据以太坊基金会官网今日发布的消息，以太坊网络将在区块高度达到 9,069,000 时进行升级，预计将于 2019 年 12 月 7 日左右发生（注：确切日期可能会因不同的区块时间和时区而发生变化）。

本次以太坊网络升级的代号是“伊斯坦布尔（Istanbul）” 。恍如昨日，现在仍记得上次的以太坊升级代号为君士坦丁堡。此次以太坊网络升级隶属于 ETH1.0 范围内，同时也预示着我们离 ETH2.0 越来越近！

接下来，我们一起来看一下这次的伊斯坦布尔升级对以太坊网络做了哪些改变。

在完成这次升级之后，以太坊网络将会有一些变化和调整，主要体现在以下4点：

1、使操作码的成本与其计算成本保持一致，并提高拒绝服务攻击的抵抗性；

2、提高基于SNARKs和STARKs的二层（layer 2）解决方案的吞吐量；

3、使以太坊和Zcash能够互操作；

4、允许合约引入更多创造性函数。

伊斯坦布尔实施的变更是使用以太坊改进建议（EIP）定义的，EIP 描述了以太坊平台的标准，包括核心协议规范、客户端 API 和合约标准。考虑到过去一年以太坊社区的发展，这次升级是以太坊历史上社区提案规模最大的一次，有超过 30 个 EIP 被提议纳入这一升级，开发者们对其中的每一个 EIP 都进行了讨论和辩论，经过深思熟虑，其中有 6 个 EIP 被认为是适当的，它们分别是：

1、EIP-152：添加 Blake2 压缩函数“F”预编译

添加在以太坊合约中验证 Equihash PoW 的能力。这将启用 Zcash 和以太坊之间的中继和原子互换交易。

2、EIP-1108：降低 alt_bn128 预编译 gas 成本

这使得 zk-SNARKs 更便宜，允许构建更便宜的扩展和隐私应用。参见 Matter labs、 Aztec Protocol、Rollup 以及 Zether 的示例。

3、EIP-1344: ChainID 操作码

为合约添加一种跟踪其所在以太坊链的方法。

4、EIP-1884：操作码的重新定价

更改一些 EVM 操作码的成本，以防止垃圾交易攻击，并更好地平衡每个区块中的计算量。以太坊中每次操作必须支付的金额，通常与该操作所需的计算量相匹配。这种变化增加了运算密集型操作码（SLOAD、BALANCE 和 EXTCODEHASH）的 gas 开销，而这些操作码目前很便宜。

5、EIP-2028：降低交易数据 gas 成本

通过降低在交易中调用数据的成本，使 zk-SNARKs 和 zk-STARKs 更便宜。这将提高第 2 层解决方案的吞吐量。请参见 Starkware 以获取示例。

6、EIP-2200：SSTORE 操作的净 gas 计量

更改 EVM 中存储的成本计算，并使合约能够引入新函数，包括重入锁（ re-entry locks）和同一合约多次发送（same-contract multi-send）。






根据上述被此次升级采纳的 EIP 内容，我们可以发现：此次升级主要是为以太坊网络引入了 zk-SNARKs（零知识证明）技术，直接提高了以太坊网络的 TPS；同时，也降低了某些运算所需的 gas 费。关于这次的以太坊伊斯坦布尔升级，以太坊生态开发者和 DeFi 用户是非常值得期待的，翘首以待！

伊斯坦布尔升级确实为以太坊生态用户带来了一些显而易见的改变，不仅提高了以太坊网络运行效率，而且还直接或者间接的降低了开发者和用户使用以太坊网络的成本，我们非常高兴这些发生在以太坊网络上面的实质性变化。此外，需要提醒大家的是：作为 ETH 持币人或者以太坊 DeFi 用户，我们无需执行任何操作，静待伊斯坦布尔升级时间的到来就行了！

祝好，以太坊！ 查看全部

从根本上说，在底层链上争取完全的隐私，这太过昂贵，因此难以实现。



隐私保护将成为无国界加密货币的一个特征，但不会成为其核心特征。用户不应该单纯为了实现金融隐私(financial privacy)，而在价值较低、安全性较差的加密货币上承担资产负债表风险 (例如，出售BTC或ETH以获得ZEC)。

本文将提出以下观点：诸如比特币和以太坊这样的通用平台已经为大多数用户提供了足够的隐私保障，因此这部分用户并不需要转向以隐私为重点的小众区块链网络。

隐私必须成为开放金融、全球无国界货币和 Web3.0 的关键组成部分。然而，在迄今为止的加密货币生态系统中，与隐私相关的开发活动大多发生在以隐私为重点的区块链上。而比特币和以太坊社区把解决可扩展性(scalability)和用户体验(user experience)等问题放在首位。

将金融隐私的重要性置于所有其他特性之上的开发人员构建了主要用于支持隐私保护的协议，用例包括大零币(Zcash)和门罗币(Monero)等资产，以及Grin和Beam等新入场者。它们都在功能和可用性之间做出各种权衡，以确保隐私是其核心价值主张。

但是，隐私是独立区块链应该构建的核心价值主张吗？

加密投资者的一个共同论点是，由于隐私在金融交易中的重要性，因此专注于隐私的区块链(如Zcash、Monero、Grin和Beam等)应该完全能够积累价值。我们认同隐私在金融交易中非常重要的说法，但我们并不认为两者之间存在因果关系。

我们预计，最有价值的区块链将在一系列不同的技术权衡中胜出，用户和企业将找到新颖的方式，将隐私带入这些网络，而不是由网络参与者选择原生隐私协议，并为之承担资产负债表风险。

此外，Layer1资产(比如BTC、ETH等)一般应该被认为是货币，这些Layer1资产会产生明显的网络效应，因此只有少数区块链能够打赢这场持久战。

如果具有非原生隐私特性的区块链平台(如比特币和以太坊等)已经能够为大多数人提供足够好的隐私，那么具有原生隐私的区块链(比如Zcash、Monero等)区块链就会变得无关紧要了。

在本文中，我们将讨论以下主题：

    围绕隐私的技术将如何带来功能上的折衷；
    使用专注于隐私保护的区块链和加密资产所固有的资产负债表风险;
    将隐私引入得到更广泛采用的区块链(如比特币和以太坊)的不同方法；
    在什么情况下可以认为隐私保护已经“足够好”；以及
    我们如何看待隐私保护与投资之间的关系。 



完全的隐私


在加密货币交易中可以泄漏四种类型的隐私信息：发送方、接收方、交易金额和IP地址。如果所有这四种信息都能成功地对任何第三方观察者隐藏，那么交易就是完全隐私的。





表1：加密货币交易的隐私频谱 (点击图片可放大)


如上图所示，隐私是一个频谱：

    一端是不隐藏任何上述信息的交易，例如基本比特币或以太坊交易；
    另一端则是Zcash的树苗(Sapling)交易，它屏蔽了上述四种类型的信息（前提是与 Dandelion 或 Kovri 等模糊 IP 技术相结合时)。


Zcash 的 zk-SNARK 架构允许发送方向匿名接收方传输一定量的代币，传输的代币数量不会被第三方获知，且区块链上始终不会记录任何相关身份信息，也不会在网络中泄露。从理论上说，Zcash 的这种隐私交易是完美的。

[备注：Zcash 的发展大体经过了OverWinter (过冬) -> Sprout (发芽) -> Sapling (树苗) 这几个阶段]

虽然 Zcash 已经面市近3年，但是在 ZEC 中，只有5%的存储使用 SNARKs 隐私技术(其中大约一半使用传统的 SNARKs 技术)。大约95%的 ZEC 存储在没有隐私保护的公开地址中。

2019年，加密货币市场普遍反弹，不过 ZEC 是个明显的例外。





Zcash自2018年1月起的价格（以BTC计）


尽管给出了这样的隐私保护承诺，但市场已经明确表态：Zcash 的 Sapling (树苗) 交易提供的隐私保护并不会令 ZEC 变得有价值。

原因有几个。

首先，加密货币的核心创新在于无需信任任何一方，就能以编程方式实现易于验证的稀缺性。

稀缺性使得社会的可扩展性 (social scalabillity) 成为可能，因为来自不同文化和行业的人都可以验证自己持有的代币是已知整体中一个得到保证的百分比。但不幸的是，完美的隐私保护阻碍了加密货币的可审计性。

比如，2018年3月，Zcash 在他们的加密技术中发现了一个漏洞，可能导致 ZEC 代币的无限通胀。正如 Zcash 基金会自己承认的那样，在 Sprout 地址被弃用之前，不可能知道是否有任何一方利用了该漏洞来增发 ZEC 代币。用户可以验证有多少代币被发送到隐蔽池中，但无法知道这些代币是否是被攻击者伪造而来的。

也就是说，完全隐私的交易会阻止投资者验证 Zcash 是否像预期中那样稀缺。

其次，以 Zcash 的方式优化隐私带来了沉重的成本代价。每次创建一笔完全私密的交易时，发送方都必须计算一系列精确的计算步骤，以便生成一个矿工可以使用零知识技术验证的证明 (proof)。从计算成本的角度来说，这些步骤是非常昂贵的，而且 Sprout 版本过于繁琐，因此无法广泛采用。

之后，Zcash 团队设计了 Sapling 版本，明确地为代币传输进行了优化，避开了任何冗余功能 (比如以太坊的有状态智能合约，或者门罗币(Monero)的多重签名合约)，尽管这些功能可能将来可能会在 Zcash 中出现。但更高效的完美隐私交易消耗的是 Zcash 的可编程性。

随着2016年和2017年一窝蜂式的牛市泡沫的终结，如今的市场更倾向于不那么隐私、但更安全、可编程和可证明稀缺性的加密资产，比如比特币和以太坊。

但尽管如此，无国界加密货币的未来似乎不太可能完全透明公开。抗审查性要求具有一定程度的金融隐私保护。

所以现在的问题是：提供多大程度的隐私保护才算是足够好？


「藏身人群中」的隐私


比特币和以太坊社区都在努力将原生隐私性带入他们的区块链中。但比特币和以太坊并没有向完美的隐私方向进行优化，而是倾向于「藏身人群中 (Lost in the crowd)」的隐私——这是由 Tor 网络推广的一种策略。

「藏身人群中」的隐私策略是指让加密货币交易遵循一组规则，这些规则使第三方观察者很难辨别特定交易的实际发送方、接收方或发送金额。遵循这些规则的交易越多，参与者就越多，观察者也就越难以对交易进行去匿名化。

与 Zcash 等完全隐私的交易相反，这种「藏身人群中」的策略通过模糊化的方式来为用户带来交易的隐私性和安全性，因为第三方观察者可以看到正在发生的交易，但不能对发送方、接收方或交易数量做出任何明确的判断。所有的判断充其量都是概率性的，而且在绝大多数情况下，发送方和接收方都可以实现「保持合理的否认」(plausible deniability) (也即隐匿自身)。

比特币持有者们正在使用 CoinJoin (混币交易) 隐私保护方案作为他们「藏身人群中」的工具。

Greg Maxwell 在2013年首次提出 CoinJoin 的概念，它指的是一些不同的参与方将他们的多个单输入、单输出交易组合成一个多输入、多输出的交易。这割裂了发送方和接收方之间的直接联系，而且如果所有输出都是相同的大小，这还会模糊由谁接收了多少 BTC。最近，诸如 Wasabi Wallet 和 Samourai Wallet 这类使用 CoinJoin 方案将信任需求度降到最低的应用大受欢迎。





Chainalysis 统计的2019年以来 (截至8月份) Wasabi Wallet 月度混合的美元价值上升趋势。


同样，CoinJoin 方案不是完全保护隐私的，因为观察者可以分辨出哪些代币被发送到混合器(mixer)，哪些被发送出去。上图这种显著的增长趋势表明，使用该方案的用户群体已经足够大，因此寻求隐私保护的用户实际上可以「藏身人群中」。Chainalysis 是名声最显赫的区块链分析公司之一，其客户包括美国联邦调查局(FBI)、缉毒局(DEA)和国税局(IRS)，该公司证实称，他们“无法追踪代币在混合服务中移动的轨迹。”

在默认情况下，以太坊的基础层默认没有比特币那么隐私，因为以太坊使用基于帐户的模型 (account-based model)，而不是使用比特币的基于未消费交易输出 (UTXO) 的模型。这意味着在以太坊网络中，某个地址会在许多不同的交易中重复使用，而不是为每笔交易分配一个新的地址。

不过，诸如以太坊等智能合约平台相对于比特币的一个优势是，它们允许更高级的交易类型。一份智能合约可以为发送给它的所有资产提供「藏身人群中」的隐私性，甚至可以为发送给它的所有资产提供完全的隐私性。目前，其中几种支持隐私保护的智能合约已经在主网上运行，还有更多的用例正在开发中。

诸如 Argent 的 Hopper、Heiswap 和 Tornado 等以太坊“混合器 (mixer)”提供了「藏身人群中」保护隐私的不同方式，其效果堪比比特币的 CoinJoin 方案。

通过这些以太坊“混合器”，用户可以将特定资产的固定金额 (如 0.1 ETH 或 10 DAI）存入一个智能合约中，等待足够多的用户进行类似额度的存款，从而构建一个大型匿名集，然后将原始的金额提取到一个与原始地址没有关联的新地址中。

但由于每个用户存入合约中的金额数量必须完全一样，这些隐私解决方案将很难吸引大量的存款，这将限制这些方案向可持续的独立业务扩张。

Aztec Protocol 开发了一系列模块化的智能合约，允许实现资产机密、地址隐秘和零值输出，本质上是为了在以太坊上建立一个「藏身人群中」的隐私资产池。用户需要将他们的公开加密资产发送到一个智能合约，之后该合约将把这些资产的「私有版本(private version)」生成到其隐私池中，并为用户分配一个新的私有地址进行交易。隐私池吸引的资产越多，人群就越多，而这可以为所有参与者提供更有力的保护。

为现有区块链提供隐私保护不仅是 Layer2 的附加功能。在不久的将来，诸如 Decred 和 Tezos 等这类具有强大治理能力的小型公链会添加协议原生的隐私保护功能。与比特币和以太坊一样，这些公链平台社区看到了隐私交易的价值主张，正致力于将隐私保护作为向社区提供的一项功能，而不是将原生金融隐私保护作为核心产品的功能。此外，Tezos 社区正直接盗用 Zcash 的 Sapling 设计！

以上所有这些公链的努力都是在试图改进当前「藏身人群中」隐私方案的黄金标准：门罗币 (XMR)。

如上文所述，目前仅有 5% 的 ZEC 是受到完全隐私的，但是100%的 XMR 都是遵循一组通过隐藏来创造隐私性/安全性的规则进行传输的。

门罗币交易使用三种基本类型来隐藏发送方、接收方和交易数量：环签名 (ring siganatures)、隐秘地址 (stealth addresses)和环机密交易 (RingCT)

    环签名允许发送方使用n个不同的密钥来签署交易，从而模糊了哪个密钥是发送者的密钥。
    隐秘地址允许接收者为每笔交易使用一个一次性地址，从而隐藏接收者的真实公钥。
    环机密交易实现了交易金额的模糊化，掩盖真实的交易金额。


由于所有 XMR 交易都必须使用这些特性，因此所有的 XMR 都属于相同的匿名集，并且隐藏于相同的人群中。这引发了潜在的 FloodXMR 攻击可能性，我们将在下文中进行阐述。

同时，门罗币在2018年熊市中的表现并不比 Zcash 好多少。见下图：





门罗币自2018年1月份以来的价格走势（以BTC计）


虽然 XMR 的交易比 ZEC 稍微灵活一些，但门罗币依旧无法实现有状态的智能合约功能。虽然最近的一项研究突破使 HTLC（哈希时间锁定合约）成为可能，但这方面可能需要大量的工程。遗憾的是，对于门罗币来说，他们的开发人员社区很小，而且资金匮乏，这意味着新特性开发相对来说是静态的。

无论底层的公链如何，这些「藏身人群中」的隐私方案只能提供「保持合理的否认」，但人群越大，就越能隐匿自身。

提供多大程度的隐私保护才算是足够好？这个问题现在可以这样去理解：当交易发生在 Wasabi Wallet 的比特币匿名集中，或者是在 Aztec Protocol 的以太坊匿名集中，亦或者在门罗币的匿名集中，那如果第三方想要对用户的交易进行去匿名化，那将分别需要花费多少成本才能实现交易的去匿名化？哪个成本将是最高的？(成本越高，则意味着越)

我们继续往下看。


去匿名化成本


今年早些时候，有研究人员发布报告指出，利用门罗币环签名选择过程的某写方面特性，对门罗币发起低成本的 FloodXMR 攻击，仅以1700美元的成本，即可在一年内使其50%的交易去匿名化。

门罗币社区拒绝接受这种成本估算，称这个成本金额太低。他们还反驳了这种算法，称分析过于简单，没有考虑到现世界中的任何情况，比如同时发生多起袭击，或者价格波动。

本部分内容的目的不是重述 FloodXMR 攻击，而是利用它的原理，为我们在考量公链的隐私池时构建一个通用的框架。FloodXMR 攻击的基本框架是这样的：

每天都有一定数量的 XMR 交易在门罗币网络上发生。这些交易都是混合在一起的，因此除了参与者自己，没有其他人知道谁给谁发送了多少价值。然而，由于所有交易都是公共的，并且地址在环签名模式中被重复使用，攻击者自己可能也会参与大量这些交易。

通过这样做，攻击者极大地降低了匿名集，并且可以更容易地确定每个交易的实际发送方和接收方，从而有效地对他们进行去匿名化。具体来说，根据上述研究者的报告，一个“控制一年内生成的75%交易输出的密钥的恶意参与者，能够跟踪同一时间段内创建的所有交易输入的47.63%。”

如果做出某些假设的话，这种攻击可能扩展到比特币的 CoinJoin 隐私池 (实际上已经出现了) 和以太坊的 Aztec Protocol 隐私池。在过去12个月的大部分时间里，使用 CoinJoin 方案的交易比例占到了比特币交易量的5%到10%，2019年7、8月份有所上升。见下图：





每月使用 Coinjoin 方案进行的比特币交易占当月所有比特币交易量的比重趋势


假设平均交易费用、寻求隐私保护的交易数量和在特定隐私池中持有的主流加密资产的占比保持不变，则去匿名化的成本 (C) 为：

C = (平均交易费) x (每日平均交易量) x 1.25 x (隐私池所占市值的%) x 365

下图显示了 BTC 的 Wasabi Wallet 隐私池、ETH 的 Aztec Protocol 隐私池（假设其占据 ETH 5%的市值）和 XMR 的去匿名化成本，图中的平均值 (平均交易费和每日平均交易量) 使用的是从2018年10月19日到发文时的平均值。





表2：对去匿名化各隐私池的成本做出的估值 (第三列的各隐私池的市值占比为假设值


下图提供了另一种查看去匿名化成本的方法。在这种方法中，我们要确定的是需要在以太坊或比特币的隐私池中持有多大比例的市值，就可以达到与门罗币一样的去匿名成本。





表3：假设去匿名化成本不变，隐私池在市值中的占比


当然，这种高阶分析忽略了攻击者针对不同的区块链采取的攻击方式的许多细微差别。上面两张图表并不是要提供确切的数字，而是要提供一个数量级的范围，让大家了解这些「藏身人群中」的解决方案到底能提供何种程度的隐私保护。

市场应该对这些数字持保留态度，但要明白，鉴于比特币和以太坊的市值、交易量和交易费用都要比门罗币高得多，攻击比特币和以太坊的隐私池的去匿名化成本很快就会比攻击整个门罗币匿名集的成本更高。

不过，除了预测未来，还有一种方法可以用来量化市场对隐私保护的看法，那就是看看暗网用户 (他们是最需要保护隐私的人)，看看这些人最常使用哪种加密货币。由于门罗币目前被认为是最私密的加密货币，你也许会想当然地认为它仍然占据统治地位；然而，CipherTrace 发现，只有不到5%的暗网交易使用门罗币，大多数暗网加密货币交易都在使用比特币。


写在最后


加密货币存在的理由是提供一种无需依赖可信第三方的数字价值交易方法。要想成为全球性的无国界货币，加密货币必须能够抗审查。而抗审查的先决条件是金融隐私保护。

加密货币的隐私之争将是一场与那些试图让加密货币用户去匿名化的人之间的军备竞赛，如果加密货币想要成功，就必须赢得这场战争。

遗憾的是，正如我们上面所论述的那样，按照 Zcash 的方式在默认条件下进行完美隐私交易的成本太高。这种完全隐私的方式破坏了加密货币的另一个核心价值主张：在整个交易历史中，使用无需许可的方式来验证交易未曾发生双重花费，也没有发生不正当的通胀。没有这个验证属性，任何加密货币都不可能具有足够的社会可扩展性来成为一种全球性的、无国界的货币。

因此，获胜的加密货币必须实现某种不完美的「藏身人群中」式隐私，这种隐私建立在可公开核查的公共账簿之上。从上面的表2和表3可以看出，比特币和以太坊社区能够将隐私池与它们本身的公链连接起来，而且由于交易量和交易费用更高，它们的去匿名化成本很快将超过整个门罗币区块链的去匿名化成本。

很明显，隐私保护将成为无国界货币的一个特征，但不会成为其核心特征。

隐私保护的论点应该围绕这一理解来表述。基金经理们将开始投资于那些在比特币或以太坊等智能合约平台上提供“隐私即服务”(privacy-as-a-service) 的公司，而不是投资于在交易中优化匿名性的底层加密货币。Layer2 解决方案将默认为它们的交易参与者提供隐私保护，这可能会使大量资金从那些重视交易隐私的区块链平台 (如 Zcash 和 Monero 等) 中脱离出来。

从根本上说，在底层链上争取完全的隐私，这太过昂贵，因此难以实现，这就给了 Wasabi Wallet、Samourai Wallet、Argent、Heiswap、Tornado 和 Aztec Protocol 等企业机会。我们相信，投资于 Zcash 和门罗币的资金将开始流向这些企业或者它们正在构建的底层加密货币中。


原文链接：https://multicoin.capital/2019/09/24/privacy-is-a-feature/
原文标题:《Privacy Is a Feature Not a Product》
作者：Ryan Gentry & Matt Shapiro 查看全部

图片来源：Pixabay


长期以来，被称为“隐私币”的数字资产一直让自由主义者感到高兴，但作为执法部门，他们却感到失望。

门罗币(Monero)、Zcash和达世币（Dash）等加密货币可以在不同程度上混淆交易，这使得交易所和托管方更难遵守旨在防止非法融资的最新国际准则。

一些交易所发现，与其耗费大量人力物力去实现隐私币合规，不如将这些币直接下架更容易，而不愿意弄清楚如何遵守额外的风险管理要求。今年8月，Coinbase UK放弃了对Zcash的支持。9月10日，OKEx Korea表示，将下架5种隐私币，分别是Monero、Dash、Zcash、ZCache、Horizon和Super Bitcoin，理由是金融行动特别工作组(Financial Action Task Force) 6月份制定的规则。

总部位于加州帕洛阿尔托的调查公司Chainalysis政策主管杰西•斯皮罗(Jesse Spiro)表示：“这肯定被视为为隐私币的存在制造了一个巨大障碍。”他预计将有更多的交易所将把这些隐私币下架。

事实已经证明，这对加密市场的很大一部分来说是痛苦的，三大隐私币Monero、Dash和Zcash的总市值约为25亿美元。Monero的价格自6月中旬以来下跌了约30%，而Dash的跌幅超过40%，Zcash的跌幅约为50%。

总部位于洛杉矶、投资加密货币的资产管理公司Arca的首席投资官杰夫•多尔曼(Jeff Dorman)在一封电子邮件中表示：

    “很多加密货币很有可能被下架，流动性将枯竭。”


长期以来，隐私币一直令人侧目。欧洲刑警组织(Europol)已将Monero、Zcash以及比特币列为网络犯罪工具。由于这些币很难追踪，它们也可能被用于恐怖主义融资或被制裁的政府使用。

Spiro说:

    “一些隐私币是可以被追踪的，但肯定有一些主要的障碍是由设计造成的。”


以Monero为例，没有任何交易历史可以与一枚特定的币相关联——所以不可能肯定地说它从未被用于犯罪。不过，门罗币也有一个“查看键”功能，让持有者可以监控币交易，使其不像“经常描述的那样是一个黑盒子”，Monero团队在一封电子邮件中说。

Monero和其他隐私币的开发团队表示，他们可以完全遵守FATF的规则。

Dash Core Group Inc.首席执行官瑞安·泰勒(Ryan Taylor)在一封电子邮件中说，“Dash与比特币完全相同，完全有能力满足这些要求。有时候，这需要一些教育，比如为什么Dash和比特币交易之间没有法律上可以定义的区别。Dash有一个PrivateSend选项，允许用户将币分成碎片，与其他参与者的币混合，从而模糊了最终交易中使用的资金来源。

Taylor指出，虽然eToroX将Dash下架，但在Dash与BlockchainIntel和Coinfirm合作为Dash区块链提供合规服务后，交易所恢复了Dash的交易，“这些服务能够提供监管机构所需的信息。”

Zcash团队指出，Zcash有许多其他币所缺乏的一个功能：根据FATF的新旅行规则，受益人和发起人的信息可以附加到交易中，Zcash开发公司Electric Coin Co.负责产品和监管关系的Jack Gavigan说。

Gavigan说：

    “我相信它是符合规定的。我认为，它比其他大多数加密货币更符合FATF的建议。他说，交易所可能会要求用户使用Zcash中的透明地址，要求用户不要选择其额外的隐私功能。”


“监管机构正在迎头赶上，”Gavigan表示。他表示，该公司已与韩国监管机构接触，让他们了解Zcash为何合规。

隐私币在铁杆密码爱好者中仍然很受欢迎，他们认为政府应该对这些币采取不干涉的态度。

“你认为隐私是一项基本权利吗？”9月17日，Binance首席执行官赵长鹏在推特上宣布，这家加密交易所的贷款业务将支持Monero、Zcash和Dash。Binance总部设在马耳他，外界认为马耳他提供了更宽松的监管。马耳他是欧洲反洗钱机构Moneyval的成员之一，该机构是FATF的准成员。

FATF将于2020年6月对其成员国执行该指导方针的情况进行审查。缺乏合规可能导致交易所关闭并受到惩罚。


原文：https://www.bloomberg.com/news/articles/2019-09-19/privacy-coins-face-existential-threat-amid-regulatory-crackdown
作者：Olga Kharif
编译：Kyle 查看全部

Zcash最初由一群专业投资者投资逾300万美元创建，Zcash的发行曲线遵循比特币，总量为2100万。



关于新ZcashDev基金可能性的私人信件 —— Zooko Wilcox


注意：本信件是对mineZcash、Gareth Davies、Aristarchus等部分Zcash社区成员发起的热烈讨论的回应，没有密切关注Zcash社区的人可能是第一次听说这件事，但实际上这些成员已经在社区工作了几个月的时间，正是他们推动了讨论的发酵。







对于Zcash社区来说，这是一个激动人心的时刻，社区就2020年10月前的计划展开重要对话，届时正是区块奖励减半、Zcash创始人奖励结束的重要时期。

我希望社区可以更新“开发基金”结构，重新分配未来的区块奖励，为重要功能提供核心支持，如软件开发、用户支持、业务开发、监管和政府外联、安全审计和监控、宣传和营销企划、新协议开发等。并且，我希望社区能够让ECC（Electric Coin Company）公司参与到这些工作中来，但计划的走向是否符合我的预期还是个未知数。

以下是我认为我个人、以及ECC公司，能在这些工作中给予的支持。

首先对那些还不了解我们的用户做一下背景补充。


项目历史


大部分项目以ICO起步，即以未来的前景作为保证进行公开募资，Zcash采用了一个完全不同的模式。


投资发布（2015年）





图片来源：Coindesk


Zcash最初由一群专业投资者投资逾300万美元创建，Zcash的发行曲线遵循比特币，总量为2100万，发行代币数量每4年减半，我们承诺，在第一个4年中，将210万的代币（即4年间预计发行的1050万代币的20％，也是代币总量的10％）分配给创始人，其余分配给PoW矿工。

作为对投资者的回报，投资者有权持有ECC公司的小部分股权（但占比很小，远不至于影响公司决策），还能分得小部分的创始人奖励，在代币发行后的12个月内分发给投资者。





图片来源：博客文章


发布（2016年）

早期的Bootstrap框架取得了成功，我们如期在2016年10月交付Zcash 1.0，我为我们的团队感到自豪，他们不仅创建了开创性的隐私保护技术，同时还交付了一个活跃、安全、足以抵御长年的外部攻击、足以承载百亿级别交易价值的网络，很少有团队能在这么少的预算下取得这样的成绩——不论是在加密货币领域还是其他领域，但团队的成绩远不止于此。

除了最初的Bootstrap框架以外，我们还制定了持续开发计划。Nathan Wilcox（公司的联合创始人兼CTO）和我决定让ECC公司从创始人处回购一小部分奖励，用于资助进行中的运营活动，而不是全部分发给创始人。我们的博客将这一部分代币称为“战略储备”，但这个名字还是有歧义，毕竟不是用作储备，而是用于资助，所以我更愿意称其为“开发基金”。





Zcash基金会


同时，包括我在内的部分创始人承诺捐赠部分自己的创始人奖励，资助非盈利慈善机构——Zcash基金会，Zcash基金会的大部分捐款都源于我和家人们的承诺，我愿意为Zcash基金会的诞生捐出一半的身家，之所以愿意这么做，是因为我们认为，创建一个独立于ECC公司的实体有益于Zcash社区的去中心化和长期稳定。对用户来说，存在两个服务性的独立组织也更加有弹性，因此，我们极力保证Zcash基金会不受任何成员控制。


聚焦交付和执行（2017-2019）






图片来源：斯诺登推特


说回ECC公司，通过战略储备/开发基金，我们继续支持、改进Zcash，我们开发和发布了Zcash“Sapling”，标志我们在计算机科学领域的又一进步，由我们创建的Sapling开创性技术正成为零知识证明的全球标准，不仅仅是加密货币行业，还给其他行业带来了影响。在这个过程中，我们还发现和修复了一个关键的底层漏洞——如果没有及时发现和纠正，带来的损害远不止于Zcash用户，还包括使用零知识证明的所有用户。

除了改进技术和协议、为更多软件用户提供支持，我们还在全球范围内广泛投资政府外联、业务发展、和教育项目。我们的战略决策就是加大对监管机构的教育宣传，让监管人员认识到这项新技术与现行法律监管条例的兼容性，以及它给个人安全、企业安全、国家安全带来的保护。






Zcash成为少数几个获得美国监管机构批准的加密货币之一，还上线了Gemini和Coinbase，Zcash几乎支持所有大型正规交易所、钱包、支付处理器以及全球范围的其他同类产品。


属于全社会的积极替代品（2019年）

最重要的是，这种政府外联和科技创新的独特结合也让我们有机会给社会带来有效的替代方案。地球上的每个国家都面临信息技术的快速发展带来的威胁，例如，Facebook用户基数巨大，用户暴露在这种巨头之下，势单力薄，任何想要以此牟利的行为都不可原谅。尤其如今世界在政治强权的高压下，亟待一个替代解决方案的出现。

Zcash的诞生证明更优越的模式是存在的，人们使用的产品和服务带来的是保护而不是威胁，尊重美国优良的民权传统、赋予企业充分的自由、信赖机构和法律法规。

（我这么说是因为我是美国人，当然Zcash是一项全球技术，服务于全球用户。）

但这个程度还远远不够，离目标还很远。我们目前正在帮助合作伙伴，让全球用户享受到最新的隐私保护技术更新，另外一项重大突破性技术开发也还处于早期阶段——首次在不牺牲全球用户安全和主权的情况下对去中心化网络进行扩容。


核心功能支持成本


截至2019年5月，战略储备/开发基金加上分配给ECC公司活跃成员的代币共占每月发行代币数量的4%，加上预算精简，我们在2018年的熊市期间也不需要任何裁员，而众多项目如以太坊、Dash、Steem、SpankChain、ShapeShift、Consensys等都进行了不同程度的裁员。

然而，在熊市期间，ZEC的价格徘徊在60美元左右，严格来说4％这个数据也不是很准确，持有ECC公司股权的创始人通过谈判达成协议，减少分配给创始人的创始人奖励，将更多的钱用于资助业务，该协议于2019年6月开始实施，目前约8％的每月发行代币用于资助项目和补偿公司活跃成员。

我们目前也在寻找能在下一阶段发光发热的能人志士（详情参考招聘启事），增强团队实力。就目前筹集的资金来看，我们需要6到12个月的时间来强化团队，厚积薄发。


面向Zcash社区的决定


创始人奖励/战略储备/开发基金将持续4年，我认为ECC公司和Zcash基金会有充分的时间让Zcash项目落地，在与Andrew Miller（当时是该项目的主要设计师，现在是Zcash基金会董事会主席）对话时，我将其比作了“火箭推进器”。

就算火箭推进阶段大获成功，也远不能说项目取得了成功。再重大的突破也需要十年的时间才能变得成熟；再伟大的创新想要获得用户认可、入驻人们生活也绝非易事。我们谈到，将永久性的开发基金定义为初始协议规则，我认为，任何有源源不断资金来源的组织在数十年间都会走向腐败，我倾向于不将开发基金视作长远发展的组织，如果未来有一天Zcash取得成功、社区壮大、且愿意继续给予它支持，则完全可以由社区来进行集体决策。

正如Placeholder Capital专家总结的那样，现在正是做出选择的时候了，不管是将新发行代币全部分配给矿工；还是使用部分新代币用于创建开发基金；抑或是其他的替代方案。

我们有意为开发基金设置时限，这样短期内我们不需要考虑“百年发展大计”这样的大命题，如果我们的决定是正确的，那么4年后不可避免地还要经历一次决策过程，但这在合理和预期范围内。现在在Zcash社区内出现的激烈辩论是一个积极的信号。

接下来我们来谈谈我和公司在未来的工作中能给予的支持，首先，先来说说我们力所不能及的事：


决定权不在我


我无法单独为社区做决策，早在Zcash项目创建初期，我便与Nathan Wilcox、Andrew Miller、Matthew Green、Naval Ravikant以及其他人共同咨询商讨，制定项目雏形。

我们只是搭建了骨架，社区则为项目注入了血肉。比如，我之前说过，愿意将自己一半的资产用于建立Zcash基金会，事实虽然如此，但你能想象吗？这些代币在那时没有任何价值，某种程度上，我当时的承诺一文不值，Zcash的其他架构也是如此，项目的第一个4年会将发行代币的20%作为创始人奖励，如果代币没有价值的话，这个奖励也形同虚设。

发行代币价值来源于持币人：Zcash社区开始使用和评估ZEC；矿工和创始人收到奖励；战略储备/开发基金和Zcash基金会得到资助。

我们创建了一个雏形，社区让它变成现实。

这套规则适用于Zcash的第一个4年，而下一个4年，社区需要对项目进行重塑。


决定权也不在ECC


ECC公司也无法单独做决策，假如ECC公司的所有员工都乘坐同一辆飞机参加一场场外会议，但不幸遭遇空难，没有一个人幸存，Zcash社区也依旧要考虑同样的问题：我们是否需要每月花费数千万美元来支持核心功能开发，例如协议开发、软件支持、安全审计、政府推广、教育计划和业务开发，或者将100％的新代币都发放给矿工？


ECC公司和我可以提供哪些支持？


公告和建议

我们可以公开目前掌握的信息，比如迄今为止的工作成本、工作成果、政府关系、业务开发、教育推广等，透明度几乎翻了一番。

我认为对Zcash社区最可靠的数据是ECC在各项企划中的成果以及过去几年所消耗的资源，如果社区打算继续雇用ECC公司，这些数据正是对公司未来表现的最佳预测，另外，其他技术团队在进行成本和时间的预估时也有很好的参考价值。

另外，我还可以透露其他的资金替代方案，ECC很了解Zcash生态系统——运营情况和潜在合作伙伴、政府和监管关系、未来的技术开发等——然后对社区提交的提案进行评估，近期ECC会发布一篇博文，介绍我们的评估流程。


实施社区决策

根据社区需求，我们可以进行开发、安全审计、测试、软件分布和升级，就算社区的决策是解除对ECC的核心支持、切断ECC资金来源、不再允许ECC参与长远的软件开发，我们也会以社区意愿为主。但目前我们有足够的财务基础，足以完成部署、进行安全审计等，在过渡期给软件充分的支持。


尊重社区对商标的决定

在多个国家范围内，ECC公司都是“Zcash”商标（也就是金色的Z字母）的合法持有者，我们已经同Zcash基金会就如何使用商标达成了协议，但鉴于我们是商标的唯一合法持有人，我们有权要求交易所或第三方仅在获得社区集体认可的情况下使用Zcash商标。

如果社区决定脱离ECC，或者完全解除ECC的核心支持，我们可以将商标用于社区支持的项目上。在这种情况下，我们将无法长期开发和保护商标，但至少可以确保在过渡期间的合理应用，然后继续争取对商标的长期管理权。

另一方面，如果社区选择了ECC，那么我们将继续确保交易所和第三方合理使用商标。

评估社区的集体决策非常困难，因为Zcash社区规模大、多样化、匿名、范围广，再完美的集体决策评估方法也无法让所有人满意。尽管如此，作为商标的持有者，我们所能做的就是尽职尽责，并尊重社区决定。


原文：https://medium.com/@zooko_25893/a-personal-letter-about-the-possibility-of-a-new-zcash-dev-fund-f6d30df64392

稿源（译）：https://first.vip/shareNews?id=2008&uid=1

作者：Zooko Wilcox

翻译：头等仓_July 查看全部

 随着测试项目Tornado Cash的上线，以太坊网络已经可以执行隐私交易。这就意味着用户可以在不公布交易金额或者早前交易记录的情况下创建交易。

从理论上说，这个方案可以让以太坊在金融隐私方面更接近于现金，因为没有人会知道你的资金被用在哪里。

Tornado Cash工具的开发者表示，用户可以通过智能合约以及隐私密码学（即零知识证明）匿名发送以太坊。长期以来，此类技术一直是隐私币Zcash的核心。

该工具的工作原理是断开链上资金的来源和去向之间的联系。实际上，Tornado Cash的运作模式类似混币服务，其充当了中间人，但它是非托管类的，这意味着用户可以控制交易涉及的所有资金。

Tornado表示，“每当ETH通过新地址提取时，都没有办法将存取的过程联系起来，从而确保了完全的隐私。”

然而，虽然其给以太坊网络带来了隐私交易，但用起来有点困难，整个过程甚至有点矛盾。

问题在于资金提取的过程。要提取资金，你必须额外持有一个存有以太坊的独立地址。这是一个问题，因为如果你用已有的以太坊向这个地址发送资金，那么就很容易确定地址属于你。而这首先就违背了使用Tornado Cash服务的初衷。

为了解决这个问题，Tornado创建了一个名为“relayer”（中继器）的工具来完成这个过程。这意味着你只需要创建一个新的以太坊地址和一次零知识证明，然后relayer将完成其余的工作。但如果这还不够，Tornado建议采取更多步骤来确保整个过程是匿名的。简而言之，过程并不容易。

虽然以太坊用户很愿意让ETH的使用变得跟现金一样简单，但对于不熟悉技术的用户来说，他们可能不太会用Tornado。相反，他们将不得不等待以太坊2.0的到来——无论要等到什么时候。


原文：https://decrypt.co/5537/ethereum-2-0-state-of-play-ethcc-sharding-serenity
作者：Rebecca Campbell
编译：Wendy 查看全部

Zcash创始人Zooko Wilcox

前言：Zcash，作为第一个抽取“创始人奖励”的加密货币项目，其正面临开发资金来源的问题，根据原计划，Zcash将在2020年10月份结束创始人区块奖励，但作为其创始人的Zooko Wilcox，似乎并不愿意看到这个结果的发生。


北京时间8月1日，Zcash背后ECC公司的首席执行官Zooko Wilcox，呼吁建立一个新的“开发基金”，以支持zcash的未来运营。

这一举动，是针对该项目备受争议的“创始人奖励”的延续而进行大量辩论之后做出的，这成了Zcon1会议上的讨论焦点，甚至这迫使Zcash社区的一部分人转到了一个新的网络Ycash。

Wilcox在昨天公布的一封冗长的公开信中表示：

    “我希望社区将决定更新‘开发基金’结构，为软件开发、用户支持、业务开发、监管和政府推广、安全审计和监控、教育和营销计划、新协议开发等分配未来区块的奖励。”


（简而言之，Wilcox希望以另一种方式延长“创始人奖励”计划）

Wilcox还表示，他希望Zcash社区能够“雇佣”ECC公司来执行这些任务。

其提到说，Zcash没有走ICO筹资之路，最初是从一群投资者那拿到了300万美元资金。

然而，该项目的设计，是在头四年中将Zcash 2100万代币供应总量的10% 分配给创始人，其余的区块奖励则归网络上的矿工。而根据Wilcox的说法，Zcash的早期投资者，也可以拿到部分创始人奖励。

现在，根据ECC首席执行官的说法，Zcash计划将在2020年10月结束创始人奖励，此后就需要一种新的发展资助方式。

Wilcox表示：

    “我选择让最初的发展基金自己落幕，这样在未来，如果Zcash成功了，一个社区要成长起来支持它，这个社区就必须集体决定下一步要做什么。”


他说，未来的选择包括将所有新的ZEC奖励分配给网络矿工，或者换个比例的抽成奖励来创建一个新的开发基金，或者用“其他替代方案”。

目前，Wilcox正在努力推动一个新的开发基金抽成计划：

    “这个决定与ECC公司无关，如果ECC公司的所有员工明天都要坐同一架飞机去参加一次非现场会议，而那架飞机在没有生还者的情况下坠毁，Zcash社区仍将面临同样的选择：我们是否要使用我们的千万美元中的一部分？每个月都要花费在资助核心支持功能上，例如协议开发、软件支持、安全审计、政府推广、教育计划和业务开发，还是我们应该将100%的资金都给矿工？”


最后，Wilcox呼吁社区成员通过公共论坛或电邮和他们沟通。

根据Wilcox的说法，Zcash基金会“很快”将公布一项“社区决定”程序，而ECC将发布一篇博客文章，说明如何在未来几天内评估提案。


原文：https://www.coindesk.com/zooko-wilcox-pushes-for-new-developer-fund-to-support-zcash
作者：Daniel Palmer
编译：洒脱喜 查看全部

自比特币 2009 年上线以来，其去中心化，抗通胀，低门槛等特性逐渐被大众所认可。但是，随着当今社会对个人隐私越发的重视，比特币其账本 100% 公开透明的特点也遭受诟病，一定程度上阻碍了比特币作为支付手段（灰色地带）的发展。

为了保护用户的隐私，基于各种技术的匿名币应运而生。存在即合理，匿名币注定会在区块链蓝图里占据重要一席。 今天，要和大家讨论的是匿名技术中三位典型的代表：门罗币（Monero），大零币（Zcash）和古灵币（Grin）。究竟谁才是匿名之王？


一、前世与今生


门罗币（Monero）于2014年4月18日主网上线。其代码从匿名币 ByteCoin 分叉而来。为什么会分叉？因为 ByteCoin 不够透明，80% 的代币被预挖，掌握在少数人手里，这也是为什么币安下架这个代币的原因之一。同时 ByteCoin 的代码质量极差引起了社区完美主义者的极度不满。

Monero 一词在世界语中代表着“货币“，该命名由社区投票选出，表达了社区希望 Monero 成为全世界通用匿名货币的初衷。Monero 采用 PoW 共识算法，到2022年5月，预计将开采出 1822.3 万枚代币（目前流通量为 1700 万枚），之后将保持每分钟发行 0.3XMR 的速度来继续激励矿工维护网络的安全。在还没有太多匿名币竞争者的蛮荒时代（2014年-2016年），Monero 在黑市越来越流行，从最初的 500 万美金市值，一路攀升到现在的 15 亿美金，涨幅高达 300 倍。






大零币(Zcash) 于2016年10月28日主网上线。其前身为 Zerocash 零协议，该协议于 2014 年创立，并由霍普金斯，麻省理工等大学实验室维护。零协议着重解决数字货币隐私的问题。Zcash 是第一个基于零协议，实现了零知识认证（Zero Knowledge Proof）的匿名币。 Zcash 由比特币代码分叉而来，因此 Zcash 许多特性和比特币相似，例如：Zcash 总量为 2100 万个，每四年减产一次等等（目前流通量为 680 万枚）。

Zcash 这个项目由一家名为 Electric Coin 的美国公司维护。在 Zcash 被开采的前四年，10%（流通量） 挖出来的币（按照 200 美金价格计算，10% 一共是 1.36 亿美金）会进到这家公司的口袋，以维持公司的经营。这也直接导致了社区的不满，出现很多 Zcash 的分叉币，例如：Horizen，Zclassic 等等。值得一提的是，Zcash 因为其慢启动的设计，即开采初期挖矿难度非常的高，一个 Zcash 曾一度达到 3000BTC 一个的天价。真是心疼当年接盘的老铁啊，这辈子应该也无法解套了。另外大零币并非强制要求链上所有的交易都是匿名的，只有当你选择使用隐地址（Shielded Address）时候，交易才会匿名。






古灵币 Grin 于2019年1月15日主网上线。Grin 采用了 MimbleWimble 协议。2016年，MimbleWimble 协议由一位化名为伏地魔的 Tom Elvis Jedusor 的程序员在 Bitcointalk 提出，主要的目的是解决比特币扩容和隐私的问题。同年10月，论坛上另一位匿名开发者发布了基于 MimbleWimble 协议的第一个项目，并命名为 Grin。Grin 除了捐赠，没有进行任何形式的融资，没有私募，lCO，也没有任何预挖。

为了稳定 Grin 的价格，Grin 发行总量没有上限，每分钟出一个块，每个区块奖励 60 枚 Grin，区块奖励将会逐渐的降低 。按照此方法计算，目前流通的 Grin 大约有 1300 万枚 Grin，一年后将会生成 3000 万枚 Grin，30 年后将会生成 10 亿枚Grin。同时 Grin 的 PoW 使用了两种算法：主要算法 Cuckatoo31+（ASIC友好） 和次要算法 Cuckatoo29（抗ASIC） ，其目的是：在主网发布初期，90% 的区块将被 Cuckatoo29（抗ASIC） 挖出，因为 Grin 开发者认为，当网络算力很小时，矿工很容易掌握大部分的算力导致网络过于中心化。当主网络稳定，算力足够大时，Grin 的挖矿方式则会慢慢切换到主要算力（ASIC友好），目的是鼓励矿机生产厂商制造 Grin 矿机，增加全网算力，提高网络的安全性。


二、匿名技术


1.门罗币：关键词： 隐地址，环签名，机密交易，Korvi






隐地址（Stealth Address）的作用是隐藏收款人的地址，保护收款人的隐私。Stealth Address 工作的原理是：每当有交易发起， 都会随机的生成一个新的收款人地址。这样做的好处是，就算有多笔交易发送给同一个人，每笔交易的交易记录都显示不同的收款地址。这让外界不可能将这些交易记录联系到同一个收款人身上，从而保护了收款人的隐私。






环签名（Ring Signature）的作用是隐藏发送人的地址，保护发送人的隐私。从 Ring Signature 字面意思可以略知一二，那就是通过一群人形成一个环（圈子），每个在环（圈子）里面的人都有相同的地位和权力，环（圈子）里的任何人都可以授权交易。如果使用环签名授权交易，从外界的交易记录来看，无法确认具体是环（圈子）里哪个人授权的交易，从而保护了发送人的隐私。

机密交易（RCT）的作用是用来隐藏交易金额。RCT 全称为 Ring Confidential Transaction，在引入 RCT 之前，门罗币要求只能把交易金额一样的交易串成一个环，比如张三手上有 20 个门罗币想给李四转账 10 个，但是当前并没有 10 的环，那么张三只能把交易拆分成 3 的环和 7 的环。在引入 RCT 之后，如果张三拥有 20 个门罗，但只想转移 10 个门罗给李四，但是RCT 要求把交易分成 10+10 两部分，一部分直接转移给李四，另外一部分转移给张三自己，从而隐藏交易信息。






Korvi 的作用是用来隐藏交易双方的 IP 地址。Korvi 不是简单的 VPN 网络 。你可以把 Korvi 理解为门罗特有的中继网络。在 Korvi 每个网络节点之间，每笔交易都会被节点自己掌握的私钥进行加密。就好比 A 给 B 发送交易，在实际的 Korvi 网络中，数据包经过的路径为A->D->E->F->C->B 。如果你想拦截翻译 AB 之间的交易信息，你需要获取A,D,E,F,C,B所有人的授权和私钥，这是非常非常困难的，因为路径一直在动态地更改。


2.大零币：关键词：zk-SNARK，零知识证明

大零币基于 zk-SNARK 协议， 采用了 零知识证明（ Zero Knowledge Proof）的方式来保护用户的隐私。零知识证明即能够证明自己某种权益，但又不把相关信息泄露出去，即给外界的知识为零的一种证明方式。零知识证明需要满足三个特性：完整性，可靠性和零知识性。为了方便大家理解。大白举一个例子：

假设：张三和李四参加了币安组织的交易大赛，大赛规定：一等奖获得 200 个 BNB，二等奖获得 100 个 BNB，三等奖获得 50 个 BNB，参与奖 10 个 BNB。

实际情况：李四获得了第二名（100BNB），张三只获得了第三名（50BNB）。

问题：张三和李四想知道对方是否和自己取得了一样的成绩，因为面子问题，又不想把自己的具体获奖情况泄露给对方。


零知识证明法：






张三准备了四个信箱和四把钥匙，持有这四个信箱钥匙分别代表张三获得一等奖，二等奖，三等奖和参与奖。根据实际情况（张三获得三等奖），张三按照规定毁掉了1号，2号，4号信箱的钥匙，保留了3号信箱的钥匙。






李四准备了四封空白的信，在四封信上画微笑分别代表李四获得一等奖，二等奖，三等奖和参与奖。李四按照规定在2号信上画了一个笑脸（李四获得二等奖），并将几封信依次投入张三准备的信箱。






第二天，张三自己用钥匙打开3号信箱，查看李四投信，发现信是空白，张三便知道李四没有和自己得同样的奖，并把信归还给李四。李四收到回信后，发现信上没有笑脸，李四便知道张三和自己没有获得相同的名次。

上述过程，便是零知识证明的一个典型例子，其证明过程中没有泄露给外界任何信息。


3.古灵币：关键词：MimbleWimble






MimbleWimble 来自于《哈利波特》中的一句咒语，目的是让被施咒的人无法开口说话，保护秘密。MimbleWimble 没有采用比特币的 UTXO 模型，因此可以省略大量历史数据的中间数据，比如：A-B-C-D，可以直接压缩为A-D，从而压缩了大量数据。MimbleWimble 协议中没有地址，参与交易的双方需共同创建一个用于交易的多重签名，并用私钥验证交易。所以在MimbleWimble 中，只需要验证 2 个事情：1：该交易没有凭空产生新的币。2：交易双方拥有其私钥的所有权。

MimbleWimble 巧妙地利用了椭圆密码学（Elliptic Curve Cryptography）满足乘法交换率和结合律的特性，来引入致盲因子从而模糊交易信息，举个例子：

引入致盲因子之前交易信息为：10+5=15

引入致盲因子5之后：10*5+5*5=15*5 即 50+25=75，

等式依然成立，但只有参与了交易的双方掌握了致盲因子的私钥，才能够得将致盲因子分解出来，得到交易信息。

可以说，匿名币这三巨头的技术可谓各有千秋，那么一个项目的成功光靠技术是不行的，我们再来从其他的维度来对比一下这三个老大哥，具体见下表：







三、小结


最后我们来总结下这三个匿名币各自的优势和劣势吧：


门罗币（Monero）：

优势：
1.匿名货币的鼻祖，其核心技术经过了时间的考验。
2. 背后团队完全匿名，项目完全由社区治理。
3. 知名度高，已上线大部分顶级交易所，流动性非常好。
4. 已经开采了 95% 以上，未来通货膨胀率低于 1%。

劣势：
1. 市值较高。


大零币（Zcash）：

优势：
1. 第一个基于零知识证明的匿名币。
2. 背后的公司拥有充足的资金以支持项目的发展。
3. 匿名非强制性。

劣势：
1. 项目由公司主导，财务不够公开透明。2020 年之后，10% 挖矿收益将不再支付给其背后的公司，那么该公司是否还有动力继续维护该项目？还是说放任不管，归还给社区？其背后的公司是一颗大雷。
2. 目前为止，Zcash 链上只有 20% 不到的交易为匿名交易，大部分还是公开的交易！！


古灵币（Grin）：

优势：
1. MimbleWimble 技术创新 ：占用空间小，交易速度快。
2. 社区主导，未接受任何形式的融资 ，不涉及复杂的利益关系。

劣势：
1. Grin 因为设计，没有地址，因此用户体验不是很友好。
2. Grin 在前期通货膨胀非常严重：每个块生产 60 个 Grin，按季度减少出块奖励，第一季度通货膨胀为 400%，第二季度为 200%，第三季度为 133.3%......十年后通货膨胀仍然高达 10%。
3. Grin 没有资金上大的交易所，只能等交易所强上，比较被动。


作者：希多说币 希多 查看全部

*声明：本文来源于Circle Research，由头等仓@Tracy 进行翻译。本文为报告下篇，主要讲述MW协议的具体用例及拓展等问题，相关原理背景可查看上篇文章，感谢支持！


MimbleWimble不是首个或唯一保护区块链隐私的方法。要对所有可用的隐私解决方案进行全面和深入的讨论超出了本报告的范围，但重要的是讨论替代方案。包括(但不限于)其他协议或底层匿名币(Zcash、Monero)、第二层隐私解决方案(Blockstream侧链)和交易层隐私(通过Samourai和Wasabi等钱包)。


匿名币

在Grin和Beam之前推出的2种匿名币是Zcash和Monero，这些币在协议层实现了匿名。Monero是一种基于CryptoNote协议的匿名币。Monero的一大优势是，默认情况下匿名。隐藏发送、接收地址和交易。Monero使用环形保密交易和隐蔽地址来实现匿名。环形签名会在交易中添加“诱饵”，而不会暴露哪些币经过签名，从而有效地混合了这些币。Monero的主要缺点是，即使使用了防弹技术，节省了大量空间，交易规模也是比特币交易的10倍。

Zcash的设计基于Zerocash协议。Zcash使用隐藏地址隐藏交易方，用zk-snark(一种零知识证明)隐藏交易金额。与Monero(以及基于mimblewimble的Grin和Beam)不同，Zcash默认不提供匿名性。在Zcash更新Sapling之前，创建一个保密交易需要大量的计算和时间。随着Sapling更新，隐藏交易所需的内存和时间减少了，这可能鼓励隐藏交易的使用。可选匿名性的另一个缺点是，隐藏交易可能被视为可疑。另一个受到批评的是Zcash信任设置。虽然Zooko Wilcox曾表示，破坏信任设置不会损害隐私，但比特币研究人员Peter Todd在与zk-snark开发者的交谈中表示反对。


侧链

侧链是一个通过双向锚定连接到一个基础层协议的独立区块链。双向锚定使得原来链上的币在验证过程中以固定比例与侧链资产交换。这些补充链可以支持基本层之外的其他特性和共识机制，以优化解决方案，包括但不仅限于匿名和扩容。比特币侧链公司Blockstream已经部署了一个这样的网络，最近推出的Liquid，默认情况下包含保密交易。Liquid使用一个由15个已知节点组成的小组(称为工作人员)来验证交易并生产区块，这以去中心化为代价加速了交易时间。虽然Liquid的治理更加中心化的，但是它解决了交易所遇到的特殊问题，例如赎回LBTC（Liquid的原生代币）。如果有单个网络节点宕机，这种模式将是非常有用的。此外，Liquid的设计使得无论某一单一工作成员信誉和网络状况如何他都不能直接控制被托管的比特币。Liquid的另一个缺点是，该平台的受信中介机构由Bitfinex和OKCoin等不受监管、历史上不安全的加密交易所组成。


匿名钱包

基于钱包的匿名解决方案(如Wasabi、Samourai或Breeze)的优势在于，它们可以在比特币(或其他币)的基础上构建，而无需更改底层协议。缺点是，如果没有在较短时间内找到匹配到资金，就会出现较小的匿名集和交易延迟。例如，Samourai的交错弹跳（Staggered Ricochet）可能需要2个小时才能到达接收方。此外，钱包对中心化平台的规则是匿名的。在2019年初，谷歌要求Samourai删除其应用程序中的某些隐私和安全功能，因为它违反了谷歌应用商城的新规则。

尽管有很多增强隐私的方法，但这些技术尚处早期 (包括MimbleWimble、Grin和Beam)。每个人都有自己的权衡，目前还没有明确的答案来解决加密中的隐私问题。


Grin

Grin是MimbleWimble在编程语言Rust中的第一个开源实现。其白皮书由匿名开发者Ignotus Peverell于2016年10月20日发布。许多Grin核心开发者取了与哈利波特相关的绰号。Grin于2019年1月15日在主网上发布之前发布了4个测试网。无论过去还是现在，Grin备受加密社区赞扬，因为它与比特币相似，特别是它的匿名开发团队，公平发行(没有预挖矿、ICO或创始人奖励)和以捐赠为基础的资助模式。无论如何，Grin确实有几个显著特点：

· 货币政策：Grin被设计成一种交易媒介，而不是作为像比特币那样的价值储存手段。Grin的矿工奖励为60Grin/分钟(1Grin/秒)。早期会出现高通胀，但随着时间的推移，通胀会逐渐下降。

· 共识算法：在开始阶段，Grin将尝试通过使用两种PoW来实现去中心化，这两种算法都是Cuckoo Cycle的变形(一种是ASIC友好，另一种抗ASIC)。Cuckoo Cycle是一种新的、有争议的工作量证明算法；Handshake区块链白皮书描述了它的一些问题。

· 治理：Grin没有正式的治理流程，但有一个由8名成员组成的技术委员会，负责管理Grin的通用基金以及开发路线图，它还举行公开的治理和开发会议。

· 功能：Grin正在通过添加诸如无脚本脚本之类的功能来增强MimbleWimble协议，基于这样的功能来实现更复杂的「条件交易」功能。社区成员也在努力通过诸如grinbox和wallet713这样的解决方案来改善用户体验。

· 挑战：虽然Grin因其以捐赠为基础的资助模式而闻名，但依靠外部捐赠继续开发和改进也是一个挑战。此外，要使非技术用户使用Grin，还有很多工作要做。

    自成立以来，Grin已在多家交易所上市，但它并没有请求上线交易所或支付上市费用。尽管社区乐于帮助交易所上线Grin，但Ignotus Peverell表示，他们“不会过多担心外部因素和(他们)无法真正控制的事情”。



挖矿算法

最初，Grin团队计划使用两种算法，一种是Cuckoo Cycle3 (John Tromp于2015年开发)，另一种是Equihash算法Equigrin，该算法要求较高的内存。

由于对内存的需求，限制了CPU和高范围GPU的计算。在Cuckoo Cycle发展过程中，由于对静态随机存取存储器(SRAM)的要求，人们认为Cuckoo Cycle具有抗ASIC特性。受SRAM限制的算法使制造ASIC更加困难和昂贵。Cuckoo Cycle的创始人John Tromp说，“Cuckoo Cycle最初是为了让内存延迟成为瓶颈而设计的。现在，许多年过去了，我们意识到Cuckoo Cycle可以很好地利用…SRAM，在ASIC中使用SRAM相当便宜。我们期望ASIC比GPU具有更大的效率优势。”

2018年8月，社区承认(1)在现实中不可避免要使用ASIC，(2)在开始可能不利于启动分布式社区，但从长远来看并非坏事。相反，ASIC友好算法可以使网络更加安全，因为ASIC矿机增加了网络的哈希率，使攻击更加困难和昂贵。ASIC对于协议的长期成功是有好处的，因为投资了数千万美元的矿工在安全方面的诉求与协议保持一致。

    另外，Derek Hsue认为，“任何产生持续抗ASIC的尝试都会产生秘密的ASIC芯片——这是有问题的。”


基于以上几点，Grin决定切换到由Cuckoo Cycle变形的工作量证明算法，这是，主要的ASIC友好(AF)算法和次要的抗ASIC(AR)算法，并逐步淘汰次要算法。Grin中的主要算法称为Cuckatoo31+，是Cuckoo Cycle的AF版本。被称为AF是因为它使用了数百MB的SRAM来提供比GPU更高的效率。第2种算法Cuckaroo29是一种内存硬AR PoW算法。然而，真正抗ASIC的唯一方法是进行有计划的硬分叉，不断调整算法(la Monero)，使已生成的的ASIC作废。Grin将每6个月执行这样的分叉，以调整算法，以阻止该算法的ASIC生产，直到该算法在两年内逐步淘汰。

加密社区的一些成员密切关注Cuckoo Cycle算法的稳定性。John Tromp在2014年首次提出了这一概念，随着研究人员找到优化计算的方法，这一概念在短短时间内经历了数次修订。Cuckoo Cycle是基于图论问题。一个令人担忧的问题是，如果某个矿工比网络的其他矿工更快地计算出Cuckoo Cycle，那么它可能会获得优势。John Tromp认为，矿工的相对优势可能会随着迁移到更大的图论而增加。如果社区的其他成员实现相同的解决方案，这种优势就会消失。

一开始，Grin的结构是90%的区块用次算法挖矿，10%的区块用主算法挖矿。2年后，100%的区块将使用主算法进行挖矿。在未来2年，Cuckatoo31+（主算法）将获得更大比例的区块奖励，每月线性增长3.75%。Grin社区希望，到Cuckatoo31+占据100%的挖矿份额时，将出现多个ASIC制造商健康竞争的情况。Grin每经过60个区块窗口，会调整一次难度。


Grin矿池

miningpoolstats.com的数据显示，Cuckaroo29有15个矿池，Cuckatoo31+有11个矿池。在撰写本文时，前2个矿池星火矿池和鱼池)的算力之和是Cuckaroo29的82%，Cuckatoo31+的68%。星火矿池和鱼池都向Grin的开发者基金和通用基金提供了捐款。虽然算力似乎集中在矿池，但矿池由许多参与者组成，这些参与者可以选择离开矿池，并随意将其算力转移向其他地方。

第三大矿池是GrinMint，这是BlockCypher于2018年9月首次作为测试网推出的一个矿池，并于2019年1月在主网上推出。BlockCypher收取2.5%的费用，并表示将分配0.5%给Grin开发者社区。BlockCypher还有一位全职开发者为Grin工作(Quentin Le Sceller)。其他回馈Grin社区的矿池包括MimbleWimble Grin Pool和Grin -pool.org。

另一个值得批评的是，在Grin上线时，由风险资本支持的矿工控制了大量的算力。结果，原本是市场买家的投资人变成了加密货币的卖家。当矿池发现区块并获得挖矿奖励时，投资人会立即出售这些代币，因为其要以比特币支付矿工薪酬。


货币政策

Grin的线性发行率，以60Grin/分钟(1Grin/秒)的速率释放代币，供应无限。另一方面，比特币的硬顶为2100万，其供应通缩。每4年区块奖励减半，直到2140年左右达到接近0。该模型鼓励持有币，预期每枚币的价值会随着时间的推移而增加，使比特币作为一种价值储存手段变得有价值。

Grin的早期通胀率非常高，当有数百万枚币在流通，通胀率会随着时间的推移接近0，虽然它永远不会达到0。实际上，通胀率需要10年才能降到10%以下，25年才能降到4%(与2018年的比特币比率大致相同)。通胀率需要50年才能降到2%以下。然而在现实中，Grin团队认为，如果考虑币丢失的情况，通胀率将会降低。据团队称，每年丢失的币可能高达总供应量的2%，在计算通胀率时应将这部分排除在外。无限发行是缓解币丢失影响的一个潜在方案。

无限通货膨胀背后的另一个原因是，(1)与通缩相比，无论是否早期加入网络，通胀政策对参与者的回报和优惠更为公平(对于早期的矿工来说，这不是一个快速致富计划)，和(2)如果预计明天的币价等同今天，它会更大的几率被用作交换媒介，这正是Grin的目标。由于币会被大幅稀释，短期到中期的高通胀会刺激消费，而非储蓄。社区认为，鼓励消费会扩大币的供应。

无限供应可以防止Grin最终只能依靠收费市场来确保网络安全——这也是比特币社区目前正在讨论/面临的挑战。一旦比特币的发行接近于0，该网络将必须转向仅收取交易费的模式，以奖励为保护比特币区块链而付出努力的矿工。这是一种新的区块链经济模式，但仍然会存在许多问题：1个区块打包多少交易？达到保护网络的每笔最低交易费是？以及旨在降低费用的第二层解决方案所带来的问题将如何影响底层区块链的安全性？





来源：grin-forum.org/t/emmission-rate-of-grin/171/21


怀疑论者批评Grin的线性发行率没有上限，因为通胀降低了储蓄的购买力，这否定了将资产作为价值储存的观念。然而，Grin中的通胀是一种有意的设计，目的是鼓励消费，抢占币丢失问题的先机，并确保始终可以补偿那些保护网络安全的矿工。高通胀的一个不利之处是，区块奖励目前在总供应量中占相当大的比例，类似早期的比特币。由于矿池出售Grin奖励，换取比特币支付给矿工，可能会对比特币的价值产生负面影响。


治理

    Grin的Lehnberg说：“治理是关于如何做出在参与者(参与决策的人)和利益相关者(受决策影响的人)看来合法的决策。目前Grin并没有一个明确的治理过程，但决策过程是透明的，并对社区开放。”


Grin有一个管理Grin通用基金并指导该项目发展的技术委员会。委员会成员包括Ignotus Peverell，Antioch Peverell，Hashmap， Jaspervdm，Lehnberg，Quentin le Sceller (BlockCypher)， Yeastplume (Michael Cordner)，John Tromp和Gary Yu。任何人都可以参加治理和开发会议，但通常最活跃的贡献者占据重要地位。

技术委员会每2周举行一次治理和开发会议，主题包括抗ASIC、筹资和指导资金使用、重大缺陷和漏洞、安全审计、交换集成、硬分叉等等。Grin还在Github页面上发布会议前后的议程、笔记和会议记录。在grin论坛上有一个关于治理的部分，其中有关于这个主题的帖子，表明社区正在积极思考如何从长远角度进行治理。

技术委员会使早期社区能快速和灵活地治理和开发，避免网络进程减慢。随着Grin的成长和成熟，人们一直在讨论建立一个更加结构化的治理过程，并进行检查和平衡。委员会成员和贡献者已明确表示，有必要确立一个更正式的流程：

· 为社区提供一种更结构化的方式来讨论和反馈

· 设置委员会的职权范围，以及向社区向委员会成员提供意见的规则。

· 所有利益相关方都可以提出自己的意见。包括核心开发者、一次性贡献者、矿工、用户、投资者、交易所等等。


缺点是，该委员会增加了中心化的因素，从长远来看，一个非官方的委员会不利于发展。一个例子是Burst PoCC，它的功能类似于Grin的技术委员会。有一天，他们对社区感到不满并意外退出，但仍然可以访问存储库、DNS注册等。他们还采取了其他恶意行为，如欺骗矿池和过早抛售，最终损害了Burst区块链。


融资

Grin是一个完全基于捐赠的开源项目。虽然它的发行很公平——没有ICO、预挖矿或创始人奖励，但缺点是开发和进展缓慢。Grin依靠无偿的兼职志愿者，为核心开发者基金、安全审计、营销和网络开发、会议等筹集捐款。

    正如Tushar Jain指出，“没有资本主义的激励，发展将会被推迟。” Grin社区认识到了这一点。在通用基金页面上，他们说，“现实情况是，有了资金来源，将大大推动Grin的项目发展。这将使Grin更快、更稳定地发挥其潜力，有更好的基础设施支持，并有更大的机会与资金充足的区块链项目竞争(或共存)。”


Grin社区从2016年开始构建Grin，直到2019年1月才在主网上发布。MimbleWimble的另一个实现Beam(详见下方)——是一家由风投投资者支持的私人公司，从2018年初开始研发项目，并早于Grin一周推出。

此外，社区的核心开发者和贡献者Yeastplume (Michael Cordner)，在最初难以筹集资金时，无法将全部精力投入Grin。只有在Ignotus Peverell对Cordner的募资活动(5.5万欧元)远未获得10%的资金表示失望之后，募资活动的捐款才开始上升。之后超额完成了筹资目标，在撰写本文时筹集了66,580欧元。

短期内依靠捐赠可能会奏效。然而，要维持发展并吸引人才加入该网络，Grin需要重新考虑其融资模式，因为它面临着资金充足、员工有薪项目的日益激烈竞争。


用户体验

如上所述，MimbleWimble去掉了地址。因此，发送方和接收方必须链下传递消息(称为“交易板”)，交互式通信进行币的转让。有多种方法传递标准化的JSON消息。一种方法是文件传输，包含纯文本文件格式的JSON消息，可以通过多种方式传输(电子邮件、电报、Keybase、业余无线电、信鸽等)，另一种方法是URL方法，其中API接受原始文本格式的JSON。

一组名为vault713的第三方开发者正在努力使Grin更加实用和更广泛采用。他们的第一个项目是交易协议Grinbox。这是一个消息中继服务，当与wallet713一起使用时，简化交易流程，wallet713由vault713的一个核心Grin钱包分叉而来，目前在Linux上运行。Grinbox和wallet713都旨在改进发送和存储Grin的流程。

首先，它们允许参与者创建公共地址来发送/接收资金，这样他们就不必公开IP地址。wallet713还允许用户将联系人姓名链接到其计算机本地存储的地址。此外，wallet713允许异步构建交易。vault713还在努力增加更多增强隐私和可用性的功能，如多签名支持、BTC和Grin之间的原子交换、在交易流入未确认交易池之前与其他wallet713用户联合使用CoinJoin、移动/网络/桌面GUI等等。

随着协议的成熟和人才的流入，将出现更多创建交易的方法。可能会出现基于NFC、QR、蓝牙等的近距离技术。最终，市场可能就一个方便且简单的方案达成一致，哪种方法能达成标准还有待时间考察。

Grin仅有几个月的历史，目前该协议最适合花时间和精力了解其工作原理的技术用户。虽然社区已经开始通过类似grinbox和wallet713来改善用户体验，但在让非技术用户舒服地在网络上交易之前，还需要时间进行迭代和教育。


结论

Grin最初吸引了密码朋克和密码无政府主义者，但其与比特币相似的精神也吸引了许多人。由于Grin匿名领导者、基于捐赠和草根性的资助模式、对隐私和去中心化的关注、以及其社区对推进项目而非快速赚钱的深切关注而受到赞扬。

但是主网上线只是Grin的第一步。要想让Grin获得长期成功并被广泛采用，还有大量工作要做。要解决的关键问题包括更可靠的筹资方式、更直观的用户体验以吸引更多用户进入网络，以及研究如何解决系统中的隐私漏洞(即监视节点创建交易图的能力)。

    核心团队表示，其“主要关注点仍然是稳定性、性能和安全性。通过第三方开发团队将Grin集成到他们的服务和产品中来培育一个健康的生态系统，以提高采用和改进。”无需Grin核心开发者参与，相反，可由围绕Grin的生态系统的第三方开发者解决。


Grin仍然是一个非常新的项目，开创了未经测试的新思想、加密概念和技术。如果Grin解决关键挑战，就有可能成为一种将隐私交还给个人的方式。


Beam


Beam是一家由VC支持的初创公司，总部位于以色列，于2019年1月3日推出了一款基于MimbleWimble协议且专注于隐私的加密货币。它于2018年3月开始以C++做构建，并于2018年9月发布了测试网。虽然Beam和Grin的相似之处在于都是MimbleWimble的实现，旨在为用户增强隐私，但它们的方法不同。与Grin不同，Beam是一家雇佣开发者做开发的私营公司。Beam一开始是封闭其原始代码的，之后才开放。Beam的另一个重要区别是针对企业和监管机构的可选审计性。

· 货币政策：Beam的供应计划是通货紧缩，第1年后，区块奖励下降50%，之后每4年减半，直到达到2.63亿beam的硬顶。此外，20%区块奖励用作开发支付给Beam Treasury，以帮助为Beam未来的开发提供资金。

· 挖矿算法：Beam使用修改版的Equihash，一种工作量证明挖矿算法，提供网络共识。为了确保去中心化，Beam将在前12-18个月定期调整算法以抵抗ASIC。

· 治理：Beam目前是一家由VC支持的初创公司，拥有带薪员工。长期目标是将全面治理移交给管理Beam Treasury并维护协议的非盈利基金会。

· 功能：Beam正在添加一个可审计功能，这样企业就可以在不损害隐私的情况下证明其合规性并提供交易可见。Beam开发者还在探索一个安全的BBS系统，该系统将支持非交互式离线交易。

· 挑战：不断改进PoW协议是一项艰巨的任务，避免ASIC挖矿集成将使全网算力较低，从而网络攻击成本降低。此外，Beam目前是中心化的运营和治理结构，向更去中心化的模式转变需要避免所有投资方之间的权力斗争。



挖矿算法

Beam使用Equihash，这是卢森堡大学的Alex Biryukov和Dmitry Khovratovich创建的一种工作量证明算法。Equihash是一种基于广义生日问题的非对称内存约束算法。Equihash的另一个关键特性是随机挖矿，这意味着生成证明的可能性与过去的成功或失败无关。Equihash有2个参数可以调整：n(以位为单位的宽度)和k(长度)，这2个参数决定了底层问题的复杂度，从而决定了算法的内存和时间复杂度。Beam上线时的Equihash参数：n=150， k=5。

Equihash在某种意义上是非对称的，因为它需要大量内存来生成一个证明，但不需要大量内存来验证它。这是Equihash的一个重要特性，因为大多数其他内存约束算法都对称，也就是说，验证证明与生成证明一样困难。内存限制指的是生成证明所花费的时间与内存而不是算力成比例。如果使用更少的内存，Equihash会不成比例地增加计算需求。

最初，内存是一种昂贵的资源，因此ASIC没有比常规CPU和GPU更好的内存优化。另一方面，ASIC比GPU有显著的带宽改进，而GPU又比CPU提供了显著的带宽改进。由于基础设施的改进，优化ASIC内存的成本低于预期。

    Zcash也是一家专注于隐私的加密资产，也使用Equihash，最初选择Equihash是因为它抗ASIC。然而，比特大陆在2018年发布了蚂蚁矿机Z9mini，“通过与SRAM接口，以相对较低的成本”，比普通硬件更高效地开采Zcash。Beam在关于Equihash的帖子中强调，“卢森堡大学的研究人员发现，截至2018年5月，20%-30%的Equihash由ASIC挖矿。”


Beam表示，它已经设置了Equihash参数，让CPU和GPU矿工短期内比ASIC拥有优势，从而使币的初始分布更加广泛。然而，Beam认识到ASIC是不可避免的，甚至从长远来看是可取的，因为ASIC成本低廉，并且增加了网络哈希率，从而使其更安全，更难以攻击。


货币政策与融资

Beam的货币政策类似于比特币。特点是规定了一个硬顶和通缩发行计划，定期区块奖励减半(每开采一个区块可获得的代币数量减半)，直到通胀率为0。因此，这家初创公司希望Beam能作为价值储存，而不是Grin这样的交换媒介。不过，比特币的相似之处就到此为止，然而，Beam的特殊之处还在于，Beam在第1年有更高的区块奖励，前5年区块奖励部分归于项目创始团队，出块时间为1分钟。

第1年，区块奖励为100 beam，高于通常的奖励，以激励矿工尽早加入网络，并将Beam引入市场。前5年收取20%(创始人费/开发税)，所以第1年挖出的每个区块（包含100枚Beam），80枚将支付给矿工，20枚支付给Beam 基金会。在未来2到5年内，区块奖励减半至50枚beam，其中40枚beam支付给矿工，10枚beam支付给基金会。第6年，区块奖励将再次减半至25 枚beam(所有奖励都将支付给矿工)，并在未来每4年减半一次，直到第129年。区块奖励将在第133年停止，届时Beam预计将拥有总计2.63亿beam的上限供应。





来源：medium.com/beam-mw/mimblewimble-emission-schedule-215551948259


Beam采用了创始人奖励机制(也称为开发税)，以回报投资者，并为正在进行的协议和工具开发提供财务激励。创始人奖励或费用是构建在区块链协议中的补充代码，该协议自动分割和发送区块奖励（coinbase交易）给区块矿工和创始人团队的地址。

这种方法显然不同于像ICO这样的预挖矿，或者像Dash这样的偷挖（insta-mine），给创始人一大笔流动资金作为报酬。尽管这2种方案都是早期团队成员所希望执行的，但这些报酬设计往往缺乏有效的资金管理或兑现计划。因此，在短期利益驱使下，资金挪用和骗局跑路的情况十分普遍。

创始人奖励则是指随着项目的发展逐渐补偿创始人。因此，初始的利益相关者更有动力去协调利益，维护网络的长期发展。Arjun Balaji指出：将奖励制度纳入协议，提供了透明且固有的资金分配和“以软或硬分叉降低退出摩擦”的自由。

创始人奖励结构最初是由Electric Coin Company(前身为Zcash Company)设计并推广。这家公司是专注于匿名加密资产Zcash的开发和维护Zacash的背后合资企业。起初，Zcash矿工只能获得80%区块奖励。剩下的20%将分配给Zcash基金会(一个支持Zcash开发的独立非盈利组织)、Electric Coin Company以及早期的Zcash开发者和顾问。继头4年之后，预先设定创始人奖励为0，以确保所有新发行的Zcash将全部归矿工直到达到2100万的硬顶。

Beam的融资模式与Zcash类似，在其早期阶段向Beam Treasury支付20%的创始人费。与Zcash不同的是，Beam将在头5年执行，包括第1年区块奖励为100Beam。在这5年结束时，应向Beam Treasury累计提供3150多万Beam。计划将35%的资金用于偿还早期投资者，另外45%的资金将分期偿还给核心团队成员和顾问。剩下的20%将用于支持Beam主权货币基金会（Beam Sovereign Money Foundation），这是该项目维护协议和治理的长期方案。





来源：medium.com/beam-mw/mimblewimble-emission-schedule-215551948259


除了创始人奖励，Beam还从Recruit Co. LTD、Yeoman 's Capital和节点资本在内的各种风险投资基金筹集了500多万美元，用于聘请全职开发者来推进协议。这些投资者将定期获得Beam分期付款（创始人奖励的一部分），以协调每个利益相关者的利益。

Beam核心团队和早期投资者都认识到，更集中的努力将加快生产，并避免其它项目经常出现的长久不更新或主件延迟。因此，Beam的利益相关者选择了这种中心化的方法来指导项目度过初始阶段。随着Beam的不断成熟，其目标是实现更加去中心化的激励和治理结构，将区块奖励交给网络矿工，并将控制权交给社区。

不利的一面是，Beam没有让所有投资者平等参与。在主网上线之前就从投资者那里筹集资金，或者将部分资金分配给特定集团(即ICO、创始人奖励或预挖矿)，都可能导致币的不平等分配。

与之相对的是与比特币和Grin类似的产品，在这些产品中，只能通过传统PoW挖矿获得加密资产。抛开技术障碍不谈，任何感兴趣的投资者都可以加入这个网络，挖出新的比特币或Grin。这样的发行往往会在网络用户之间展现出更公平的资金分配。


治理

目前Beam依靠一个位于特拉维夫的小型VC团队来确定所有协议更新和功能添加。因此，项目的组织结构更类似于私人创业公司，而不是大多数去中心化协议所显示的治理过程。这赋予Beam更能控制风险，以及快速转变和自由迭代，以满足市场需求，并加快其早期阶段的生产率。

Beam领导团队由首席执行官Alexander Saidelson、首席技术官Alex Romano、首席运营官Amir Aaronson和首席营销官Beni Issembert组成。其他核心成员主要由开发者以及一些设计人员和部门主管组成。该公司还从12位顾问那里获得见解，有OGroup首席执行官、通用电气(GE)新兴技术部门前首席信息官Maja Vujinovic和Genesis Mining首席执行官兼联合创始人Marco Streng。

随着协议的成熟，创始成员将把控制权从初始团队转移到Beam主权货币基金会（由杰出和受人尊敬的社区成员运营）。Beam认为，建立基金会将有助于实现其去中心化组织结构的目标。确定基金会职责和规则、纳入董事会成员的过程将在未来几个月进行，预计将于2019年底前启动。一旦基金会开始获得支持，当前的Beam公司计划转换为服务提供者的角色，在Beam协议的基础上构建最终用户应用程序。

大部分关于基金会的建立流程尚未公布，但已知的Beam基金会角色包括：

· 管理对Beam协议的改进提案和开发

· 资助和促进与Beam、MimbleWimble和蒲公英协议相关的研究

· 提高促进社区发展的意识

· 推动对数字货币和金融主权中对隐私重要性的认识



挑战

采用创业模式，Beam将面临与大多数创业公司相关的典型问题，并在缓和公众的看法，转向更去中心化的治理模式上处境更艰难。创业公司普遍失败率高，原因有很多，包括产品/市场不匹配、高消耗导致资金不足以及内部团队冲突。一个仅由经验丰富的企业家和顾问组成的团队远不能保证长期的成功，一个内部冲突就可能陷整个项目于危境。

    更艰巨的任务是获得足够的支持，以帮助将协议治理和开发工作从小型原始团队转移到整个社区。加密资产的一个重要评估指标是项目的去中心化程度，Beam有意延迟该指标。支持Beam策略的论点是项目早期“需要能够快速转动和迭代的自由”。用Arjun Balaji的话来说：“在早期优化去中心化的同时构建新型分布式网络几乎不可能”，因为这些目标本身就存在矛盾。



用户体验

Beam的钱包

Beam为非技术用户提供了图形用户界面(GUI)钱包，并为Mac、Windows和Linux提供了命令行界面(CLI)钱包。Beam桌面钱包创建了交易方可以彼此共享的公共地址。这些地址没有记录在区块链上。Beam最近还推出了Android手机钱包的测试版，并计划推出iOS手机钱包。该公司还表示，正在与硬件钱包供应商进行交流，以推出对Beam的支持。

SBBS

Beam试图通过使用安全公告牌系统(SBBS)使离线交易创建和异步通信更加无缝和安全。Beam的BBS是在上世纪80年代和90年代早期流行的电子公告板系统之后设计的。拥有家用电脑和调制解调器的用户可以通过固定电话与其他电脑连接，并在基于文本的公告牌系统(BBS)上留下信息，供他人查看。BBS主机是将计算机转换成地面数字会场。随着BBS变得越来越先进，用户可以玩基于文本的游戏，甚至可以方便地传输文件。

在Beam中，BBS钱包相当于家庭计算机加上调制解调器(它们是“客户端”)，而Beam全节点相当于BBS主机(服务于服务器)。SBBS是节点软件的一部分，并且是链下维护。BBS全节点创建一个存储转发网络，将消息转发给脱机的接收方。消息使用公钥加密，然后通过Beam全节点转发到接收钱包。在这种情况下，公钥充当P2P系统中的地址。如果接收钱包离线， Beam的存储转发节点可以将消息存储在充当留言板的数据库中。参与者解密订阅留言板上的消息，但是只有具有相应私钥的参与者才能解密指向他们的消息。

Beam打算利用其钱包和SBBS，让用户体验类似于基于地址的区块链交易，并降低与基于MimbleWimble协议的加密资产交互的门槛。

Beam钱包面临的挑战

在1月9日发布后不久，Beam开发者就发现了钱包里的一个漏洞，这个漏洞会让用户的资金受到攻击。开发者发现他们在钱包代码中留下了一些不该留存的内容。虽然Beam在发布之前进行了多次代码审查和审计，但主要关注的是Beam加密实现的稳定性，这表明在审计钱包和SBBS时可能没有采用同样的严格标准。Beam宣布，补丁是在内部发现并修复的，没有资金被盗。建议用户卸载钱包，并从Beam网站重新下载更新后的版本。

1月21日，Beam出现了另一个问题，导致区块链在25,709区块暂停生产。原因是钱包使用不当。更具体地说，通过钱包克隆，单个交易中相同的UTXO发送到区块链上。这导致“不正确的核销处理，最终导致无效区块”。Beam在将近3个小时内没有生成区块，在大约5个小时内没有处理交易。

可审计性

Beam的一个关键区别在于，它专注于服务业务。除了MimbleWimble可能带来的改进之外，Beam还开发了一个可选合规和可审计功能(钱包审计或商业钱包)，以帮助企业遵守法规并执行所需的审计。这允许企业创建一个附加审计员密钥的钱包，以便审计员识别由商业钱包创建的区块链上的标记交易。有了可选合规的功能，交易仍然匿名，而如果用户有需要，可以向审计人员报告。这为常规业务打开了加密资产的应用场景。

    根据Zaidelson的说法，虽然实际的信息将由钱包生成并链下存储，但是区块链会将每个交易的信息引用存储为哈希值。Beam区块链不存储历史交易细节——它只存储引用过去交易的交易内核。在这次采访中，Zaidelson说Beam“可以用这个内核来存储额外的编码信息……包括发票或收据等压缩文件的哈希值。当用户进行审计时，审计人员可以检查数据是否与数据的加密哈希值匹配。


由于这个功能还在开发中，使它的实践具有不确定性。如果它成功了就可能会解决企业的一大痛点。一方面，像比特币这样的加密资产以向竞争对手披露保密信息为代价，提供了完全的透明度和可审计。另一方面，Zcash和Monero等加密资产中的匿名功能可以隐藏所有交易的痕迹，从而禁止任何类型的审计。

可审计性的挑战在于，企业必须安全地存储与哈希值对应的数据。此外，企业需要相信审计员不会与未经授权查看数据的其他方共享审计员密钥。虽然Beam可以创建一种共享私有数据的方法，但是审计人员可能不知道如何审计标记在Beam区块链上的交易。理论上，他们可以将这一功能外包出去，但这将扩大接触敏感数据的人群。


路线图

在主网上发布后不久，Beam发布了2019年的全面路线图。它分为2大类别，Beam Core(专注于改进和推进Beam核心协议)和Beam Compliance(专注于启动和迭代Beam对业务的合规性和可审核性计划)。长期来看，Beam已经的了一个名为“Lumini”的项目，将致力于在Beam和其他一些智能合同区块链(s)之间建立一座桥梁，并在Beam上推出保密资产。


Beam Core

Beam Core分为5个阶段——Agile Atom、Bright Boson、Clear Cathode、Double Doppler、和Eager Electron。路线图的亮点包括年底之前部署闪电网络作为第二层解决方案，实现Beam的快速支付，2019年3月以前推出Beam与比特币原子互换，按计划执行2个硬分叉来调整Equihash挖矿算法以抵抗ASIC，详细参加下图。我们认为Beam首先必须推出智能合约和多签名功能(例如，通过无脚本脚本)来支持第二层解决方案，如闪电网络。







Beam合规

Beam合规性跟踪的主要目标是使Beam商业可用。Beam计划在其合规套件中增添一个“合规钱包”和一个“监管界面”，预计将针对具体国家的监管规定量身定制，目前暂定的上线日期是2020年。







结论

Beam采用了一种商业方法来构建一种价值储存匿名币。它有VC支持，并有全身心投入项目的带薪员工。因此，Beam能在不到一年的时间里从开发到上线。在Beam钱包和安全消息系统方面明确关注用户体验和易用性。另一方面，它的桌面钱包已经出现了一些小问题，可能会导致资金损失，这对如此年轻的项目可能有害。

Beam在其2019年路线图中概述了大型计划，包括在Beam上建立闪电网络，以及为企业和监管机构提供可审计的解决方案。Beam的独特之处在于，它为那些目前必须在提供极端透明或极端隐私的区块链平台之间做出选择的业务用户提供了内置选项。然而，Beam的合规性和可审计性方案尚未推出，可能会开放其他攻击向量。Beam有雄心勃勃的目标，在发布到主网之前，应该对这些目标进行彻底的测试，以避免粗心大意的错误导致用户资金或数据受损。如果Beam能够实现其计划，它将提供一组独特的功能，为业务用户解决明显的问题。


回顾


MimbleWimble的新颖之处在于，它通过协议版本的保密交易、CoinJoin和区块内和区块间的核销组合，增强隐私和效率，使更多设备参与保护网络。

    Grin和Beam都是MimbleWimble的实现，但它们的相似性仅限于此。Ignotus Peverell (Grin的创始人)指出，“一个常见的误解是，MimbleWimble描述了一个完整的加密货币解决方案，因此往往把Beam和(Grin)相提并论。”


虽然这两个项目都旨在为用户改进隐私和效率，但它们在大部分技术、结构和组织上存在差异。引发最多讨论的是Grin的捐赠和志愿者驱动/密码朋克式（类似于比特币和Monero）的可持续性，与Beam的VC支持的初创公司方法（类似于Zcash）的创始人奖励和付费员工的可持续性。时间会证明哪种方法更好。在此之前，看看这些项目如何相互作用并相互学习将是一件有趣的事情。







想要获取更多区块链项目资讯，欢迎添加助手微信号：go-first-one 查看全部

本文是 Grin 代码贡献最多的开发者 Ignotus Peverell 于 2016 年 11 月 1 日发布的一篇 Grin 和 MimbleWimble 协议与 ZCash 项目的比较。

Grin 作为一个实践项目，它的核心协议是具有匿名属性的 MimbleWimble，它和以匿名协议著称的 ZCash 之间的比较是合理自然的。在这里，我们尝试去比较最详尽的差异，希望不会有太多的偏颇之处。注意直到现在，MimbleWimble 协议也并没有在任何地方实现，Grin 也远未准备好。在我们有一个稳定的项目发布之前，ZCash 可以说一直是赢家，我们如下的说明都是一种猜想。


Grin Wins


无需信任设置（除了创世区块，没有任何其他种类的信任设置）。

优秀的渐近缩放与实际缩放。Grin 按照 UTXO 设置进行缩放，并且一段时间后每个 UTXO 都可以变得很小（因为可以最终放弃 rangeproof）。

在 MimbleWimble 中构建交易并验证它们在计算上是微不足道的，可以很容易地在智能手机或树莓派机器上完成。另一方面，在撰写本文时，构建 ZCash 的匿名交易需要大约 4GB 的内存和大约一分钟的计算。

默认情况下，MimbleWimble 中的所有交易都是不可见的，而此时 ZCash 的大多数交易在此刻似乎都是可见交易。

仅依赖于简单且经过良好审查的加密结构和假设。

绿色代码尽可能明确和简单，使未来的审计和维护更容易。

Grin 是一个社区驱动的实践，没有「创始人奖励」。


ZCash Wins


MimbleWimble 不支持脚本编写。虽然通过脚本在比特币中引入的一些功能，仍然可以存在于 MimbleWimble 中（如 multisig 和时间锁），但是缺少通用脚本使得其更加受限。请注意，此时 ZCash 也不支持通用脚本，为何不支持也没有理论上的原因。

虽然 Grin 交易输出完全匿名，但至少在某些时段，仍然可以追踪到那些输入相关的输出。目前尚不清楚从中可以得出什么信息。

ZCash 是基于 Bitcoin Core 代码分叉实现的，这是一个非常成熟（尽管很难维护）的代码库。

ZCash 由一家资金充足的公司提供支持。


相关讨论：https://www.reddit.com/r/Mimblewimble/comments/59qulw/mimblewimble_vs_zcash/

原文链接：https://github.com/mimblewimble/grin/wiki/Grin-and-MimbleWimble-vs-ZCash_ 查看全部

希望那些参加了「Scaling Bitcoin」和 Devcon4 大会的中国区块链开发者还记得 Zcash 基金会董事会成员 Ian Miers 在大会上的演讲。他在演讲中大声疾呼：我们处于密码货币开发和使用的早期，我们对如何保护区块链上数据隐私的经验还很少，所以我们必须小心谨慎地评估目前所有的技术解决方案，别轻易就说「我们已经实现了隐私保护」！

最近，Ian Miers 再次撰文，针对目前一些区块链隐私保护系统，提出了一些「假象」中的攻击隐私保护体系和追踪用户的方法，希望以此打破人们对现有区块链隐私保护技术抱有的幻想。他说，人们应该认识到，许多系统并不像大家认为的那样私密。



密码货币社区在评估隐私性方面做得不怎么地，他们在向普通用户解释不同项目之间关于隐私性的利弊时就甚至更加差劲了。必须要改进，并且现在就得改进。区块链世界涌现出了不少协议中，其中很多都希望成为未来的支付方式，其中某个还真有可能会胜出，到那时，想再考虑关于隐私性的正确设计是什么，就为时太晚了。

2011 年，当我开始研究密码货币的隐私性时，人们还普遍认为比特币是具有隐私性的。维基解密在推特上募集匿名的比特币捐赠，现在想想，这多少有些可悲。可现在再看，往轻里说，维基解密的一些捐赠者所处的形势有点敏感。

现在我们终于意识到了，比特币远非匿名的。许多学术论文表明，你可以将各种假名交易联系在一起，从而追踪某人在区块链上的行迹。此外，像 Chainalysis 这样的公司也在从事发现和披露此类分析的业务。

比特币可以认为是你银行账户的「Twitter」。任何人都能看到你在做什么，这些人中包括你的家人和朋友、现在和以前的恋人、商业伙伴、竞争对手，甚至包括政府机构。即使是政府决策者自己也应该记住，其他政府，包括那些他们不喜欢的政府，会通过比特币的交易深入研究他们的财政细节。

人们常说：「隐私已死」。这意味着，你没法指望自己的隐私得到保护，总会有人，包括政府、谷歌、或者某个神秘的妖怪，永远知道关于你的事情。但是，有人知道你最深最黑暗的秘密，和每个人都知道它们，这之间是有区别的。仅仅因为谷歌知道你的浏览历史，并不意味着你希望将浏览历史公诸于众。

在过去的七、八年里，我们看到了许多为密码货币增加隐私性的提议。这些技术的跨度很大，从像避免地址重复使用这类简单的事务，到复杂的密码协议，不一而足。事实上，衡量某个特定实施项目所提供的隐私性是很棘手的事情。

现在，我们不能只是诉诸于经验方法。如果这么做，那就像是在 1992 年评估互联网的隐私性。

1992 年时，欧洲核子研究中心 CERN 是仅有的网站。那会儿还没有定向广告和跟踪 cookie；谷歌 AdWords 直到 2000 年才推出。理查德·斯托曼 Richard Stallman 被视为杞人忧天的怪人。在当时，我们还没有真正使用网络做任何值得追踪的事情。

在当前的密码货币生态系统中，你无法查看人们的使用情况，无法以此对隐私技术是否（或有哪些）确实有效进行权威评估。我们无从获得必要的数据。如今，几乎所有的交易都是投机性的，这说明了热爱风险的投资者的隐私需求，但却忽略了其他所有人。

出门买张火车票，走到当地市场买一个三明治，到邮局寄一个包裹，然后在自动贩卖机买点东西，这会产生复杂的交织结构。这种行为及其产生的数据在绝大多数密码货币用户中并不明显。

作为一名研究人员，即使这些数据存在，我也不能使用它们。出于成本方面的考虑，我对数据的访问受到了限制，我和其他学术研究人员也受到了机构审查委员会施加的伦理限制。

但我们的对手不理这一套。

结果就是，我们不可能根据经验对未来的隐私需求做出评估。我们不能靠数据，只能依靠思想上的实验探索。我们需要仔细考虑我们的系统在未来几十年的使用情况，并思考它将如何发挥作用。一种可行的方法是检视相关领域中的问题。


现实世界的隐私威胁


人们提出的最常见的威胁是政府和执法部门利用区块链数据。就像投机者的隐私需求一样，这是一个威胁，但不是唯一的威胁。这也不是最可能影响公众的威胁。话虽如此，但我们不应忽视活动人士和异见人士的担忧。

在密码货币领域之外，我们最近了解到，谷歌一直在从 Visa 和万事达卡那里收集离线支付数据，并利用这些数据建立个人档案，用于投放定向广告。你可能认为谷歌做得很好，并且设置了合理的安全控制，也可能不这么认为。无论如何，这是一个令人担忧的趋势。如果谷歌正在这么做，那么某些不那么谨慎的个人和实体也会这么做。你从未听说过他们，也不知道他们是如何使用你的交易信息的。

同样，我们知道一些公司希望建立关于客户行为的丰富的档案。有许多数据来源可供他们整合，例如会员积分卡和优惠券的使用情况。零售商可以跟踪和分析这些信息，在一定程度上，他们可以猜测顾客什么时候怀孕，因为怀孕的顾客会表现出特定的购买模式。其他的医疗状况也可能呈现同样的模式。

有新闻报道指出，零售商的目标是在你甚至还不了解自己之前，或者至少在你的家人知道之前，就率先发现这些情况。

2012 年，查尔斯·杜伊格 Charles Duhigg 为《纽约时报杂志》写了一篇特写，里面有这样一则轶事：

在塔吉特百货 Target 数据科学家安德鲁·波尔 Andrew Pole 建立了一个怀孕预测模型一年后，一名男子走进明尼阿波利斯郊外的一家塔吉特门店，要求见经理。据参与谈话的一名员工说，他手里拿着寄给女儿的优惠券，显得很生气。「这是给我女儿寄来的！」他说，「她还在上高中，你们给她寄婴儿衣服和婴儿床的优惠券，这是什么意思？你们是在鼓励她怀孕吗？」经理不明就里。他瞄了一眼信封。果然，信封上写的是这名男子女儿的名字，里面夹着孕妇服和婴儿房家具的广告单张。经理立刻道歉。

几天后，这位经理又打专门电话再次道歉。

然而，在电话里，父亲显得有点尴尬。「我和我女儿谈过，」他说。「现在我才知道，在我的眼皮子底下出现了某些情况，而我自己竟然完全没有察觉到。她的预产期是 8 月份。我应该向你道歉。」



人们购买的数据存在严重的隐私问题。性取向也可能以同样的方式成为目标。这些示例可能比你从区块链中提取的更具细粒度，但问题还是体现在比特币这样的系统中。

一个更直观的例子是 Venmo。解释下， Venmo 是一项主要用于朋友之间的支付服务，比如用来支付酒吧账单或者吃饭时进行 AA。默认情况下，Venmo 对用户进行的每笔交易都有一个公共信息流，当中记录了你的姓名、收款方姓名和一个描述支付目的的备忘录字段。这与比特币区块链的数据非常接近。

我们已经看到了不少 Venmo 的公共信息流的失败案例，包括兼职大麻贩遭到逮捕，以及看似轻松的前男友盯梢指南。这在理论上蛮好玩，但实际上令人毛骨悚然，是对信息的滥用。

人们不应该对任何具有这些功能的系统听之任之。

另一个在密码货币领域更为人熟知的威胁是「可替代性 fungibility」。我们知道，对于某些密码货币，新挖出的虚拟货币会溢价出售。交易所有时会根据客户的交易历史，也就是过去曾把钱寄到何处，来屏蔽客户。

需要注意的是，交易所很强大。我们不能把他们仅仅看作是第三方观察员。它们对你的了解不仅限于交易图表。它们经常代表用户进行交易。这里的隐私问题类似于你在安卓手机上使用 Gmail 和谷歌地图的同时，还要试图保护隐私不受谷歌侵犯。在某种程度上，你在左右手互搏。

记住，比特币是你银行账户的「Twitter」，而且，这不是那种你可以选择写什么和发布什么的 Twitter。

比特币更像是一个令人毛骨悚然的另类世界的 Twitter，它能自动传输你的所有想法。


防御和失败


什么是可行的防御 ?

在一个海量数据被收集和供机器学习的世界里，似是而非的否认是行不通的。通常当我谈论这个问题的时候，总有人走过来对我说，「我可以跟警察讲：你不能证明那是我！他们还能怎样？」

这太天真了，对现实世界来说根本不够。正在部署的算法并不关心似是而非的可否认性；它们是基于概率操作。在概率足够高的时候，对于投放广告可行，对执法亦然。

区块链的隐私性不是直观的。通常人们倾向于认为，被动的第三方观察者是主要的威胁。但至为关键的还是要考虑主动攻击者，他们可以向你发送付款要求、接收你的付款，并与第三方进行交互。关于这类攻击，明显的例证是跟踪客户的商家或商户垄断巨头、试图识别支付接收者真实身份的人，以及希望追踪你的交易所。

隐私问题的假设解决方案范围十分广泛，所以我不会一一回顾。不过，我们可以从三种不同的系统的角度来看待这些方法。

首先，有些系统看起来像普通的比特币，你可以明确地识别支付的来源，唯一的保护是没有真名。基础层甚至不尝试混淆交易数据，这在密码货币圈中已经得到了广泛的理解。

另一种方法，我将其称为诱捕式系统 decoy-based system，在这种系统中，可以通过选择一定数量的可能支付来源来隐藏给定事务中真正发生的事情。最强有力的方法是 Zerocoin 和 Zerocash，在协议中根本无法识别来源。

在诱捕式系统中，例如 CoinJoin、门罗币 Monero 的 RingCT 等，你需要显式验证资金来源，但你会试图通过包含一些并非真正来源的诱饵来隐藏它。从理论上讲，任何查看交易的人都无法加以区分。通过添加噪声，实际的原点被混淆了。

同样，在使用 Zerocash 原理的系统中，没有任何标识符。

我的看法是，我们还没有正确地研究诱捕式系统的缺点。这是一个重大的疏忽，因为许多密码货币社区都将「诱饵」作为可伸缩隐私的来源。诱捕式系统统不能提供人们以为的周全的、抗攻击的隐私性。


诱捕式匿名（Decoy-Based Deanonymization）


假设你正在发送一个诱饵混淆的交易，该协议确定了资金的可能来源以及一些诱饵。现在，观察者或攻击者可以访问历史上可能相关的支付树。他们不能准确地指出到底发生了什么，因为它就像一个模糊的族谱，但是他们可以根据这个单一的交易推断出发生了什么。这个族谱，我称之为「污染树」，在未来也同样有效。


监督者攻击


假设你的交易是支付给一个商户。钱接下来会流向哪里？攻击者无法准确知道，因为系统使用了诱饵。但他们将能够追踪有限数量的可能性，以确定资金可能的流向。接下来，他们可以展开一个排除的过程。

污点树状图为攻击者提供了强大的追逐能力，特别是在对多个事务上重复跟踪分析时。如果你是一个商户，或者一组相互结盟的商户，你可以做的一件事就是跟踪有重复支付行为的客户。

打比方说，我每天都去塔吉特门店，用现金购物。应该没有办法追踪我的行踪，有的话也会非常费劲，比如采集指纹或DNA，这需要已掌握生物识别技术，或者预先知道我要用的钞票的序列号。

如果我开始使用密码货币在塔吉特购物呢？尽管大型零售商目前还不接受加密货币，但这是这些技术的最终阶段。理想情况下，我可以分别进行三次购买，而不至于将它们联系在一起。拥有真正隐私的加密货币将实现这一点。

如果你只从表面上看诱捕式系统，它似乎确实实现了这一点。这些交易貌似并没有联系起来：






情况只是更糟。让我们再次思考我对一家商户的多次支付。我不想让他们知道我是同一个人，但在一个诱捕式系统中，你会产生污点树状图，而这当中或许就有你的资金源。万一它们有一个共同的原点会怎样呢？我去
Coinbase 之类的交易所，买了一些加密货币，然后转到区块链上。

这样，这些资金将可以被归集到一个来源上。如果回溯污点树状图，可以查看交叉点并甄别出进行这些交易的人。这种方法不仅适用于一家商户，也适用于多家商户或其他接受支付的实体。他们可以联合起来搞清楚你是谁，对包括隐私来说，这是个大问题。


手电筒攻击


假设我想接受匿名在线支付。比方说，我是一个极权国家的异见人士，需要接受捐赠，但不能透露自己的真实身份；在我从事活动的地方，我的生命处于危险之中。但我的工作需要经费支持。当然，政府试图把我给拎出来。他们可以调动情报机构和秘密警察。

如果我使用的是一种保护隐私的密码货币，那么将捐赠的资金存入本地交易所应该是安全的，即使这个交易所由政府控制也是如此。理想情况下，那些可以用来识别我的数据，无论时基于概率或其他因素，是完全不可用的。无论交易所是否被黑客入侵、涉及腐败、遭到传唤或以其他方式渗透，我都应该是安全的。

我在这里描述的是它应该如何工作，而不是实际如何工作。

如果政府想要确认我的身份，他们是有我的密码货币地址的，因为我为了接受捐赠已经公开了它们。也许我的网站只有通过 Tor 才能访问；也许我甚至会在每次捐款时使用唯一的地址。当然，我依赖的是一种诱捕式的密码货币。

政府意识到他们可以向我的地址发送追踪付款。可能是 3 笔、20 笔、100 笔。支付数额可能非常小；毕竟金额无关紧要。在某个时候，我会把这些钱存起来。

现在我有大麻烦了。任何能够访问该交易所记录的人都可以测试该储户是否与那位民主活动人士是同一个人。他们可以检查我存储的那一套代币，重建那污点树状图和可能的资金源组合。

对于任何一个随机的人来说，他们的存款与污点支付扯上关系都不会太引人注目。诱饵是随机挑选的，所以在偶然的情况下其中一笔被污染的付款可能会流入它们的存款。另一方面，这种情况多次发生的概率很低。不可能有 100 笔污染款项都发给了同一位活动人士。

政府可以查看我的所有存款，并且看到我的污点树状图中包含他们发送的所有追踪付款。这些证据极有可能将我的法定身份与我的社会活动联系起来。

正如你所看到的那样，污点树状图对于去匿名是可行的，因此诱捕式系统违背了人们关于隐私保护在加密货币中应该如何发挥效用的认知。污点树状图有可能导致隐私遭到破坏。






这可能是对诱捕式系统最容易执行和最令人不安的攻击。

结论就是，与恶意发送方或接收方的重复互动是危险的。情况会越来越糟！


污染尘埃攻击


还记得我说过污点树状图可以用来追踪未来的资金走向吗？在你付款之后，可能会有一堆不确定的交易涉及这些资金。这也可能被滥用。例如，攻击者可以发现朋友、家人、前男友或前女友、或任何熟人在哪里花钱。

假设攻击者支付了一小笔钱。它甚至可能是一笔尘埃交易。他们先付钱给商户，然后付钱给受害者。攻击者一直在观察污点树状图的生长，尽可能多地花钱。






在某种程度上，这是一个有趣的交叉。攻击者注意到一个交易，它看上去涉及到发送给商家的资金和发送给受害者的资金。






这有许多貌似合理的解释。这种交叉可能是随机诱饵造成的。或者，接收到攻击者交易的受害者可能正在与该商户一起消费。攻击者现在看到的是商户将资金从热钱包中取出，或将其用于支付账单等。同样，任何一个实例都不是确定的。但是如果这个模式重复几次，那么你就有了强有力的概率证据，证明你的朋友多次向这个商户支付。






执法部门可以使用类似的分析来验证某个特定的人确实使用了特定的供应商。或者你也可以发现你的朋友在 Pornhub 上有购买行为。






总之，一旦你对攻击者可能如何接近这些系统进行威胁建模，诱捕型隐私系统的局限性就很明显了。你必须考虑人们能主动做什么，不能做什么，以及他们可能有什么目标。

各种隐私提案都需要这种严格的评估，否则就不能指望它们能够对抗聪明而且资源丰富的对手。加密货币的设计者一定要问问自己：「如果我要通过这个系统甄别某人，我会怎么做？」

那位接受捐赠的民主活动人士可能会想：「我很安全，有七个交易代理人在给我做掩护！」但在一个诱捕型的系统中，这并不可靠。一旦有人开始给你发送追踪付款信息，并从交易所获得数据，你就失去了所有的隐私。


解决诱饵问题






对这些技术的普遍看法似乎是：「嗯，比特币可能不具有私密性，但比特币以外的任何东西都会增加有意义的隐私。」

现实情况是，具体的技术和实施很关键。细节至关重要。用户需要了解他们所使用的特定系统所提供的利弊。购买兴奋剂与抗议独裁政权有着不同的威胁模式。

我并不是说基于诱饵的系统不可能提供有意义的隐私，如果你的诱饵集非常大。这里的「大」，指的是 500 万个可能的来源，而不是 5 个，这将改变攻击者能够发现的概率证据。最重要的是，诱饵集必须在最近的所有交易中大量重叠。否则，在与商家进行多次购买时，仍然会看到重复的共同起源等。

最后，重要的是仔细进行诱饵取样。这里我就不细讲了，有两篇论文对门罗币进行了研究，表明门罗币的诱饵样本分布与人们交易的分布并不一致。这当中存在差距。在之前的门罗币版本中，诱饵集的最后一个交易实际上是真实的交易。

链闻注：作者提及的两篇关于门罗币可追踪性的研究论文请见：An Empirical Analysis of Traceability in the Monero Blockchain https://arxiv.org/pdf/1704.04299/；A Traceability Analysis of Monero’s Blockchain https://eprint.iacr.org/2017/338.pdf



大多数诱捕型系统都是实用的。为了得到大量的诱饵集，你不能让系统线性地缩放诱饵的数量。以门罗币和它的「bulletproofs」技术为例，每增加一个诱饵，事务大小就会增加 1-2 千字节。很明显，线性缩放后，交易中不会有 100 个、500 个或 1,000 个诱饵。证明生成与验证规模相等，这破坏了实用性。

你需要的是对数大小。事务大小在诱饵集中应该是对数的，而事务生成和验证时间如果不是常量，那也应该至少是对数。


零知识的方法


我可能存在个人好恶，但在我看来，解决方案应该是一种 Zerocash 风格的协议。交易输出是对接收地址中的值的承诺，你可以在 UTXO 集的某个部分上生成一个 Merkle 树，无论你可以计算出什么。零知识证明用于表明你付款的来源存在于 UTXO Merkle 树中，可以在不暴露相关 UTXO 的情况下对其进行验证。这就是隐私的来源。这是 Zerocash 的基本方法，其中整个 UTXO 集包含在 Merkle 树中。

如何使其可伸缩？你必须选择一种你喜欢的零知识证明安全技术，我所说的「喜欢」是指：你认为其加密是安全的，你认为假设是合理的，并且设置属性可以满足你的任何操作需求。可能是 SNARK，可能是 STARK，也可能是 bulletproof。选择零知识证明之后，你可以修改可伸缩性。

方案和参数已经选定，现在轮到效率了。基准测试开始。随着 Merkle 树变长，如果你不像 Zcash 那样使用基于 QAP 的 zk-SNARK，那么交易就会变大，验证时间也会变慢。目标是找到一个深度，其效率可以满足性能要求。也许是 Zcash Sapling 在用的 d=32。也许
d=4，也许是 8。其实这并不重要，无论你做什么，你的诱饵集现在是 2 ^ d，这超过了大多数基于诱饵的方法。

我应该稍微说一下，这些技术的水准正在提高。对于 zk-SNARK，生成交易的时间从大约 40 秒缩短到约 2 秒。过去需要大量的内存，往往超过 3G，现在是 40 MB。同样，bulletproof 也越来越快。


结论


我们需要深入考虑保护隐私的方法。密码货币应该构建健壮的、抗攻击的解决方案来保护财务信息。这可能发生在链上，但这不是一个给定条件。现在人们常说，隐私将在链外得到保障。这很好，我希望它真能起到作用，但这不能免除你评估系统默认弱点的责任。仅仅因为它是链下的，并不意味着信息不会泄露。

我在 「Scaling Bitcoin」和 Devcon 两个会议上做了关于隐私的演讲之后，观察大家对此的反应非常有趣。有些项目非常认真并且准确地向用户说明了其隐私保护可以达到的程度。例如，Grin 项目在 github 上面专门撰文写明了该该项目在隐私保护方面的整体状况。这正是密码货币开发人员应该做的，而且其文件非常出色。Grin 的团队采取了非常保守的立场，谈论的是目前可用的隐私，而不是假设。我唯一担心的是 Grin 低估了泄漏交易图 transaction graph，他们称之为「输入和输出链接」的风险。但总而言之，Grin 开发团队所写的这篇关于该项目隐私保护情况概览的文章非常好，我希望更多的团队也能争取做得类似的行动，向用户说的明明白白。

链闻注：Grin 开发团队撰文所写的该项目隐私保护概览一文，可以参见「Grin Privacy Primer」https://github.com/mimblewimble/docs/wiki/Grin-Privacy-Primer



不幸的是，还有很多人的反应让人失望。那些声称 CT、秘密地址或 Dandelion 可以提供全面或完美的隐私保护的说法是不负责任的。这些技术都不能解决我提出的问题。它们都无法阻止手电筒攻击，而这种攻击可以让政府通过与接受支付的暗网互动来甄别某人的合法身份。

最后，许多人注意到，我提到的一些攻击在实践中可能很难发起，因为存在噪音和大量的交易。对于污染尘埃攻击，这么说完全正确。但对于手电筒攻击或者监督者攻击来说就根本不是这样了。

总的来说，我所描述的攻击都是思想上的实验。其目的是让你认识到许多系统并不像人们认为的那样私密，并指导对实际隐私级别的探索。

可能的情况是，在有了足够的流量和足够大的诱饵集时，你能得到可行的隐私保护。然而，除非有分析证明这一点，否则我们必须考虑哪些实施通过了基本的嗅觉测试。此外，我的示例是在考虑使用真实的加密货币时遇到的基本攻击。不要忘了，对手聪明、有创造力，而且孜孜不倦。

记住，被动的第三方不是唯一的攻击者。这并不是当今人们在互联网上使用现有技术所面临的主要威胁。数据正在被企业或恶意满满的前男友前女友，或被暴虐的政府追踪。

还要记住，攻击只会越来越强大。我们处于密码货币功能发展和使用的早期。与互联网或其他较老的系统相比，我们在构建或保护加密货币的经验还很少。

无论如何，作为开发人员和社区，目前把优先事项放在扩展而非隐私上，这是一个合理的选择。但是当你这么做的时候，要明白你在隐私方面放弃了什么，并应该对此保持透明。不要随意选择一种方式，然后说：「这增加了一些隐私，所以现在我们已经实现了完全私密。」这不是实情；添加一些隐私并不能使协议完全私密，而且用户仍然很容易受到攻击。

我们花了 20 年的时间才明白互联网的隐私问题有多严重。发展在加速，但仅仅几年是不够的。五年，也许十年。现在为隐私奠定基础至关重要。

本文作者 Ian Miers 是康奈尔大学博士后，也是 Zcash 基金会董事会的成员。他参与创建了 Zcash，并与人合著了 Zcash 的前身 Zerocoin 和 Zerocash 的有关论文。在 2018 年，Miers 在「Scaling Bitcoin」和 Devcon4 两个会议上发表了关于隐私攻击的演讲。本文以这些演讲为基础撰写。


原文：Blockchain Privacy: Equal Parts Theory and Theater
撰文：Ian Miers，Zcash 基金会董事会的成员，参与创建了 Zcash
编译：詹涓 查看全部