复兴隐私交易:抗合规审查和提升实用性的路径

互联网 阅读 769 2023-12-05 15:06:00

交易隐私的用例和附加值是显而易见的。利用 ZKP 等加密证明可以在链上付款或转账时保持匿名性和机密性。如果没有交易隐私,链上的一切都是公开的。用户公开他们的信息和元数据。大多数用户不希望这样——尤其是机构用户。尽管如此,交易隐私是否会成为公共区块链的基本特征还不确定。在合规方面,缺乏有效的方法来阻止恶意行为者滥用系统。在用户方面,用户体验问题阻碍了更广泛的采用。这项研究工作讨论了应对这些挑战的最有前途的方法和协议。它涵盖了他们的基本想法和权衡,并提出了当前交易隐私格局的分类。

长话短说

  • 隐私有不同的层次。交易隐私专门涉及如何保存身份和转移的价值。
  • 在 Tornado Cash 之后,在如何合规和提供更好的用户体验方面还存在许多遗留问题。
  • 为了合规,协议必须确保它们不会被恶意行为者滥用(例如洗钱)。
  • 为了方便用户使用,低 Gas 费、兼容 DeFi 协议以及更好的隐私保障是必须具备的,仍在开发中。
  • 我们认为设立合规委员会是最有效的方法。它为当局识别恶意用户提供了合理的依据,同时不需要无辜用户付出额外的努力。
  • UX 方面出现了一系列新的解决方案,例如 DeFi 适配器、MASP 和基于账户的模型,这些解决方案要么旨在增加交易隐私用例的数量,要么为用户提供更好的隐私保证。
  • 保护隐私和提供合规选项/方法以减少系统滥用之间将是一场漫长的战斗。还有进一步的创新空间,例如更快地执行识别滥用行为或使用不同策略/措施的集合来提高整体系统的稳健性。
  • 这是一场值得打的仗。如果交易隐私最终能够满足监管机构和用户的要求,这也将是公共区块链对更广泛受众的长期吸引力和可用性的重大胜利。

定位交易隐私

在加密领域,我们总是提倡区块链带来的透明度好处,而我们经常忽视硬币的另一面。公共区块链缺乏人们在现实生活中认为理所当然的隐私。例如,当通过传统铁路支付或电汇资金时,发送方无法看到接收端的交易历史记录,反之亦然。在区块链上,默认情况下一切都是公开的,Arkstream 和 Chainaanalysis 这样的公司在监控链上活动方面发挥了重要作用。如果区块链继续缺乏隐私,机构采用将会很困难,因为这将使他们的专有数据容易暴露。因此,像 Zcash 和 Monero 这样支持匿名支付和交易的先驱很快得到采用也就不足为奇了。然而,第一波浪潮在2022年8月戛然而止。OFAC 将流行的交易隐私协议 Tornado Cash 列入黑名单,让整个链上隐私市场陷入痛苦。

但现在,出现了第二波浪潮的良好迹象。最近,我们看到了一些解决应用程序隐私问题的协议和创新方法,这些协议和创新方法可以赢得当局和用户的青睐。

隐私层及其重要参与者|资料来源:格林菲尔德

在深入探讨之前,让我们简要探讨一下不同的隐私层以及在哪里定位交易隐私:

  • 网络隐私NYM——由Greenfield 和Tor支持):混淆网络流量的元数据并隐藏用户的 IP 地址。
  • 数据隐私Mind NetworkFilecoin):在数据共享/存储中保护隐私,充当计算的数据层。
  • 计算隐私AleoAztecZama):私有数据集/状态的机密计算。
  • 应用程序隐私Tornado CashRailgunFirn|新兴参与者:ElusivNocturne):在应用程序级别实现隐私,例如治理/私人投票和交易隐私。
  • 全栈隐私DarkFi):由于链上隐私的不同层是可组合的,一些提供商正在构建从头到脚嵌入隐私的生态系统,包括匿名工程等新颖的想法。

以下部分讨论阻碍交易隐私进一步采用的问题。

交易隐私——挑战

一般有两类问题: 当协议无法满足当局防止洗钱或恐怖融资的要求时,就会出现合规问题。在用户方面,高昂的 Gas 费用和缺乏与 DeFi 协议的可组合性等问题阻碍了大规模采用。

合规挑战

  1. 防止不良行为者滥用系统:在交易隐私协议的架构中,通过用户存入资金的公共池来确保隐私。由于所有用户的资金都合并到这个共享池中,因此将提款与其初始存款联系起来变得不可行。然而,恶意行为者的钱也可能在池中。一旦矿池被污染,就无法证明和识别合法提款。龙卷风现金事件发生后,一次灰尘攻击将资金发送到公众人物的公共地址,这些公众人物后来因未能证明与恶意存款无关而被禁止。
  2. 解决监管模糊性:旅行规则通常适用于传统支付/转账。然而,在链上私人支付环境中,出行规则是否适用尚不明确。如果协议属于旅行规则,则它必须能够报告发起者和接收者的姓名。这会给用户方(KYC)带来额外的摩擦,并使协议面临“蜜罐”风险。根据FATF的建议,当转账金额超过 1,000 美元/欧元时,适用更高的要求(共享更多 PII)
  3. 获得主流采用的合法性:合法性确保用户可以参与协议,并确信他们的资产不会被任意冻结,也不会意外地被列入制裁名单。 这种信任是通过与监管机构的积极参与、运营的透明度以及领导职位的知名度来培养的。

使用挑战

  1. 私人转账收费:隐私是有代价的。对于大多数协议,例如ElusivRailgun,它由两部分组成:– 使用隐私服务、每次屏蔽和取消屏蔽代币都会收取协议费用。它基于交易量,并根据协议收取百分比或固定费用。– 使用中断发送者和接收者之间链接的中继服务时需要支付中继费用。它代表用户执行交易。通常需要以协议代币或稳定币的形式支付这笔费用。实际成本进一步取决于用户运行的网络以及各自当前的燃气费。可以说,这是阻碍隐私进一步采用的主要原因,尤其是在以太坊等网络上。大多数交易隐私协议都采用了 Zcash 的 UTXO 模型(与以太坊等链使用的账户模型不同,UTXO 代表了某些资产的所有权,这可以说更适合支付用例),并且每次用户与协议交互时存储 UTXO 的 Merkle 树需要更新和验证,作为成本的主要驱动因素,以及证明验证。此外,在数字领域对隐私征收额外费用的概念引发了哲学问题。它挑战了传统观念,即隐私是日常生活的固有方面,而不是需要购买的高级功能。
  2. 引导匿名集:匿名集是嵌入在所有隐私系统中的概念。它决定了系统的私有程度。假设系统仅支持少数参与者(低熵)存入/提取固定数量的特定代币。在这种情况下,可以使用时间/相关性攻击轻松地对其进行去匿名化。熵越高(可以通过添加用户、资金和不同交易金额或多种不同资产类型来增加),匿名性越大,隐私性越好。尚未得到广泛采用的年轻协议却受到了小规模匿名集的困扰。因此,早期采用者期望隐私挖掘激励/空投来应对较差的隐私。
  3. 与现有 (DeFi) 协议集成:Uniswap 等 DeFi 协议中深度集成的交易隐私协议将允许在交换时进行隐私切换,而无需与隐私协议本身进行交互。隐私协议的钱包后端集成也将允许与(DeFi)协议进行自然交互。然而,智能钱包标准,也称为账户抽象,将使集成变得更加复杂(例如,社交恢复)。

解决上述合规问题至关重要。我们相信,通过适当的合规方法来确保合法性和辐射合法性,用户将涌向这些协议。

在下一节中,我们概述了隐私协议中采用的不同合规措施。

解决合规挑战的方法

  1. 智能合约层面的存款监控:
  2. 当存款地址与制裁名单进行交叉核对时,就会发生存款监控,如果该地址在制裁名单上,则会被阻止。权威制裁名单由美国 OFAC 等政府维护,用于追踪从事非法业务的个人或实体,例如国际毒贩或恐怖分子。名单上有一个臭名昭著的黑客组织:Lazarus Group。朝鲜黑客被指控执行了迄今为止最大的加密货币漏洞——RoninBridge 黑客攻击(价值 6.24 亿美元)。他们使用 Tornado Cash 将盗取的资金分配到其他钱包,并使资金无法追踪。Lazarus Group 标记的钱包已被以太坊基础设施的部分内容屏蔽,请参阅仪表板
  3. 存款监控很容易在应用程序级别实现,因为中继者可以选择不处理来自列表上地址的订单。然而,该列表需要持续、频繁的更新。恶意行为者可能会在将协议添加到列表之前先运行该协议。
  4. 无罪证明:无罪证明是隐私池协议
  5. 鼻祖 Ameen Soleimani 提出的一个新颖想法。Vitalik 还与人合着了一篇论文,解释了它如何与合规要求一起工作:人们可以选择加入一个由许多很可能是干净的池组成的池,而不是让每个人都将资金存放在共享池中。同时,在不泄露充值/提现地址的情况下,生成零知识证明,证明用户的资金来自无罪池。这种方法的优点在于,它在一定程度上满足了监管要求,即无辜用户总是将资金相互混合。他们可以通过使用了解所有不良行为者的可信/权威第三方的信息或自行选择场景来做到这一点。虽然这种方法本质上是无需许可的,但它继承了一个关键的缺点:考虑十个无辜的用户将他们的资金混合在一个干净的资金池中。有一天,其中一人决定成为一名坏演员,利用他的私人资金资助恐怖主义。在泳池创建时,所有演员都是无辜的。然而,后来,水池被污染了。这里的一个类似的论点是认为坏演员在池创建时被隐藏,然后被揭露。对匿名集提供商的额外依赖是另一个缺点。最重要的是,它还会给用户带来摩擦,例如仔细选择匿名集或生成额外的证明。此外,它自然会在选择更大的匿名集(提供更好的隐私)和更有可能合规之间进行权衡。因为用户有选择后者的动机,所以我们假设匿名的大小不能足够大,因为用户会用隐私来换取合规性。
  6. KYC:
  7. 在交易隐私协议中采用 KYC 的一个重要原因是旅行规则要求发送者和接收者进行 KYC。链下实体验证用户身份,链上凭证颁发者为用户提供访问协议的凭证。缺点是用户必须相信凭证颁发者不会与 KYC 服务提供商串通泄露他们的身份。用户参与是另一个摩擦。这种方法的好处是不存在监管风险,用户可以完全放心地使用它。在这里,一些协议主动要求 KYC,以便在将来受到旅行规则约束时能够遵守旅行规则。我们看到HinkalPanther Protocol采用了这种方法。
  8. 前端/RPC 请求监控:
  9. 协议可以在应用程序前端使用不良行为者禁止列表来阻止来自特定源 IP/范围(iegeoblocking)甚至钱包帐户的请求。但是,可以通过在没有前端的情况下创建自己的交易来轻松规避这一点。阻塞机制的另一个位置是 RPC 提供者,例如 Metamask 的后端 Infura。Infura 可以根据 IP/范围或钱包帐户进行阻止。协议需要与RPC提供者协作并处理权限请求。然而,不良行为者可以轻松地将 Infura 替换为另一个不阻止请求或可以运行自己的完整节点的 RPC 提供商。另一种规避方法:如果好/坏的参与者使用 VPN,他们可能能够绕过前端和 RPC 提供商的网络级阻止机制。但是,前端/RPC 提供商可能会阻止所有已知的 VPN,以便不良行为者无法通过 VPN 使用该服务。
  10. 查看密钥:
  11. 查看密钥方法允许用户向第三方(例如税务局或法律机构)透露特定交易或钱包下的任何交易。它对于无辜用户来说效果很好,因为他们会被激励遵守法律的任何要求。对于恶意用户而言,这可能还不够,因为查看密钥是自愿的,并且恶意行为者有权决定是否共享密钥。
  12. 速率限制:
  13. 速率限制可防止用户存入和屏蔽超出协议一次允许的资金。它被 Aztec 的ZK.money(不再运行)和Light 协议采用。速率限制有助于减轻刚刚窃取一大袋钱的黑客滥用的风险。
  14. 许可/非许可合规委员会:
  15. 合规委员会思想的核心是投票委员会,共同决定披露交易。许可版本只允许某些信誉良好的玩家加入委员会,而无许可版本则允许任何人加入并成为投票成员。后者可以通过调整激励和惩罚以符合共识来实现。当然,两者的混合也是可能的。
  16. 我们已经看到两个协议在探索这个概念。无声协议成立了一个由该领域公认的、信誉良好的参与者组成的委员会。如果多个委员会成员批准,他们可以解密一个人的余额。这种方法可以实现非自愿披露,但也存在串通滥用系统的风险。Elusiv进一步采用了这种方法,将治理与揭示过程分开。每当出现权限请求时,协议治理都会根据协议的成功来决定是否公开交易/钱包。实际的揭示是通过激励/惩罚一致的 MPC 网络进行的。我们相信这种方法可以保护隐私,同时旨在尽可能合规和合法。

隐私

交易隐私合规方法评估|资料来源:格林菲尔德

在上表中,我们建议从三个维度对不同方法进行比较:

  • 合规性——合规措施的可能有效性:KYC方法和合规委员会排名最高,因为两者都支持非自愿披露。
  • 实现——每种方式的实现难度:充值监控、查看密钥、速率限制、RPC请求都可以轻松实现。其他三个需要额外的工作。例如,无罪证明需要进一步开发 ZK 电路。
  • 用户摩擦:对于存款监控、前端/RPC 请求监控和合规委员会,用户可以按原样使用协议。查看密钥和无罪证明等方法要求用户与协议进行交互,以确保存款后合规。KYC 方法的阻力最大,因为它必须进行预存款。

下表显示了协议在交易隐私空间中使用的不同方法组合。我们还根据基金生命周期中适用的步骤对这些方法进行了聚类。

隐私

合规角度的交易隐私项目分类|资料来源:格林菲尔德

解决使用挑战的方法

  1. DeFi 适配器:DeFi 适配器允许人们使用其私人余额与 DeFi 协议进行原生交互。借助 DeFi 适配器,您可以开箱即用地使用具有交易隐私协议的私人余额的现有智能合约。基本工作流程功能类似于进行私人转账,但调用智能合约功能而不是调用公共外部账户。通过这种方式,专业交易者可以匿名执行他们的策略,而不必担心有人跟踪他们的钱包地址。
  2. 隐形地址:与采用ZKP来实现交易隐私相比,隐形地址技术很容易在共识层上实现,并且许多人都讨论了它的实用性。其基本思想是,隐形地址本身是一个只有发送者和接收者知道的共享秘密。只有接收者可以通过组合共享密钥和他的私钥来计算支出密钥。它与 ZKP 方法有很大不同,ZKP 方法在传递消息和混淆链接之间有一个中继器。虽然隐藏地址很容易实现,但它也并不完美。为了接收资产,接收者需要扫描所有临时公钥以找到用户可以使用的隐形地址。由于公钥存储在链上,因此也给区块空间带来了开销。Vitalik 对隐形地址技术的主要批评是它与社会恢复不兼容。
  3. 基于账户的模型:虽然大多数协议继承了Zcash首创的UTXO模型,但近年来一些协议已经探索了基于账户的模型,其主要好处是不具有无限增长的UTXO集。账户模型作为管理所有加密账户余额的智能合约来实现。状态的改变会覆盖这些。因此,它有助于缓解基于 UTXO 的协议中常见的钱包同步问题。Zether是一个基于账户的模型实现。它允许保密,并具有启用匿名的扩展。
  4. MASP(多资产屏蔽池):MASP 包含多种任意代币类型。将这些卷组合起来可以形成更大的匿名集。
  5. L2:L2 通过使用有效性或乐观证明来帮助解决以太坊的 Gas 费问题。构建在 L2 之上的协议可以利用边缘来降低私密交易的成本。
  6. 与最终用户的一致性:归根结底,隐私空间仍然面临着用户必须首先为数据保护付费的问题,无论成本是低还是高。这与传统世界形成鲜明对比,传统世界通常不会遇到此类隐私费用。因此,必须使策略和解决方案与用户的需求和期望保持一致。

我们看到协议正在尝试上面的想法,从不同的角度解决用户体验问题。

结束语:

  1. 在合规性方面,所讨论的方法是有前途且积极主动的。但是,仍有微调的空间。无论采用哪种方式,尽快识别恶意行为者都至关重要。大多数时候,恶意行为者不会针对 100% 的不可追踪性进行优化,而是针对出口速度进行优化。识别这些不良行为者的执行对于阻止他们套现至关重要。监管机构和协议如何更快地识别异常情况,系统应如何抵御当局的滥用?这些方法都不是灵丹妙药。因此,我们希望看到一种组合来提高鲁棒性。
  2. 合规方法的可扩展性/敏捷性——测量是否可以扩展以服务数百万甚至数十亿用户?面对快速变化的监管要求,这些方法能否保持其效率和准确性?
  3. 如何给隐私定价?鉴于现实生活中链上隐私在一定程度上是免费的,是否应该收费是值得商榷的。另外,用户愿意为什么级别的隐私付费?
  4. 交易隐私的哪一部分对您来说更重要?您的身份(匿名)或您支付了多少钱(保密)?Solana 的最新升级提出了保密转账代币计划,允许 SPL 代币保密(隐藏转账余额)。

我们知道交易隐私空间正在迅速发展。我们欢迎就我们应该提到的其他有希望的方法或协议提出意见和建议。您正在自己构建隐私解决方案吗?格林菲尔德和这篇文章的作者布莱恩詹德里克很高兴听到这个消息。

最后,特别感谢FelixMarkus对本文的贡献!

免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表本站的观点或立场
上一篇:币安新CEO首场AMA:当务之急、上币和未来之旅 下一篇:SevenXVentures:多Rollup生态系统的四大支柱

您可能感兴趣