Vitalik最新論文精煉：Privacy Pools如何解決“隱私、去中心化、合規”的不可能三角難題？

昨天，Vitalik和巴塞爾大學的一些學者們聯合發表了一篇名為《區塊鏈隱私和監管合規：邁向實際平衡》（Blockchain Privacy and Regulatory Compliance: Towards a Practical Equilibrium）的論文，在推特上引起了廣泛關注。

在市場行情冷淡時，為什麼我們應該關注這樣的論文？

Vitalik的思考和文章往往左右著新敘事和技術的發展方向，此外其他區塊鏈領域的知名專家學者，對區塊鏈技術和發展趨勢有著獨到的見解。

此外,論文探討的區塊鏈隱私和合規問題，事關加密行業未來發展方向和合規路徑選擇。在保護用戶隱私和符合監管要求之間找到平衡,是加密行業亟待解決的難題。

通讀論文之後，我們發現其提出的Privacy Pools協議，為實現隱私與合規的兼容提供了一個可行的技術方案。這似乎可以讓Tornado Cash因監管而被打入地獄的悲劇，不再重複上演。

但是,該論文偏學術和技術,閱讀難度較大,其中的一些細節和意義普通用戶並不容易理解。

因此，深潮研究院對該論文進行了解讀和精煉，試圖通過通俗的語言闡釋論文的核心要點,能夠幫助更多人理解隱私和合規這個重要議題，及其技術路徑和可能的解決方案。

作者都有誰？

首先，該論文由Vitalik帶頭，專業對口的學界和圈內從業人士共同參與撰寫。

Vitalik充當第一作者。由於Vitalik在加密貨幣領域具有重要影響力和聲望,可以讓提出方案獲得更多關注。

其他共同作者包括：

• Jacob Illum，加密行業研究機構Chainalysis的研究員；
• mat nadler，巴塞爾大學博士研究生，也有相關DeFi和EVM的開發項目；
• Fabian Schär，巴塞爾大學教授，研究方向公鍊和DeFi協議；
• Ameen Soleimani，多個知名加密項目的創始人，實踐經驗豐富

背景：隱私和監管矛盾，Tornado Cash的悲劇

• 公有區塊鏈的設計是交易透明的,任何人都可以驗證交易,不依賴中心化第三方。但這也帶來了隱私問題,因為區塊鏈上記錄著每個地址的所有交易,這使得地址可以被追踪和分析。
• 比特幣白皮書認為區塊鏈可以通過公鑰匿名性保障隱私,但這種保護已被證明是不足的,各種區塊鏈分析工具可以關聯地址和交易。所以需要更強大的加密技術來提高公鏈的隱私保護。
• 採用通用零知識證明的系統,如Zcash和Tornado Cash,可以將匿名集增大到全部交易,提高隱私保護。但Tornado Cash也被一些黑客濫用,最終其智能合約地址被OFAC制裁。

關於Tornado Cash的問題，深潮也補充了一些技術背景，對並不太了解之前被監管制裁的讀者提供參考：

• Tornado Cash是一個基於零知識證明的隱私增強協議,可以實現匿名交易。它允許用戶存入資金,然後在另一個地址提款,在鏈上只能看到存和取,而不能看到二者的對應關係,所以具有匿名性。
• 但該協議也被一些黑客組織濫用,他們通過該協議洗錢。例如有證據顯示北朝鮮黑客組織就通過Tornado Cash洗黑錢。
• 因此美國財政部OFAC最終將Tornado Cash的智能合約地址列入了製裁名單。監管機構認為該協議為洗錢提供了方便,不利於打擊金融犯罪。
• **Tornado Cash的關鍵問題是,合法用戶很難與協議吸引來的犯罪活動脫鉤。 **
• 但是這個證明的創建需要依賴Tornado Cash的中心化服務器。用戶需要向服務器提供提款的具體信息,服務器利用自己持有的數據庫,檢查這個提款確實對應的是哪個存款,然後生成這個證明。

這樣就需要依賴中心化中介,因為只有Tornado Cash持有完整的數據庫,能夠生成正確的證明。而普通用戶並不能檢查證明的正確性，用戶和監管只能選擇相信。

**我們迫切需要一種辦法，在不暴露隱私和去中心化的情況下，來證明和讓監管信服我的資金來源是乾淨合法的。 **

因此，這篇論文提出了一種可行的技術方案，叫做Privacy Pools協議：允許用戶證明資金來自一個自定義的關聯集合,既保護隱私,又可以證明是否來自某些非法來源。

這可能是隱私和監管兼容共存的第一步。

zk+關聯集，解決問題的關鍵

通過上文的背景描述，我們已經明白了需要解決的問題，即同時保證隱私和去中心化，來證明自己的資金是“無辜”的。

保證隱私，我們很容易聯想到zk。的確，Vitalik這篇最新的論文中也肯定了zk，尤其是zk-SNARK在解決隱私問題上的價值：

• **零知識：**不洩露私有數據,只證明聲明是正確的。
• **簡潔性：**證明很短,驗證很快,即使計算複雜也很高效。

但是，光憑zk-SNARK，只能解決一部分問題：證明我發生過這筆交易,但可以隱藏交易細節。

要徹底的解決問題，實際上需要在**隱藏交易細節的前提下，證明這筆交易的來源沒問題。 **

於是，這篇論文將zk和另外一個辦法聯繫了起來--- 關聯集（Association Set）。

• 所謂關聯集，即讓用戶證明資金來源於一個自定義的集合,而不是完全隱藏或完全公開來源。比如，我轉了1BTC，但這1BTC是我在其他多個交易中累積到的，於是這些其他的多個交易就可以成為一個關聯集。
• 關聯集可大可小，可以由用戶自由確定其組成和範圍,既可以是一個大的anon set提高隱私,也可以是一個小的set用來證明合規。

明白關聯集這個概念後，我們再來看看zk+關聯集，是如何既能夠保證隱私，又能夠證明資金來源的：

1. 用戶存款時，通過zk，會生成一個secret（密鑰）,然後計算出一個公開的coin ID。 （標記我與錢的關聯）
2. 用戶提款時要提交一個nullifier,證明我用過這個secret。 （證明錢是我的）
3. 用戶通過zk技術只需要證明:我的coin ID同時存在總集合和我聲明的關聯集中。 （證明錢的錢是乾淨的）
4. 外部只能看到交易次數,以及這筆錢的歸屬集合，但無法得到轉賬雙方的具體信息。

稍微更加技術一點的話，我們可以看原論文的這張默克爾樹的示意圖。圖中的默克爾樹實際上是Coin ID的組合，即交易本身都被zk後，我們看不到細節，只在樹結構中存儲Coin ID;

左邊的樹表示著當前發生的所有交易，這裡面可能有我自己的某一筆錢。現在，要證明這筆錢的資金來源沒問題，我需要右邊的樹---這代表著我自定義的一個關聯集，裡面有我的這筆錢和其他交易的關聯。只要我說的清右邊的交易過往，就能告訴你我當前這筆錢的來源。

在大的概念上，這就像一個privacy pool（隱私池）。右邊的關聯集裡有我這筆錢的來龍去脈，但是，因為通過了零知識證明，我可以向你證明錢的來龍去脈是真實的，但不用告訴你交易細節。

Privacy Pools的實際用例

論文給出了一個非常生動形像地例子，來展現Privacy Pool的應用。

背景設定:

• 有五個用戶：Alice、Bob、Carl、David和Eve。
• 前四者是誠實的，但Eve是已知的小偷。
• 雖然Eve的真實身份可能未知，但公眾知道標記為“Eve”的地址接收的資金是被盜過的錢。

用戶提款時的選擇和博弈:

• 當每個用戶提款時，按照論文方法，他們可以選擇關聯集。
• 這個關聯集必須包括他們自己的存款。這意味著，每個用戶在選擇關聯集時，都不能排除自己的存款。
• 對於Alice、Bob、Carl和David這四個用戶來說，為了避免與已知的不良行為者Eve關聯，他們可以選擇一個不包括Eve的關聯集。這樣，他們可以證明自己與Eve沒有關聯。
• 但是，Eve面臨一個問題：她不能選擇一個只包括她自己的關聯集，因為這樣會立即揭示她是不良行為者。
• 為了嘗試隱藏她的不良行為，Eve可能會選擇一個包括所有五個用戶的關聯集，希望混淆觀察者；
• 但是，由於其他四個用戶都選擇了不包括Eve的關聯集，這使得Eve的嘗試變得徒勞，因為人們可以通過排除法確定Eve是不良行為者。

結果:

• 通過關聯集的選擇，Alice、Bob、Carl和David可以證明他們與已知的不良行為者Eve沒有關聯。
• Eve無法隱藏她的不良行為，因為她的關聯集包括了所有人。

論文中的圖5進一步說明了這兩種證明的差異。 Membership proof包括一個特定的存款集合，而exclusion proof的關聯集則包括除了一個特定存款集合之外的所有存款。

未來展望

雖然上述基於zkSNARK和關聯集的隱私增強協議，為區塊鏈技術實現了在合規性和隱私之間的平衡，但仍然存在一些技術和治理上的挑戰。作者提出了未來的一些發展方向：

• **隱私屬性的進一步研究：**這些協議提供的隱私取決於許多不同的因素。關聯集的大小、根選擇的適當性以及用戶的錯誤可能允許專門的攻擊者鏈接用戶的交易。
• **研究分離平衡的屬性：**進一步研究好的和壞的行為者在某些假設下的行為方式，以及前者的公共證明如何影響後者的隱私。
• **法律研究：**法學家可以進一步研究特定的披露要求。這篇論文提出的建議是高度適應性的，法律專家的見解可以幫助調整協議和圍繞它的生態系統，以確保遵守各種法律管轄區的規定。

最後我們認為，在當下這個節點，隱私和合規性常常被視為不可調和的對立面。

論文中所述的技術為兩者之間找到了一個平衡點，為整個行業帶來了正面的意義。希望更多的研究者和開發者能夠受到這種技術的啟發，為行業的健康和可持續發展做出貢獻。