隐私保护的监管解决方案

编辑注：以下是论文“使用零知识证明的隐私保护监管解决方案”的全文。下载 PDF，或在此处阅读简短的摘要博客文章 here 。

介绍

在可编程区块链提供的所有功能中——包括安全性、可预测性、互操作性和自主经济等——截至目前，最广泛使用的区块链并不提供隐私保护。这仍然是它们广泛应用的关键障碍。尽管并非所有加密代币仅仅是——或者甚至主要是——金融工具，并且可以在日益壮大的 web3 生态系统中用于各种目的，但区块链用户确实是在使用数字资产互相交易。大多数现有区块链的当前架构依赖于交易透明性来促进信任，但这种默认的透明性和缺乏隐私增加了消费者受到伤害的风险，因为这允许其他区块链用户查看任何钱包持有人的交易历史和持有情况。区块链的假名特性是抵御恶意行为者的主要保护手段，但这很容易被克服。现代区块链分析技术表明，用户交互的启发式分析可以用来突破这层隐私，任何与钱包持有人交易的人都可以有效地查看他们的整个财务状况。因此，尽管交易透明性在追踪非法金融活动方面提供了净受益，但它使区块链技术用户特别容易受到欺诈、社交工程和资产被恶意行为者偷盗的风险，以及由于将敏感财务数据透露给第三方而造成的潜在伤害。

公有账本的透明性质与传统金融系统的默认隐私形成了鲜明对比，后者源于在由金融中介维护的私人账本上记录的交易，这些中介通常得到了财政部（Treasury）对金融隐私的法定权利以及对敏感财务信息的控制。实际上，由负责美国金融制裁机制的财政部外国资产控制办公室（OFAC）以及负责美国反洗钱法规和监管的金融犯罪执法网络（FinCEN）及其法律条款所发布的规章和指导方针，旨在推动透明度以克服传统金融系统的固有不透明性及其所提供的隐私。根据这些法律规定产生的记录保存和报告要求，要求金融中介向政府维护和披露信息（以及采取其他行动如阻止资产访问），以支持执法调查、阻止恐怖融资并推进国家安全政策等。重要的是，这些措施创建了保护隐私权利的_例外_并代表了隐私权与合规要求之间的平衡——尽管这种平衡是不完美的。

在公有区块链上，针对用户的隐私保护并不存在——既没有由私人账本的固有不透明性所提供的实际隐私保护，也没有对财务隐私权的明确法律认定。此外，尝试引入措施（例如客户识别和尽职调查，俗称“了解你的客户”或“KYC”要求）可能风险在于，可能破坏假名所提供的最低隐私水平，通过创建吸引恶意攻击和内部威胁的信息“蜜罐”。虽然这些信息的泄露在传统金融系统中会损害消费者，但它会危险地加剧由于完全金融透明性所带来的盗窃、欺诈甚至人身伤害的风险。

虽然有一些以隐私为重点的新一代、更窄应用的 Layer-1 区块链，但对于那些本质上不是隐私化的区块链，用户必须依赖于众多智能合约协议和 Layer-2 区块链来匿名化交易数据，其中许多使用零知识证明、隐私保护密码技术来实现匿名。这些协议和区块链通常被讽刺为仅具恶意功能（包括被标记为“混合器”），尽管毫无疑问它们的部分交易量与黑客和其他非法目的有关，但推动合法用途的隐私保护技术具有不可否认的价值。事实上，这些技术可以让合法消费者享受到超越传统金融服务消费者的财务隐私和消费者保护。尽管如此，这些最大化隐私的解决方案可能会阻碍政府调查、对抗非法金融活动或在推进执法和国家安全目标时追回被盗资产的能力。这是否意味着区块链技术必然迫使在遵守合规以检测、防止和破坏非法金融活动与隐私和消费者保护之间作出选择？

本文明确主张，答案是否定的。利用现代密码技术解决这种张力——与依赖于人力控制的现有框架不同——并不一定是零和游戏。调和用户的隐私需求与监管者和执法部门的信息和国家安全需求既是可能的也是必要的。本文提出零知识证明在区块链协议中的潜在用例，这些用例可以实现两者的目标。首先，我们描述零知识证明技术的基础知识，接着概述可能适用的相关法律和监管框架。然后，以 Tornado Cash 为例，我们列出一些开发者和政策制定者可能考虑的高层次解决方案。

在撰写本文时，作者重申了重要的前提：“监管应用程序，而不是协议.”在美国，应用层通常采用地理围栏技术执行制裁筛查，并通过各种措施限制用户访问。尽管这些限制很有帮助，但并非万无一失，恶意行为者仍可能规避这些控制。因此，某些可能受到制裁方使用而生效的隐私保护技术选择在协议层面实施限制以应对国家安全问题。作者不持有所有隐私保护技术应做出相同决策的立场；开发者应有自由选择是否在协议层面施加限制以保护免受非法行为者的使用和潜在的监管责任。对于那些选择实施保护措施的人，我们简单地提供潜在的替代方案，供其考虑，以可能使这些解决方案更有效，同时也限制它们被用于审查的可能性。

背景

使用零知识证明实现隐私

在确保隐私之前，区块链技术不太可能获得主流采用。例如，就金融基础设施而言，潜在的区块链支付系统用户可能非常不情愿使用这些系统，如果他们的工资或其他敏感财务信息（包括医疗治疗费用的支付）是公开可见的。对于社交网络服务、去中心化借贷协议、慈善平台以及任何其他用户重视其信息隐私的用例，实际上也是如此。

数据证实了这种立场。到 2022 年 4 月 29 日，链上隐私保护服务或协议接收到的加密货币市场价值的 30 天移动平均值达到了五千二百万美元，比前 12 个月增长了近 200%。 关于上下文，许多隐私保护协议使用算法密码学，使一个区块链地址将数字资产存入类似的可替代资产池，然后通过同一用户控管的另一个区块链地址从该池中提取相同数量和类型的资产，从而有效地打破了保管链并抑制了交易的可追溯性。其中某些协议和一些 Layer-2 区块链使用称为零知识证明的算法，以在不暴露用户敏感信息的情况下对交易进行匿名化。

零知识证明使得在公有区块链上进行私人交易成为可能。核心上，零知识证明是一种让一方（称为“证明者”）说服另一方（称为“验证者”）真正确认某个陈述真实的方法，而不透露构成该陈述真实的基础数据。例如，证明者可以证明他知道数独谜题的解，而不透露任何有关这个解的信息。更有趣的是，一个人可以证明自己足够大以购买酒精或投票，而不透露其驾照上的姓名和出生日期。（从技术上讲，他们将证明含有政府签署文件的零知识，并且其文件上的出生日期确定了其所需年龄。）该证明让验证者相信这一事实是真实的，而没有透露其他信息。

可以使用零知识工具构建各种隐私机制。例如，Alice可以将资金发送到一家保持交易细节私密的服务，并且该服务会给Alice一张存款的收据。该服务和公众都了解到Alice发送了资金。稍后当Alice希望提取资金时，她构造了一个零知识证明，证明她拥有有效的收据，并且与该收据相关的资金尚未提取。该证明没有泄露Alice的身份，但让服务相信它正在与一个有权提取这些资金的人进行互动。在这里，零知识证明被用来让服务相信提款要求是有效的，同时保持提款者的身份私密。

重要的是，零知识证明通过允许选择性地披露评估政策合规所需的信息，而不暴露所有基础信息，从而保护隐私。零知识证明可以实现不同程度的隐私保护，包括完全隐私，即没有人可以追踪交易，或对特定少数方的隐私保护。虽然有多种合法原因使人们可能需要强有力的隐私保护，但这些技术也可能吸引恶意行为者。在 2022 年，隐私保护协议的整体使用尽管达到了峰值，但来自非法来源的相对价值比例也随之增加，与非法区块链地址的交易占据了这一年通过第二季度流向此类协议的资金的约 23%。几乎所有的非法活动都源自制裁实体或由被盗资金构成。尽管这些协议利用了隐私保护技术，但区块链分析公司，如 Chainalysis 和 TRM Labs，仍然能够追踪非法资金在这些协议中流通的情况，如果它们没有足够的交易量来掩盖活动，或是当前的交易量不够多样化。此外，即使非法行为者利用隐私保护技术，他们在将资产移出链外时也面临挑战，因为法币的进入和退出渠道在大多数情况下被视为金融机构，因而受制于反洗钱/反恐融资（AML/CFT）要求。然而，全球范围内这些要求的实施与执行是非常不均匀的，在某些司法管辖区几乎不存在，为非法行为者提供了一个有利的环境，以将数字资产兑换为法币。因此，尽管隐私保护协议在保持合法用户信息私密方面至关重要，但它们确实在区块链生态中造成人为漏洞，使非法行为者加以利用。遵循国际法律和监管制度固然复杂，但在去中心化区块链协议中对零知识证明的标准化和合规实施可以解决一些关键漏洞，同时惠及 web3 参与者。

适用的监管框架

理解零知识证明如何克服合规和隐私之间明显的二元选择，需要了解与打击非法金融活动相关的特定司法管辖区监管要求。在美国，最可能影响隐私保护协议的法规可以归入两项主要法律框架中：（A）根据一系列被称为《银行保密法》（BSA）的联邦法规——（i）客户识别程序和客户尽职调查要求（通常称为“了解你的客户”或“KYC”标准）和（ii）交易监测以及其他记录保存和报告要求；（B）依据总统关于战争和国家紧急状态的权力——美国制裁计划。Web3 市场参与者必须应对这两个框架的法律要求，以最大限度降低因不合规而面临的执法风险，减轻协议和平台被非法使用的可能性。此外，任何未能遵守规定可能导致严重的后果，包括民事罚款和刑事起诉。

BSA 要求某些金融机构和其他相关实体遵守许多监测、记录保存和报告义务。这些义务的目的是帮助 FinCEN、OFAC 和执法机构识别、预防和起诉洗钱、恐怖融资和欺诈活动，同时根据国家安全和外交政策目标识别和冻结属于制裁方的资产。在 BSA 和制裁框架下的充分合规，为监管机构和执法机构提供必要的审计追踪，至关重要。

BSA涵盖的或被要求执行这些义务的实体包括传统金融机构，例如银行，以及货币服务公司（MSBs），如货币经销商、交换商和汇款商等。FinCEN 进一步澄清，发行、管理或交换可兑换虚拟货币（CVC）或价值得到货币替代的个人和实体也被视为 MSBs，因此均须遵守适用的合规义务。根据混合服务的运营或商业模式的事实和情况，混合器可能被视为MSB，成为BSA的注册和合规要求的适用对象。这是因为某些混合服务可以使价值得到货币替代 的资产从平台内的钱包移动到平台外的钱包。相反，隐私保护的去中心化区块链可能不涉及货币转移。正如 FinCEN 在其2019年最新指导中明确说明，单凭非托管、自执行的代码或软件，即使执行混合功能，目前也不会触发BSA义务：

提供匿名软件的供应商并不是货币转移者。FinCEN 法规根据 BSA 的定义将提供 “货币转移者用以支持货币传输服务时使用的交付、通信或网络接入服务”的人员排除在外。 [31 CFR § 1010.100(ff)(5)(ii)]。这是因为供应货币转移工具（通信、硬件或软件）的供应商与货币转移无关，属于贸易行为。

制裁遵从要求的适用性稍微不那么明确。OFAC实施的制裁框架适用于所有美国民事，无论个人还是实体，无论他们居住在何处，都要求他们识别、冻结和隔离与受制裁方财产相关的交易。尽管 OFAC 表示，制裁框架并不适用于软件的发布和隐私保护技术本身，未能采取措施防止受制裁方滥用这些技术——将进一步讨论——风险 OFAC 的回应可能会破坏此类技术的可行性，正如最近对 Tornado Cash 所发生的情况。

KYC 标准与交易监测

那些商业模型被归类为 MSB 的个人或实体必须履行某些信息收集和交易监测的要求，以满足其在 BSA 下的义务。MSB 被要求从使用其服务进行交易的人那里获取 KYC 信息，以进行身份验证。至少，MSB 必须在 KYC 过程中获取用户的姓名、地址和税务识别号。

在入职后，MSB 还必须监控通过其平台进行的交易，并报告任何可能表明非法行为的可疑活动，所需提交可疑活动报告（SAR）。BSA 要求 MSB 在获知或怀疑其平台上的交易可能涉及非法活动，而该交易的总金额至少为 2,000 美元的情况下，在 30 天内提交 SAR。为了激励及时提交，关于交易的适当提交将保护 MSB 免于对与之交易相关的所有民事责任。

虽然 BSA 还对 MSB 施加其他记录保存和报告要求，如提交货币交易报告（CTR），但这一要求目前对数字资产不适用，并与目前的目的无关。

制裁

FinCEN 有全权实施 BSA，制定相关规则，并对违反 BSA 的行为带来执法，但 OFAC 的管辖权要广泛得多。大部分经济制裁 来自于总统在《国际紧急经济权力法案》（IEEPA）和《国家紧急状态法案》（NEA）下的授权。因此，制裁是通过总统令实施的战争和国家安全相关权力。OFAC 监督美国的所有金融交易，并可以制裁任何对国家安全构成威胁的个人、实体或国家。因此，如果某个被 OFAC 指定的个人或实体在处理通过任何美国个人或实体处理的交易或持有的财产中有利益，包括但不限于如 MSB 和银行这样的 BSA 受约束实体，美国个人或实体将被要求（i）阻止（冻结）禁止交易，冻结与特定个人相关的账户或财产，和/或（ii）将与该交易相关的任何流入资金置于隔离阻塞账户，并且（iii）向 OFAC 提交某些报告。在任一情况下，任何美国个人或实体都不能处理此类交易和/或释放此类资金，直至 OFAC 将相关的个人或实体从制裁名单中移除、适用的制裁措施被撤销，或 OFAC 明确授权通过签发执照释放被扣留资金。

对于涉及加密货币交易的制裁，权威通常来自 EO 13694，该法令专注于 “ 重大恶意网络活动。个体违规经濟制裁可能面临民事或刑事处罚。需要注意的是，制裁违规的行政或民事责任标准是严格责任，这意味着只要发送或接收交易或未能阻止与受制裁个人、实体或国家相关的财产，就可能被追究责任，即便没有故意这样做的意图。这实际上施加了进行尽职调查的要求，要求在进行金融或商业活动时查询资金来源。另一方面，刑事责任则要求展示蓄意——即违反制裁的个人意图执行该行为。然而，刑事起诉由司法部依据 IEEPA 或编入 U.S. 法律第 18 编号的洗钱法提起。然而，所涉及的关于制裁责任和 OFAC 合规要求的重要信息是，所有在美国或在美国开展业务的人员和实体都需遵循这些义务，且这些义务同 BSA 核心无关。

优化隐私协议以减轻非法金融风险

零知识证明所带来的隐私增强潜力与上述监管框架形成紧张关系。该技术遮蔽交易细节的能力意味着它可能不容易完全遵守如 BSA 要求的法规——尽管仍然是一个开放的问题，智能合约和代码在前述法规下到底将在何程度上受到合规要求。正如上面提到的，FinCEN 在2019年发布的指南明确将软件代码从 BSA 的范围中排除，因此一个没有个人或小组支持运作的真正去中心化的协议是没有必要——甚至不明确其如何——收集和保留 KYC 信息或对用户提交 SAR。此外，实施任何制裁的赋权法条和网络安全行政命令提到的“财产和财产权益”显示出关于目标个人和实体 在软件和计算机代码本身可能位于制裁范围外。而最近 OFAC 的指导似乎也表明，软件的发布本身并非可制裁的活动。然而，考虑到 OFAC 对与 Tornado Cash 相关的某些智能合约地址的指控后，这一结论远远不明确。

尽管如此，零知识证明可以设计成通过隐私增强协议以减轻某些暴露于非法金融活动和经济制裁责任的风险，包括减轻 OFAC 制裁所寻求解决的国家安全风险。特别是，隐私集中协议可以实施几项措施，以更好地管理这些风险，而不妨碍其有效性。下面总结了三个可行的措施，每项措施都在隐私保护协议 Tornado Cash 的背景下进行了评估。

Tornado Cash 示例

通过查看 Tornado Cash，一种最近被 OFAC 制裁的隐私增强协议，一个清晰的路线图展示零知识证明如何克服由隐私增强技术引发的合规法律责任之间的选择困境。Tornado Cash 是一种部署在以太坊区块链上的协议，旨在匿名化用户财产以保护其隐私。任何人都可以从以太坊地址发送资金到 Tornado Cash 智能合约，这些资金将在拥有者选择提款之前长期存储在合约中。通常，用户会等待数周、数月，甚至数年才withdraw，然后选择提款。因为此期间其他用户在此平台上存入及取出的资金会增加或减少 Tornado Cash 隐私保护功能的有效性。在提款时，该协议利用零知识证明技术把资金转至新的以太坊地址，打破了初始存款地址和随后提取地址之间的关联。Tornado Cash 协议是不可篡改、去信任化且完全自动化的。Tornado Cash 提供的匿名性依赖于多个用户同时使用该服务，以打破用于存款和取款的钱包地址之间的联系。此外，用户会保留只有他们自己可以透露的证书，用以证明储存代币的所有权。与最近非法混合器使用的上升趋势一致，Tornado Cash 也被频繁用于洗钱。举个例子，在2022年4月的 Ronin 桥黑客事件中，约6亿美元的资金从桥被盗并转移至攻击者的以太坊地址。几天后，黑客将部分被盗资金转入 Tornado Cash。2022年8月8日， OFAC 指定 该网站 tornado.cash 及与该服务相关的几个以太坊地址，其中很多是没有可识别密钥持有者的智能合约地址。在发布声明的公告中，财政部指出通过 Tornado Cash 洗钱的非法收益总额超过70亿美元，其中包括北朝鲜国家支持的黑客组织“拉撒路集团”洗钱的4.55亿美元以及与Harmony Bridge和Nomad Heists有关的大笔资金。尽管通过 Tornado Cash 进行大量合法交易，但财政部选择对该协议及其智能合约采取行动，尽管这对无辜第三方的影响是相当大的，包括阻止未受制裁人员提取完全合法的存入资金。这一问题源于 Tornado Cash 去中心化和非托管的特性，阻碍了识别负责其活动的组织或个人。因此，在这种情况下应用传统的制裁执行技术并封堵财产利益可能会遇到法律技术上的挑战。尽管这样的协议有时被视为唯一尝试规避法规要求的做法，但从网络安全的角度来看，Tornado Cash 的技术架构还可以代表强有力的隐私保护技术，必要时取缔Unauthorized第三方和恶意行为者以获取在链上运营的个人和企业的敏感信息。这种方法是优选的，并且在技术上可能远远优于（更多集中管理k的系统所施加的信息访问限制）以及对恶意攻击和内部威胁最近呈现的日益脆弱的一般控制。

财政部在宣布有关 OFAC 指定的新闻稿中指出：“[尽管公开向外界做出其他保证，Tornado Cash 特别未能采取有效措施以制止其洗钱_assets_for_malicious_cyber_recorders。]”事实上，如下所述，Tornado Cash 确实在技术上存在某种控制措施以防止该平台被用于非法金融活动。问题在于——是否有更有效的技术措施，比如利用零知识证明，可以更好地稳定 Tornado Cash，同时说服财政部不要采取行动？我们来考虑这些零知识证明解决方案，其中包括一些 Tornado Cash 实施的措施，以及可能提高有效性的其他措施。虽然这些方法单独来看并不是万灵药，但综合起来可能改善识别、威慑和打击无效 patrimorial χρηματασεις 和 kilka协议那么 泰皇者。方法包括：（i）存款筛查——按黑名单和白名单检查进行的入账交易;（ii）取提款筛查——按黑名单和白名单检查请求返回资金的账户; 以及（iii）选择性去匿名化——一种将交易信息提供给联邦监管者和执法的功能。

存款筛查

原生于以太坊区块链或按桥接到以太坊的数字资产可以与 ETH 交换并存入 Tornado Cash，以试图保持用户交易的隐私。 为了防止来自受制裁人员或与网络攻击或黑客行为有关的钱包的资产的存款，Tornado Cash 采用了依赖于“黑名单”的存款筛查机制。然而，附加使用“白名单”的方式可以解决国家安全顾虑，同时降低对合法用户的风险，进一步阐述如下。

黑名单

Tornado Cash 的存款筛查启用它通过阻止来自受制裁或其他被美国政府封锁的地址的任何拟议存款，自动限制谁可以使用该协议。 Tornado Cash 通过利用一个区块链分析公司的链上预言机服务来检测某个地址是否在来自美国、欧盟或联合国等多方的经济或贸易禁令黑名单上。 Tornado Cash 智能合约在接受资金进入某个池之前，会“调用”该分析公司的合约。 如果来自包含在该分析公司的特别指定国民（SDN）名单上的任何区块地址的存款请求将失败。

虽然使用黑名单进行存款筛查是一个良好的第一步，但此机制存在几个实际问题。 首先，当网络犯罪者从受害者那里盗取资金时，他们可以立即将资金转入 Tornado Cash，甚至在受害者意识到资金被盗之前，或者在分析公司标记该资金尚未进入 SDN 名单之前，便完成转帐。其次，如果网络犯罪者的地址在存款时标注上 SDN 名单，窃贼只需将资金转入新地址，并立即从该新的地址存入 Tornado Cash，而无需在新地址添加至制裁名单之前操作。 使用这些技巧，复杂的黑客团伙通常能够有效地避免被发现。然而，区块链分析公司试图通过链上地址分析和启发式方法来度过这些限制。最后，依赖非政府机构对制裁名单的批准认定带来理念风险：清楚谁在制裁名单上的不确定性将使得其准确性本身难以鉴别。例如，分析公司可能错误地将某个地址列入黑名单，而且不清楚该地址的所有者是否会有任何追索权使错误得以校正（与传统金融机构接收客户投诉大相径庭）。 另一方面，还存在其他问题，例如具体是哪个制裁名单类型获得应用，这与任何制裁利益客观重叠。

白名单

为了减少分析公司或政府实体可能利用黑名单不公正地限制守法用户的风险，以隐私保护为目标的协议可能考虑更全面的存款筛查选项，即依赖关联有监管金融中介的钱包地址的“白名单”。 此白名单将由进行全面 KYC 筛查过程的金融中介（例如法币通道如 Coinbase）相关联，从而使得隐私保护协议不需要筛查这些地址，如下图所示。

使用黑名单和白名单作为存款筛查过程基础的方式较单独使用黑名单至少有几个重要的优势。 首先，无法申诉或恶意添加至黑名单的合法用户，在通过受监管金融中介存入资金的情况不仅得以规避审查。而且，打算洗钱的非法行为者不应能够成功创建账户，因此他们无法利用白名单，将其封闭从而满足国家安全的考量。此外，白名单的方案将提升所有正规金融中介客户的隐私，因为它能确保他们能够在不言审查的前提下享受隐私保护协议的好处。

最终，尽管存款筛查有助于 Tornado Cash 遵循阻止被禁止交易的义务，但对于可能被视为 MSB 而受到 BSA 管控的其他隐私服务提供者，或其合规性可能被制裁影响而需进行业务活动的制裁风险评估，存款筛查不会增强需要评估的能力。 存款筛查是好的第一步，但不太可能完全减少协议被非法金融利用的风险。

取款筛查

对于不包括在上述白名单内的钱包地址，存款筛查的另一个附加方法是检查取款地址的预言机，并阻止任何来自受制裁地址或被标识为非法活动相关地址的任何请求。 例如，假设某个非法行为者在进行网络攻击后，立即从其地址向 Tornado Cash 发送资金。 存款时，地址没有在白名单之内，也未被确认与被盗资金或受制裁个人或实体相关，因此成功完成了该存款。然而，如果该非法行为者在稍后的时间试图提款，同时该进行网络攻击验证其地址被标记为被盗材料生成或列上制裁名单，那么提款请求将出现流血。 资金将被冻结，窃贼将无法提取这些款项。 这种方法有多个好处。 首先，它防止窃贼通过 Tornado Cash 洗钱资金。 其次，Tornado Cash 实施的取款检查点构成了一种威慑，应向恶意行为者明确说明，如果将被盗资金发送至 Tornado Cash，这笔资金将可能被智能合约无限期地冻结，阻止他们合法资金的返取。 此类威慑仅会影响网络犯罪者，对守法用户不会产生影响。 事实上，正如上面讨论的存款时间特征，以及犯罪行为者可能为了更有效地匿名而将资金停放在 Tornado Cash 更长的时间，这种取款筛查特性具提高对不断更新的财政部制裁列表的筛选能力将相当有用。

尽管取款筛查可以解决存款筛查的许多缺点，但同样努力并未增补必要的风险评估。此外，它将延续 Tornado Cash 对区块链分析公司诚信地操作制裁预言机的依赖性。 此外，如同存款筛查，仍存在政府审查的问题——在这种情况下政府对制裁名单的不当利用可能导致用户失去资产。

选择性去匿名化

选择性去匿名化是另一种满足潜在合规要求的方法，分为自愿和非自愿两种形式。

自愿选择性去匿名化

通过存款收据功能，Tornado Cash 实施了一种形式的自愿选择性去匿名化，这为认为自己错误地被列入制裁名单的人提供了选择，让他们可以向特定或指定的方去掉他们交易的详细信息。 如果一个类似的自愿去匿名化功能与上述未在白名单的提取地址的提款检查挂钩，那么用户可以选择去匿名化其交易，而负责提款的 Tornado 合约会解去与提款检查过程相关的阻塞。 结果是，用户将会收到资金，但将不会享受到 Tornado 的隐私保护技术的好处，因为其提款地址将清晰地与其存款地址记录在链上关联。 自愿去匿名化将使像 Tornado Cash 这样的协议解决提款筛查的某些不足（例如，无辜用户将面临被冻结其资金的风险），但它也会减少提款筛查作为威慑的效果，因为恶意行为者能借此仅通过去掉匿名防止提款在 Tornado Cash 中的资金流转。 在这种情况下，不法用户将无法从隐私增强服务中获得好处。

非自愿选择性去匿名化

非自愿选择性去匿名化是可以集成至 Tornado Cash 的智能合约中，为政府提供跟踪和追溯非法收益的能力。 而 BSA 要求对非托管的 web3 服务的适用性不大可能，加密协议的可追溯性代表着打击非法金融活动的一个关键控制手段，包括被制裁方。 非自愿选择性去匿名化代表着一项强有力的工具，能够维护科技追溯性inisekisa authorized目的下的私密，同时也保护阻止恶意第三方和未授权人员。 关键问题是谁维护解锁追溯性的私钥？一个解决方案可能涉及将一个私钥提供给一个中立的守门人型组织或类似的受信任实体，并将另一个私钥提供给政府当局。两个密钥都需要用于去匿名化一个未从允许列表中的钱包地址发起的存取款交易，且该交易的细节仅会透露给请求此去匿名化的执法机构。守门人组织的作用是拒绝在执法机关未首先获得并展示有效的搜查令或法院命令的情况下进行去匿名化。这不仅使得执法部门能够识别提供用于任何 Tornado Cash 提款的资金来源地址，从而允许政府执行其执法和国家安全任务，同时也减轻了政府持有密钥的负担，这对政府和 Tornado Cash 的用户都是不太理想的。

与这种方法相关的几个挑战。首先，哪些实体将有权访问私钥尚不清楚。目前没有任何已知的守门人组织可以管理这样的过程。此外，还有许多司法管辖区的问题。每个国家——即使是压制性政权——是否都会有自己的私钥，从而使他们能够访问交易数据？如果是这样，如何确保这些政权不会去匿名化美国公民的交易？此外，守门人组织和政府当局将如何管理他们的密钥以确保它们不会被盗？这些问题并不新鲜。在每一次对密钥托管的讨论中都出现这些问题，而非自愿的选择性去匿名化正是密钥托管的表现。这种解决方案一直不受欢迎，且操作上存在诸多挑战——即“后门”的理念。尽管如此，开发者仍可能考虑这种选项，以满足监管要求或减轻平台被用于非法目的的风险。

应对前述挑战的一个可能的解决方案是在提款时允许用户选择希望使用哪个公钥来加密地址。Tornado Cash 合同可能拥有多个执法公钥，例如每个国家一个公钥。在提款时，用户可以根据其本地管辖区选择哪个公钥进行加密。用户可能需要提供其管辖区的证据，这将决定其使用哪个公钥进行加密。该证据可以基于零知识证明来隐藏，因此除了相关政府机构之外，没有人会知道提款的管辖区。从理论上讲，这将解决压制性政权访问交易秘密密钥的问题，但并未解决恶意政府可能在表面上呈现为良善的（但其实是恶意的）法律程序下要求密钥持有者提供其私钥的可能性。

对于那些受到《银行保密法》（BSA）约束的实体，选择性去匿名化将保留提款筛选的合规性优势，包括进行 OFAC 强制性制裁筛查的能力，以及收集 KYC 信息和交易数据的能力，并可能提交 SARs。此外，上述非自愿选择性去匿名化的方法可以修改，让两个密钥持有者仅拥有根据 BSA 要求收集、保留和报告的信息的私钥（例如，KYC 信息和 SARs），且仅在提供有效法律程序的情况下向 FinCEN 和 OFAC 或执法部门呈现这些密钥。这一方法将有助于确保用户数据的隐私，同时允许政府机构满足其监管要求。

结论

为了使 web3 技术在美国蓬勃发展，制定保护隐私的监管解决方案至关重要。在制定这些方法时，零知识证明可以为防止网络犯罪分子和敌对国家行为者利用区块链技术从事非法活动，同时保护用户个人信息、数据和财务活动的隐私，提供强大的工具。根据特定协议或平台的运营和经济模型以及监管合规义务，使用零知识证明可能会启用存款筛选、提款筛选以及选择性去匿名化，以满足这些义务，并更好地保护生态系统免受非法使用，并防止对美国及其他国家安全的危害。区块链领域活动的多样性可能要求开发者和创始人考虑多种方法，包括本论文中提出的方法，以应对非法金融风险。

重申先前讨论的原则，即协议不应被监管，开发者必须有完全的自由来决定是否想采取协议层限制来降低这些重要风险，作者希望这些想法能激发创造性的讨论，推动在建设者和政策制定者之间关于零知识证明可能性的进一步研究和发展。

下载完整论文，或查看概要博客文章。

注释

1 见 2022 年加密混合器使用率创新高，国家行为者与网络犯罪分子贡献了显著的交易量，Chainalysis（2022 年 7 月 14 日），https://blog.chainalysis.com/reports/cryptocurrency-mixers；也见 美国财政部对广泛使用的加密混合器 Tornado Cash 实施制裁，TRM Labs（2022 年 8 月 8 日），https://www.trmlabs.com/post/u-s-treasury-sanctions-widely-used-crypto-mixer-tornado-cash。

2 Miles Jennings, 监管 web3 应用，而非协议，a16z Crypto（2022 年 9 月 29 日），https://a16zcrypto.com/web3-regulation-apps-not-protocols/。

3 见 Chainalysis，上述 注 1。

4 证明者完成这一过程的方式是首先将要证明的陈述编码为一系列多项式（相加的一系列代数项），如果且仅当陈述为真时，这些多项式才都是零。这个编码——通常被称为“算术化”或“多项式化”——是使零知识证明成为可能的魔法步骤。证明者然后说服验证者这些多项式确实完全相等于零。

5 见 Chainalysis，上述 注 1。

6 见 朝鲜的 Lazarus 组织通过 Tornado Cash 转移资金，TRM Labs（2022 年 4 月 28 日），https://www.trmlabs.com/post/north-koreas-lazarus-group-moves-funds-through-tornado-cash。

7 “AML” 是反洗钱， “CFT” 是反恐融资。 见 Fin. Crimes Enf’t Network, 反洗钱法历史， https://www.fincen.gov/history-anti-money-laundering-laws。

8 31 U.S.C. § 5311 等。

9 见 美国财政部，外资控制办公室（OFAC） - 制裁方案和信息， https://home.treasury.gov/policy-issues/office-of-foreign-assets-control-sanctions-programs-and-information。

10 例如，2021年，Bitcoin Fog 的所谓运营商因洗钱、经营无执照汇款业务，以及在华盛顿特区在未获取许可证的情况下进行汇款而被捕和指控。见 新闻稿，美国司法部，个人被捕并因经营臭名昭著的暗网加密货币“混合器”被指控（2021 年 4 月 28 日），https://www.justice.gov/opa/pr/individual-arrested-and-charged-operating-notorious-darknet-cryptocurrency-mixer。

11 31 U.S.C. § 5311。

12 与货币服务业务相关的定义及注册，64 Fed. Reg. 45438（1999 年 8 月），https://www.govinfo.gov/content/pkg/FR-1999-08-20/pdf/FR-1999-08-20.pdf。

13 Fin. Crimes Enf’t Network, FinCEN 规章对管理、交换或使用虚拟货币的人的适用性，FIN-2013-G001（2013年3月18日），https://www.fincen.gov/sites/default/files/shared/FIN-2013-G001.pdf。

14 汇款涉及以任何方式将资金、CVC 或替代货币的价值传送到另一个地点或个人。见 Fin. Crimes Enf’t Network, FinCEN 规章对涉及可转换虚拟货币的特定商业模式的适用，FIN-2019-G001（2019年5月9日），https://www.fincen.gov/sites/default/files/2019-05/FinCEN%20Guidance%20CVC%20FINAL%20508.pdf。

15 上述 注 14 的第 20、23-24 页。

16 常见问题解答, 美国财政部外资控制办公室（“OFAC”），第 1076 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076（“虽然美国的人与 Tornado Cash 或其被禁止的财产或财产权益进行任何交易是被禁止的，但以不涉及与 Tornado Cash 进行事后规定的交易的方式与开源代码进行交互并不被禁止。例如， 美国人不会被美国制裁规定禁止复制开源代码并将其提供在线供其他人查看……”）。

17 新闻稿，美国财政部，美国财政部对臭名昭著的虚拟货币混合器 Tornado Cash 实施制裁（2022 年 8 月 8 日），https://home.treasury.gov/news/press-releases/jy0916。

18 Alexandra D. Comolli 与 Michele R. Korver, 冲浪第一次加密货币洗钱浪潮，69 DOJ J. FED. L. & PRAC. 3（2021）。

19 31 CFR § 1010.410。

20 31 CFR § 1022.320(a)(1); 31 U.S.C. § 5318(g)(3)。

21 CTRs要求报告为单一客户或其代表发生超过$10,000的现金或硬币交易，以及在单一天内总和超过$10,000的多次货币交易。尽管目前对数字资产不适用，但有一项待处理的规则，可能会将类似 CTR 的要求扩展到满足特定条件的 CVC 交易。见 31 CFR § 1010.311; 另见 Fin. Crimes Enf’t Network, 通知客户：CTR 参考指南， https://www.fincen.gov/sites/default/files/shared/CTRPamphlet.pdf。

22 见 50 U.S.C. § 1702(a); Nina M. Hart, 经济制裁的实施：概论，国会研究服务报告 (2022年3月18日)， https://crsreports.congress.gov/product/pdf/IF/IF12063。

23 联邦金融机构检查委员会，银行保密法 (BSA)/反洗钱 (AML) 检查手册（2021 年）， https://bsaaml.ffiec.gov/manual/OfficeOfForeignAssetsControl/01。

24 见 OFAC 网络相关制裁常见问题解答，第 444、445和 447 号，https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546。涉及加密货币的制裁也可能来自特定国家的行政命令，例如针对俄罗斯、伊朗或朝鲜的命令。

25 见 31 CFR Apx. A to Pt. 501; 50 U.S.C. § 1705。

26 在没有知情或应知其参与制裁违规的知识的情况下，依然产生民事责任。

27 见，例如 18 U.S.C. §§ 1956, 1957 和 1960。

28 见 OFAC，虚拟货币行业的制裁合规指南（2021年10月15日）（指出制裁合规程序和风险评估适用于“公司”）， https://home.treasury.gov/system/files/126/virtual_currency_guidance_brochure.pdf [此后称为：“OFAC 指南”]; 但见 常见问题解答，OFAC，第445号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546,(表述“[a]一般而言，美国人，包括参与或从事在线商务的公司，负有确保不参与未授权交易或与 OFAC 的任何制裁名单上列名的个人交往的责任。包括技术公司在内的这些个人应制定量身定制的风险基础合规程序，可能包括制裁名单筛查或其他适当措施。”）。

29 常见问题解答，OFAC，第 1076 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076。

30 见一般 Tornado Cash， https://tornado.cash (2022)。

31 最新版本的 Tornado Cash，称为 Nova，支持直接的账户间转账，而无需先从 Tornado 取款。见一般 Tornado Cash Nova， https://nova.tornadocash.eth.link (2022)。

32 Tim Hakki, 近 700 万美元被黑客转移的 Ronin 资金发送到隐私混合器 Tornado Cash，Decrypt（2022 年 4 月 4 日）， https://decrypt.co/96811/nearly-7m-hacked-ronin-funds-sent-privacy-mixer-tornado-cash。

33 见 OFAC 网络相关制裁常见问题解答，第 1076 和 1095 号，https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546。

34 见 Elizabeth Howcroft 等，美国加密公司 Harmony 遭遇一亿美元盗窃，路透社（2022年6月24日）， https://www.reuters.com/technology/us-crypto-firm-harmony-hit-by-100-million-heist-2022-06-24。

35 见 Elizabeth Howcroft，美国加密公司 Nomad 遭遇 1.9 亿美元盗窃，路透社（2022年8月3日）， https://www.reuters.com/technology/us-crypto-firm-nomad-hit-by-190-million-theft-2022-08-02。

36 见上述 注 17。

37 见 Chainalysis 的制裁筛查工具，Chainalysis，https://go.chainalysis.com/chainalysis-oracle-docs.html。

38 Jeff Benson, 以太坊隐私工具 Tornado Cash 表示它使用 Chainalysis 来阻止受制裁钱包，Decrypt（2022年4月15日）， https://decrypt.co/97984/ethereum-privacytool-Tornado-cash-uses-chainalysis-block-sanctioned-wallets。

39 见 Brian Armstrong 和 Vitalik Buterin 讨论去中心化、隐私等，Coinbase：Around the Block，上午 35:00 （2022年8月30日）(可在Spotify上获取)， https://open.spotify.com/episode/2vzctO7qgvYqGLKbnMnqha?si=X3eu221IRvGIJn3kd4tWFA&nd=1； 见，例如 Ben Fisch, 可配置隐私案例研究：分区隐私池，Espresso Systems（2022年9月11日）， https://www.espressosys.com/blog/configurable-privacy-case-study-partitioned-privacy-pools。

40 见 OFAC 指南第 12-16 页（概述风险评估义务）。

41 同上。

42 见一般 Tornado Cash，Tornado.cash 合规性，Medium（2020年6月3日）， https://tornado-cash.medium.com/tornado-cash-compliance-9abbf254a370。

43 新的 Tornado Nova 协议支持在资金处于 Tornado 系统时进行私密转账。在这种情况下，加密在执法公钥下的“地址”必须是当前提款的资金源头所经过的整个交易链——比单个地址需要更多的数据。

44 见 Fisch, 上述 注 39。

关于作者

Joseph Burleson 是 a16z crypto 的助理总法律顾问，为公司及其投资组合公司提供有关法律、治理和去中心化问题的建议。

Michele Korver 是 a16z crypto 的监管负责人。她曾担任 FinCEN 首席数字货币顾问、DOJ 数字货币顾问、以及助理美国检察官。

Dan Boneh 是 a16z crypto 的高级研究顾问。他是斯坦福大学计算机科学教授，领导应用密码学组，并共同指导斯坦福区块链研究中心和斯坦福计算机安全实验室。

• 原文链接： a16zcrypto.com/posts/art...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～