什么是保密交易以及它如何隐藏交易金额？

了解加密货币中的机密交易

1. 机密交易是某些区块链网络中使用的一种加密方法，用于隐藏各方之间转移的价值金额。该技术最初由 Adam Back 提出，并由 Gregory Maxwell 进一步开发，作为增强数字货币隐私性的努力的一部分。通过隐藏交易金额，机密交易可以防止第三方根据公共账本数据跟踪财富分配、消费习惯或账户余额。

2. 在像Bitcoin这样的传统区块链系统中，每笔交易金额对于分析区块链的任何人都是可见的。虽然发送者和接收者地址可能会提供一定程度的匿名性，但值的透明度会破坏财务隐私。保密交易通过用加密承诺替换明文金额来解决这个问题，确保只有拥有正确解密密钥的参与者才能查看实际转移的价值。

3. 核心机制依赖于称为 Pedersen 承诺的加密技术。这些允许用户在不透露的情况下承诺特定的价值（例如 5 BTC），同时仍然使网络验证器能够验证输入等于输出并且没有非法创建新硬币。即使确切的金额仍然隐藏，这也可以保持货币供应的完整性。

4. 为了在不暴露数据的情况下确保有效性，机密交易使用零知识证明或同态加密属性。验证者可以对加密值执行数学运算，以确认输入总和与输出总和匹配，从而防止通货膨胀错误或双重支出尝试。这种验证无需解密单个交易金额即可进行。

5. Monero 和基于 Mimblewimble 的区块链（例如 Grin 和 Beam）等网络实现了机密交易的变体。在门罗币中，RingCT 将机密交易与环签名结合起来，以掩盖发送者的身份和金额。 Mimblewimble 进一步将机密交易集成到其基本设计中，通过切入和修剪实现强大的隐私性和显着的区块链可扩展性改进。

Pedersen 承诺如何实现价值隐藏

1. 保密交易的核心是 Pedersen 承诺方案，它将一个值与一个随机致盲因子绑定。承诺看起来像C = v H + r G ，其中v是金额， r是随机秘密， H和G是固定椭圆曲线点。在不知道r 的情况下，从计算上不可能从C导出v 。

2. 当用户发送资金时，他们使用新的致盲因素创建产出承诺。交易中的输入参考之前的承诺，并且系统验证总输入承诺减去总输出承诺等于零（模费用）。这证明了价值守恒，而无需透露任何单独的金额。

3. 由于 Pedersen 承诺是加法同态，节点可以直接对加密值进行加减操作。例如，如果两个承诺分别代表 2 BTC 和 3 BTC，则它们的总和对应于 5 BTC 的承诺——即使这些值在明文中都不可见。该属性对于验证交易余额至关重要。

4. 尽管金额是隐藏的，但有权访问致盲密钥或查看密钥（在许可的变体中）的审计人员或监管机构可以解密该值。一些以企业为中心的区块链有选择地提供此类密钥，平衡合规性需求与一般隐私。

5. 一个限制是 Pedersen 承诺没有隐藏交易发生或参与地址的事实——需要额外的层，如隐形地址或混合协议来实现完全匿名。然而，在金额保密的范围内，它们提供了针对被动链分析的强大保护。

范围证明在防止溢出攻击中的作用

1. 加密金额的一个关键挑战是防止恶意用户创造负值来增加供应。例如，某人可以通过承诺大量的正输入和更大的负输出来尝试花费比自己拥有的更多的钱，在秘密铸造硬币的同时使其看起来平衡。

2. 为了解决这个问题，机密交易系统采用范围证明。这些是附加到每个输出的加密证明，证明提交的值是非负的并且落在有效范围内（例如，0 到 2^64 satoshis 之间），而不披露实际数字。

3. 早期的实现使用相对较大的 Borromean 环签名进行范围证明，显着增加了交易规模。 Bulletproofs 等较新的方法极大地减少了这种开销，提供对数大小的证明，将数据需求减少 80% 以上，使机密交易更具可扩展性。

4. Bulletproofs 允许将多个输出聚合到一个紧凑的证明中，从而提高效率。它们还消除了对可信设置的需求，仅依赖于标准加密假设。这使它们成为去中心化和去信任环境的理想选择。

5. 尽管取得了这些进步，与透明交易相比，范围证明仍然会增加存储和计算需求。正在进行的研究重点是优化验证速度并最大限度地减少带宽使用，以使轻量级客户端和移动钱包更容易进行私人交易。

常见问题解答

是什么阻止某人在机密交易中发送负金额？范围证明附加到每个输出，以加密方式证明提交的值在有效的正范围内。如果没有有效的范围证明，节点会拒绝交易，从而防止溢出攻击或假币创建。

矿工可以看到机密交易中的交易金额吗？不能。矿工只能看到加密的承诺，无法提取实际值，除非他们拥有接收者的私人查看密钥。他们的作用仅限于在不访问敏感数据的情况下验证余额一致性和证明有效性。

所有加密货币都支持机密交易吗？大多数主要加密货币（例如 Bitcoin 和以太坊）本身并不支持机密交易。注重隐私的货币，例如 Monero、Zcash（在屏蔽交易中）和基于 Mimblewimble 的链是该技术的主要采用者。

收款人如何得知他们收到的金额？发送方通过加密通道（通常使用 ECDH）在带外传输值和致盲因子。接收者使用此信息来解码其端的承诺并验证发送的金额是否正确。