为什么古天乐用门罗币能“洗黑钱”,而用比特币的却被抓了?
匿名币入门指南。
不久前,听闻新上的《反贪风暴3》中出现了数字货币的桥段,就是这个:
我心想,难道数字货币要借电影的外壳进入寻常百姓家了?
在币市遇熊,韭菜离场的现在,这条“广告”打得让人有点小激动。我正准备好好研究下这个门罗币(说不定还能赶上一波行情)。
但还没等我下手,看过电影的朋友就站出来了:影片中从头到尾都没有出现加密数字货币。不论是古天乐饰演的男一号还是后面的男 X 号,洗钱的方式还是很“笨拙”的,用的是传统的股票、房产、古董、珠宝和赌博,等等等等。
也就是说,这条消息纯粹是加密币爱好者开了下脑洞,他们的潜台词其实是,要我是编剧,洗钱还得用“门罗币”。
那么,门罗币以及其他匿名币真的比传统方法更适合洗钱? 除了洗钱,匿名币还适用于哪些场景?普通人需要用匿名币吗?
01 是比特币不匿名吗?为什么还要匿名币?
我们常说,“匿名性”是比特币等数字货币的特性之一。那么,为什么还有隐私泄漏问题呢?
这里我们需要明确“匿名”的概念。匿名是说一个人的身份无法被人知道。在比特币网络上,人们的代表就是一串地址,按理说是无法追踪到真人的。
但事实表明,有心人依然能通过数据挖掘找到地址的背后身份。比如,“门头沟 85 万枚比特币盗窃案”发生后,门头沟用户之一、软件工程师 Nilsson 通过追踪被盗资金流向,成功锁定了隐匿数年的案犯。
这是怎么做的呢?
在区块链中,除了不知道地址和现实世界的联系外,地址以及地址和地址间的一举一动是完全、永久公开的。数据挖掘专家们对链上核心信息进行清洗、挖掘、关联、标注和统计分析,就能缩小目标地址的范围,甚至基本确定目标地址的选项。
当然,要找出地址的实际控制人,还需通过法币交易所、IP 地址跟踪等和现实世界相连接的手段。
例如,提供法币兑换的交易所一般需要进行反洗钱审查,也就是对用户实名认证,从而握有用户身份证、手机号码等。当监管机构以正当理由、黑客用非法手段获得用户信息后,或者仅仅是管理员操作不当时,关联地址的匿名性也就不存在了。
在门头沟那个案子中,Nilsson 就是利用可疑的交易所账户的信息,在全网搜索关联到罪犯的真实姓名,并交给美国国税局对个人信息进行查询,从而确定疑犯真身的。
也就是说,比特币并不具备完全(或者说高度)的匿名性。
02 那匿名币有多匿名呢?
为了更好的理解区块链中的“匿名性”,我们可以参详一些人士对匿名等级的划分,共有三级:
基本匿名:(用于发送或接收数字货币的)代币地址及交易金额是公开的。比特币等绝大多数数字货币即在此列;
完全匿名:所有数据和交易都不公开,没有人可以追踪地址、发现地址之间的联系,交易金额也是隐藏的。近乎或具备完全匿名性的数字货币称为匿名币;
有限匿名:对于指定的机构,它被设置为和“基本隐私”相同的隐私级别;而对于其他参与者,它具有“完全隐私”的级别。也就是说,只有特定机构才有机会通过分析获得地址和用户的关联,其他人无权获得这类信息。这类有限匿名币既保证了隐私的需求,也能有效配合法治,防止犯罪分子用匿名货币进行非法交易。这也就是下一代“匿名币”主打的概念,主要币种有 ABE。
那么,“这一代”匿名币是什么呢?一般来说就是,在基础数字货币的基础上,通过特有的匿名技术验证交易,为交易及其参与者增强了隐私保护的数字货币。主要的匿名币币种有 Dash、XMR、ZEC、XVG(Verge)、KMD(Kamodo)、PIVX、ZCL、XZC等 13 种。
流通市值前 10 的匿名货币,数据来自非小号,时间截止至 2018.10.10
03 谁在用匿名币?
那么,谁需要隐私级别这么高的匿名交易呢?
大家首先想到的,恐怕是非法所得。这个想法有点道理,但不全对。
我们把非法所得分为两种,一种是通过暗网交易,诈骗、盗窃、勒索区块链用户得到的数字货币,另一种是在现实世界中以各种非法手段所取得的以美元等法币计算的资产。这些钱要花出去,都需要先“洗白”。
对于洗钱者来说,他们既可以用传统的方式,比如把赃款拿去买黄金等资产,然后再转手变现;也可以用易手更方便、更好切割联系的数字货币来操作。
数字货币洗钱有着一套完善的路径。首先,犯罪分子先对数字货币进行分流,使用搅拌器(mixer)、滚筒(tumblers)等把大量的资金转到各个区块链地址;接着操作各种中小额转账,让调查人员越来越难以找出异常交易和可疑地址,在确保安全后犯罪分子即将数字货币提现。
美国区块链安全公司 CipherTrace 7 月份发布的报告显示,数字货币已成全球犯罪分子洗钱的主要工具之一,2018 年已查处的洗钱案中,有 12 亿美元是通过数字货币进行的,最常用的就是比特币。
按理说,既然比特币能成为洗钱的得力帮凶,那比比特币走得更远的匿名币,岂不更助纣为虐?
但实际上,用比特币洗钱的手段已经很高明,其所实现的匿名性不亚于匿名币。
因此,匿名币的高匿名性并不等同于“洗钱首选”。
在常规支付领域,也有匿名币的需求场景,比如说对隐私性要求较高的商业场合;或是在日常生活中,人们对自己在银行里有多少钱避而不谈,那么对隐藏资金余额及交易往来的匿名币就有需求。
不要认为比特币的基本匿名对一般人来说已经够用。“当前,公开交易记录的比特币存在被政府部门监控的风险”,美国中央情报局前雇员、“棱镜门”事件爆料人斯诺登提醒。
事实上,他的担忧已经发生,一个叫“区块链考古”的产业正在逐渐形成。
目前,有一些提供链上数据挖掘的公司正在跟踪链上资金流动,以便对潜在的针对大型交易所的攻击进行抵御或是补救,这类公司有来自美国的 CHAINALYSIS 和中国的 Chaindigg。其中,Chaindigg 建立的高风险地址库可以较为准确地追踪到黑客、盗币和钓鱼地址,以及与这些高风险地址相关的地址,从而为政府等监管部门、有需要的机构和个人提供数字货币追踪及监控。
美国的安全机构,包括联邦调查局、中央情报局和国税局也都有自己的数字货币探员。
这是好是坏呢?
我们来看“棱镜门”事件,尽管美国安全部门监控通讯记录的初衷,是为了保护美国国土和公民的安全。但人们对这种“透明”感到不自由,亦担心这种权利被滥用。
对于这些人群,匿名币或许可以作为比特币的一种补充,给人们多一个选择。
04 匿名币是如何保护用户隐私的?
目前,排名靠前的三种匿名币——门罗币、达世币和大零币,亦代表了三种主流的匿名技术。
下图是对这三种匿名币的简单对比:
数据来自非小号,时间截止至 2018.10.10;其他信息来自网络,经星球日报整理
下面来看各个币的具体情况。
1.Monero(XMR),门罗币
门罗币将自己定义为一种“Untraceable Digital Money”,因此采取的匿名方式也十分激进(近乎全匿名)。
门罗币采用主打匿名功能的应用层协议 CryptoNote 作为底层平台,并借鉴了基于 CryptoNote 的首个数字货币 Bytecoin 的代码。
CryptoNote 协议在匿名性上主要有两个技术,环形签名和隐匿地址。在此基础上开发的门罗币大致延续了这个思路:
用Ring Signatures(环形签名)保证了发送方的隐私;
用Condidential Address(隐匿地址)保证了接收方的隐私;
用Ring CT(Ring Confidential Transaction, 环隐匿交易)保证了交易隐私。
环签名技术和区块链着力解决的“拜占庭将军问题”一样,最早源于古欧洲古时候的故事。
故事是这样的,十七世纪时,法国群臣不时地要向国王进谏。为了不让国王追查到是由谁带头签名上书的,聪明的大臣们发明出了一种环形签名的方式:所有人的姓名按环形排列,自然就隐藏了先后顺序,从而让人难以追查源头。
那么门罗币中的环形签名是如何工作的呢?
我们知道,一个普通的签名是由单个参与者用私钥签名/解密交易,用公钥验证/加密交易。如下图所示:
《Monero——基于环签名技术的虚拟货币》,来自 Bitcoin Garden Forum
环形签名则把多个交易发送方放入同一个组中,用组内多个发送者的公钥对交易进行签名,这样一来外界(包括接收者)就无法判断实际交易发起者的公钥是哪一个,从而隐藏了发送方的信息。·
《Monero——基于环签名技术的虚拟货币》,来自 Bitcoin Garden Forum
接收方的地址是通过“stealth address”实现匿名的。门罗币中设置了多重密钥,即每个地址从拥有公/私钥变成拥有四把钥匙:public key 分为 public view key 和 public send key 两把;再加上 private view key 和 private send key 两把。
到底怎么用呢?假设甲要给乙转 1 枚门罗币。则甲的钱包会用乙的两把 public key 来生成一个唯一的一次性公钥,而后再用该公钥生成乙的一次性公开地址,这个地址就叫做“stealth address”,由此实现乙(接收方)的地址的匿名性。
有了地址之后,甲就用 private send key 签名交易并通过环形签名给乙发送门罗币;乙则用 private view key(查看密钥)扫描区块链以找到发给自己的资金,另外,乙也可以将 private view key 分享给别人,如果他让那个人查看交易的话。
最开始,门罗币是不能隐匿交易金额的,直到 2015 年,数学博士 Shen Noether 发布了一篇研究文章,为“隐匿交易”提供了理论依据。到 2017 年 9 月,开发团队在对门罗币进行硬分叉时整合进了该技术。它的作用在于,当乙要花费存在一次性地址中的资产时,资金数目将自动分解输出,并且每一部分都与链上记录的“输出”不同,从而让人无法得知该次转账的实际金额。
但门罗币也有一个缺点,那就是由于涉及了很多的加密操作,区块的大小要比比特币大得多。
2.DASH,达世币
达世币是首个强调保护用户隐私的数字货币。它在比特币区块链的基础上进行了一系列修改,包括设置“主节点”来执行“混币(coinjoin)”等操作,以实现半匿名交易。也就是说,仅抹去交易双方的关联,但仍显示交易金额及交易方的地址。
在达世币区块链中,混币是由主节点提供的。所谓混币,就是在包含大量输入和输出的验证中,把属于不同人的币(一般 3 笔一组)混在一起,再换回去时,外界就不知道你的钱究竟转给了谁,谁才是真正转账给你的人,从而打散割裂了交易双方的联系。越多用户参与混币,匿名性会越好。
代币金额混币后,变成了统一面额。图片来自蓝狐笔记
值得注意的是,达世币的转账有三种可选的转账方式,一是和比特币一样的普通转账;二是及时交易,就是不需要矿工打包确认就可以直接进行的交易;三是用户可申请的匿名交易,主节点为这类用户免费提供混币。
当然,达世币的混币技术也有一些缺点,比如需要等待系统获取足够的用户一起混币。
3.ZCash(ZEC),大零币
大零币是基于比特币 0.11.2 版代码和零币协议(Zerocash Protocol )开发的。其资产可分为两种,透明资金和私有资金,透明资金相当于比特币;私有资金则增加了隐私性。
大零币的隐匿性是通过zk-SNARK(零知识证明)技术来实现的,匿名级别和门罗币相当。用户可以选择隐藏交易的发送方、接收方和交易金额,同时拥有 private view key 的人可以查看交易。
零知识证明主要指,即使货币的来源、流向等信息完全保密,交易验证者仍然可以验证交易发起者确实拥有货币,从而通过交易。
在使用大零币进行交易时,区块链会自动加密交易的原数据;验证节点不需要知道亦无需保存交易双方的数据,只需要证明,交易发送方的余额足够消费即可。也就是说,不管你是谁,要发送多少钱给谁都没有关系,验证节点只要检查你有足够的钱支付转账金额。
那交易发送方要怎么证明自己的余额呢?
是这样操作的。比如甲要转给乙 1 个大零币,那么他就向系统提交匿名转账申请,系统会销毁掉一个大零币并生成一份产权证明,这份证明即证实了他拥有一个大零币。通过这份证明,甲就可以向验证节点说明自己的确有余额转给乙,于是验证节点就为乙为铸造一枚没有任何交易历史记录的崭新零币。这样,我们都知道有交易发生了,但无法对跟踪地址之间的关联。
至于交易金额,大零币将自动屏蔽掉金额其在公链中的展示。
04 匿名币的发展前景
上面我们说到,匿名币凭借创新性的技术,在不少场景都有实在需求。随着人们数字资产的增加、对区块链安全安全的担忧,匿名币或许还能迎来更远大的前程。
但我们也应看到,对于匿名币的发展来说,国际上的监管政策将是一大变数,尽管这种影响的范围和程度还难以预测。
2018 年 6 月 20 日,美国特勤局(U.S. Secret Service)副总干事在国会听证会上表示:“我们必须继续通过金融行动特别工作组等形式,在国际范围推进对于数字货币的相关控制。我们还应该考虑采取更多的立法或监管行动,以此应对由匿名化加密货币带来的相关挑战。”
安全公司 CipherTrace 亦指出,保证货币的可追踪,可能是我们面对运用先进手段在全球形成犯罪网络的最后堡垒。
可能的监管,这是影响因素之一。和监管态度一起在变的,还有匿名技术自身。
我们现在已能看到,下一代匿名币正在尝试的路径,比如我们上面提到的 ABE,它想要根据企业及监管需求,提供问责隐私模式,在体系内保持交易的可问责、可追踪。
另外,还有一些人提出可以采取分层匿名的方式。也即在基本匿名之上,网络可以设置第一层是交易双方的身份匿名,第二层是交易金额的匿名。如要防止成为犯罪的工具,可以在第二层上进行匿名,满足大部分用户对隐私信息的需求;而让交易双方的地址仍旧可查。
这种适应监管的方式,会不会成为匿名币的主要的发展方向呢?恐怕还需要时间来给出答案。
参考资料:
《白话区块链》,蒋勇、文延、嘉文
《区块链:技术驱动金融》,尔文德·纳拉亚南等著,林华、王勇翻译
两年洗钱 80 亿,交易所是黑客洗钱幕后推手还是受害者?
匿名不等于隐私,来看发展中的协议和技术如何保护区块链上隐私权?
什么是门罗币?终极入门指南
门罗币最近没落了吗?,艾俊强
一文读懂区块链中的零知识证明
大零币白皮书解读
完全隐私和问责隐私会是 ABE 的利器吗?
作者:黄雪姣 版权声明: 作者保留权利。文章为作者独立观点,不代表巴比特立场。