使用零知识证明的隐私保护监管解决方案：全文

编者按：以下是论文“使用零知识证明的隐私保护监管解决方案”的全文。 下载 PDF，或阅读更短的摘要博客文章 此处.

介绍

在可编程区块链提供的所有实用程序中——安全性、可预测性、互操作性和自治经济等——截至今天，使用最广泛的区块链不提供隐私。 这仍然是它们广泛采用的主要障碍。 尽管并非所有的加密代币都是——甚至主要是——金融工具，并且可以在不断发展的 web3 生态系统中用于各种目的，但区块链用户确实使用数字资产在区块链上相互交易。 大多数现有区块链的当前架构都依赖于交易透明度来促进信任，但这种默认的透明度和缺乏隐私增加了消费者受到伤害的风险，因为它允许其他区块链用户查看交易历史和任何钱包持有人的持有量。 区块链的假名特性是防止不良行为者的主要保护措施，但很容易克服。 现代区块链分析实践表明，可以使用对用户交互的启发式分析来破解这种隐私，任何与钱包持有人进行交易的人都可以有效地看到他们的整个财务状况。 因此，尽管它在追踪非法金融活动方面提供了净收益，但交易透明度使区块链技术的用户特别容易受到欺诈、社会工程和不良行为者盗窃资产的影响，以及因泄露敏感金融数据而造成的早期伤害第三方。  

区块链上公共分类账的透明性与传统金融系统的默认隐私形成鲜明对比，传统金融系统的默认隐私源于金融中介维护的私人分类账上的交易记录，并得到法定金融隐私权和人为控制访问权限的支持敏感的财务信息。 实际上，由负责美国金融制裁制度的财政部（财政部）外国资产控制办公室（OFAC）和负责美国反洗钱法规的金融犯罪执法网络（FinCEN）颁布的法规和指南和监管，连同它们的授权法规，旨在强制透明度，以克服传统金融系统固有的不透明性及其提供的隐私。 这些法规产生的记录保存和报告要求要求金融中介机构维护信息并向政府披露信息（以及采取其他行动，例如阻止访问资产），以支持执法调查、制止恐怖主义融资和促进国家安全政策，等等。 重要的是，这些措施创造了 例外 保护隐私权并代表隐私权和合规要求之间的平衡——尽管是不完美的平衡。  

对于公共区块链上的用户，这些保护措施——无论是私人账本固有的不透明性提供的实际隐私保护，还是对财务隐私权的明确法律承认——都不存在。 此外，尝试引入措施（例如客户身份识别和尽职调查，通俗地称为“了解你的客户”或“KYC”要求）的尝试有可能通过创建吸引客户的信息“蜜罐”来破坏假名所提供的最低级别的隐私。恶意攻击和内部威胁。 虽然此类信息的泄露会对传统金融系统中的消费者造成伤害，但它会危险地加剧已经因完全财务透明而存在的盗窃、欺诈甚至人身伤害的风险。   

虽然有更新的、采用范围更广的第 1 层区块链主要关注隐私，但对于那些本质上不是私有的区块链，用户必须依赖大量智能合约协议和匿名交易数据的第 2 层区块链，其中许多它使用零知识证明、保护隐私的密码技术来实现匿名。 这些协议和区块链通常被嘲笑为具有纯粹的邪恶目的（包括被标记为“混合器”），虽然无可辩驳的是它们的一部分数量与 黑客 和别的 非法目的,¹ 为合法目的推进隐私保护技术具有不可否认的价值。 事实上，此类技术可以让合法消费者受益于一定程度的金融隐私和消费者保护，这超出了传统金融服务消费者所享有的水平。 然而，最大化隐私的相同解决方案可能会阻碍政府进行调查、打击非法金融活动或追回被盗资产以促进执法和国家安全目标的能力。 这是否意味着区块链技术必然会迫使人们在一方面检测、预防和破坏非法金融活动的合规性与另一方面隐私和消费者保护之间做出选择？  

本文着重指出答案是否定的。 使用现代密码技术解决这种紧张关系——与依赖人类控制的现有框架不同——不一定是零和游戏。 协调用户的隐私需求与监管机构和执法部门的信息和国家安全需求既是可能的，也是必要的。 本文提出了区块链协议中零知识证明的潜在用例，可以实现这两组目标。 首先，我们描述了零知识证明技术的基础知识，然后概述了可能适用的相关法律和监管制度。 然后，以 Tornado Cash 为例，我们列出了开发人员和政策制定者可能会考虑的一些高级解决方案。

I在撰写本文时，作者确认了重要前提，“规范应用程序，而不是协议设立的区域办事处外，我们在美国也开设了办事处，以便我们为当地客户提供更多的支持。“²  在美国，应用层通常使用地理围栏技术进行制裁筛选，并通过多种措施限制用户访问。 尽管这些限制很有用，但它们并不是万无一失的，不良行为者仍然可以规避此类控制。 因此，某些可能容易被受制裁方使用的隐私保护技术选择在协议级别包含限制，以解决国家安全问题。 作者并不认为所有隐私保护技术都应该做出相同的决定； 开发人员应该可以自由选择是否要采用协议级别的限制，以防止被非法行为者使用和潜在的监管责任。 对于那些选择采用保护措施的人，我们只是提供了潜在的替代方案供考虑，哪些方案可以使这些解决方案更有效，同时也限制了它们被用于审查的可能性。 

背景

使用零知识证明实现隐私

在不确保隐私的情况下，区块链技术不太可能实现主流采用。 例如，在金融基础设施方面，如果基于区块链的支付系统的潜在用户的薪水或其他敏感财务信息（包括医疗等服务的支付信息）是公开可见的，那么他们可能非常不愿意使用这些系统。 社交网络服务、去中心化借贷协议、慈善平台以及用户重视其信息隐私的任何其他用例也是如此。 

数据证实了这一立场。 截至 30 年 52 月 29 日，链上隐私保护服务或协议获得的加密货币市场价值的 2022 天移动平均值达到 200 万美元，比前 12 个月增长近 XNUMX%。³  就上下文而言，许多隐私保护协议使用算法密码学来促进一个区块链地址将数字资产存入类似可替代资产池中，然后由同一用户控制的另一个区块链地址从该池中提取相同数量和类型的资产，有效地打破监管链并抑制交易的可追溯性。 其中某些协议和一些第 2 层区块链使用称为零知识证明的算法来匿名化交易，而不会将敏感的用户信息暴露给链。

零知识证明支持公共区块链上的私人交易。 从本质上讲，零知识证明是一方（称为“证明者”）说服另一方（“验证者”）某个陈述是真实的，同时不透露任何关于做出该陈述的基础数据的方式真的。 例如，证明者可以在不透露任何有关解决方案的情况下证明知道数独谜题的解决方案。 更有趣的是，一个人可以证明他们的年龄足以买酒或投票，而无需透露驾驶执照上印的姓名和出生日期。 （从技术上讲，他们将在零知识的情况下证明他们拥有政府签署的文件，并且他们在这些文件上的出生日期确定了该人的必要年龄。）该证据使验证者相信这一事实是真实的，而没有透露任何其他信息信息。⁴

可以使用零知识工具构建各种隐私机制。 例如，Alice 可以将资金发送到一个对交易细节保密的服务，而该服务会为 Alice 提供她的存款收据。 该服务以及公众都知道爱丽丝发送了资金。 稍后，当爱丽丝想要从服务中提取资金时，她构建了一个零知识证明，证明她有一张有效的收据，并且她还没有提取与该收据相关的资金。 证据没有揭示 Alice 的身份，但使服务确信它正在与有资格提取这些资金的人进行交互。 在这里，零知识证明用于使服务相信提款申请是有效的，同时保持提款人身份的私密性。  

至关重要的是，零知识证明通过允许选择性地披露评估政策合规性所需的信息来保护隐私，而不暴露所有的基础信息。 零知识证明可以实现不同程度的隐私，包括没有人可以跟踪交易的完全隐私，或者除了少数特定方之外的所有人的隐私。 尽管出于许多合法原因人们可能需要强大的隐私保护，但这些技术也可能吸引不良行为者。 正如隐私保护协议的总体使用量在 2022 年达到顶峰一样，从非法来源获得的价值的相对比例也是如此，非法区块链地址约占今年第二季度发送给此类协议的所有资金的 23%。 几乎所有这些非法活动都来自受制裁的实体或由被盗资金组成。⁵  尽管这些协议使用了隐私保护技术，但像 Chainalysis 和 TRM Labs 这样的区块链分析公司有时能够 追踪非法资金 流经这些协议的地方，它们没有足够的数量来掩盖活动，或者它们所拥有的数量不够多样化。⁶  此外，即使非法行为者利用隐私保护技术，他们仍然面临将其资产从链上转移的挑战，因为在大多数情况下，法币入口和出口在全球主要金融中心和其他司法管辖区被视为金融机构，因此 遵守 AML/CFT 要求.⁷  然而，这些要求在全球范围内的实施和执行充其量是不平衡的，并且在某些司法管辖区不存在，为非法行为者将数字资产交换为法定货币提供了有利的环境。 因此，尽管隐私保护协议对于保护合法用户信息的私密性至关重要，但它们确实会在区块链生态系统中造成漏洞，供不法行为者利用。 可以肯定的是，遵守国际法律和监管制度是复杂的，但在去中心化区块链协议中实施标准化和符合监管的零知识证明可以解决一些关键漏洞，同时使 web3 参与者受益。 

适用的监管制度 

要了解零知识证明如何克服合规与隐私之间明显的二元选择，需要了解与打击非法金融活动相关的特定司法监管要求。 在美国，最有可能影响隐私保护协议的法规可分为两个主要法律制度：(A) 根据通常称为银行保密法 (BSA) 的一系列联邦法规和法规 – (i) 客户身份识别程序和客户尽职调查要求（通常称为“了解你的客户”或“KYC”标准）和 (ii) 交易监控以及其他 记录保存和报告要求;⁸ (B) 根据总统战时和国家紧急权力——美国制裁计划。⁹  Web3 市场参与者必须解决这两种制度的法律要求，以最大限度地减少因不合规而被执法的风险，并减少协议和平台的非法使用。 此外，任何不遵守规定的行为都可能导致严重后果，包括 民事处罚和刑事起诉.¹⁰

BSA 要求某些金融机构和其他相关实体履行一系列监控、记录保存和报告义务。 这些义务的目的是协助 FinCEN、OFAC 和执法机构识别、预防和起诉洗钱、恐怖主义融资和欺诈活动，以及识别和阻止美国金融系统中的资产属于根据国家安全和外交政策目标向受制裁方披露。 BSA 和制裁制度下的全面合规为监管机构和执法部门提供了清晰且可审计的非法活动书面记录，这对于监管机构和执法部门的成功执法至关重要。¹¹

BSA 涵盖或有义务的实体包括银行等传统金融机构，以及 货币服务业务 (MSB)，例如货币交易商、兑换商和汇款商等。¹²  FinCEN 进一步 澄清 发行、管理或交换可兑换虚拟货币 (CVC) 或替代货币的价值的个人和实体也被视为 MSB，因此受 BSA 规定的所有适用合规义务的约束。¹³ 根据混合服务运营或商业模式的事实和情况，混合器可被视为 MSB 并遵守 BSA 的注册和合规要求。 这是因为某些混合服务可以启用 替代货币的价值 从平台内的钱包转移到平台外的钱包。¹⁴  相比之下，保护隐私的去中心化区块链可能不涉及资金传输。 正如 FinCEN 在 2019 年发布的最新指南中明确指出的那样，即使执行混合功能，非托管、自执行代码或软件目前也不会触发 BSA 义务：

匿名软件提供商不是汇款人。 FinCEN 法规将那些提供“汇款人用来支持汇款服务的交付、通信或网络访问服务”的人排除在汇款人的定义之外。 [31 CFR § 1010.100(ff)(5)(ii)]。 这是因为可用于汇款的工具（通信、硬件或软件）的供应商，如匿名软件，从事的是贸易，而不是汇款。¹⁵

制裁合规要求的应用不太清楚。 OFAC 实施的制裁制度适用于所有美国人，包括个人和实体，无论他们身在何处，并要求他们识别、阻止和隔离涉及受制裁方财产的交易。 尽管 OFAC 已 说 制裁制度不适用于软件和隐私保护技术的发布 为 se,¹⁶ 未能采取措施防止受制裁方滥用这些技术——正如下文进一步详细讨论的那样——OFAC 的反应可能会破坏此类技术的可行性，例如最近 Tornado Cash 的案例.¹⁷

KYC 标准和交易监控

这些个人或实体的商业模式是 被归类为 MSB 的公司必须满足某些信息收集和交易监控要求，才能履行 BSA 规定的义务。 MSB 需要从使用其服务进行交易的人那里获取 KYC 信息，以验证这些人的身份。¹⁸  作为 KYC 流程的一部分，MSB 至少必须获得用户的姓名、地址和税号。¹⁹

入职后，MSB 还必须监控通过其平台进行的交易，并通过提交可疑活动报告 (SAR) 报告任何可能表明非法行为的可疑活动。 如果 MSB 知道或怀疑其平台上的交易可能涉及非法活动，BSA 要求 MSB 在 30 天内提交 SAR，前提是此类交易涉及总额至少 2,000 美元的转移。 为了激励及时提交，就交易正确提交 SAR 将使 MSB 免于承担与该交易相关的所有民事责任。²⁰

虽然 BSA 还对 MSB 施加了其他记录保存和报告要求，例如提交货币交易报告 (CTR)，但该要求目前 不适用于数字资产 并且与当前目的不直接相关。²¹

制裁

FinCEN 拥有全权管理 BSA，根据其颁布规则，并对违反 BSA 的人采取执法行动，但 OFAC 拥有更广泛的管辖权。 最多 经济制裁 来自《国际紧急经济权力法》(IEEPA) 和《国家紧急情况法》(NEA) 授予总统的权力。²² 因此，制裁是通过行政命令颁布的战时和国家安全相关权力。 OFAC 监督美国的所有金融交易，并可能制裁对国家安全构成威胁的任何个人、实体或国家。 因此，如果 OFAC 指定的个人或实体在任何美国人或实体（包括但不限于 MSB 和银行等受 BSA 义务的实体）处理的任何交易或持有的财产中拥有权益，则该美国人或实体将被要求 (i) 阻止（冻结）被禁止的交易，以及与指定人员有关的任何账户或财产，和/或 (ii) 将收到的与此类交易有关的任何资金存入隔离的、被冻结的账户，并且 ( iii) 向 OFAC 提交某些报告。 在任何一种情况下，没有美国个人或​​实体 可以处理此类交易和/或释放此类资金 直至 OFAC 从制裁名单中删除相关个人或实体、撤销适用的制裁计划，或 OFAC 通过颁发许可证明确授权释放扣留的资金。²³

对于与加密货币交易相关的制裁，权威通常来自 EO 13694，其重点是“重大恶意网络活动设立的区域办事处外，我们在美国也开设了办事处，以便我们为当地客户提供更多的支持。“²⁴  违反经济制裁的个人可能面临民事或刑事处罚。²⁵  应该注意的是，违反制裁的行政或民事责任标准是严格责任，这意味着一个人可能因发送或接收交易或未能冻结与受制裁个人、实体或国家相关的财产而承担责任，甚至如果无意这样做。²⁶  这实际上强加了一项尽职调查要求，即在从事金融或商业活动时询问资金来源。 另一方面，刑事责任需要表现出故意——违反制裁的人是故意的。 司法部根据 IEEPA 或美国法典第 18 篇中规定的洗钱法规对违反制裁的行为提起刑事诉讼。²⁷  然而，关于制裁责任和 OFAC 合规要求的重要内容是，这些义务适用于 所有 在美国或在美国开展业务的个人和实体，与个人或实体是否受 BSA 保护无关。

优化隐私协议以减轻非法金融风险

零知识证明提供的隐私增强潜力与上述监管框架存在紧张关系。 该技术屏蔽交易细节的能力意味着它可能不容易完全遵守 BSA 要求等法规——尽管智能合约和代码是否以及在何种程度上遵守所述法规的要求仍然是一个悬而未决的问题。 如上所述，在其 2019 年指南中，FinCEN 明确将软件代码排除在 BSA 的范围之外，因此一个真正去中心化的协议，其操作背后没有个人或团体，不需要——甚至不清楚它是如何做到的——收集和保留关于用户的 KYC 信息或文件 SAR。 同样，管理任何制裁实施的授权法规和网络安全行政命令是指“财产和财产权益“的 目标个人和实体，这表明软件和计算机代码本身不在制裁范围之内。²⁸  和最近 OFAC 的指导 似乎表明软件发布本身并不是一项应受制裁的活动。²⁹  然而，鉴于 OFAC 对与 Tornado Cash 相关的某些智能合约地址的指定，这一结论远非明确。

尽管如此，零知识证明可以设计为通过隐私增强协议减轻一些暴露于非法金融活动和经济制裁责任的风险，包括减轻 OFAC 制裁试图解决的国家安全风险。 特别是，以隐私为重点的协议可以实施多种措施来更好地管理这些风险，而不会削弱其有效性。 下面总结了三种可行的措施，每一种措施都是在隐私保护协议 Tornado Cash 的背景下进行评估的。

龙卷风现金示例

证明零知识证明有潜力克服当前由隐私增强技术引起的现有制裁制度下的潜在责任之间的二元选择的一种方法是通过以下视角 龙卷风现金 – OFAC 最近批准的隐私增强协议。 Tornado Cash 是一种部署在以太坊区块链上的协议，旨在匿名化用户资产以保护他们的隐私。 任何人都可以从他们的以太坊地址向 Tornado Cash 智能合约发送资金，这些资金将一直存放在合约中，直到所有者选择提取它们。 通常情况下，用户会在取款前等待数周、数月甚至数年不等，因为中间的时间段（在此期间其他用户存入和取款）可能会增加或减少 Tornado Cash 隐私保护功能的有效性。 提款后，该协议利用零知识证明技术将资金转移到一个新的以太坊地址，打破了资金最初存入 Tornado 的地址与后来从 Tornado 提取资金的新地址之间的联系。³⁰ Tornado Cash 协议是不可变的、无需信任的和全自动的。³¹  Tornado Cash 提供的匿名性取决于多个用户同时使用该服务来断开用于存款和取款的钱包地址之间的连接。 此外，用户还保留了一份只有他们才能透露的证书，证明了存放代币的所有权。 与最近非法混币器使用率上升的趋势一致，Tornado Cash 平台同样经常被用来洗钱。 例如，在 2022 年 600 月的浪人桥黑客攻击中，大约 XNUMX 亿美元从桥上被盗并转移到攻击者拥有的以太坊地址。 几天后，黑客移动了一些 被盗资金 进入龙卷风现金。³²  8，2022， OFAC指定，除其他外，网站 tornado.cash 和与该服务相关的几个以太坊地址，其中许多是没有可识别密钥持有者的智能合约地址。³³  在与指定一起发布的公告中，财政部指出通过 Tornado Cash 洗钱的非法收益超过 7 亿美元，其中包括由朝鲜国家支持的黑客集团 Lazarus Group 洗钱的 455 亿美元，以及与 Tornado Cash 相关的大笔款项。 和谐桥³⁴ 和 游牧抢劫.³⁵  尽管用户通过 Tornado Cash 参与了大量合法交易活动，但财政部选择对该协议及其智能合约采取行动，尽管对无辜的第三方产生了相当大的附带影响，包括阻止未受制裁的个人提取完全合法的存入资金使用协议。 这个问题源于 Tornado Cash 的去中心化和非托管性质，这使得很难确定对其活动负责的组织或个人。 因此，在这种情况下应用传统的制裁执法技术和封锁财产利益可能会带来技术上的法律挑战。 尽管此类协议有时仅被视为规避监管要求的尝试，但从网络安全的角度来看，Tornado Cash 的技术架构也可以代表必要的强大隐私保护技术，以阻止未经授权的第三方和恶意行为者获取个人敏感信息和在链上运营的企业。 这种方法是首选，并且在技术上可能远远优于传统的操作控制，这些操作控制限制对更集中的监管系统施加的信息访问，并且已证明越来越容易受到恶意攻击和内部威胁。

在 OFAC 指定的新闻稿中，财政部表示，“[d]尽管公众做出了其他保证，但 Tornado Cash 一再未能实施旨在阻止其为恶意网络行为者洗钱的有效控制措施。 . . ”³⁶  事实上，正如下面更详细的描述，Tornado Cash 确实有一些技术控制来防止平台被用于非法金融活动。 问题是——是否存在更有效的技术控制，例如利用零知识证明的技术控制，Tornado Cash 可以实施这些技术控制并说服财政部不采取它已经采取的行动？ 让我们考虑一下那些零知识证明解决方案，包括 Tornado Cash 实施的一些解决方案，以及其他可能提高效率的解决方案。 虽然这些方法都不是灵丹妙药，但将它们结合起来可以提高检测、阻止和破坏非法金融活动以及受制裁国家行为者使用隐私协议的能力。 它们是：(i) 存款筛选——根据黑名单和许可名单检查进行入站交易的钱包； (ii) 取款筛选——根据黑名单和许可名单检查要求退还资金的钱包； (iii) 选择性去匿名化——该功能可为联邦监管机构和执法部门提供交易信息访问权限。 

存款筛选

以太坊区块链的原生数字资产或从另一条链桥接到它上的数字资产可以交换为 ETH 并存入 Tornado Cash，以保护用户交易的隐私。 为了防止资产存款来自受制裁人员或与漏洞利用或黑客攻击有关的钱包，Tornado Cash 使用了依赖于指定地址“黑名单”的存款筛选。  然而，“许可名单”的额外使用可用于解决国家安全问题，同时还可最大限度地降低协议合法用户的风险，如下文进一步概述。  

列入黑名单

Tornado Cash 的存款筛选使其能够通过阻止来自美国政府制裁或以其他方式阻止的地址的任何拟议存款来自动限制谁可以使用该协议. Tornado Cash 通过利用区块链分析公司的 链上预言机服务 用于测试一个地址当前是否被指定在来自不同实体（包括美国、欧盟或联合国）的经济或贸易禁运名单（或“黑名单”）上³⁷  Tornado Cash 的智能合约将 “调用”分析公司的合同 在接受资金进入其资金池之一之前。³⁸  如果资金来自分析公司的特别指定国民 (SDN) 列表中包含的被阻止地址之一，则存款请求将失败。 

虽然使用黑名单进行存款筛选是一个很好的开端，但这种机制存在几个实际问题。 首先，当网络犯罪分子从受害者那里窃取资金时，他们可以立即将资金转移到 Tornado Cash 中，甚至在受害者意识到资金已经消失之前，当然在分析公司将资金标记为被盗或在其软件的 SDN 列表中之前. 其次，如果网络罪犯的地址在存入 Tornado Cash 之前就被放在 SDN 列表中，窃贼可以简单地将资金转移到一个新地址，并在新地址之前立即将资金从该新地址存入 Tornado Cash地址被添加到制裁名单中。 老练的黑客集团，如朝鲜的 Lazarus Group，非常有效地使用这些技术来避免被发现。 但是，区块链分析公司试图通过使用更改地址分析和启发式方法来识别也由指定组控制的非指定钱包来克服这一限制。³⁹ 最后，依靠非政府实体作为关于制裁名单上的人或物的真相仲裁者可能会导致难以识别和纠正的准确性问题。 例如，一家分析公司可能错误地将一个地址包含在其黑名单中，并且不清楚该地址的所有者是否有任何追索权来修复错误（不像传统金融机构的情况，后者可以受理来自他们的投诉）顾客）。 还有一个问题是添加哪个制裁名单，因为所有的制裁都代表发行政府的政策决定。 

列入白名单

为了降低分析公司或政府实体可能使用黑名单不公平地审查守法用户的风险，隐私保护协议可能会考虑一种更强大的存款筛选形式，该形式也依赖于钱包地址的“许可名单”存款筛选限制将不适用。 该许可名单将包括与受监管的金融中介机构相关的钱包地址——例如像 Coinbase 这样的法币入口——这些中介机构在其入职流程中进行全面的 KYC 筛选，从而避免隐私保护协议筛选这些地址的需要，因为如下图所示。

只有当存款地址 (i) 不在适用的分析公司的 SDN 列表中（即地址 是不是 在黑名单上）或（ii）从受监管的金融中介机构（即地址 is 在许可名单上）。 该许可名单可以由控制协议的去中心化自治组织 (DAO) 随着时间的推移进行管理和更新，或者可以从与受监管的金融中介机构相关联的地址的链上预言机中获取（类似于 Chainalysis 运营的黑名单预言机）。 某些隐私保护技术可以通过将其协议直接连接到受监管的金融中介机构，使这一概念更进一步，从而允许用户直接从这些中介机构将资金存入协议，而无需先将资金转移到单独的钱包地址。 

在存款筛选过程中同时使用黑名单和白名单与仅黑名单方法相比具有几个明显的优势。 首先，被错误或恶意添加到黑名单的合法用户只要利用受监管的金融中介机构将资金存入协议，就可以避免审查。 而且由于大多数非法行为者不应该能够在受监管的金融中介机构建立账户，因此他们无法利用许可名单并且将继续受到审查，从而解决国家安全问题。 此外，白名单方法将改善所有受监管金融中介机构客户的隐私，因为这将保证他们能够享受隐私保护协议的好处而不必担心审查。

最终，虽然存款筛选将促进 Tornado Cash 阻止被禁止交易的义务，但对于可能被视为 MSB 并受 BSA 约束的其他隐私服务提供商，或者对于可能需要执行制裁相关风险评估的个人或实体业务活动，它不会提高这些实体出于风险评估目的的交易监控能力。⁴⁰  存款审查是很好的第一步，但不太可能完全减少对该协议的非法金融使用。   

退出筛选

对于那些未包含在上述允许列表中的钱包地址，一种额外的存款筛选方法是检查提款时的预言机，并阻止受制裁地址或已被确定为与非法活动相关的地址提出的任何提款。 例如，假设一个非法行为者在黑客入侵后立即从一个地址向 Tornado Cash 发送资金。 入金时，该地址不在允许名单上，也未被确认与被盗资金或受制裁个人或实体有关联，入金成功完成。 但是，如果不法行为者稍后试图提取资金，并且在此期间该地址被标记为与被盗资金相关联或在制裁名单上，则提取请求将失败。 资金将保持冻结状态，小偷将无法提取。 这种方法有很多好处。 首先，它可以防止窃贼使用 Tornado Cash 协议洗钱。 其次，Tornado Cash 实施提款检查点起到了威慑作用，应该让不法分子清楚地知道，如果他们将被盗资金发送给 Tornado Cash，这些资金可能会被智能合约无限期冻结，从而阻止他们获得他们的成果。非法活动。 这种威慑只会影响网络犯罪分子，不会影响 Tornado Cash 的守法用户。 事实上，考虑到上面讨论的存款时间段特征，以及非法行为者可能会将资金存放在 Tornado Cash 中更长时间以最有效地匿名化他们的来源，这种取款筛选功能将非常有用，因为它能够筛选不断更新财政部制裁名单。      

尽管取款筛选可以解决存款筛选的许多缺点，但它与存款筛选一样几乎无法解决任何必要的风险评估。⁴¹  此外，这将使 Tornado Cash 继续依赖区块链分析公司对制裁预言机的忠实操作。 此外，与存款筛选一样，也存在政府审查的问题——只有在提款筛选的情况下，政府滥用制裁名单可能导致用户失去资金。 

选择性去匿名化

选择性去匿名化是满足潜在监管要求的第三种方法，它有两种形式：自愿和非自愿。 

自愿选择性去匿名化

通过其存款收据功能，Tornado Cash 实施 一种自愿选择性去匿名化的形式，它为认为自己被错误地添加到制裁名单的人提供了将其交易细节去匿名化给选定或指定方的选项。⁴²  如果将类似的自愿去匿名化功能与不在许可名单上的钱包地址的提款筛选相结合，用户可以选择对其交易进行去匿名化，负责提款的 Tornado 合约将删除任何因以下原因而存在的区块：上述退出筛选过程。 结果，用户将收到其资金，但用户将无法享受到 Tornado 隐私保护技术的好处，因为其提款地址将在链上明确链接到其存款地址。 自愿去匿名化将使像 Tornado Cash 这样的协议能够解决取款筛选的某些缺点（例如，无辜用户不会有资金被冻结的风险），但它也会降低取款筛选作为威慑的有效性，因为不良行为者然后，只需对交易进行去匿名化处理，就可以从 Tornado 中提取资金。 在那种情况下，非法用户将不会从使用隐私增强服务中获得任何好处。

非自愿选择性去匿名化

非自愿选择性去匿名化是一项额外措施，可以整合到 Tornado Cash 的智能合约中，使政府能够追踪和追踪非法收益。 虽然 BSA 要求不太可能适用于非托管 web3 服务，但与区块链协议相关的可追溯性代表了一项关键控制措施，可以更广泛地防止包括受制裁方在内的非法金融活动。 非自愿选择性去匿名化代表了一种强大的工具，可用于维护授权目的的可追溯性，同时保护隐私免受恶意行为者和未经授权的第三方的侵害。 关键问题是，谁来维护解锁溯源的私钥？

一种解决方案可能涉及向中立的看门人型组织或类似的受信任实体提供私钥，并向政府当局提供另一个私钥。 两个密钥都需要用于对不是来自允许列表上的钱包地址的存款和取款交易进行去匿名化，并且此类交易的详细信息只会透露给请求此类去匿名化的执法机构-匿名化。 守门人组织的作用是在执法部门没有首先获得并出示有效的授权令或法院命令以进行去匿名化的情况下抵制去匿名化。 这不仅使执法部门能够确定提供用于任何 Tornado Cash 提款的资金的源地址，从而使政府能够执行其执法和国家安全任务，而且还将减轻政府持有密钥，这对政府和 Tornado Cash 的用户来说都不是最佳选择。

这种方法存在一些挑战。 首先，尚不清楚哪些实体可以访问私钥。 目前还没有已知的运营中的看门人组织被设立来管理这样的过程。 此外，还有许多管辖权问题。 每个国家——甚至是专制政权——都会拥有自己的私钥，让他们能够访问交易数据吗？ 如果是这样，如何确保此类制度不会使美国公民的交易去匿名化？ 另外，看门人组织和政府部门如何管理他们的密钥以确保他们不会被盗？ 这些问题并不新鲜。 他们出现在每次关于密钥托管的讨论中，这就是非自愿选择性去匿名化。 这种解决方案一直不受欢迎，并且充满了运营挑战——“后门”的概念。 尽管如此，它仍然是开发人员可以考虑的一种选择，以满足监管要求或减少将平台用于非法目的的情况。 

上述挑战的一种可能解决方案是允许用户在取款期间选择他们想要使用哪个公钥来加密地址。⁴³  Tornado Cash 合约可能有多个执法公钥，比如每个国家一个公钥。 提款时，用户可以根据所在辖区选择使用哪个公钥进行加密。 用户可能需要提供其管辖权的证据，这将决定它使用哪个公钥进行加密。 该证据可以隐藏在零知识证明下，这样除了相关政府机构之外，没有人知道撤回的管辖权。⁴⁴  从理论上讲，这将解决压制性政权有权访问交易密钥的问题，但它并没有解决恶意政府可能要求密钥持有者以善意的名义提供他们的私钥的可能性 - 但恶意– 法律程序。

对于那些有 BSA 义务的实体，选择性去匿名化将有利于保留退出筛选的监管可行性，包括进行 OFAC 授权的制裁筛选的能力，以及收集 KYC 信息和交易数据的能力，并可能文件特区。 此外，可以修改上述非自愿选择性去匿名化方法，使两个密钥持有者仅拥有根据 BSA 特别需要收集、保留和报告的信息（例如，KYC 信息和 SAR）的私钥，并且可以仅向 FinCEN 和 OFAC 出示这些密钥，或在送达有效法律程序后向执法部门出示。 这种方法将有助于确保用户数据的隐私，同时允许政府机构满足其监管要求。

结论

为了让 web3 技术在美国蓬勃发展，隐私保护监管解决方案的发展至关重要。 在制定这些方法时，零知识证明可以提供一个强大的工具来阻止网络犯罪分子和敌对的国家行为者将区块链技术用于非法目的，同时仍然保护用户的个人信息、数据和金融活动的隐私。 根据给定协议或平台的运营和经济模型以及监管合规义务，使用零知识证明可以实现存款筛选、取款筛选和选择性去匿名化，以履行这些义务并更好地保护生态系统免受非法使用和防止损害美国和其他国家的安全。 区块链领域活动的多样性可能需要开发人员和创始人考虑多种方法，包括本文提出的方法，以解决非法金融风险。  

重申先前讨论的原则，即协议不应受到监管，并且 开发人员必须完全自由地选择是否要采用协议级限制来减轻这些重要风险， 作者希望这些想法能够在建设者和政策制定者之间围绕零知识证明的可能性激发创造性的讨论、进一步的研究和发展。

下载 全文，或阅读摘要博文 此处.

***

尾注

¹ 我们 加密混合器的使用在 2022 年达到历史新高，民族国家行为者和网络犯罪分子贡献了大量, Chainalysis（14 年 2022 月 XNUMX 日）， https://blog.chainalysis.com/reports/cryptocurrency-mixers; 参见 美国财政部制裁广泛使用的加密混合器 Tornado Cash, TRM 实验室（8 年 2022 月 XNUMX 日）， https://www.trmlabs.com/post/u-s-treasury-sanctions-widely-used-crypto-mixer-tornado-cash.

² 迈尔斯詹宁斯， 规范 web3 应用程序，而不是协议, a16z Crypto（29 年 2022 月 XNUMX 日）， https://a16zcrypto.com/web3-regulation-apps-not-protocols/.

³ 我们 链分析 超 注1。

⁴ 证明者实现这一点的方法是首先将要证明的陈述编码为一系列多项式（一系列代数项的总和），当且仅当陈述为真时，这些多项式为零。 这种编码——通常称为语句的“算术化”——是使零知识证明成为可能的神奇步骤。 证明者然后说服验证者多项式确实相同为零。

⁵ 我们 链分析 超 注1。

⁶ 查看朝鲜的 Lazarus Group 通过 Tornado Cash 转移资金, TRM 实验室（28 年 2022 月 XNUMX 日）， https://www.trmlabs.com/post/north-koreas-lazarus-group-moves-funds-through-tornado-cash.

⁷ “AML”是反洗钱，“CFT”是反恐怖主义融资。  我们 鳍。 犯罪网络， 反洗钱法的历史, https://www.fincen.gov/history-anti-money-laundering-laws.

⁸ 31 USC§5311 等等。

⁹ 我们 美国财政部， 外国资产控制办公室 (OFAC) – 制裁计划和信息, https://home.treasury.gov/policy-issues/office-of-foreign-assets-control-sanctions-programs-and-information.

¹⁰ 例如，2021 年，混合服务 Bitcoin Fog 的涉嫌经营者被捕，并被指控在哥伦比亚特区洗钱、经营无证汇款业务和无证汇款。  我们 新闻稿，美国司法部，个人被捕并被控经营臭名昭著的暗网加密货币“混合器”（28 年 2021 月 XNUMX 日）， https://www.justice.gov/opa/pr/individual-arrested-and-charged-operating-notorious-darknet-cryptocurrency-mixer.

¹¹ 31 USC § 5311。

¹² 货币服务业务的相关定义和注册, 64 美联储。 注册。 45438（1999 年 XNUMX 月）， https://www.govinfo.gov/content/pkg/FR-1999-08-20/pdf/FR-1999-08-20.pdf.

¹³ 鳍。 犯罪网络， FinCEN 法规对虚拟货币管理、交易或使用人员的应用, FIN-2013-G001（18 年 2013 月 XNUMX 日）， https://www.fincen.gov/sites/default/files/shared/FIN-2013-G001.pdf.

¹⁴ 资金传输涉及通过任何方式将资金、CVC 或替代货币的价值传输到另一个位置或个人。  我们 鳍。 犯罪网络， FinCEN 法规在某些涉及可兑换虚拟货币的商业模式中的应用, FIN-2019-G001（9 年 2019 月 XNUMX 日）， https://www.fincen.gov/sites/default/files/2019-05/FinCEN%20Guidance%20CVC%20FINAL%20508.pdf.

¹⁵ 同上。 在 20、23-24。

¹⁶ 常见问题，美国财政部关闭。 外国资产控制（“OFAC”），第 1076 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076 （“虽然美国人禁止与 Tornado Cash 或其被冻结的财产或财产权益进行任何交易，但不禁止以不涉及与 Tornado Cash 进行禁止交易的方式与开源代码本身进行交互。例如，美国制裁法规不会禁止美国人复制开源代码并将其在线提供给其他人查看……”）。

¹⁷ 新闻稿，美国财政部， 美国财政部制裁臭名昭著的虚拟货币混合器 Tornado Cash （8年2022月XNUMX日）， https://home.treasury.gov/news/press-releases/jy0916.

¹⁸ Alexandra D. Comolli & Michele R. Korver， 冲浪第一波加密货币洗钱, 69 美国司法部 J. 美联储。 L. & PRAC。 3（2021 年）。

¹⁹ 31 美国联邦法规 § 1010.410。

²⁰ 31 CFR § 1022.320(a)(1)； 31 USC § 5318(g)(3).

²¹ CTR 要求报告由一个人或代表一个人进行的超过 10,000 美元的现金或硬币交易，以及单日累计超过 10,000 美元的多种货币交易。 它们目前不适用于数字资产，尽管有一项未决规则可以将类似 CTR 的要求扩展到满足特定标准的 CVC 交易。  我们 31 CFR § 1010.311； 参见 鳍。 犯罪网络，客户须知：CTR 参考指南， https://www.fincen.gov/sites/default/files/shared/CTRPamphlet.pdf.

²² 我们 50 USC § 1702(a)； 尼娜·哈特， 经济制裁的执行：概述, 国会研究服务报告（18 年 2022 月 XNUMX 日）， https://crsreports.congress.gov/product/pdf/IF/IF12063.

²³ 美联储。 鳍。 院校考试委员会, 银行保密法（BSA）/反洗钱（AML）考试手册 （2021） https://bsaaml.ffiec.gov/manual/OfficeOfForeignAssetsControl/01.

²⁴ 我们 OFAC 网络相关制裁常见问题，第 444、445 和 447 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546. 涉及加密货币的制裁也可能​​来自特定国家/地区的行政命令，例如针对俄罗斯、伊朗或朝鲜的行政命令。

²⁵ 我们 31 CFR 近似值。 A到Pt。 501； 50 USC § 1705。

²⁶ 民事责任是在不知道或没有理由知道某人违反制裁规定的情况下产生的。

²⁷ 参见，例如, 18 USC §§ 1956、1957 和 1960。

²⁸ 我们 外国资产管制处， 虚拟货币行业制裁合规指南 （15 年 2021 月 XNUMX 日）（声明制裁合规计划和风险评估适用于“公司”）， https://home.treasury.gov/system/files/126/virtual_currency_guidance_brochure.pdf [以下简称：“OFAC 指南”]； 但是看 常见问题，OFAC，第 445 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546, （声明“[a]一般性事项，美国人，包括促进或从事在线商务的公司，有责任确保他们不从事未经授权的交易或与任何 OFAC 制裁名单上的人或在司法管辖区内经营的人进行交易全面制裁计划的目标。这些人，包括技术公司，应制定量身定制的、基于风险的合规计划，其中可能包括制裁名单筛选或其他适当措施。”）

²⁹ 常见问题，OFAC，第 1076 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/1076.

³⁰ 一般来看 龙卷风现金， https://tornado.cash （2022）。

³¹ 新版本的 Tornado Cash 名为 Nova，支持直接账户间转账，无需先从 Tornado 取款。  一般来看 龙卷风现金新星， https://nova.tornadocash.eth.link （2022）。

³² 蒂姆哈基， 近 7 万美元的被黑浪人资金被发送到隐私混合器 Tornado Cash, 解密（4 年 2022 月 XNUMX 日）， https://decrypt.co/96811/nearly-7m-hacked-ronin-funds-sent-privacy-mixer-tornado-cash.

³³ 我们 OFAC 网络相关制裁常见问题，第 1076 和 1095 号， https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1546.

³⁴ 我们 伊丽莎白霍克罗夫特等人， 美国加密货币公司 Harmony 遭受 100 亿美元的抢劫，路透社（24 年 2022 月 XNUMX 日）， https://www.reuters.com/technology/us-crypto-firm-harmony-hit-by-100-million-heist-2022-06-24.

³⁵ 我们 伊丽莎白霍克罗夫特， 美国加密货币公司 Nomad 遭受 190 亿美元的盗窃，路透社（3 年 2022 月 XNUMX 日）， https://www.reuters.com/technology/us-crypto-firm-nomad-hit-by-190-million-theft-2022-08-02.

³⁶ 见上文 注17。 

³⁷ 参见 Chainalysis oracle 进行制裁筛选, 链分析, https://go.chainalysis.com/chainalysis-oracle-docs.html.

³⁸ 杰夫本森， 以太坊隐私工具 Tornado Cash 表示它使用链分析来阻止受制裁的钱包, 解密（15 年 2022 月 XNUMX 日）， https://decrypt.co/97984/ethereum-privacytool-Tornado-cash-uses-chainalysis-block-sanctioned-wallets.

³⁹ 我们 Brian Armstrong 和 Vitalik Buterin 讨论去中心化、隐私等，Coinbase：Around the Block，35:00（30 年 2022 月 XNUMX 日）（在 Spotify 上可用）， https://open.spotify.com/episode/2vzctO7qgvYqGLKbnMnqha?si=X3eu221IRvGIJn3kd4tWFA&nd=1; 看，例如, 本菲施, 可配置隐私案例研究：分区隐私池, Espresso Systems（11 年 2022 月 XNUMX 日）， https://www.espressosys.com/blog/configurable-privacy-case-study-partitioned-privacy-pools.

⁴⁰ 我们 OFAC 指南 12-16（概述风险评估义务）。 

⁴¹ 同上。

⁴² 一般来看 龙卷风现金， Tornado.cash 合规性, 中（3 年 2020 月 XNUMX 日）， https://tornado-cash.medium.com/tornado-cash-compliance-9abbf254a370.

⁴³ 较新的 Tornado Nova 协议支持资金在 Tornado 系统中时的私人转账。 在这种情况下，在执法公钥下加密的“地址”必须是导致当前提取资金的整个交易链——比单个地址更多的数据。

⁴⁴ 我们 菲施， 超 注意 39. 

***

致谢：感谢 Jai Ramaswamy 和 Miles Jennings 对本文概念的反馈和贡献，包括 Miles 的“白名单”提案。 还要感谢 David Sverdlov 帮助将其整合在一起。

***

责任编辑： 罗伯特·哈克特

***

约瑟夫伯利森 是 a16z crypto 的副总法律顾问，就法律、治理和权力下放问题向公司及其投资组合公司提供建议。

米歇尔·科沃尔 是 a16z crypto 的监管负责人。 她曾担任 FinCEN 的首席数字货币顾问、司法部的数字货币顾问，以及助理美国检察官。

丹·博内 是 a16z crypto 的高级研究顾问。 他是斯坦福大学计算机科学教授，领导应用密码学小组； 共同领导斯坦福区块链研究中心； 并共同领导斯坦福计算机安全实验室。

***

此处表达的观点是引用的个人 AH Capital Management, LLC (“a16z”) 人员的观点，而不是 a16z 或其关联公司的观点。 此处包含的某些信息是从第三方来源获得的，包括来自 a16z 管理的基金的投资组合公司。 虽然取自被认为可靠的来源，但 a16z 并未独立验证此类信息，也不就该信息的当前或持久准确性或其在特定情况下的适用性做出任何陈述。 此外，该内容可能包含第三方广告； a16z 未审查此类广告，也不认可其中包含的任何广告内容。

此内容仅供参考，不应被视为法律、商业、投资或税务建议。 您应该就这些事项咨询您自己的顾问。 对任何证券或数字资产的引用仅用于说明目的，并不构成投资建议或提供投资咨询服务的要约。 此外，本内容并非针对也不打算供任何投资者或潜在投资者使用，并且在任何情况下都不得在决定投资于 a16z 管理的任何基金时作为依据。 （投资 a16z 基金的要约仅通过私募备忘录、认购协议和任何此类基金的其他相关文件提出，并应完整阅读。）任何提及、提及或提及的投资或投资组合公司所描述的并不代表对 a16z 管理的车辆的所有投资，并且不能保证这些投资将是有利可图的，或者将来进行的其他投资将具有类似的特征或结果。 由 Andreessen Horowitz 管理的基金进行的投资清单（不包括发行人未允许 a16z 公开披露的投资以及对公开交易的数字资产的未宣布投资）可在 https://a16z.com/investments 获得/。

其中提供的图表仅供参考，在做出任何投资决定时不应依赖。 过去的表现并不预示未来的结果。 内容仅在所示日期生效。 这些材料中表达的任何预测、估计、预测、目标、前景和/或意见如有更改，恕不另行通知，并且可能与他人表达的意见不同或相反。 有关其他重要信息，请参阅 https://a16z.com/disclosures。