，是否有新的加密貨幣被秘密生成，并確定在某一時刻加密貨幣的具體數量。在Monero的“環簽”的實現中，如果有人打破了支撐環簽的離散對數，他就可以在沒人知道的情況下偽造加密貨幣，雖然用目前的技術還很難做到。這可能只存在理論上的可能性，因為離散對數問題在密碼學中被廣泛使用，并且預計離散對數在量子計算時代之前仍然可行。然而，代碼錯誤也會出現偽造的情況，缺乏供應可審查性會使檢測隱藏的通貨膨脹變得復雜。人們確實曾發現了一個允許無限通脹的Cryptonote的bug，雖然在有人都利用它之前就已經修補了。

使用與比特幣完全不同的代碼庫也意味著第三方必須做更多的工作來將CryptoNote集成到他們現有的生態系統中。簡單付款驗證也不被支持，使輕型錢包實施成為問題。

盡管有這些缺點，但Cryptonote今天已被證明是一種非常好的匿名技術，它唯一公開慘敗的例子是Shadowcash，被全部解密，通過使用混合了零交易的Monero交易導致一個級聯效應，約87%的輸入被去匿名化。(隨后被新的交易所緩和)。因此，區塊鏈分析中的新技術可能會大大降低Cryptonote的匿名性，因為它僅僅是一個基于“誘餌”的系統。最近的FloodXMR論文中證明了這一點，該文件表明，通過大量碎片交易來使得輸入端的混合失效，就可以實施成本較低攻擊。當然，關于這種技術的成本和效率尚存在爭論。

數據：匿名鯨魚從Bitfinex轉移6.38億美元的比特幣:Blockchair數據顯示，3個小時前，15909枚（約合6.38億美元）比特幣從主BItfinex撤出，但之后只有十分之一的比特幣進入該平臺的熱錢包，其余的比特幣被轉移到一個未知的加密錢包地址。（U.Today）[2021/5/19 22:20:13]

3.Zerocoin協議和Zcoin

用于：Zcoin，PIVX

優點:

·不需要混幣

·成千上萬個熔鑄和取回交易完全打亂了各地址通過交易建立起來的聯系，從而實現極高的匿名性

·保留總量的可審查性

·使用已被大量驗證的密碼學

缺點:

·由于其中一個證明存在加密缺陷，Zerocoin目前已被破解。雖然它可以被修復，但更好的實施方案，如Sigma和Lelantus將取代它。

·證明尺寸目前比較大

·需要一個預信任機制

·錯誤的實施方案或泄漏受預信任設置參數可能導致偽造zerocoin

·在熔鑄和取回的時候，需要多加注意。為防止時序攻擊，用戶必須在準備取回匿名硬幣之前將被重鑄的硬幣保存一段時間。

現在，我們來看看在Zcoin上實施的Zerocoin。與之前只是打亂了交易的輸入輸出的匿名方案不同，在使用零知識證明的情況下，Zerocoin協議完全打斷了幣之間的交易鏈接。

簡單地說，零知識證明是你做某件事或知道某件事的證明，而不泄露任何其他信息。例如，要證明您知道密碼，而不需要實際顯示密碼。

Zerocoin的工作原理是，熔鑄掉你自己的加密貨幣(我們稱之為零幣熔鑄)，然后再兌換等量的做記號的新幣(被稱為零幣取回)。這些幣在沒有任何交易歷史的情況下出現，看上去就和新挖出的幣一樣。這一證明是用來證明你確實銷毀過了加密貨幣，而沒有透露你銷毀過的具體加密貨幣信息，因此你有權贖回等量的新幣。

這意味著，與混幣和Cryptonote技術不同，Zerocoin的匿名集要大的多。你的匿名集等于所有曾經做過相同數值熔鑄的總量。這就使得匿名者可以在成千上萬的人中使用零幣熔鑄和取回來擴大規模。此外，這些硬幣的交易環節也被完全打破，因為它們看起來完全是全新的硬幣，與之相比，之前的匿名方法只是掩蓋交易環節。

這種匿名模式也有一些缺點。為了獲得巨大的匿名性，同時打破交易鏈接，Zerocoin需要一次可信的設置來生成初始的參數。在Zerocoin中，有兩個被摧毀的大質數。如果有人獲取這兩個巨大的質數，就可以憑空偽造出Zerocoin。為了解決這一問題，Zcoin使用了1991年的RSA質數挑戰中的方法，在該挑戰中，密碼學專家生成并摧毀了兩個大質數，并為能在16年內成功地將其分解的挑戰者提供了20萬美元的獎金，但無人能破解此難題。時至今日，RSA-2048方法仍然是我們所知的最好的方法，RSA-2048方法仍然被廣泛使用，直到某天能夠專門破解此類難題的量子計算機的出現。

值得注意的是，對這兩個質數成功的分解不會影響零硬幣的匿名性，因為它只影響熔鑄。此外，Zcoin的總量可查，這樣就可以監測硬幣的熔鑄過程。在項目前期由于編程中的一個bug(并非RSA被破解)，硬幣的熔鑄出現問題，但我們及時檢測到了bug并進行了修復，因此可見，總量可查是非常重要的。

同樣值得注意的是，即便是比特幣也在2010年遭遇惡性通貨膨脹bug，由于供應可審計性人們監測到了憑空產生的1844億個硬幣。最近在2018年9月，在比特幣中發現了另一個惡性通貨膨脹的漏洞，但仍然未被開發。

匿名幣項目Beam集成Chainlink Oracle解決方案:金色財經報道，匿名幣項目Beam已集成Chainlink Oracle解決方案。Chainlink的Oracle喂價框架將用于Beam的隱私穩定幣協議及其ERC-20 bridge。[2020/11/28 22:23:44]

Zerocoin的另一個限制是，熔鑄和取回只能處理固定面值的貨幣，相比環簽交易，零幣的零知識證明的數據大小是25kb。值得注意的是，不同于Cryptonote交易，只有匿名取回的交易占據了25kb數據，而普通交易的數據大小與比特幣交易的數據大小相同。與其他交易相比，Zerocoin取回交易的計算密集程度也很高，需要大約半秒才能完成。

此外，不正確的使用或有規律的使用Zerocoin鑄幣和花費交易，如總是定期鑄造和消費，或做熔鑄和取回的間隔時間太短，或使用相同的IP地址熔鑄和取回可能會損害匿名，因此需要多加小心。建議用戶在他們想要取回硬幣之前預先熔鑄好硬幣。硬幣以鑄造形式存在的時間越長，匿名性越好。這一點正在通過Zcoin即將推出的GUI來緩解，該GUI建議用戶保留一定比例熔鑄過的硬幣。

總而言之，Zerocoin提供了非常強大的匿名性，但為了實現該匿名，需要信任機制、區塊鏈上的存儲空間和額外的計算資源。Zcoin的發展正在解決這些問題。

4.Sigma

用于：Zcoin，NIX

優點：

·無需混幣

·匿名性非常高，匿名集可高達100,000左右。熔鑄和取回交易可完全打破地址之間的交易鏈接。

·保留一定程度的供應可審計性，因為交易金額不會被隱藏，硬幣必須取回至基礎層。

·使用經過深入研究的密碼學。

·很小的證明尺寸，僅為1.5kB。

·無需預信任機制。

缺點：

·與Zerocoin一樣必須使用固定面值。

·操作Sigma熔鑄和取回時必須小心，使用者應在取回之前熔鑄好相應硬幣，以防止時序攻擊。

·在密碼學基礎沒有突破前匿名集難以突破100，000。

Sigma是由Zcoin發明并實施的匿名協議，其工作方式與Zerocoin非常相似。它有兩個關鍵的區別：它無需預信任機制，且其證明尺寸大幅變小，大約為1.5kB。

Sigma基于學術論文《One-Out-Of-Many-Proofs：OrHowtoLeakaSecretandSpendaCoin》利用Pedersen承諾及其它技術取代RSA累積器，使此加密構造無需預信任機制。Sigma設置中唯一需要的系統參數是ECC組規范和組生成器。這種結構已在《ShortAccountableRingSignaturesbaseonDDH》中進一步優化。

Sigma嚴格來說是深度優化的Zerocoin。其唯一的缺點是它仍然需要固定的面額，這意味當使用者不注意時會更容易被識別出熔鑄方和取回方，并且在保障性能前提下，匿名集僅限于大約100,000。

5.Lelantus

如：Zcoin

優點：

·無需混幣器

·匿名性非常高，匿名集高達100，000左右，使用熔鑄和取回交易完全打破交易地址之間的鏈接。

·使用成熟的密碼學，僅需DDH加密假設

·很小的證明尺寸，僅僅為1.5kB

·無需預信任機制

·可使用非固定面額

·可直接匿名付款而無法轉換至基礎層的硬幣

匿名交易員：BTC鯨魚賣空1億美元，三分之一為開倉交易:匿名交易員CL表示，一名BTC巨鯨在Bybit賣空1億美元。11月15日，Bybit上一名賣家積極出售比特幣，訂單流顯示，幾個小時內平均連續有價值約350萬美元的出售訂單，其中三分之一是開倉交易。同時，其他主要交易所在過去24小時內發現了大量存款。根據CryptoQuant的數據，總部位于美國的加密貨幣交易所Gemini存入9,000個BTC。（Cointelegraph）[2020/11/15 20:53:09]

·良好的可擴展性，足以支持默認匿名交易

缺點：

·在加密技術取得突破之前匿名集難以突破100，000

·目前直接匿名付款時需要收入方再次取回并再熔鑄，以防止發送方發送的時間被發現

·仍處于早期發展階段。Zcoin已完成其加密庫，Monero的SarangNoether也完成其初步實施方案的證明。

Lelantus通過取消對固定面額的要求進一步擴展Sigma，并允許直接匿名付款，但不顯示金額。Lelantus是Zcoin的密碼學家AramJivanyan的創作，是我們不斷改進隱私協議的一部分，其全文可在此處閱讀。

Lelantus保留了Sigma不需要預信任機制的所有好處，但通過利用雙盲承諾和防彈證明來隱藏交易金額，消除了要求固定面額的剩余弱點。用戶可以燃燒任意金額并兌換任意金額，這樣就可以更加難以找出熔鑄和取回之間的聯系。

如果Lelantus存在某些弱點，那么就是其匿名集仍然限制在大約100,000，超出以后的性能使得實施起來不切實際，但我們認為對如此大的匿名集進行分析是不切實際的。與幾乎所有其他隱私機制相比，它的匿名集仍然更高，除了Zerocash有自己的一套權衡，我們將在下面進一步探討。

在當前研究狀態下直接匿名支付還需要額外的取回和再熔鑄步驟來匿名化發送者。我們仍在進一步研究，以進一步改進和擴展。

6.ZerocashandZcash

如:Zcash，Horizen，Komodo,

優點:

·在熔鑄過程和打破地址之間的交易鏈接方面可能是最好的匿名技術

·驗證數據小，驗證速度快

·隱藏交易金額

·不需要預先轉換成普通硬幣，匿名硬幣可以直接發送到對方。

缺點:

·匿名交易是計算密集型的

·必須由團隊安排的復雜預信任機制

·不正確的實施或預信任機制參數的泄漏可能導致偽造硬幣。

·因此，如果硬幣是偽造的并且憑空產生的，則無法檢測供應，因此無法檢測到供應。這種性質的漏洞既可以在發布之前找到，也可以在實時主網中找到。

·使用相對較新的密碼術并基于被批評的加密假設。

·很難理解完全意義上只有少數人能夠掌握密碼學和代碼，并且可能出錯。

我們討論的最后一個匿名方案是ZCash中使用的Zerocash協議。Zerocash采用了零知識證明，并試圖改進Zerocoin協議。有了Zerocash和zkSNARKs技術，匿名數據大小現在只有1kb，并且可快速驗證。此外，所有交易金額都是隱藏的，在進行熔鑄時不需要使用固定的面額。Zerocash還允許人們將Zerocash的“零硬幣”直接轉移給對方，而不需要將其轉化為等價的基本硬幣。它的匿名方法也是之前所有匿名計劃中規模最大的一個，包含了所有鑄造的硬幣，而沒有考慮區塊鏈的面值。

李禮輝:建議加強國際監管 禁止虛擬貨幣匿名交易:12月3日，在第一財經主辦的“2017金融科技峰會”上，全國人大財經委委員、中國銀行原行長李禮輝就目前代幣和虛擬貨幣的發展變化呈現出四點態勢進行了分析。李禮輝曾表示：“要禁止數字代幣匿名交易，切實防止資金在線上線下地上地下的跨國的違法的流動。”并強調，要敦促國際監管機構就數字貨幣加強合作；敦促監管機構為加密數字貨幣建立規則框架，以促進數字貨幣發展。[2017/12/3]

粗略來看，就會覺得Zerocash技術超出了Zerocoin，然而，相對Zerocoin，它也有一些不足。

首先，Zerocash缺乏供應量可審核性。和Zerocoin一樣，Zerocash需要一個預信任機制，但Zerocash的設置要復雜得多。Zcash采用了一場涉及6人的多方儀式來完成設置，其參數泄露的唯一方式是，所有的6人相互串通，并保留相關參數。換句話說，你必須信任這6個人中的任何一位，相信他們摧毀了初始參數并且相信這個儀式被正確執行。這是一個嚴重的問題，Zcash正在組織一個新的預信任機制儀式。

如果代碼中存在錯誤，或加密缺陷或多方預信任機制存在問題，攻擊者可能會生成無限制的Zcash，與Zerocoin不同，無法檢測到此額外供應。特別是在使用Zerocoin以類似原理運行的系統中，允許創建新硬幣，供應可審計性變得越來越重要。

實際上，從發布到2018年10月28日，為期兩年，Zcash實際上已經在其主網上修補其中一個漏洞。沒有辦法判斷這個bug是否在被修補之前被利用了，從發現bug到修補之間存在8個月的差距。這不是第一次發現這樣的錯誤。Zerocash在其開發早期也有內部碰撞漏洞，這也允許鍛造硬幣。雖然這個bug從未投入生產，但它突出了潛在的風險。

BTCP，一個同時基于Zcash和比特幣的分叉幣也遭受了隱藏的通貨膨脹，近十個月沒有被發現。只有在通過比特幣UTXO輸入時檢查UTXO輸出流程才能檢測到這種通貨膨脹。這不是由于密碼學的缺陷而是隱蔽的預設，它突出了具有不可審計的供應的潛在問題。

我們強調，即使是像比特幣這種經過嚴格審查的項目也遭遇了許多惡性通貨膨脹的錯誤，例如價值溢出事件和最近的CVE-2018-17144。比特幣保留供應可審計性允許檢測到這些錯誤或確認沒有發生漏洞利用。

另一個值得商榷的是其使用稱為zkSNARKs的新實驗密碼術，它實際上僅用于Zerocash。對它的審查要少得多，因此不像RSA那樣經過實戰檢驗，RSA已經使用并經過多年的審查并繼續得到廣泛應用。zkSNARKs使用加密假設，這些假設仍然是實驗性的。與已建立的加密算法不同，如離散對數假設或分解硬度，zkSNARKs安全性基于雙線性群的指數知識假設的變體。KEA尚未得到很好的研究或部署，也受到批評。一些專家認為zkSNARKs背后的密碼學相對較弱。

Zerocash也非常復雜，這意味著只有少數人能夠正確理解和審核它。事實上，由于Zcash假設，產生如下現象：

·發現漏洞需要高水平的技術和加密復雜性，而很少有人擁有。

·該漏洞已存在多年，但許多專家密碼學家，科學家，第三方審核員和第三方工程團隊都沒有發現這些漏洞，他們根據Zcash代碼啟動了新項目。

這實際上是“基于默默無聞的安全”。

Zerocash的另一個主要缺點是，由于需要進行復雜的數學計算，因此，在一臺功能強大的計算機上，匿名交易的生成時間要比之前任何一種匿名方式要長得多，特別是對配置較低的計算機來說，這一過程太長。這使得人們無法廣泛使用它的匿名功能，也可能會不適用一些功能不太強大的系統，比如移動設備。Zcash通過使用新的BLS12-381曲線在其最新的Sapling升級中對此進行了重大改進，將生成時間縮短至幾秒鐘，并且需要大約40MB的內存，這使其最終可用于移動設備。但是，與本文中的其他匿名方案相比，它仍然是計算密集程度最高的。

因此，盡管Zerocash具備可能是最好的匿名性，但它以犧牲總量可查為代價，同時也包括如下缺點：復雜的預信任機制，使用過于新的加密技術，創建匿名交易需要很長時間。

然而，Zcash團隊正在對zkSTARKs進行研究，該研究不需要預信任機制，并使用加密算法和更簡單的加密假設。但是，到目前為止，zkSTARKS目前由于尺寸較大而無法使用，而且創建zkSTARK的計算要求仍然很高。還有其他一些有趣的zkSNARKs變種尚未實現，例如Sonic和Spartan，它們以不同的方式解決了預信任機制問題，但是它有一套超出本文范圍的權衡取舍。

7.Mimblewimble

用于：Grin,Beam

優點：

·所有交易都是匿名的

·使用完善的密碼學

·隱藏交易金額

·區塊鏈可以減小尺寸，因為它只保留UTXO

·不存在重復使用地址的問題

缺點：

·需要接收者和發送者之間的互動。無法留下地址然后離線等待接收。多方交易存在問題，因為各方需要進行通信以創建交易。

·不打破交易鏈接，只是模糊它們，因此是一個“誘餌”模型。

·監控網絡可以揭示交易如何加入的詳細信息。

·如果一個塊中交易太少，那么匿名性會大大降低，因為它依賴于其他事務來加入。

·硬件錢包中的冷存儲很難實現

·Mimblewimble上的開發智能合約更難，因為沒有腳本語言，只能通過“無腳本腳本”中的開發來完成部分功能

·相對較早版本的開發并且不共享Bitcoincore代碼，使其借用比特幣社區共識并將其集成到基礎架構中需要獨立開發。

Grin和Beam都是MimbleWimble的應用。Mimblewimble通過兩種主要方法工作，首先隱藏所有交易值，然后通過將所有交易到一個大事務中，以便在塊中，它看起來像是具有許多輸出和輸入的巨型交易。僅從區塊鏈中查看它，即使同一個塊中只有少量交易，您也只能通過猜測來判斷哪個輸出來自哪個輸入。Mimblewimble還允許另一個稱為直通的功能，如果A向B支付然后將其全部支付給C，則區塊鏈可以記錄A到C而不顯示B。

較為簡單的理解方法是比較交易比特幣中的交易方式與交易在Mimblewimble中匯總后的情況。

想象一下A發送到B和C.在單獨的事務中D發送給E和F.

在比特幣中，這將被視為

A>B，C

D>E，F

他們還將擁有進一步使其獨特的交易價值。

在Mimblewimble中，所有交易值都被隱藏，并且這些交易被聚合，因此一旦交易在塊中連接，它將如下所示：

A，D>B，C，E，F

現在無法具體知道是誰發送給誰的！

對比比特幣和Mimblewimble交易方式

然而，最大的假設是，在這些事務傳播之前以及在將它們記錄到區塊鏈之前，沒有人監視網絡。使用vanillaMimblewimble，有人可以創建一個連接到網絡中所有其他節點的惡意節點，并在它們組合在一起之前記錄事務，從而能夠對事務進行去匿名化，這意味著它除了地址僅使用一次和交易值被隱藏之外，其他方面的匿名性僅僅相當于比特幣。

為了緩解這種情況，Grin和Beam都使用蒲公英技術來改變交易的傳播方式。不是將每個事務廣播到所有對等體，而是首先通過一系列隨機選擇的對等體發送該事務，然后才擴散到整個網絡。每個后續節點隨機確定是否繼續主干階段或切換到發散階段。雖然交易處于主干階段，但在廣泛廣播之前，它們也與其他交易結合在一起。這使得節點更難以全面了解交易如何連接在一起。然而，它不是一個完美的解決方案，并且在將交易添加到塊之前，交易仍然聚集在一起的方式仍然可以找到線索。

這與Mimblewimble也是類似于Cryptonote的基于誘餌的系統這一事實相結合，它仍然存在與其他基于“誘餌”的隱私系統相同的缺點，其中重復交易可以進一步降低匿名性，交易網絡仍然存在。此外，如果區塊中的交易不多，則會極大地降低匿名性。如前所述，對網絡的主動監控可以進一步威脅匿名性。

通過跟蹤MimbleWimble交易構建的交易圖表

MimbleWimble的一個重大缺點是需要接收者和發送者之間的交互和一個可消除地址的極為不同的方案。這意味著您不能只在網站上發布地址，而必須始終提供新值。這也使多方交易復雜化，例如，在一次交易中向B，C，D，E匯款將要求這些方中的每一方在發送之前與A通信。Beam的實現通過使用安全公告板系統解決了這個問題，該系統允許人們將他們的消息發布到Beam的完整節點，以便一旦用戶上線就可以傳達盲目因素，但如果這會影響隱私，則需要進一步研究。

此外，雖然沒有地址，但Pedersen承諾仍然是獨一無二的，因此MimbleWimble本身并不隱藏交易圖，這意味著您仍然可以看到資金如何流動，因此可以被視為“一次性”地址。這意味著如果沒有蒲公英和Coinjoin的附加變通方法，Mimblewimble的隱私就相當于比特幣，除了地址只使用一次并且隱藏了交易值。

Grin沒有腳本語言，因此實施智能合約可能十分困難，雖然“無腳本腳本”的開發可能能在特定領域使用類似的功能。

憑借完全隱藏的交易值，Mimblewimble沒有供應可審計性，它依靠防彈證明/機密交易來檢查是否已經憑空創造了任何額外的硬幣。然而，因為它背后的密碼學十分成熟，因此其供應可審計性并不像Zerocash協議那樣是一個巨大的問題。

8.其他匿名方案以及為什么我喜歡的匿名幣沒有被分析？

在這里列出的所有區塊鏈匿名方案都得到了研究人員的好評，各種匿名方案都很容易理解。然而，現在的加密貨幣有好幾百種，但只有少數能真正實現匿名。以下是新的匿名機制是否可靠的關鍵因素：

??它能提供區塊鏈的匿名嗎?

一些匿名貨幣聲稱具備匿名技術，但在區塊鏈上完全看不到任何匿名保護。具體可見下文：。

??專家撰寫的匿名保護機制是否被審查過?

看看他們的匿名計劃是否經過密碼學家的審核，是否有學術論文引用它，許多程序都是由開發人員或程序員編寫的，而他們沒有任何的加密或信息安全的背景，其實現匿名技術的技術通常并不可靠。

??它僅僅是利用現有技術的一個新名稱嗎?

一些項目將現有的匿名貨幣更名為自己的名字，并將其作為自己的名字進行發行，如果他們公開了原始的匿名技術，這是可以接受的。

??是否是中心化的？

如果依靠你信任別人來保護你的匿名計劃的話，它通常是一個糟糕的匿名計劃。

??團隊是否理解這些匿名技術背后的密碼學?

除非你自己是專家，否則這很難確定。檢查他們的團隊，看看他們的團隊或者他們的顧問名單上是否有密碼學相關的研究經歷。

9.總結

每一個匿名模式都有自己的利益和權衡取舍，我們相信，對這些匿名方案進行持續的探索和研究，會改善整個區塊鏈的匿名技術。

我們堅信Zcoin中使用的Sigma和Lelantus協議與其他匿名方案相比，提供了一個非常全面的匿名方案，它使用經過驗證的加密技術提供了非常強大的匿名性，同時還保持了可擴展性和可審計性。

可以在下面找到Zcoin解決方案與其它另悉吶隱私技術的對比圖表。

原文：https://card.weibo.com/article/m/show/id/2309404398302274650374稿源：https://first.vip/shareNews?id=2041&uid=1

Tags：EROOINCOICOINLIBERO價格ChatCoinCoinBurpcoinone交易所官網

加密貨幣