a16z：使用零知识证明实现加密隐私和监管合规

使用现代加密技术来解决这一矛盾 — 与现有的依靠人为控制的框架不同 — 不一定是零和游戏。

原文：Achieving Crypto Privacy and Regulatory Compliance（a16z crypto）

作者：Joseph Burleson, Michele Korver，Dan Boneh

编译：Yangz，DeFi 之道

封面：Photo by Markus Spiske on Unsplash

简介

截至目前，在可编程区块链提供的所有效用中– 安全、可预测性、互操作性和自主经济等– 最广泛使用的区块链并不提供隐私，而这仍然是其被广泛采用的一个关键障碍。尽管并非所有的加密代币都是单纯的金融工具，并且可以在不断增长的 web3 生态系统中用于各种目的，但区块链用户确实在区块链上使用数字资产相互交易。大多数现有区块链的当前架构依靠交易透明度来促进信任，但这种默认的透明度和缺乏隐私性增加了消费者受到伤害的风险，因为它允许其他区块链用户查看任何钱包持有人的交易历史和持有量。区块链的匿名特性是对不良行为者的保护，但它很容易被克服。现代区块链分析实践表明，对用户互动的启发式分析可以用来穿透这种隐私，任何与钱包持有人进行交易的人都可以有效地看到他们的整个财务状况。因此，尽管它在追踪非法金融活动方面提供了帮助，但交易透明度使区块链技术的用户特别容易受到欺诈、社会工程和不良行为者盗窃资产的影响，以及向第三方披露敏感金融数据所造成的隐患。

区块链上公共账本的透明性与传统金融系统的默认隐私形成鲜明对比，后者产生于金融中介机构维护的私人账本上的交易记录，并得到金融隐私权的法定权利和对敏感金融信息访问的人为控制。事实上，财政部负责美国金融制裁制度的外国资产控制办公室（OFAC）和负责美国反洗钱法规和监督的金融犯罪执法网络（FinCEN）颁布的法规和指南，以及它们的授权法规，旨在强制透明度，以克服传统金融体系的固有不透明性和它所提供的隐私。这些法规所产生的记录和报告要求，要求金融中介机构保持并向政府披露信息（以及采取其他行动，如阻止对资产的访问），以支持执法调查，阻止恐怖主义融资，并推进国家安全政策以及其他事项。重要的是，这些措施为受保护的隐私权创造了例外，代表了隐私权和合规要求之间的平衡 — 尽管是不完美的平衡。

对于公共区块链上的用户来说，这些保护措施都不存在 — 无论是私人账本固有的不透明性所提供的实际隐私保护，还是对金融隐私权的明确法律认可。此外，试图引进的措施（如客户识别和尽职调查，俗称 “KYC” 要求）甚至有可能破坏匿名性所提供的最低水平的隐私，因为它创造了吸引恶意攻击和内部威胁的 “蜜罐” 信息。虽然这些信息的泄露在传统的金融系统中会对消费者造成伤害，但它加剧了已经存在的盗窃、欺诈、甚至人身伤害的高风险，而这些风险是由于完全的金融透明度而存在的。

虽然有一些较新的、采用范围较窄的第一层区块链主要关注隐私问题，但对于那些本质上不具有隐私性的区块链，用户不得不依赖大量的智能合约协议和第二层区块链来实现交易数据的匿名化，而其中许多使用的是零知识证明及隐私保护的加密技术来实现的。这些协议和区块链通常被指责带有邪恶目的（包括被贴上 “混币器” 的标签），不可否认的是，虽然它们的一部分数量与黑客和其他非法目的有关，但为合法目的推进保护隐私的技术是有不可否认的价值的。事实上，这种技术可以让合法的消费者受益于金融隐私和消费者保护的水平，超过传统金融服务的消费者所享受的水平。然而，最大限度地保护隐私的相同解决方案可能会阻碍政府为促进执法和国家安全目标而进行调查、打击非法金融活动或收回被盗资产的能力。那么，这是否意味着区块链技术必然会迫使人们在检测、预防和破坏非法金融活动的合规性与隐私和消费者保护之间做出选择？

本文着重论证了答案是否定的。使用现代加密技术来解决这一矛盾 — 与现有的依靠人为控制的框架不同 — 不一定是零和游戏。调和用户的隐私需求以及监管者和执法部门的信息和国家安全需求既是可能的也是必要的。本文提出了区块链协议中零知识证明的潜在用例，以实现这两组目标。首先，我们会描述零知识证明技术的基本原理，随后概述可能适用的相关法律和监管制度。然后，以 Tornado Cash 为例，我们列出了一些开发者和政策制定者可以考虑的高级解决方案。

在写这篇文章时，笔者肯定了一个重要的前提：“监管应用程序，而不是协议。”在美国，应用程序层使用地理围栏技术进行制裁筛选，并通过各种措施限制用户访问，是一种常见的做法。虽然这些限制是有帮助的，但它们并不是万无一失的，不良行为者还是可能规避这些控制。因此，某些可能容易被受制裁方使用的隐私保护技术已经在协议层面上纳入限制，以解决国家安全问题。笔者不认为所有的隐私保护技术都应该做出同样的决定；开发者应该有自由选择是否要采用协议级的限制，以防止被非法分子使用和潜在的监管责任。对于那些选择采取保护措施的人，我们只是提供了潜在的替代方案供其考虑，这可能会使这些解决方案更加有效，同时也限制它们被用于审查的可能性。

背景

使用零知识证明实现隐私

如果不确保隐私，区块链技术就不可能实现主流采用。例如，当涉及到金融基础设施时，如果用户的工资或其他敏感的财务信息，包括医疗等服务的支付，都可以公开查看，那么基于区块链的支付系统的潜在用户可能非常不愿意使用这些系统。此外，对于社交网络服务、去中心化的借贷协议、慈善平台以及其他任何用户重视其信息隐私的用例，也是一样。

数据证实了这一立场。截至 2022 年 4 月 29 日，链上隐私保护服务或协议收到的加密市场价值的 30 天移动平均值达到了 5200 万美元，比之前的 12 个月增长了近 200%。为了了解情况，许多隐私保护协议使用算法加密技术，以促进区块链地址将数字资产存入类似的可替代资产池，随后由同一用户控制的另一个区块链地址从该池中提取相同数量和类型的资产，有效打破监管链，抑制交易的可追溯性。其中某些协议和一些二层区块链使用被称为零知识证明的算法来匿名化交易，而不把敏感的用户信息暴露在链上。

零知识证明使公共区块链上的私人交易成为可能。其核心是，零知识证明是一方（称为 “ 证明者”）说服另一方（称为 “ 验证者”）某项声明为真，同时不透露任何使该声明为真的基础数据。例如，验证者可以证明对数独谜题答案的了解，而不透露任何关于答案的信息。更有趣的是，一个人可以证明他们的年龄符合买酒或投票的门槛，而不透露他们驾驶执照上的姓名和出生日期。（从技术上讲，他们会在零知识中证明他们有政府签署的文件，而且他们在这些文件上的出生日期确定了这个人的年龄）。该证明使验证者相信这一事实是真实的，而不透露任何其他信息。

人们可以利用零知识工具建立各种隐私机制。例如，爱丽丝可以把资金送到一个对交易细节保密的服务机构，而该服务机构会给爱丽丝一张存款收据。该服务和公众都知道爱丽丝发送了资金。稍后，当爱丽丝想从该服务中提取资金时，她构建了一个零知识证明，证明她有一张有效的收据，而且她还没有提取与该收据相关的资金。该证明没有透露任何关于爱丽丝身份的信息，但却让服务机构相信它正在与一个有资格提取这些资金的人进行交互。在这里，零知识证明被用来使服务相信提款要求是有效的，同时对提款人的身份保密。

重要的是，零知识证明通过允许选择性地披露评估政策合规性所需的信息，而不暴露所有的基础信息来保护隐私。零知识证明可以实现不同程度的隐私，包括没有人可以跟踪交易的完全隐私，或者除了少数特定方之外对其他所有人的隐私。人们可能需要强大的隐私保护虽然有许多合法的理由，但这些技术也可能成为吸引坏蛋的因素。正如隐私保护协议的总体使用在 2022 年达到顶峰一样，从非法来源收到的价值的相对比例也是如此，今年到第二季度，非法区块链地址约占发送到此类协议的所有资金的 23%。尽管这些协议采用了保护隐私的技术，但区块链分析公司，如 Chainalysis 和 TRM Labs，有时能够追踪流经这些协议的非法资金，因为它们没有足够的数额来掩盖这些活动，或者它们拥有的数额不够多样化。此外，即使非法行为者利用隐私保护技术，他们仍然面临着将其资产带出链外的挑战，因为在大多数情况下，在全球主要金融中心和其他司法管辖区，出入金被金融机构监管，因此要遵守反洗钱/打击恐怖主义的要求。所以，尽管保护隐私的协议对于保持合法用户信息的私密性至关重要，但它们确实在区块链生态系统中产生了漏洞，供非法行为者利用。可以肯定的是，遵守国际法律和监管制度是复杂的，但在去中心化的区块链协议中实施标准化和符合监管要求的零知识证明，可以解决一些关键的漏洞，同时使 web3 参与者受益。

适用的监管制度

要了解零知识证明如何克服合规性和隐私之间的明显二元选择，需要了解与打击非法金融活动有关的特定司法监管要求。在美国，最有可能影响隐私保护协议的法规可分为两个主要的法律制度：(A) 根据一系列联邦法规和条例，通常称为《银行保密法》（BSA）–(i) 客户识别计划和客户尽职调查要求（通常称为 “KYC” 标准）和（ii) 交易监测以及其他记录和报告要求；(B) 总统战时和国家紧急权力下的美国制裁计划。Web3 市场参与者必须处理这两种制度的法律要求，以尽量减少因不遵守而被强制执行的风险，并减轻对协议和平台的非法使用。此外，任何违反规定的行为都可能导致严重后果，包括民事处罚和刑事起诉。

BSA 要求某些金融机构和其他相关实体遵守一系列监测、记录和报告义务。这些义务的目的是协助 FinCEN、OFAC 和执法机构识别、预防和起诉洗钱、恐怖主义融资和欺诈活动，以及根据国家安全和外交政策目标识别和封锁美国金融系统中属于被制裁方的资产。充分遵守 BSA 和制裁制度，可以为监管机构和执法部门提供清晰和可审计的非法活动文件线索，对其成功执行至关重要。

BSA 涵盖的或有义务的实体包括传统的金融机构，如银行，以及货币服务企业（MSBs），如货币交易商、兑换商和汇款商等等。此外，FinCEN 进一步澄清，发行、管理或兑换可兑换虚拟货币（CVC）或替代货币的价值的个人和实体也被视为 MSB，因此需要遵守 BSA 规定的所有适用合规义务。这是因为某些混币服务可以使替代货币的价值从平台内的钱包转移到平台外的钱包。相比之下，保护隐私的去中心化区块链可能不涉及货币传输。正如 FinCEN 在其 2019 年发布的最新指南中明确指出的那样，非托管的、自我执行的代码或软件，即使执行混币功能，目前也不会触发 BSA 义务。

相比之下，制裁合规要求的应用则不那么明确。由外国资产管理处（OFAC）管理的制裁制度适用于所有美国人，包括个人和实体，无论他们居住在哪里，并要求他们识别、阻止和隔离涉及受制裁方财产的交易。尽管OFAC 表示，制裁制度本身并不适用于软件和隐私保护技术的发布，但如果不采取措施防止受制裁方滥用这些技术 — 如下文所讨论的那样 –OFAC 的反应可能会破坏这些技术的可行性，例如最近Tornado Cash 的情况。

KYC 标准和交易监控

那些业务模式被归类为 MSB 的个人或实体必须满足某些信息收集和交易监控要求，以履行 BSA 规定的义务。MSB 必须从使用其服务进行交易的人那里获得 KYC 信息，以核实这些人的身份。作为 KYC 程序的一部分，MSB 至少必须获得用户的姓名、地址和税务识别号码。

此外，MSB 还必须监测通过其平台进行的交易，并通过提交可疑活动报告（SAR）报告任何可能预示非法行为的可疑活动。BSA 要求 MSB 在知道或怀疑其平台上的交易可能涉及非法活动时，必须在 30 天内提交 SAR，前提是该交易涉及的转账总额至少为 2000 美元。为了鼓励及时申报，对某项交易正确申报 SAR 将使 MSB 免于承担与该交易有关的所有民事责任。

虽然 BSA 还对 MSB 提出了其他记录和报告要求，如提交货币交易报告（CTR），但这一要求目前并不适用于数字资产，因此与目前的目的没有直接关系。

制裁

FinCEN 完全有权管理 BSA，颁布规则，并对违反 BSA 的行为采取执法行动，但 OFAC 拥有更广泛的司法授权。大多数经济制裁来自《国际紧急经济权力法》（IEEPA）和《国家紧急状态法》（NEA）授予总统的权力。因此，制裁是通过行政命令制定的与战时和国家安全有关的权力。OFAC 监督美国的所有金融交易，并可制裁任何对国家安全构成威胁的个人、实体或国家。如果 OFAC 指定的个人或实体在通过任何美国人或实体（包括但不限于 MSB 和银行等 BSA 义务实体）处理的任何交易或持有的财产中拥有权益，则美国个人或​​实体将被要求 (i) 阻止（冻结）被禁止的交易，以及与指定人员有关的任何账户或财产，和/或 (ii) 将收到的与此类交易有关的任何资金存入隔离的、被冻结的账户，并且 ( iii) 向 OFAC 提交某些报告。在任何一种情况下，任何美国个人或实体都不得处理此类交易和/或释放此类资金，直到 OFAC 将相关个人或实体从制裁名单中移除、适用的制裁计划被撤销，或 OFAC 通过发放许可证明确授权释放扣留的资金。

对于与加密交易相关的制裁，权威通常来自于专注于 “重大恶意网络活动” 的 EO 13694。违反经济制裁的个人可能面临民事或刑事处罚。应当指出的是，违反制裁的行政或民事责任标准是严格责任，这意味着即使无意这样做，也可能因发送或接收交易或未能冻结与受制裁个人、实体或国家相关的财产而承担责任。这实际上强加了一项尽职调查要求，即在从事金融或商业活动时询问资金来源。另一方面，刑事责任需要表现出故意为之，即违反制裁的人有意这么做。司法部根据 IEEPA 或美国法典第 18 篇中编纂的洗钱法规对违反制裁的行为提起刑事诉讼。然而，关于制裁责任和 OFAC 合规要求的重要结论是，这些义务适用于在美国或在美国开展业务的所有个人和实体，与个人或实体是否在 BSA 涵盖范围内无关。

优化隐私协议以降低非法金融风险

零知识证明提供的增强隐私的潜力与上述监管框架存在矛盾。该技术能够屏蔽交易细节，这意味着它可能不容易完全符合 BSA 要求等法规——尽管智能合约和代码是否以及在多大程度上受上述法规要求的约束仍是一个悬而未决的问题。如上所述，FinCEN 在其 2019 年指南中明确将软件代码从 BSA 的范围中豁免，因此，一个真正去中心化的协议不需要——甚至也不清楚它如何能够——收集和保留用户的 KYC 信息或文件 SARs。同样，管理实施任何制裁的授权法规和网络安全行政命令提到了目标个人和实体的 “财产和财产中的利益”，这表明软件和计算机代码本身不在制裁的范围内。最近来自 OFAC 的指导方针似乎表明，发布软件本身并不是一种可制裁的活动。然而，根据 OFAC 对与 Tornado Cash 相关的某些智能合约地址的指定，这一结论还远不明确。

尽管如此，零知识证明可以设计为通过隐私增强协议减轻一些暴露于非法金融活动和经济制裁责任的风险，包括减轻 OFAC 制裁试图解决的国家安全风险。特别是，以隐私为重点的协议可以实施多种措施来更好地管理这些风险，而不会削弱其有效性。下面总结了三种可行的措施，每一种措施都是在隐私保护协议 Tornado Cash 的背景下进行评估的。

Tornado Cash 的例子

证明零知识证明有潜力克服当前由隐私增强技术引起的现有制裁制度下的潜在责任之间的二元选择的一种方法是通过Tornado Cash 的镜头——最近被 OFAC 批准的隐私增强协议。Tornado Cash 是部署在以太坊区块链上的一个协议，旨在匿名化用户资产，以保护他们的隐私。任何人都可以从他们的以太坊地址向 Tornado Cash 智能合约发送资金，这些资金将一直存放在合约中，直到所有者选择提取它们。通常情况下，用户在取款前会等待几周、几个月甚至几年的时间，因为中间的时间段（在此期间其他用户存入和取款）可能会增加或减少 Tornado Cash 隐私保护功能的有效性。在取款时，该协议利用零知识证明技术将资金转移到一个新的以太坊地址，打破了资金最初存入 Tornado 的地址和后来从 Tornado 提取资金的新地址之间的联系。Tornado Cash 协议是不可变的、去信任的和完全自动化的。Tornado Cash 提供的匿名性依赖于多个用户同时使用该服务来断开用于存取款的钱包地址之间的连接。此外，用户还保留了一份只有他们才能透露的证书，用以证明其存放代币的所有权。与最近非法混币器使用率上升的趋势一致，Tornado Cash 平台也同样频繁地被用于洗钱。例如，在 2022 年 4 月对 Ronin 桥的黑客攻击中，大约 6 亿美元从桥上被盗，并转移到攻击者拥有的以太坊地址。几天后，黑客将部分被盗资金转移到 Tornado cash。2022 年 8 月 8 日，OFAC 指定 tornado.cash 网站和几个与该服务相关的以太坊地址，其中许多是智能合约地址，没有可识别的密钥持有人。财政部在宣布这一制裁措施的公告中指出，有超过 70 亿美元的非法收入通过 Tornado Cash 洗钱，其中包括朝鲜国家支持的黑客集团 Lazarus Group 洗钱的 4.55 亿美元，以及与Harmony Bridge 和Nomad Heists 相关的大量资金。财政部选择对该协议及其智能合约采取行动，尽管对无辜的第三方造成了相当大的附带影响，包括阻止未受制裁的个人提取使用该协议存入的完全合法资金。这个问题源于 Tornado Cash 的去中心化和非托管性质，这使得很难确定对其活动负责的组织或个人。因此，在这种情况下，应用传统的制裁执行技术和阻止财产利益可能带来技术上的法律挑战。尽管此类协议有时被视为试图规避监管要求，但从网络安全的角度来看，Tornado Cash 的技术架构也可以代表强大的隐私保护技术，以阻止未经授权的第三方和恶意行为者获取链上操作的个人和企业的敏感信息。这种方法是首选的，并且在技术上可能远远优于传统的操作控制，这些操作控制限制对更集中的监管系统施加的信息访问，并且已证明越来越容易受到恶意攻击和内部威胁。

财政部在与 OFAC 的声明同时发布的新闻稿中表示，“尽管公众做出了其他保证，但 Tornado Cash 一再未能实施旨在阻止其为恶意网络行为者洗钱的有效控制措施。” 事实上，正如下文更详细描述的那样，Tornado Cash 确实有一些技术控制措施，以防止该平台被用于非法金融活动。问题是——是否存在更有效的技术控制，例如利用零知识证明的技术控制，Tornado Cash 可以实施这些技术控制并说服财政部不采取它已经采取的行动？让我们考虑一下那些零知识证明解决方案，包括一些 Tornado Cash 实现的解决方案，以及其他可能提高效率的解决方案。虽然单独使用这些方法都不是灵丹妙药，但将它们结合起来可以提高检测、阻止和破坏非法金融活动以及受制裁国家行为者使用隐私协议的能力。它们是：(i）存款筛选——根据黑名单和允许清单检查钱包进行入站交易；(ii）提款筛查——根据黑名单和允许名单检查请求返还资金的钱包；以及（iii）选择性去匿名化——该功能可为联邦监管机构和执法部门提供交易信息访问权限。

存款筛查

以太坊区块链原生的数字资产或从另一条链桥接到它上的数字资产可以兑换成 ETH 并存入 Tornado Cash，以试图保护用户交易的隐私。为了防止资产来自受制裁的人员或与攻击或黑客相关的钱包，Tornado Cash 使用了依赖于指定地址 “黑名单” 的存款筛选。然而，“许可名单” 的额外使用可用于解决国家安全问题，同时也可将协议合法用户面临的风险降至最低，如下文进一步概述。

黑名单

Tornado Cash 的存款筛选使其能够通过阻止来自美国政府制裁或以其他方式阻止的地址的任何拟议存款来自动限制谁可以使用该协议。Tornado Cash 通过使用区块链分析公司的链上预言机服务来测试一个地址目前是否被指定在各种实体（包括美国、欧盟或联合国）的经济或贸易禁运名单（或 “黑名单”）上。Tornado Cash 的智能合约会在接受资金进入其中一个池之前 “调用” 分析公司的合约。如果资金来自分析公司特别指定国民（SDN）名单上被屏蔽的地址之一，则存款申请将会失败。

虽然使用黑名单筛选存款是很好的第一步，但这种机制存在几个实际问题。首先，当网络犯罪分子从受害者那里盗取资金时，他们可以立即将资金转移到 Tornado Cash 中，甚至在受害者意识到资金已经消失之前，当然，也可以在分析公司将资金标记为被盗或出现在他们软件中的 SDN 列表之前。第二，如果网络罪犯的地址在存入 Tornado Cash 之前被列入 SDN 名单，那么盗窃者可以简单地将资金转移到一个新地址，并在新地址被添加到制裁名单之前立即从新地址将资金存入 Tornado Cash。老练的黑客集团，如朝鲜的 Lazarus Group，常有效地使用这些技术来避免被发现。但是，区块链分析公司试图通过使用变更地址分析和启发式方法来克服这一限制，以识别同样由指定团体控制的非指定钱包。最后，依靠非政府实体作为关于制裁名单上的人或物的真相仲裁者，可能会造成难以查明和纠正的准确性问题。例如，一家分析公司可能会错误地将一个地址列入黑名单，而目前还不清楚该地址的所有者是否有任何追索权来纠正这个错误（不像传统金融机构可以处理客户的投诉）。另外，由于所有的制裁都代表了政府的政策决定，因此还存在添加哪一份制裁清单的问题。

白名单

为了降低分析公司或政府实体可能利用黑名单不公正地审查守法用户的风险，隐私保护协议可能考虑一种更强大的存款筛查形式，这种形式也依赖于存款筛查限制不适用的钱包地址的 “许可列表”。该许可列表将包括与受监管的金融中介机构相关的钱包地址——如 Coinbase 这样的法币入口——这些机构将进行全面的 KYC 筛选作为其登陆过程的一部分，因此无需隐私保护协议来筛选这些地址，如下所示。

提款筛查

对于那些未包含在上述允许列表中的钱包地址，一种额外的存款筛选方法是检查提款时的预言机，并阻止受制裁地址或已被确定为与非法活动相关的地址提出的任何提款。例如，假设一个非法行为者在黑客攻击后立即从一个地址向 Tornado Cash 发送资金。在存入时，该地址不在许可列表中，也没有被确定与被盗资金或受制裁的个人或实体有关，成功完成入金。但是，如果非法行为者试图在稍后的时间提取资金，并且在其间的时间段内，该地址被标记为与被盗资金有关或在制裁名单上，那么提取请求将失败。资金将保持冻结状态，盗窃者将无法提取。这种方法有很多好处。首先，它可以防止窃贼使用 Tornado Cash 协议洗钱。其次，Tornado Cash 实施提款检查点起到了威慑作用，应该让不法分子清楚地知道，如果他们将被盗资金发送给 Tornado Cash，这些资金可能会被智能合约无限期冻结，从而阻止他们获得他们的成果。这样的威慑只会影响到网络罪犯，而不会影响 Tornado Cash 的守法用户。事实上，考虑到上面讨论的存款时间段特征，以及非法行为者可能会将资金存放在 Tornado Cash 中更长时间以最有效地匿名化他们的来源，这种取款筛选功能将非常有用，因为它能够筛选不断更新财政部制裁名单。

尽管提款筛查可以解决存款筛查的许多缺点，但与存款筛查一样，它对任何必要的风险评估都无能为力。此外，它会使 Tornado Cash 继续依赖区块链分析公司对制裁预言机的忠实操作。此外，与存款审查一样，还有政府审查的问题 – – 只有在提款审查的情况下，政府滥用制裁清单可能导致用户失去资金。