作者：0xFishylosopher, Web3.com Ventures

介绍

Web3中的隐私就像房间里的大象，它既是与去中心化、匿名和无需信任并列的最大卖点，也因为难以忍受的KYC、易于追踪的PII和外界的怀疑目光而成为最大痛点。

不幸的是，这也是一个在很大程度上被误解的话题，很多人将加密“隐私”视为资助恐怖分子和进行洗钱活动的借口。事实上，加密Twitter以其“匿名文化”而自豪，而主流媒体经常（有意或无意地）强化这种偏见，这并不利于消除刻板印象。

因为Web3是一个包罗万象的概念，从猿猴头像到密码学、零知识证明，无所不在其中，所以笼统地谈论它的好坏是没有用的。相反，我们必须将问题分解成不同的更小部分。这篇文章将从网络层隐私、协议层隐私和用户层隐私这三个不同的层次上拆解Web3的“隐私”基础设施，然后再探讨零知识证明（ZKP）等技术解决方案在未来Web3隐私中发挥的作用。

网络级隐私

隐私的第一个也是最古老的概念起源于网络层面。网络级隐私通过区块链的底层共识机制和网络级设计来保证给定区块链网络上每笔加密货币交易的隐私。因此，这也被称为“隐私币”。

Monero是建立网络级隐私的领先项目之一，它是2014年建立的以隐私为优先的区块链。与比特币不同，Monero将用户钱包和交易隐藏在“环签名”之后，其中给定“环”内的用户可以访问某个“群签名”，并使用该群签名来签署交易。因此，对于Monero网络上的任何给定交易，你只能知道它来自某个特定的群组，但不能知道具体是群组中的哪个用户实际签署了该交易。从本质上讲，这是“群体中的隐私”的一种形式，用户聚集在一起，为每个人提供隐私。

另一个解决这个问题的项目是ZCash，它是零知识证明的一种形式——zk-SNARKs的早期先驱，这项技术最近得到了普及。零知识证明是一种在不泄露任何进一步信息（这可能会危及安全和隐私）的情况下证明某些事情为真的方法。

尽管它们的设计和实现存在差异，但对于Monero和ZCash而言，交易的隐私在区块链级别得到保证，因此网络上发生的所有交易都会自动保证隐私性。这种隐私保证很容易被不良行为者滥用，进行洗钱、恐怖活动和贩毒，而门罗币因其在暗网上的流行而臭名昭著。此外，随着Monero和其他“隐私币”成为非法金融活动的代名词，这让出于合法隐私问题而使用这些“隐私币”的用户被迫离开，形成负反馈循环，只会导致更有害的影子经济。

这是在网络层面保证隐私的最大缺点：它是一种“全有或全无”的设计方法，交易的透明度与交易的隐私之间存在零和权衡。正是因为缺乏透明度，“网络级隐私”最受监管者的批判，也是Coinbase、Kraken和Huobi等几家主要中心化加密货币交易所在几个司法管辖区下架Monero、ZCash和其他隐私币的原因。

协议级隐私

隐私的另一种方法是确保“协议级隐私”，这里不再将隐私交易硬编码到区块链网络的共识级别，而是在运行在区块链网络之上的“协议”或“应用程序”上处理隐私交易。随着以太坊的出现和“智能合约”的兴起，这为隐私保护协议开辟了一条全新的途径。

“协议级隐私”最著名的例子之一是Tornado Cash，它是以太坊上的一个去中心化应用程序 (dApp)，它将交易“混合”到一个池中以保证交易隐私——在概念上有点类似于Monero 的“混入群体”的方法。

Tornado Cash协议大致分为三个主要步骤：

不幸的是，2022年8月，Tornado Cash受到美国政府的制裁，因为外国资产控制办公室 (OFAC) 声称朝鲜黑客正在使用该协议清洗被盗资金。由于此次打击行动，美国用户、公司和网络无法再使用 Tornado Cash。USDC稳定币发行商Circle进一步地冻结了与Tornado Cash地址相关的超过75000美元资金，GitHub也删除了Tornado Cash开发者的账户。

这在加密领域引发了一场争议风暴，许多人认为绝大多数用户使用Tornado Cash是为了进行合法的隐私保护交易，协议用户不应该因为少数人的不良行为而受到惩罚。

Aztec Network开创的另一种“协议级隐私”方法侧重于“rollups”，以保护用户资金并支持隐私交易。 Aztec的主要产品是zk.money，它使用一个两层的深度递归零知识证明来实现扩展和隐私。第一层ZKP证明匿名交易的正确性，确保交易是隐私的，没有信息泄露。第二层ZKP用于rollup本身，以便将批量交易的计算捆绑在一起并确保所有这些都正确执行。

虽然基于rollup的“协议级隐私”解决方案仍处于早期阶段，但它们代表了“协议级隐私”解决方案的未来发展。与基于dApp的“协议级隐私”解决方案（如 Tornado Cash）相比，rollup解决方案的一个关键优势是它们增强了可扩展性，因为计算的繁重工作主要发生在链下。此外，由于许多rollup研究只关注增加计算量，因此在将这些技术应用和扩展到隐私领域方面仍有充足的探索空间。

用户级隐私

Web3隐私概念的第三种（也是最近的）途径是“用户级隐私”，其中隐私保护是针对单个用户的数据，而不是用户的交易数据。在“网络”和“协议”层面，我们目睹了少数不良行为者反复出现的问题（例如暗网交易和洗钱）影响了单纯关心个人数据隐私的无辜的大多数人。

“用户级隐私”的关键点在于，通过关注网络中的个人用户，我们进行“有针对性”的过滤，良性用户和地址可以自由地与区块链网络进行隐私交互，而不良用户则可以很快被过滤掉。

“用户级隐私”的核心见解是分离和重新想象用户本身与其链上钱包地址之间的关系，因为钱包地址是区块链网络上的原子标识符。重要的是，存在从用户到链上地址的一对多映射：用户通常在与他们交互的每个区块链网络上控制多个钱包地址。这就是“链上身份碎片化”的想法。因此，“用户级隐私”的关键是找到一种安全的方式将用户的个人身份信息 (PII) 映射到所有这些碎片化的链上身份。

这方面的一个关键项目是Notebook Labs，它寻求使用零知识证明将碎片化的身份与用户的PII联系起来，同时提供以下保证：

1.用户可以用任何碎片化的链上身份来证明自己的身份

2.不可能将这些身份链接在一起（除非用户的密钥泄露）

3.任何第三方或对手都不可能将碎片化的链上身份与用户的真实身份联系起来

4.凭证可以跨身份聚合

5.每个人都会收到一组碎片化的链上身份

虽然该协议的加密细节超出了本文的范围，但Notebook Labs展示了“用户级隐私”的两个核心原则——解决重新想象大量碎片化的链上身份与现实世界人类用户之间关系的重要性，以及零知识证明在聚合和链接所有这些身份方面发挥的重要作用。

“用户级隐私”问题的另一个新兴解决方案是“隐形钱包”的想法。同样，“隐形钱包”的想法利用了链上身份的碎片化和用户通常在链上拥有多个身份这一事实。与Tornado Cash和其他试图掩盖交易数据本身的“协议级隐私”解决方案不同，隐形地址试图掩盖发送者和接收者地址背后的身份。这本质上是通过找到一种算法来实现的，该算法可以为用户的交易快速自动生成“一次性地址”。

“隐形钱包”与之前讨论的隐私解决方案（如Monero和Tornado Cash）之间的一个重要概念区别在于，这不是一种“群体中的隐私”形式。这意味着，与Tornado Cash只能为ETH等主流代币转移提供隐私保护不同，隐形钱包还可以为小众代币和NFT，或者没有“群体”融入的独特链上资产提供安全保障。尽管如此，到目前为止，关于以太坊“隐形钱包”的讨论还停留在理论阶段，这一新技术解决方案的实施效果和法律后果还有待观察。

ZKP和Web3隐私的未来

正如我们所见，Web3中的隐私很复杂，在网络层面、协议层面和用户层面有不同的解决方案，并需要探索透明度和隐私之间的不同权衡。也就是说，如果不考虑硬币的另一面：透明度和问责制，任何关于隐私的讨论都是不完整的。

不管是好是坏，监管机构说加密货币交易需要加强问责制都是正确的。从事洗钱、恐怖活动和金融欺诈的不良行为者，无论使用法币还是加密货币完成交易，都应该被追究责任。但希望在 Web3 中，这种问责制可以在政府不采取完全关闭隐私网络并强迫人们以“加密裸露”的方式使用这些区块链的情况下实现。隐私应被视为一项基本权利，是数字尊严的衡量标准。

长期以来，隐私和问责制被视为一场零和游戏，用户可以隐藏数据并保持隐私，也可以展示数据并保持透明。 Web3的创新之处在于它开创了优雅的技术解决方案（尤其是零知识证明）来克服这种零和困境。但是，Web3社区而不是监管机构有责任证明这些技术实际上可以确保隐私和问责制。

很多时候，零知识证明被吹捧成能够解决任何隐私问题的万能药。但是，尽管ZKP具有所有的数学魔力，但它远不是解决Web3所有隐私问题的灵丹妙药，并且有几个严重的缺点。首先，ZKP通常是高度专业化的电路，用于证明以特定方式构造的特定信息。通常，它们缺乏可扩展性和兼容性。其次，它们的创建、运行和维护成本非常高，与等效的非ZKP程序相比，它们需要更多的计算能力。

因此，在考虑隐私领域的ZKP时，重要的问题始终是你要证明“什么”，以及“为什么”？毕竟天下没有免费的午餐，设计ZKP总是要付出代价的。技术布道者宣称ZKP将解决所有隐私问题，就像监管机构关闭所有隐私协议一样，都是不负责任的。

从根本上说，Web3中的隐私不仅仅是一个工程问题；这是一个第一性原则。自从比特币白皮书发布和区块链的商业采用以来，Web3的基本原则之一就是强调去信任——你不需要信任任何可能会背叛你的一方。只有通过去中心化、透明和公正的方式保证用户的隐私，网络才能真正做到去信任化。

那么Web3中的隐私应该是什么样子的呢？这是我们需要决定的最紧迫的问题。

参考文献：

[1]https://bitcoin.org/en/protect-your-privacy

[2]https://decrypt.co/resources/monero

[3]https://blog.pantherprotocol.io/ring-signatures-vs-zksnarks-comparing-privacy-technologies/

[4]https://z.cash/technology/zksnarks/

[5] The Gradescope example is from one of my previous blog posts, which discusses the principles of ZKPs (and zk-Sync v2.0) in more depth:https://medium.com/web3-insights/zk-sync-v2-0-and-the-future-of-zk-rollups-2d9617d5193b

[6]https://dailycoin.com/monero-xmr-darknet-darling/

[7]https://www.techtarget.com/searchsecurity/news/252512394/Monero-and-the-complicated-world-of-privacy-coins

[8]https://messari.vercel.app/article/on-chain-privacy

[9]https://www.coincenter.org/education/advanced-topics/how-does-tornado-cash-work/

[10]https://home.treasury.gov/news/press-releases/jy0916

[11]https://time.com/6205143/tornado-cash-us-crypto-ban/

[12] See more:https://zk.money/

[13] See more about dID:https://beincrypto.com/learn/decentralized-identity/

[14]https://www.coindesk.com/business/2022/10/27/bain-capital-crypto-leads-33m-round-for-privacy-focused-identity-protocol/

[15] Notebook Labs Whitepaper:https://assets.website-files.com/635b21dddd46c8cddf2171fd/635b21dddd46c8be9021722c_Notebook_Whitepaper.pdf

[16]https://securityboulevard.com/2022/09/y-combinators-summer-2022-cybersecurity-privacy-and-trust-startups/

[17] Technical discussion of “stealth wallets” omitted here for simplicity. Vitalik Buterin has a very clear schematic diagram of how the cryptography behind “stealth wallets” work:https://vitalik.ca/general/2023/01/20/stealth.html