从技术发展和演进的角度，谈谈隐私交易相关技术实现方案的发展。

你愿意公开你的钱包地址，让大家知道你有多少钱吗？你愿意让所有人知道你的投资偏好和每一笔支出吗？我想很多人都不愿意。为了实现这些数据的隐私保护，我们需要使用隐私协议。

市场上一直有以隐私为卖点的数字货币，包括DASH、XMR、Zcash、Grin、Rose(绿洲网络)、FRA(芬多拉)、PHA(法拉网络)、SCRT(秘密网络)等。在加密行业发展的十几年里，隐私领域一直占据着一席之地。

如果将隐私轨迹进一步细分，可以分为隐私计算网络、隐私交易协议、隐私应用、隐私币四大类。其中隐私币发展最早，用于隐私应用的Tornado现在已经广泛使用。隐私交易协议和隐私计算网络是目前最受关注的。

本文限于篇幅，仅从技术发展和演进的角度谈隐私交易相关技术实现方案的发展。

四类实现隐私交易的技术方案

一、CoinJion

CoinJoin:CoinJoin是一种货币混合机制，它从不同的发送方获取令牌，并将它们组合成一个交易。第三方将令牌打包并发送给接收者。在用户端，每个接收者将在一个以前从未使用过的地址获得他/她的令牌。以减少特定交易被跟踪的可能性。

DASH coin是利用CoinJion技术进行隐私交易的典型案例。DASH Coin诞生于2014年，并非以隐私为唯一目的，而是将隐私交易作为提供给用户的选项。用户可以选择使用PrivateSend功能进行隐私交易，也可以选择普通交易。

在机制上，DASH network通过更高的奖励收入鼓励矿工担任主节点，每个主节点矿工有1,000 DASH币作为缓冲资金。每个发起交易的用户都可以使用这些缓冲资金，从而达到“混币”的效果。由于混币的存在，交易信息被打乱，难以追溯，从而达到保护隐私的效果。二、隐匿地址+环签名

隐藏地址：创建一个隐藏地址意味着每次收到加密货币都要创建一个新地址。它确保外部方无法将付费地址与永久钱包地址链接起来。

环环：区块链交易需要数字签名来验证签名人是发送人。因为每个用户的签名都是唯一的，所以当用户签名时，追踪与签名者的交易并不困难。签名策略是将签名与其他环成员的签名相结合：环成员的签名越多，直接将签名者与其交易联系起来的难度就越大。

Menlo XMR是一种实现隐私保护的秘密地址环签名的组合模式。门罗不是选择性隐私，而是完全隐私。Monroe向每个钱包所有者提供新的私有查看密钥、接收者地址和私有消费密钥。而且XMR挖掘可以由通用计算机CPU完成，不需要专业的矿机，这在一定程度上使得XMR更加去中心化。

为了进一步提高隐私保护的有效性，Monroe在开发过程中进行了多次技术升级。为了隐藏交易金额，RING-CT(环密交易工具)应运而生；使用RING-CT后，门罗区块链的隐私性能得到了提升，但牺牲了可扩展性，所以后来推出了零知识证明协议Bulletproofs，增加了XMR的交易规模，验证时间减少了80%。三、Mimblewimble

Mimblewimble这个词来源于《哈利波特》中的咒语“混淆咒”。有两个主要的项目，Grin和Beam，使用了这个隐私协议。Mimblewimble中使用的技术包括ConfidentialTransaction、CoinJoin和Cut-through。

Mimblewimble协议是一种在匿名性和可扩展性之间寻找折衷的方案。它是一种基于输出模型为公共图书提供加密货币隐私的设计方案，不涉及共识层，因此几乎可以在任何共识规则上使用。

Mimblewimble最初的目的是为比特币提供隐私。使用该技术后，可以隐藏账户归属、交易关联、交易金额；也可以“洗钱”。在比特币中，一些硬币会被标记为“非法货币”，许多机构会拒绝接受这些硬币。通过Mimblecoin技术可以达到洗钱的效果。四、零知识证明类

零知识证明意味着证明者可以使验证者相信一个断言是正确的/真实的，而无需向验证者提供比陈述本身的有效性更多的信息。

知识的零证明最初是由Goldwasser，Micali和Rackoff在1989年提出的。目前，零知识证明在区块链行业主要应用于两个方面：隐私保护和可扩展性。本文主要介绍零知识证明在隐私保护中的应用。

零知识证明用于隐私保护，最早在Zcash上实践。后来Aztec、Manta Network、StarkWare等很多项目逐渐采用零知识证明机制，很多新技术也随之进化。

通过“阿里巴巴和四十大盗”的例子介绍零知识证明机制；

阿里巴巴是证明者，小偷是验证者。小偷抓住了阿里巴巴，让他说出打开藏宝洞的咒语，否则就杀了他。如果阿里巴巴直接说咒语，可能会因为失去使用价值而被杀；如果阿里巴巴坚持不说，小偷会认为他不知道咒语，会杀了他。阿里巴巴想了一个办法，让小偷离他只有一箭之遥。如果阿里巴巴打不开山洞的石门或者逃不掉，小偷可以用弓箭射他。

这样，阿里巴巴就能够在离小偷足够远的位置证明自己确实掌握了咒语(小偷听不到咒语是什么)。在这个过程中，阿里巴巴(证明者)并没有直接揭示咒语是什么，但它可以让小偷(验证者)相信某个断言(阿里巴巴掌握了咒语)是真的。

zk-SNARK

zk-SNARK的全称是‘零知识成功非交互论证知识’，中文名称是‘零知识简明非交互知识论证’。Zk-SNARK是以色列理工学院的Ben-Sasson等人在2014年的Zerocash论文中提出的。它是目前应用最广泛的零知识证明隐私技术。直接部署zk-SNARK算法的知名项目有Zcash、Loopring等。它允许人们在不透露信息内容的情况下证明他们拥有特定的信息。

Zk-SNARK是一种将零知识证明机制转化为计算机编程语言的技术。基本逻辑如下：

zk-SNARK实现了怎样的隐私？Zk-SNARK实现了完全隐私，不仅隐藏了交易双方的地址和交易金额，甚至节点也不知道交易内容。但是zk-SNARK的缺点是需要一个可信的设置，无论怎么设置都存在一些潜在的安全隐患。

在zk-SNARK的基础上，为了提高隐私性，兼顾交易容量和交易成本的优化，又衍生出了Bulletproofs、zk-STARK、Sonic、PLONK、Supersonic等新的零知识证明。

Bulletproofs

与zk-SNARK相比，bullet proof不需要可信的初始设置，但是验证bullet proof比zk-SNARK证明需要更多的时间。在XMR项目中应用了Bulletproofs，增加了XMR的事务规模，减少了80%的验证时间。

zk-STARK

zk-STARK英语全程是零知识可扩展的透明知识论证，“零知识可扩展的透明知识论证”。Zk-STARK由StarkWare开发，它使用新颖的密码证明和现代书籍来加强区块链上计算的完整性和隐私性。StarkEx采用zk-STARK技术。Zk-STARK允许区块链将计算转移到单个离线STARK证明者，然后使用在线STARK验证器来验证这些计算的完整性。

与zk-SNARK相比，zk-STARK被认为是一种速度更快、成本更低的技术实现，因为计算量增加，但证明者和验证者之间的通信保持不变，所以zk-STARK的总数据量远小于zk-SNARK。而且zk-STARK不需要初始信任设置，因为他们通过防碰撞哈希函数依赖于更简洁的加密技术。总的来说，zk-SNARK在改进和采用方面取得了很大的进步，而zk-STARK则填补了zk-SNARK证明的很多缺陷(更快、成本更低、不需要初始可信设置)，被认为是协议的改进版本。但zk-STARK采用链上链下计算验证的方式，在安全性上似乎不如zk-SNARK。

Sonic

伦敦大学的Sarah Meiklejohn、爱丁堡大学的Markulf Kohlweiss和Zcash的Sean Bowe提出了一个名为Sonic的零知识证明协议。Sonic是一个通用的SNARK，也就是只需要一个设置就可以验证任何可能性。

Sonic的出现让零知识证明的进化向前迈进了一大步。但是Sonic的速度有所下降，因为与非一般的SNARK相比，Sonic的证明构建时间增加了2个数量级左右，所以目前还没有知名的采用Sonic技术解决方案的隐私项目。

PLONK

PLONK是由Aztec Protocol的CTO Zachary Williamson和首席科学家Ariel Gabizon(Protocol Labs和前Zcash)共同开发的高效通用zk-SNARK。Ariel Gabizon和Zac Williamson在伦敦二进制地区研讨会上偶然相遇开发了PLONK。

这是一个新的高效的通用zk-SNARK。PLONK只需要一个可信设置，所有程序都可以重用这个设置。这项技术也被Vitalik转发了。PLONK有多快？在完全标准的硬件上，PLONK可以在23秒内通过超过一百万个门。这里没有服务器场或HPC集群——。这些数据来自微软Surface平板电脑。

以Aztec为例，简要描述了基于PLONK的隐私协议Aztec的工作原理：

首先，Aztec需要一个可信的初始设置——点火CRS。一开始，阿兹特克从世界各地随机召集了200名参与者来获取点火CRS。所有的200名参与者将创造随机性——，这是阿兹特克证明其安全性的基础。(这相当于200个人洗牌。只要不是200个人全部串通，只要其中有一个人是诚实的参与者，就可以保证牌的随机性，也就是系统的安全性。)

然后，Aztec的常规隐私事务可以理解为一个UTXO(如下图)。类似于比特币的操作，但Aztec的区别在于交易需要加密。所以以太坊会验证这个UTXO是否正确。3354表示支票60 40=75 25。

具体怎么查？先检查输入音符=输出音符；为了防止包围攻击(比如10=11 -1)，还设置了范围证明，所以Aztec改为部署set member proof 3354事务。要获得Aztec密码引擎(ACE)的批准，用户需要证明他们形成了来自Codex的输出注释。只有经过这一系列，才能成功验证UTXO是否正确。

Aztec要实现的隐私包括三个方面：一是数据隐私，可以加密隐藏交易金额；二是用户隐私，观看网络的人无法再确定发件人和收件人ID；三是代码私有，也可以让使用Aztec SDK的dApp的智能合约代码私有。第一个已经实现，后两个没有。

SuperSonic

超音速技术，结合了音速和黑暗的证明，是一个没有可信设置的短证明。在100万逻辑门的前提下，证明大小可以压缩到10-20 KB，甚至还有优化的空间。这项技术首先应用于公共金融链Findora。

零验证系列技术方案在验证验证尺寸、验证速度、是否需要可信设置和应用案例方面的对比实例如下：

总的来说，这些高效的通用SNARK的出现，让Web3通过最多一个MPC设置的隐私和扩展成为可能，使我们能够在所有用户设备(手机、平板电脑等)上生成隐私交易。)并在公共网络上有效地执行这些隐私交易。从而极大地推动了隐私领域的发展。

隐私技术的未来趋势

当前阶段隐私交易使用率还较低，随着技术更迭有望获得提高

隐私交易使用率低的原因主要有三：一是技术门槛太高，早期的隐私交易对大多数普通用户不友好。虽然Zcash、XMR等隐私币已经存在多年，但大多数普通人都没有真正用过；二是隐私交易需求没有普及。之前说到隐私交易，大家潜意识里都以为只有一些黑幕交易才需要隐私交易。人们隐藏自己在链条上的交易、转账/支付等行为和金额的意识还很薄弱。随着DeFi等连锁交易的爆发，人们对连锁交易的隐私保护意识正在觉醒。第三，早期的隐私协议没有提供用户真正想用的钱，如ETH、戴等主流连锁资产。普通用户为了保住隐私而故意选择使用隐私钱的概率并不高。

主流区块链部署隐私功能，或许是隐私领域发展的最终趋势

隐私币作为一个独立的存在，可能已经不再受追捧和欢迎，尤其是经过前几年各国的监管之后。比如受FATF规则影响，比特币基地英国在2019年移除了Zcash，而OKEx韩国移除了Monero、Dash、Zcash、ZCache、Horizon、SuperBitcoin等6种加密货币。

但是隐私交易的需求是真实存在的，这种需求永远都会有。有需求就有市场。根据最近业内最受关注的隐私项目类型来看，在以比特币、以太坊、波尔卡多特等为代表的主流区块链中加入隐私保护功能可能会成为一种趋势

Coinjion技术用于比特币交易，这是一种广泛使用的混合器服务，用于隐藏交易信息。Mixers是一种通过第三方破坏发送者地址和接收者地址之间的连接来隐藏交易信息的服务。

以太坊关注度最高的隐私解决方案是零知识证明系列(zk-SNARK，zk-STARK等。).维塔利克曾说，“零知识证明是最强大的隐私解决方案。虽然该技术最难实现，但在保护以太坊网络的隐私和安全方面效果最好。”在零知识证明隐私解决方案中，Aztec的PLONK技术是最受欢迎的。

波尔卡多特生态还有一个隐私交易项目——曼塔网。这是一个zk-SNARK (Plonk with Lookup)隐私协议，由P0xeiden Labs开发。Manta网络部署在波尔卡多特，其测试网络Calamari部署在草间弥生。根据这个项目的官网规划，未来计划在Avalanche、Near等公链部署相应的隐私协议。曼塔网络计划推出由zk-SNARK支持的多资产分散匿名支付协议MantaPay和具有AMM机制的分散交易协议MantaSwap。

总而言之，隐私交易是真实的市场需求，这个赛道的发展值得持续关注。随着连锁交易数量和资金量的增加，这部分市场需求也会相应增加。

作者：IOBC资本

来源：DeFi Way