当前位置:  首页 →热点 →正文

匿名币——万亿级地下网络硬通货

2018-11-28 20:20:11 华尔街之狼

原标题:匿名币——万亿级地下网络硬通货

2008年11月1日,比特币白皮书发布。

2009年1月,中本聪挖出了“上帝区块”并获得了50个比特币的报酬。从此比特币网络开始出现,比特币正式诞生。

众所周知的是比特币一直以安全,匿名,去中心化等特性著称。由于难以追踪受到地下网络的青睐。

然而比特币的地址和交易的关联性是完全暴露的,任何第三方,都可以查任何BTC地址的所有相关历史交易记录,从而对该地址进行全面审计。我们称之为“假名化”。也正由于这个原因,有些机构或个人不会接受涉及某些地址的比特币。

据统计,目前的地下网络中,假设未来50%的交易用匿名币来结算,并且假设每年周转4次,那么对匿名币发行量的需求就是5000亿美元。而目前情况是,地下经济存在巨大的机会,全球地下经济体量3-4万亿美元。这其中用虚拟货币结算的比例不超过5%。

匿名币是什么

根据Fundstrat 的估计,美国的比特币资本利得应缴税金额大约在200亿美元,现在美国国税局在全力追税。而帮助他们追税和查账的是Chainalysis。

Chainalysis 公司成立于2014年10月,目前有45名员工,据咨询公司Dealroom.com,2018年4月的估计,该公司估值介于6400万和9600万美元之间。

另外根据欧洲刑警组织的说法,欧洲每年用crypto洗钱的金额大约42-56亿欧元,只占到欧洲洗钱规模的3-4%,而以上计算,与美国缉毒署的说法也比较吻合:2013年比特币链上交易90%是为了洗钱,而如今这个比例降到了10%。可见,用比特币洗钱并不是个靠谱的事情。这大概是因为比特币的账本匿名性远没有现金那么好。

匿名的需求真实存在,加上技术的不断发展,催生了一批追求绝对匿名的产品。他们试图完全隐匿交易的发送方,接收方甚至交易金额,以满足隐私保护的需求。

虽然小编已经尽力将匿名币原理深入浅出的举例说明,但身边同事强烈反映需要一个总览。小编特地总结了几个匿名币的主要特征和目前的发展情况,对复杂原理不感兴趣的看官可直接看整理表格和最后的总结:

匿名币的种类

 

 

从比特币到匿名币

比特币“假名化”的问题本质是由于纯线上闭环的比特币在网络流转的过程中遇到了线下世界的关联场景,形成了强关系,比如:交易所KYC。出于匿名性考虑,解决该问题的方法有两个:

1、仅使用纯线上闭环的比特币,如:场外交易时仅收购新出块的BTC。

2、为该场景开发一种完全匿名的数字货币。

 

一、传统方法的优化——达世币(DASH)

传统的解决办法是“混币”(coinjoin)。中心化交易所在接收和发送客户的数字资产时常会有意无意地涉及到这一操作。其原理类似于警匪片中在逃的嫌犯混入人群,换装之后继续跑路。

使用该原理的第一个著名产品,是2014年1月出现的知名匿名币 – 达世币。

达世币的具体实现是通过fork比特币的代码然后在加密算法,共识层等部分做了改进,主要涉及X11算法和双层奖励网络(主节点网络)。X11算法是11种加密算法的组合,用于增强出矿的随机性;双层节点网络指的是普通矿工POW挖矿之上增加了一层主节点矿工,成为主节点矿工需要抵押1000个DASH coin。

用达世币的钱包客户端转账时可选取普通转账,即时交易和匿名交易;主节点用于后两种交易模式。匿名交易过程的工作方式如下:

首先将交易输入分解为标准面额,例如:0.1DASH,1DASH,10DASH;

之后交易者将给主节点发送消息,需要混合的面额会在全网以先进先出的形式排队广播,但是不会包含交易者身份的信息;当出现其他交易者发送消息表明希望混合相同面额的DASHcoin时混合开始,主节点将输入混合,混合后的输出支付给接收方;这一过程需要不同交易者的交易数额保持一致,达到匿名效果。

达世币如何实现匿名

达世币通过掩盖资金来源来提供匿名,为了提高匿名质量,达世币采用链接的方式,将资金通过多个主节点依次发送出去。这一技术可以降低主节点资金流被监控的概率,同时还能极大降低攻击成功的概率。

解决了资金来源匿名,混币的主节点随机和资金去向匿名三个问题,匿名性已经大大提高,但在每笔转账过程中,地址余额是透明的,通过区块链浏览器可以查询到某一地址上的达世币余额。

 

二、进一步加强匿名性——门罗币(XMR)

2014年4月18日,门罗币诞生了。由于所有数据和交易都是不公开的,没有人能够知道你的门罗币在之前经历了哪些交易,也无法知道你的门罗币会用来购买什么。在门罗币区块浏览器里,唯一能看见的只有一个区块高度。

门罗币使用了3个隐匿的技术实现这种匿名性

门罗币的3个隐匿技术

所谓环形签名技术是指在门罗的区块链网络中,接收到签名者公钥时先和其他公钥混合成一个公钥组,然后将一次交易看作一个单元来分配隐私;以此签名之后的组,由于组内每个成员有等概率的权重,他人便无法区分签名者到底是小组中的哪位成员。

环形签名操作过程如下:

环形签名操作过程

当发送方决定发起一笔交易时,首先发送方会确认环的大小,代表组中的签名成员数,环越大占用空间越大,环中仅有一个真实签名组员。假设发送方选择环的大小为X,那么就存在X-1诱骗输出的组员公钥。

公钥组会共同构建一个方程,只需要其中一个公钥对应私钥即可解开方程;但是除了真实交易组员的私钥对应的公钥外,组内的其他公钥都是随机生成的。

因此交易者可以用自己的私钥解密,然后将这一方程的解、公钥和选取的参数(用于确定公钥在组种的位置)发给验证节点,节点对签名验证后即可确认交易的正确性。但无法判断发送方是组中的哪位成员。

交易过程中为了防止双花攻击,每一笔交易都有唯一的密钥镜像(keyimage)。密钥镜像是通过获取隐藏地址P的散列,并将其乘以私钥x来创建,对每个交易都是不同的。这种机制确保每个P只能被使用用一次。Monero网络维护一个包含所有未完成密钥映像的数据库,因此,如果用户尝试重用密钥,网络将拒绝该事务。

隐形地址技术的原理是采用多重密钥,支付密钥(spendkey)和查看密钥(viewkey)两对密钥。交易过程中接收方类似服务器,发送方类似客户端。交易的发送方选取接收方的(viewkey)公钥信息计算出一个临时地址,将金额发送到临时地址,接收方扫描区块上所有交易,使用私钥(viewkey)计算相应信息,比对后确认是发送给自己的交易。

该过程仅能验证交易的有效性,但无法知道交易的发送方。另外支付密钥(spendkey)中的私钥用于创建密钥镜像,公钥用于验证密钥镜像以及参与环交易。该过程已在上文详述。

最后一个关键技术是环保密技术(ringCT),用于隐藏交易额。该技术是Monero协议实施的一项措施,在一次交易中,发送方不会向网络公开交易金额,而是由钱包自动生成一个rct值,rct = 随机数 + 真正的交易金额。

网络可使用rct值验证交易的输入是否等于输出,确保没有额外的门罗币被伪造产生。这是通过成为Pedersen承诺的密码方案实现的。

门罗币的匿名性已经足够完善,但在极端情况下还是可能会遭受攻击或暴露个人信息,比如关键镜像重用和小环攻击。前者可能出现在门罗的分叉网络上,原链的私钥在新链上被重用,环上的相同镜像同时同时从存在于两个分叉链上。后者可能由于小环增加了旁观者确定环内可靠输入的概率。

 

三、终极匿名技术——大零币(ZEC)

2016年10月诞生的大零币ZEC是首个使用零知识证明的区块链系统。

零知识证明源于2014年IEEE的一篇论文,Zcash使用的zk-SNARKS(zero-knowledgesuccinctnon-interavtiveargumentsofknowledge)零知识证明加密技术,使得Zcash中的屏蔽交易可以在区块链上对交易信息完全加密,并在网络一致性规则下证明有效。被称为终极匿名技术。

零知识证明的一般形式。

 

1、非零知识证明

通常情况下,如果我知道X是真的,并且我想说服你,我会试图提出我所知道的所有事实以及暗示X是真的那个事实的推论。举个例子:我知道26781不是素数,因为它是113倍的237,为了向你证明这一事实,我将提出相关因子并证明确实是113×237 =26781。

证据的典型副产品是你获得了一些知识,除此之外,你现在确信这种说法是正确的。在之前的例子中,你不仅确信了26781不是素数,而且你也学会了它的分解。零知识证明试图避免它。在零知识证明中,爱丽丝将向鲍勃证明声明X是真的,鲍勃将完全确信X是真的,但不会学习到这个过程的结果。也就是说,鲍勃将获得零知识。

 

2、零知识证明的两种类型:

要完成零知识证明,需要证明的三个要素是:零币在里面,没用过,并且你有使用权限。

而依据证明过程可将其分为交互式和非交互式。

举个例子:

桌上有一个红色和一个黄色的球,除了颜色外其余属性完全相同。A同学和B同学一起做一个实验,目的是A同学要给色盲B同学证明这两个球颜色是不同的。

首先,A和B背靠背站好,B同学通过抛硬币的方式决定是否交换左右手的球,如果硬币是正面那就不交换,反面则左右调换;然后让A同学转身查看并回答两个球是否交换过。实验重复100次。

通过简单的数学计算可以得出,A同学如果瞎猜,那么100次实验的情况下全猜对的概率仅为1 / (2^100),由概率论可知,如果A同学100次全答对,那么球的颜色是相同的。

在这个例子中,每次实验需要A和B进行交互,并且需要多次交互才能完成证明,这样的证明称为交互式的。

但是在区块链上,我们要向所有矿工进行证明,只能使用非交互式的方式。也就是,我把证明内容提交给区块链网络后,矿工可以独立完成验证,不用再问我问题。

这时候需要借助一些数学工具:

存在加密函数E(x) 使得:

1、如果x, y不同,那E(x), E(y)也不同。

2、根据E(x)很难反推x的值。

3、根据E(x)和E(y),可以计算一些表达式的加密值,比如E(x+y)

然后我们再结合随机偏移和提前生成并分布式存储随机值,即可完成非交互的零知识证明。

具体到Zcash中,在屏蔽地址间的匿名交易过程中,矿工只记录“存在一个未花费余额,且有一笔交易产生”的证明,而不记录屏蔽地址和交易金额本身。

交易过程中,发送方利用私钥对该笔Zcash交易进行签名,证明“自己有使用权”,并提供零知识证明,证明该笔Zcash被授权过(“零币在里面”);节点通过验证密钥检查计算,检查该笔交易是否遵循共识规则,检查签名后确认发送方拥有相应的Zcash(“没用过”);确认接收方有该笔Zcash使用权时,矿工将交易序列号放入作废列表中。

 

总结:

匿名币一路发展,到今天已日趋成熟,最近XMR和ZEC也都有了重大技术更新,分别发布了Bulletproof和Sapling的更新,不断推动着个人财产安全和隐私保护技术的的进步,

从理论上讲,zk-SNARK可提供比环签名,更高的安全性。如果环签名被暴力破解,会泄漏用户隐私。而zk-SNARK不会传达任何交易信息。但从技术角度考虑,三者的优势排序应该为:大零币> 门罗币 > 达世币。但综合社区,市值,流动性等因素考虑,三个著名的匿名币各有千秋。

随着匿名技术不断演化,如今的匿名币生态越来越丰富,很多后起之秀如LOKI,PIVX等等。技术层面日趋成熟后,生态的落地和实用性的拓展还有很大发展空间,市场广阔,期待匿名币能在各个领域大展拳脚。

 

文章来源丨Hashgard临界

BB财经原创,作者华尔街之狼,转载请注明出处:http://www.bbcaijing.cn/news/30976.html