<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Zk-SNARKs on Arpokrat</title>
    <link>https://arpokrat.com/zh-cn/blog/tags/zk-snarks/</link>
    <description>Recent content in Zk-SNARKs on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>zh-cn</language><lastBuildDate>Wed, 17 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/zh-cn/blog/tags/zk-snarks/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>匿名区块链：Monero、Zcash及隐私币如何真正保护您的交易</title>
      <link>https://arpokrat.com/zh-cn/blog/anonymous-blockchains-privacy-coins-explained/</link>
      <pubDate>Wed, 17 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/zh-cn/blog/anonymous-blockchains-privacy-coins-explained/</guid>
      <description>&lt;p&gt;比特币从来都不是匿名的。这是加密货币领域最根深蒂固、也最危险的误解之一。每一笔比特币交易都被记录在一个任何人都可以查阅的公开、永久的账本上。借助合适的链上分析工具，追溯一个地址的完整历史记录、将其与某个交易所关联，再进而对应到真实身份，早已成为一门独立的专业活动。&lt;/p&gt;
&lt;p&gt;所谓&amp;quot;匿名&amp;quot;区块链——或者更准确地说是&lt;strong&gt;隐私币&lt;/strong&gt;——正是诞生于一个简单的观察：公开账本的完全透明性与金融隐私之间存在根本性冲突。以下是它们的真实运作原理、它们所保护的内容，以及其局限性所在。&lt;/p&gt;
&lt;h2 id=&#34;为什么比特币和以太坊并不私密&#34;&gt;为什么比特币和以太坊并不私密&lt;/h2&gt;
&lt;p&gt;在比特币、以太坊或几乎所有传统区块链上，每笔交易都会公开暴露三项信息：发送方地址、接收方地址以及转账金额。这种透明性使得地址聚类分析、资产估算、支付追踪成为可能，一旦某个地址与真实身份关联——例如通过需要KYC的交易平台——就能最终实现身份识别。&lt;/p&gt;
&lt;p&gt;这被称为&lt;strong&gt;伪匿名性&lt;/strong&gt;，而非真正的匿名。一个地址不会显示您的姓名，但只要被关联一次，您所有的历史交易记录便可被追溯性地读取。&lt;/p&gt;
&lt;h2 id=&#34;monero隐私作为规则而非选项&#34;&gt;Monero：隐私作为规则，而非选项&lt;/h2&gt;
&lt;p&gt;Monero（XMR）被认为是目前流通中最具安全性的隐私加密货币——这不是因为它提供可选的隐私工具，而是因为每笔交易的隐私保护都是&lt;strong&gt;强制性且自动的&lt;/strong&gt;，无一例外。&lt;/p&gt;
&lt;h3 id=&#34;环签名&#34;&gt;环签名&lt;/h3&gt;
&lt;p&gt;Monero的核心机制是&lt;strong&gt;环签名&lt;/strong&gt;（ring signature）。当一笔交易被发送时，它会与诱饵——从区块链上的历史交易输出中随机抽取的混淆数据——合并，形成一个&amp;quot;环&amp;quot;。观察者看到的是一组可能的签名者，但无法确定究竟是哪一个实际完成了交易。&lt;/p&gt;
&lt;p&gt;这个原理可以这样理解：想象在一间坐满人的房间里签署一份文件，所有人都签了名，任何人都能验证在场的某个人确实签署了，但没有人能知道是哪一位。目前的环大小将真实交易与15个诱饵组合，形成一个包含16个可信签名者的集合。&lt;/p&gt;
&lt;p&gt;自2020年10月起，Monero采用了&lt;strong&gt;CLSAG&lt;/strong&gt;（Compact Linkable Spontaneous Anonymous Group signatures，紧凑可链接自发匿名组签名）方案，在保持同等隐私保障的同时，将交易平均体积减少了约25%。&lt;/p&gt;
&lt;h3 id=&#34;隐身地址&#34;&gt;隐身地址&lt;/h3&gt;
&lt;p&gt;当有人向您发送Monero时，发送方并不直接向您的公开地址转账，而是生成一个&lt;strong&gt;一次性隐身地址&lt;/strong&gt;，该地址由您的公钥派生而来。出现在区块链上的是这个临时地址，而非您的真实地址。即使您公开发布自己的Monero地址，任何人也无法扫描区块链来识别您的入账交易：每笔付款都会生成一个唯一地址，只有您的钱包才能通过您的私密查看密钥识别该地址。&lt;/p&gt;
&lt;h3 id=&#34;ringct隐藏交易金额&#34;&gt;RingCT：隐藏交易金额&lt;/h3&gt;
&lt;p&gt;**环形机密交易（RingCT）**隐藏了转账金额。网络必须验证输入等于输出——以确保没有凭空创造货币——但这是通过密码学承诺而非明文数字来实现的。&lt;strong&gt;Bulletproofs&lt;/strong&gt;的引入大幅压缩了这些证明的体积及相关手续费，使日常使用中的机密金额切实可行。&lt;/p&gt;
&lt;h3 id=&#34;dandelion网络层面的保护&#34;&gt;Dandelion++：网络层面的保护&lt;/h3&gt;
&lt;p&gt;第四个机制**Dandelion++**在链上协议之外运行：它防止外界识别出是哪个IP地址最初在网络上广播了某笔交易。这是一种补充性保护——它不能替代前三种机制，但关闭了一扇环签名、隐身地址和RingCT未能覆盖的门：网络层面的监控。&lt;/p&gt;
&lt;p&gt;这些机制中的每一个都针对不同类型的监控漏洞。缺少其中任何一个，都会为其他机制无法覆盖的分析手段留下空间——正是它们的协同作用，使Monero如此难以追踪。&lt;/p&gt;
&lt;h2 id=&#34;zcash通过零知识证明实现隐私&#34;&gt;Zcash：通过零知识证明实现隐私&lt;/h2&gt;
&lt;p&gt;Zcash（ZEC）采用了不同的方法：&lt;strong&gt;zk-SNARKs&lt;/strong&gt;（zero-knowledge succinct non-interactive arguments of knowledge，零知识简洁非交互式知识论证）——一种密码学证明体系，能够验证交易符合所有共识规则，而无需透露其内容的任何细节。&lt;/p&gt;
&lt;h3 id=&#34;双池系统&#34;&gt;双池系统&lt;/h3&gt;
&lt;p&gt;Zcash采用两类并存的地址类型：&lt;strong&gt;透明地址&lt;/strong&gt;（t-addr）的行为完全类似比特币，具有公开的历史记录；&lt;strong&gt;屏蔽地址&lt;/strong&gt;（z-addr）则借助zk-SNARKs隐藏发送方、接收方和金额。一笔交易可以完全透明、完全屏蔽，也可以是混合型（在两个池之间流转，部分可见）。&lt;/p&gt;
&lt;p&gt;这种可选设计长期以来是Zcash的弱点：如果大多数用户仍使用透明池，屏蔽池的匿名集合就会较小，从而使统计分析更加容易。但情况已明显改变：2026年初，流通中约30%的ZEC位于屏蔽池中，而2024年这一比例仅为8%。如今多款主流钱包已默认切换至屏蔽交易，这在机制上扩大了所有用户可用的匿名集合。&lt;/p&gt;
&lt;h3 id=&#34;halo-2与受信设置的终结&#34;&gt;Halo 2与&amp;quot;受信设置&amp;quot;的终结&lt;/h3&gt;
&lt;p&gt;早期版本的Zcash zk-SNARKs需要一个可信设置仪式（&amp;ldquo;trusted setup&amp;rdquo;）——这是一个微妙的过程，其中哪怕只有一名参与者遭到攻击，就可能允许无限伪造屏蔽币。随Halo 2引入的&lt;strong&gt;Orchard&lt;/strong&gt;池通过递归证明组合完全消除了这一依赖，无需任何可信设置。&lt;/p&gt;
&lt;h3 id=&#34;选择性披露&#34;&gt;选择性披露&lt;/h3&gt;
&lt;p&gt;Zcash的一个独特之处在于&lt;strong&gt;选择性披露&lt;/strong&gt;。用户可以选择向审计员、企业或监管机构共享某笔屏蔽交易的详细信息，而无需向公众暴露其全部金融活动。这种灵活性在隐私与合规之间创造了一种折中方案，这是很少有加密货币能提供的——这也是Zcash在面对监管机构时所主张的论点，尽管商业上取得了一定成效，但如后文所述，其监管后果因司法管辖区而存在很大差异。&lt;/p&gt;
&lt;h2 id=&#34;局限性与注意事项&#34;&gt;局限性与注意事项&lt;/h2&gt;
&lt;p&gt;没有任何隐私区块链是无懈可击的，了解实际局限性所在至关重要：&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;时间和金额分析&lt;/strong&gt;在某些场景下仍然可行，即便金额已被隐藏，如果其他元数据（时间戳、交易大小）产生可利用的关联性&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;地址复用或将资金与透明历史记录混合&lt;/strong&gt;可能重新引入信息泄露，尤其是在Zcash上，透明池在进出资金流中仍占主导地位&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;长期量子威胁&lt;/strong&gt;：现有的zk-SNARKs和某些密码学原语可能对足够强大的量子计算机存在脆弱性。Zcash正在推进后量子迁移，计划于2026年推出&amp;quot;量子可恢复&amp;quot;钱包，并预计于2027年实现完整的后量子安全性&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;远程节点&lt;/strong&gt;：连接第三方节点（而非自己的本地节点）可能暴露您的余额和IP地址等元数据，这与协议的密码学保护无关&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;为什么这些区块链成为全球监管打击目标&#34;&gt;为什么这些区块链成为全球监管打击目标&lt;/h2&gt;
&lt;p&gt;这种技术健壮性的直接后果是：隐私币如今在越来越多的司法管辖区——欧洲、日本、韩国，以及最近更多主要亚洲市场——被系统性地排除在受监管平台之外。援引的理由几乎千篇一律：符合金融行动特别工作组（FATF）的反洗钱标准。&lt;/p&gt;
&lt;p&gt;这种监管压力几乎从不涉及个人持有或点对点转账——它专门针对机构入口（交易所、受监管托管方）。这正是像Arpokrat这样无托管、不收集数据的平台所填补的空白。&lt;/p&gt;
&lt;h2 id=&#34;在不损害隐私初衷的前提下兑换隐私币&#34;&gt;在不损害隐私初衷的前提下兑换隐私币&lt;/h2&gt;
&lt;p&gt;在一个要求完整KYC、保存您的IP日志并追踪您兑换历史的平台上兑换Monero或Zcash，实际上抵消了这些区块链所提供保护的相当大一部分。链上隐私的价值，取决于围绕它的基础设施隐私的价值。&lt;/p&gt;
&lt;p&gt;&lt;a href=&#34;https://arpokrat.com/zh-cn/swap&#34;&gt;Arpokrat Swap&lt;/a&gt;
 支持兑换XMR、ZEC以及所有主要增强隐私加密货币，无Cookie收集、无IP日志、无需注册。该平台既可通过明网访问，也可通过我们的.onion地址访问，从协议到兑换基础设施实现端到端保护。&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;**实用建议：**若要切断两种可追踪资产之间的链上关联，通过Monero进行中间过渡（例如BTC → XMR → ETH）仍是目前最为稳健的方法之一。&lt;/p&gt;
&lt;/blockquote&gt;
&lt;hr&gt;
&lt;p&gt;金融隐私并非加密世界的附加功能——它曾是其创立承诺之一，直到最广泛使用的区块链的透明性将其事实上悄然搁置。Monero和Zcash各以其方式在协议层面兑现了这一承诺。而链条的其余部分——您在哪里兑换、如何存储、使用何种基础设施——则完全是您自己的责任。&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>