原文标题:《Grin 即将上线,MimbleWimble 能否成为解决比特币隐私问题的黑魔法》

人们认为像比特币这样的数字货币是匿名的、加密的,所以隐私性可以获得很好的保障。然而,这其实是对数字货币最大的误解之一。所谓匿名,只是通过一个钱包地址替代了传统意义上的身份信息。事实上,大部分数字货币都有一本公开的分布式账本,每一笔交易涉及的钱包地址和数量都可以通过浏览器轻而易举地查到,甚至一些数据分析公司或者利益相关方可以将钱包地址与 IP 地址或者其它标识信息绑定,从而破解用户信息。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出Blockchain.com 浏览器记录的交易信息

想象一下,当你的银行卡号的所有转账记录都被公布到全球的公开账本上,而又有方法可以将这个银行卡号与你个人的信息联系起来,这将是一件多么可怕的事情,而对于那些对隐匿身份要求较高的人来说,更是不可接受的。

正是由于比特币隐私性的限制,过去几年很多项目专门针对数字货币的隐私性进行了优化改进,并上线了相应的数字货币,被归类为隐私币。目前隐私币大约有 140 种,总市值约为 30 亿美元。其中一些取得了一定的成功,跻身主流数字货币行列,目前市值排名前 50 的数字货币中有 5 个隐私币,其中以 Monero 和 Zcash 最为著名。

本文将简化隐私币加密技术和协议的理解难度,以 Monero 和 Zcash 为例对隐私币进行分析,并引出当下最火的以 MinbleWinble 协议为基础的项目 Grin 和 Beam。

Monero vs Zcash

1、通用指标对比

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

通过对比分析,我们发现:

Monero 的市值是 Zcash 的两倍多,它的成立时间也更长

Zcash 的算力几乎是 Monero 的 6 倍,主要是因为 Zcash 允许 ASIC 挖矿,而 Monero 则抵制 ASIC

Zcash 目前只有大约 26% 的 Token 被挖出,而 Monero 则是 74%。关于通证经济将在后文详细讨论

Zcash 的转账费用比 Monero 低得多

两者得开发者活跃度相当,但市值却相去甚远

2、技术对比

交易双方地址和交易金额的匿名是实现交易隐私性的必要条件。Monero 和 Zcash 分别使用了不同的应对方法。但主要目标都是创造同质化的数字货币,同质化即可随意互换并且等值;比特币则相反,它是非同质化的,因为每一个比特币都可被追溯。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

需要注意的是,两者都在研究隐藏用户 IP 的方法,来进一步提升隐私性。Monero 使用的 Kovri 技术,而 Zcash 使用的是 Dandelion。

Zcash 提供两种交易形式,组合起来一共 4 种可能的交易情况。使用 t-address 形式交易和比特币是一样公开的,而 z-address 形式的交易将隐藏所有信息。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

这种动态组合的模式将提供更强的灵活性,交易双方可以完全地进行加密交易(双方均使用 z-address 模式)或者一方使用 t-address 模式,就可以为审计部门或者政府部门提供接口。

通过对比,我们发现 Monero 的隐私属性是固有的,而 Zcash 的用户则可以选择,实际上只有 13% 的 Zcash 用户使用 z-address 形式进行隐私交易,这么小的样本数量更容易被追踪。但 z-address 的接受程度总体是在上升的,去年使用率从 4.3% 提高到了 13%。而且 Coinbase 也宣布支持 Zcash 并兼容 z-address,这会进一步促进 z-address 的普及。

3、更新对比

Monero 和 Zcash 都不约而同在 2018 年 10 月进行了重要更新。

Monero 采用新的 Bulletproofs 协议,一种零知识证明极大提高了交易的可扩展性。签名数量从 7 增长到 11,提供了更好的隐私性。交易费用从 $0.54 降低到 $0.02,降幅达到 96%。

而 Zcash 则降低了 zk-SNARKS 的能耗,只需要占用 40mb 内存,1 秒完成;Shielded transaction 可以在手机或者 IoT 硬件上使用。

隐私币新晋挑战者 Grin/Beam

Grin 是目前炙手可热的项目,它还有一个孪生兄弟 Beam,它们都是基于 MinbleWimble (MW)隐私协议的项目。区别在于 Grin 是一个社区开源项目,而 Beam 背后是一家以色列公司。这和 Monero vs Zcash 类似,前者是开源项目,而后者由一家中心化的基金会开发。Grin 的主网计划于 2019 年 1 月中旬上线而 Beam 的主网则在日前已经上线。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

Grin 还面临着一个独有的难题,就是作为社区开源项目,开发者能否持续募集资金推动项目的落地发展,目前来看这个问题还不构成威胁。

两个项目背后的 MimbleWimble 隐私协议源自化名 Tom Elvis Jedusor 在网上发布的白皮书。Jedusor 是《哈利波特》中伏地魔的法语名,而 MimbleWimble 是书中的一种咒语——结舌咒。这个趣味性也增加了 MinbleWimble 在网上的热度。

在本质上,MimbleWimble 协议下的交易也包括输入、输出和交易金额,但交易双方可以通过钱包直接交流决定交易(该点无公开资料演化),从而规避了交易地址。同时 MW 的保密交易 (Confidential Transaction) 能够隐藏交易的金额,保护隐私。

MimbleWimble 还有一个交易合并(Cut-Through)技术,可以打破一个区块内所有交易的边界,进行合并清算,大幅减少了冗余数据。这一特性也能够提高隐私性,因为一个区块内最后包括的信息只有该区块内所有交易的整体结余,交易双方的直接关系并不明确。

但 WimbleWimble 并不像魔法一样万能,它也存在着一些问题。MW 去除了脚本,可编程性极低(与比特币截然相反),所以基于 MW 的区块链的可编程性也极低,无法进一步扩展应用。并且交易双方需要同时在线,并不是十分方便,多方交易难以实现。而且在交易确认之前,节点总是有可能获得交易信息的,这是隐私性的潜在风险。Grin 尝试使用 Dandelion 模糊用户 IP 地址以应对该风险。

隐私币货币政策

数字货币的货币政策一直是讨论的热点话题,比特币的固定供给量使它具有作为价值储存的吸引力,但意味着最终挖矿不再能给矿工带来收益,这样的政策使得激励作用最终大大减弱,造成了未来网络活跃度的不确定性。但由于数字货币还处于早期,比特币从诞生也才 10 年,谁都没有成熟的经验可以回答这样的不确定性,所以以太坊也没有确定自己的货币政策。

各种隐私币的货币政策也截然不同,Monero 采取持续递减的奖励方式,在 2022 年降低到 0.6XMR/ 块后一直保持该水平。而 Zcash 则像比特币一样,挖矿奖励初始为 12.5ZEC/ 块,每四年减半,最终达到 21M 的定值。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

不同货币政策对应了不同时期不同的通胀率,Zcash 最让人诟病的就是初期极高的通胀率,2019 年它的通胀率高达 43.4%,而同期的 Monero 只有 2.7%。但长期来看,Zcash 由于奖励减半,具有固定总量,它的通胀率最终会趋近于零。虽然 Monero 产出也在减少,但最终保持线性增长,长期来看,它的通胀率高于 Zcash。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

而 Grin 的货币政策则是始终保持 60Grin/ 块的线性增长。而 Beam 则类似 Zcash,区别在于出块速度更快。Grin 和 Beam 的初始通胀率都很高,十年后会下降到 10% 以下,最终会低于 1%。

上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出
上百种隐私币,以 MinbleWinble 协议为基础的 Grin 和 Beam 为何脱颖而出

通胀率会影响数字货币作为价值储存属性的吸引力。高通胀意味着「储存流通比 stock-to-flow rate」极低,这将刺激支出而不是持有,也就是鼓励将其用作交换媒介 MoE。而固定供应上限虽然会天生具有价值储存属性,但长期来看,挖矿经济激励因素的消失也为网络带来风险。长期持续的供给又保证相对较低的通胀率也许是一个兼而有之的方案,这也是 Grin 所探索的。

Grin/Beam 对于现有隐私币的冲击

Grin 和 Beam 都使用 MimbleWimble 提升了比特币的隐私性。作为首批应用 MW 的项目给与了它们加持。而且所用到的椭圆曲线加密技术已经在比特币网络使用了十年,所以 Grin 和 Beam 的落地应该会比较顺利。

但在技术上,Zcash 和 Monero 的隐私性是比 MW 类项目强的。正如前文提到的,MW 协议在交易确认前的隐私性问题还有待解决。而 Zcash 的隐私交易在交易信息从钱包发出前就对其进行了加密。Monero 的 Ring CT 和 stealth addresses 技术也是隐私交易的保障,并且两者也都在研究 Dandelion 类的技术。而且 Monero 和 Zcash 都已经有了几年的时间,得到了实际验证。无论是隐私性还是成熟度,Grin 和 Beam 都还需要提升。

在可扩展性上,Grin 和 Beam 的 TPS 和目前比特币网络相当,没有专门针对性的提升。即使 Grin 和 Beam 减小了一个区块的大小,使得节点加入网络的成本变低,但这不直接与提升 TPS 划等号,我们不能期待这两个项目的 TPS 能大幅高于比特币。并且这两个项目去除了脚本后,可编程性极低,目前针对比特币网络性能优化的闪电网络或多方签名技术并不适用。这在应用上可能会受到限制,仅仅具有货币的交换和价值存储功能。

在货币政策上,Grin 和 Beam 初期还会经历高通胀期,更适合作为交换媒介。且初期很可能面临巨大的抛盘压力,因为持有即面临大幅贬值的风险。而随着时间的推移,它们会变成一个更适合作为价值存储的低通货膨胀货币。

我们认为,基于 MimbleWimble 的 Grin 和 Beam 更像是纯粹的基于隐私性改进的密码学极客产物。我们更应该关注其长期的成长,短期的投机行为风险极大。

隐私币未来的发展

目前来看,各种隐私币可以实现自己链上交易的隐私性,但跨币种甚至跨资产交易的隐私性仍无法保障。在不能作为现实世界支付手段或者不适合作为价值存储货币时,我们仍需要进行不同币种或资产间的交易,即使链上交易的隐私性得到了保障,但在换成法币或其它数字货币时,都无法避免钱包和交易所(无论是否去中心化)等环节,目前并没有隐私币针对这种场景的隐私性进行优化。这可能会是未来隐私币、甚至是钱包的发展方向之一。

政府需要严密监控一些隐私币应用场景,比如离岸账户汇款,跨境汇款,黑市交易,这就产生了监管需求。目前大多数隐私币的隐私属性是固有的,而像 Zcash 可以选择交易隐私模式的则十分稀有,它可以为税收或者监管等目的提供接口。当政府职能与隐私性产生冲突,Zcash 更容易被接受。这也许是 Coinbase 选择支持 Zcash 而非 Monero 的原因。

从某种意义上讲,隐私币是针对比特币隐私性的分叉。但假如比特币或者以太坊采用了隐私特性,无论是在基础核心层还是在侧链上,这都将对隐私币造成威胁。如果这种情况发生,会使得隐私币变得毫无价值,这是隐私币一个长期的风险因素。

从隐私加密技术应用角度考虑,对于那些真正需要匿名的事件可能帮助更大,比如对慈善捐助者的匿名,对见义勇为者、关键线索举报者的匿名奖励,对民主投票的匿名等等。或许在未来,隐私加密技术可以被用于一个活动是否真心允许用户匿名的试金石。