通过 Tornado.cash 事件看链上隐私的未来

作者： Shumo ，下文由 DeFi 之道编译

2022 年 8 月 8 日，外国资产控制办公室（“OFAC”）更新了特别指定国民（“SDN”）名单，这其中包括一系列与 Tornado Cash 协议有关的以太坊地址。

2022 年 8 月 10 日，一名 Tornado.cash 开发人员在阿姆斯特丹被捕，这一消息是由荷兰财政信息和调查处（FIOD）宣布的。

在外国资产管制处宣布后不久，Tornado.cash 的开发者 Roman Semenov 在推特上说他的 GitHub repo 以及 Tornado.cash 的 GitHub repos 都被微软关掉了。随后，Tornado.cash 以及被制裁的地址被 Aave、dydx 等 DeFi 协议、Infura 等 RPC 提供商、Circle 等稳定币发行商拒绝。

什么是 Tornado.cash，Tornado.cash 如何运作？

Tornado.cash 是一个 ETH 和 ERC20 代币的混合器（mixer）。它允许用户将 ETH/ERC20 存入混合器，并在未来提取相同数量的代币。以下是它的运作方式：

充值： 用户可以存入固定数量的代币（为了简单起见，图中为 0.1 ETH，Tornado.cash 也有 1 ETH、10 ETH 和 1000 ETH 级别），并获得一个独特的充值秘文（又称秘密票据）。在用处充值完后，0.1 ETH 会从用户的账户转移到 Tornado.cash 在以太坊的合约中。

提现： 用户从 Tornado.cash 合约中提取 0.1 ETH 到一个 新的地址 ，通过向 Tornado.cash 去中心化应用程序提供她的密文。在引擎盖下，Tornado.cash 去中心化应用程序使用密文生成零知识证明，以证明用户充值的有效性。然后 Tornado.cash 的合约在链上验证零知识证明。由于零知识证明的可验证性，双重消费（双花）或恶意提现永远不会发生。由于零知识保护的零知识属性，只要用户提现到一个新的地址，其充值和提现账户之间的联系就会被 Tornado.cash 合约混合池和零知识保护所屏蔽。

谁在使用 Tornado.cash？

目前人们普遍有一种刻板印象，认为 Tornado.cash 是“黑客洗钱”的工具。我认为这种刻板印象主要来自于有偏见的媒体报道：当黑客使用 Tornado.cash 来清洗黑客的资产时，它就会出现在新闻中；而当完全合法和合理地使用 Tornado.cash 时，它却从未出现在新闻中，那接下来就让我们看看 Chainanalysis 对 Tornado.cash 使用情况的分析（ 来源 ‌）。

Tornado.cash 收到的加密货币来源

Tornado.cash 的使用量中大约 10.5% 是偷来的资金，大部分的 Tornado.cash 的使用量来自于 DeFi（去中心化交易所），CEX（中心化交易所）转移资金，避免制裁等。事实上，自从 Tornado.cash 制裁新闻爆发后，许多用户都站出来表示他们为什么要使用 Tornado.cash。例如，Vitalik 表示他一直在使用 Tornado.cash 进行匿名捐款。

@technocrypto 我会把自己作为一个使用 TC 捐款给这个确切原因的人。

链上隐私的未来

我们将在那里，我们应该在那里。
- Crypto Hilbert

如果没有隐私的话，那么整个 Web3 革命将变得毫无意义；如果没有隐私的话，那么我们就很难论证 Web3 如何增强每个人的主权；如果没有隐私的话，那么 Web3 该如何摆脱臭名昭著的监视资本主义呢。

链上隐私未来的发展方向 1：为普通用户建立更好的产品，而不仅仅是黑客

在一个没有权限的系统中，几乎不可能绝对防止坏人。然而，我们应该为普通用户建立更好的产品，而不仅仅是为了黑客。我想在这里引用 @dankrad 的推特。

有人在研究龙卷风的费率限制版本吗？比如说基于人性证明的 1000 美元/周。对于所有的普通用户来说，这是一个很好的隐私，并且它对于洗钱来说是没有用的。

Tornado.cash 的设计有两个产品特点，它其实对普通用户并不完全友好：

1. 在 Tornado.cash Nova 之前，用户必须使用固定的别名（0.1 ETH、1 ETH、10 ETH、100 ETH），这造成了很大的用户体验摩擦。
2. Tornado.cash 在主网上使用需要巨大的 gas 费用。一次 Tornado.cash 的充值在以太坊上大约是 100 万的 gas 费用。因此，50 GWEI 相当于要花 0.05 个 ETH，100 GWEI 相当于要花 0.1 个 ETH。该协议 gas 费用的规模对休闲用户来说并不友好。

幸运的是，上面两点都有一个很好的技术解决方案。像 ZCash/Tornado.cash Nova/MantaPay 这样的协议不需要固定别名。而通过在第二层网络上部署隐私解决方案，甚至建立像零知识证明 rollup 这样的隐私专用第二层网络，gas 费用问题也会得到很大缓解。

链上隐私未来的发展方向 2：更多的隐私杀手级应用

Web3 中的隐私应用案例远远超出了包装代币和隐私代币的规模。事实上，从用户的角度来看，他需要将公共代币包装成隐私代币来获得隐私属性，并需要将它们解开包装回到公共代币以获得使用，但当前这仍然是一个糟糕的用户体验。一个正常的用户应该只是“按老样子”使用隐私代币，并在许多不同的 Web3 应用程序中使用它。

隐私使用案例

隐私不仅仅是个人自由，它对绝大多数应用程序来说都是必须的。

事实上，在许多应用中隐私是一种必需品，而不仅仅是拥有的好处。比如说：

• DeFi： 金融隐私是高价值的用例之一。许多用户避免使用 DeFi，是因为其交易历史完全透明。此外，私人 DeFi 可能会减轻 MEV（矿工可提取价值）。当然，完全避免 MEV 仍然是一个困难的研究问题。
• NFT： 使用 NFT 作为 PFP（个人资料图片）是最大的隐私泄露之一（直接泄露了伪匿名公共地址和用户身份的联系）。私有 NFT/秘密投标（seal bid）NFT 拍卖/基于零知识证明的证明可以使 NFT 所有权更加私密而不损失任何效用。
• DAO 工具化： 作为人类组织的未来，DAO 工具化的许多方面都非常需要隐私，例如，DAO 需要私人投票以避免高度紧张和选民报复，它需要私人工资系统以保持一个健康的组织，它需要私人留言板以获得内部匿名反馈。具有隐私属性的 DAO 工具需求的清单是无穷无尽的。
• 链上游戏的互动： 如果一个游戏需要在链上解决，每个玩家都需要隐藏自己的状态，否则游戏会有一个巨大的 MEV 问题。如果我们想在链上建立一个开放的元宇宙，那么隐私属性是必须的，而不是可有可无的（见 Geometry Research 的 心理扑克框架 ‌）。

链上隐私未来的发展方向 3：可选择配置的资产政策和基于零知识证明的合规性

随着 Web3 世界的发展，我们还需要建立更好的工具，使加密资产发行者能够定义各种资产政策，包括合规性。一个可能的方向是使用零知识证明来解决合规性和用户的主权隐私之间的矛盾。

然而，要建立一个合理的资产政策，Web3 资产的发行人和监管机构需要共同努力，建立合理的和可实施的资产政策。

这些内容可供大家参考：

• Espresso Systems 的 CAP ‌
• Manta 的零知识资产/零知识地址/CAP ‌

不言而喻，Web3 隐私的未来需要上述所有这些方向的结合。这就是我们的团队（manta.network）正在真正努力工作的地方。

免责声明：作者是 manta.network 的联合创始人之一，manta.network 是一家 Web3 隐私供应商，所以观点有失偏颇。（感谢 Kobi 的反馈）