区块链与匿名币（摘要）

2018-10-18 Ourea无涯社区 为什么古天乐用门罗币能“洗黑钱”，而用比特币的却被抓了？
文 | 黄雪姣 本文转载自星球日报

image.png

匿名是说一个人的身份无法被人知道。在比特币网络上，人们的代表就是一串地址，按理说是无法追踪到真人的。

但事实表明，有心人依然能通过数据挖掘找到地址的背后身份。比如，“门头沟 85 万枚比特币盗窃案”发生后，门头沟用户之一、软件工程师 Nilsson 通过追踪被盗资金流向，成功锁定了隐匿数年的案犯。

例如，提供法币兑换的交易所一般需要进行反洗钱审查，也就是对用户实名认证，从而握有用户身份证、手机号码等。当监管机构以正当理由、黑客用非法手段获得用户信息后，或者仅仅是管理员操作不当时，关联地址的匿名性也就不存在了。

在门头沟那个案子中，Nilsson 就是利用可疑的交易所账户的信息，在全网搜索关联到罪犯的真实姓名，并交给美国国税局对个人信息进行查询，从而确定疑犯真身的。

也就是说，比特币并不具备完全（或者说高度）的匿名性。

为了更好的理解区块链中的“匿名性”，我们可以参详一些人士对匿名等级的划分，共有三级：

• 基本匿名：（用于发送或接收数字货币的）代币地址及交易金额是公开的。比特币等绝大多数数字货币即在此列；
• 完全匿名：所有数据和交易都不公开，没有人可以追踪地址、发现地址之间的联系，交易金额也是隐藏的。近乎或具备完全匿名性的数字货币称为匿名币；
• 有限匿名：对于指定的机构，它被设置为和“基本隐私”相同的隐私级别；而对于其他参与者，它具有“完全隐私”的级别。也就是说，只有特定机构才有机会通过分析获得地址和用户的关联，其他人无权获得这类信息。这类有限匿名币既保证了隐私的需求，也能有效配合法治，防止犯罪分子用匿名货币进行非法交易。这也就是下一代“匿名币”主打的概念，主要币种有 ABE。

那么，“这一代”匿名币是什么呢？

一般来说就是，在基础数字货币的基础上，通过特有的匿名技术验证交易，为交易及其参与者增强了隐私保护的数字货币。

主要的匿名币币种有——Dash、XMR、ZEC、XVG(Verge)、KMD(Kamodo)、PIVX、ZCL、XZC等 13 种。

我们把非法所得分为两种，

• 一种是通过暗网交易，诈骗、盗窃、勒索区块链用户得到的数字货币，
• 另一种是在现实世界中以各种非法手段所取得的以美元等法币计算的资产。

这些钱要花出去，都需要先“洗白”。对于洗钱者来说，他们

• 既可以用传统的方式，比如把赃款拿去买黄金等资产，然后再转手变现；
• 也可以用易手更方便、更好切割联系的数字货币来操作。

数字货币洗钱有着一套完善的路径。

• 首先，犯罪分子先对数字货币进行分流，使用搅拌器（mixer）、滚筒（tumblers）等把大量的资金转到各个区块链地址；
• 接着操作各种中小额转账，让调查人员越来越难以找出异常交易和可疑地址，在确保安全后犯罪分子即将数字货币提现。

美国区块链安全公司 CipherTrace 7 月份发布的报告显示，数字货币已成全球犯罪分子洗钱的主要工具之一，2018 年已查处的洗钱案中，有 12 亿美元是通过数字货币进行的，最常用的就是比特币。

按理说，既然比特币能成为洗钱的得力帮凶，那比比特币走得更远的匿名币，岂不更助纣为虐？但实际上，用比特币洗钱的手段已经很高明，其所实现的匿名性不亚于匿名币。因此，匿名币的高匿名性并不等同于“洗钱首选”。

事实上，他的担忧已经发生，一个叫 “区块链考古”的产业 正在逐渐形成。

目前，有一些提供链上数据挖掘的公司正在跟踪链上资金流动，以便对潜在的针对大型交易所的攻击进行抵御或是补救，这类公司有来自美国的 CHAINALYSIS 和中国的 Chaindigg。其中，Chaindigg 建立的高风险地址库可以较为准确地追踪到黑客、盗币和钓鱼地址，以及与这些高风险地址相关的地址，从而为政府等监管部门、有需要的机构和个人提供数字货币追踪及监控。

美国的安全机构，包括联邦调查局、中央情报局和国税局也都有自己的数字货币探员。

目前，排名靠前的三种匿名币——门罗币、达世币和大零币，亦代表了三种主流的匿名技术。

三种匿名币的简单对比

数据来自非小号，时间截止至 2018.10.10；其他信息来自网络，经星球日报整理

1. Monero（XMR），门罗币

门罗币将自己定义为一种 “Untraceable Digital Money”，因此采取的匿名方式也十分激进（近乎全匿名）。

CryptoNote 协议在匿名性上主要有两个技术，环形签名和隐匿地址。在此基础上开发的门罗币大致延续了这个思路：

• 用 Ring Signatures(环形签名)保证了发送方的隐私；
• 用 Condidential Address(隐匿地址)保证了接收方的隐私；
• 用 Ring CT(Ring Confidential Transaction, 环隐匿交易)保证了交易隐私。

环签名技术和区块链着力解决的“拜占庭将军问题”一样，最早源于古欧洲古时候的故事。

故事是这样的，十七世纪时，法国群臣不时地要向国王进谏。为了不让国王追查到是由谁带头签名上书的，聪明的大臣们发明出了一种环形签名的方式：所有人的姓名按环形排列，自然就隐藏了先后顺序，从而让人难以追查源头。

接收方的地址是通过 “stealth address” 实现匿名的。门罗币中设置了多重密钥，即每个地址从拥有公/私钥变成拥有四把钥匙：public key 分为 public view key 和 public send key 两把；再加上 private view key 和 private send key 两把。

到底怎么用呢？

• 假设甲要给乙转 1 枚门罗币。则甲的钱包会用乙的两把 public key 来生成一个唯一的一次性公钥，而后再用该公钥生成乙的一次性公开地址，这个地址就叫做“stealth address”，由此实现乙（接收方）的地址的匿名性。
• 有了地址之后，甲就用 private send key 签名交易并通过环形签名给乙发送门罗币；乙则用 private view key（查看密钥）扫描区块链以找到发给自己的资金，另外，乙也可以将 private view key 分享给别人，如果他让那个人查看交易的话。

最开始，门罗币是不能隐匿交易金额的，直到 2015 年，数学博士 Shen Noether 发布了一篇研究文章，为“隐匿交易”提供了理论依据。到 2017 年 9 月，开发团队在对门罗币进行硬分叉时整合进了该技术。它的作用在于，当乙要花费存在一次性地址中的资产时，资金数目将自动分解输出，并且每一部分都与链上记录的“输出”不同，从而让人无法得知该次转账的实际金额。

但门罗币也有一个缺点，那就是由于涉及了很多的加密操作，区块的大小要比比特币大得多。

2.DASH，达世币

达世币是首个强调保护用户隐私的数字货币。它在比特币区块链的基础上进行了一系列修改，包括设置“主节点”来执行“混币（coinjoin）”等操作，以实现半匿名交易。也就是说，仅抹去交易双方的关联，但仍显示交易金额及交易方的地址。

在达世币区块链中，混币是由主节点提供的。所谓混币，就是在包含大量输入和输出的验证中，把属于不同人的币（一般 3 笔一组）混在一起，再换回去时，外界就不知道你的钱究竟转给了谁，谁才是真正转账给你的人，从而打散割裂了交易双方的联系。越多用户参与混币，匿名性会越好。

代币金额混币后，变成了统一面额。图片来自蓝狐笔记

值得注意的是，达世币的转账有三种可选的转账方式，一是和比特币一样的普通转账；二是及时交易，就是不需要矿工打包确认就可以直接进行的交易；三是用户可申请的匿名交易，主节点为这类用户免费提供混币。

当然，达世币的混币技术也有一些缺点，比如需要等待系统获取足够的用户一起混币。

3.ZCash（ZEC），大零币

大零币是基于比特币 0.11.2 版代码和零币协议（Zerocash Protocol ）开发的。其资产可分为两种，透明资金和私有资金，透明资金相当于比特币；私有资金则增加了隐私性。

大零币的隐匿性是通过zk-SNARK（零知识证明）技术来实现的，匿名级别和门罗币相当。用户可以选择隐藏交易的发送方、接收方和交易金额，同时拥有 private view key 的人可以查看交易。

零知识证明主要指，即使货币的来源、流向等信息完全保密，交易验证者仍然可以验证交易发起者确实拥有货币，从而通过交易。

在使用大零币进行交易时，区块链会自动加密交易的原数据；验证节点不需要知道亦无需保存交易双方的数据，只需要证明，交易发送方的余额足够消费即可。也就是说，不管你是谁，要发送多少钱给谁都没有关系，验证节点只要检查你有足够的钱支付转账金额。

那交易发送方要怎么证明自己的余额呢？

是这样操作的。比如甲要转给乙 1 个大零币，那么他就向系统提交匿名转账申请，系统会销毁掉一个大零币并生成一份产权证明，这份证明即证实了他拥有一个大零币。通过这份证明，甲就可以向验证节点说明自己的确有余额转给乙，于是验证节点就为乙为铸造一枚没有任何交易历史记录的崭新零币。这样，我们都知道有交易发生了，但无法对跟踪地址之间的关联。

至于交易金额，大零币将自动屏蔽掉金额其在公链中的展示。

05 匿名币的发展前景

上面我们说到，匿名币凭借创新性的技术，在不少场景都有实在需求。随着人们数字资产的增加、对区块链安全安全的担忧，匿名币或许还能迎来更远大的前程。

但我们也应看到，对于匿名币的发展来说，国际上的监管政策将是一大变数，尽管这种影响的范围和程度还难以预测。

2018 年 6 月 20 日，美国特勤局(U.S. Secret Service)副总干事在国会听证会上表示：

“我们必须继续通过金融行动特别工作组等形式，在国际范围推进对于数字货币的相关控制。我们还应该考虑采取更多的立法或监管行动，以此应对由匿名化加密货币带来的相关挑战。”

安全公司 CipherTrace 亦指出，

保证货币的可追踪，可能是我们面对运用先进手段在全球形成犯罪网络的最后堡垒。

可能的监管，这是影响因素之一。

和监管态度一起在变的，还有匿名技术自身。

我们现在已能看到，下一代匿名币正在尝试的路径，

• 比如我们上面提到的 ABE，它想要根据企业及监管需求，提供问责隐私模式，在体系内保持交易的可问责、可追踪。
• 另外，还有一些人提出可以采取分层匿名的方式。也即在基本匿名之上，网络可以设置第一层是交易双方的身份匿名，第二层是交易金额的匿名。如要防止成为犯罪的工具，可以在第二层上进行匿名，满足大部分用户对隐私信息的需求；而让交易双方的地址仍旧可查。

这种适应监管的方式，会不会成为匿名币的主要的发展方向呢？恐怕还需要时间来给出答案。