關(guān)心加密貨幣圈的人都知道，2018 年底和 2019 年初有兩個新幣種 Grin 和 Beam 先后上線，即便不打算 ICO，仍從少數(shù)核心開發(fā)者開始，一路神奇迅速走紅礦工圈、投資圈，乃至于成為整個加密貨幣社區(qū)的熱議話題。Grin 還在上周由社區(qū)票選出了一個中文名字“古靈幣”。

火紅原因在于，Grin 和 Beam 在技術(shù)上運用了一個有著魔咒般名稱的 Mimblewimble 區(qū)塊鏈協(xié)議，解決了比特幣交易缺乏隱私性的這一大弱點，也就是其每筆交易都有固定地址，只要通過分析比對，用戶的身份與交易行為就可能被曝光。Mimblewimble 之名源自于《哈利?波特》小說里的咒語“混淆咒”，它的發(fā)明者更用了法語版伏地魔的名字 Tom Elvis Jedusor。

究竟 Mimblewimble 有什么魔力？它除了催生了兩個新幣種外，還為整個加密貨幣技術(shù)的發(fā)展帶來了哪些更整體的突破？本周 DeepHash 專欄很高興又邀請到一位新作者，精通密碼學(xué)的國內(nèi)知名公鏈初創(chuàng)公司 Conflux 研究總監(jiān)楊光博士，來為本專欄讀者講解 Mimblewimble 的技術(shù)原理。而他歸納，MimbleWimble 最主要的三大貢獻在于改善比特幣的隱私性、可替代性和擴容性。

今年 315 不知道大家有沒有看到一則新聞，當(dāng)你的手機嘗試連接 wifi 時，會把你的 MAC 地址廣播出去。其他人可以用 wifi 探針來找到你的 MAC 地址。且因為這是跟手機綁定的，所以就能進一步對應(yīng)到你的手機號和個人身份等信息。因此大家說，出門最好把 WLAN 給關(guān)掉，不要泄露自己的 MAC 地址。但如果是在比特幣上，可能連探針都不需要，直接搜地址，就可以找到對應(yīng)賬戶的交易記錄了。賬戶上金額的流進流出所有人都能看到。

為什么？因為比特幣雖被稱為是加密貨幣，但其實沒有做到對隱私的保護。

加“密”貨幣的迷思

現(xiàn)在，讓我們來仔細想一下比特幣到底用了多少密碼學(xué)的東西？首先，比特幣利用抗碰撞哈希引用來構(gòu)建區(qū)塊鏈的結(jié)構(gòu)，同一個哈希引用不會對應(yīng)于兩個不同的區(qū)塊；其次，比特幣上的每一筆錢都由相應(yīng)的公鑰和私鑰控制。除此之外，比特幣并沒有應(yīng)用更多的密碼學(xué)知識了。

因此，我們可以說，比特幣的安全性是受到密碼學(xué)的保護的，但是隱私性其實并沒有。我們可以通過很多方式進行分析，例如根據(jù)交易的關(guān)聯(lián)性，交易時間和交易的廣播情況等，就可以找到賬戶對應(yīng)的個人是誰，從而得知這個人在比特幣上的交易情況等隱私信息。

Mimblewimble 的目的就是在改善比特幣的這一問題。今天我們先來簡單介紹一下 Mimblewimble 隱私保護技術(shù)的原理，再講一下它在實際中應(yīng)用的例子。

“伏地魔”創(chuàng)造的 Mimblewimble

Mimblewimble 其實不是一個傳統(tǒng)的英文單詞，它源于著名小說《哈利·波特》里“混淆咒”的咒語——施咒的效果是讓對方說話變得含混不清，從而喪失念咒語施法的能力。當(dāng)然，用在區(qū)塊鏈里的 Mimblewimble，肯定不是這個咒語的原始意義了，它是指一個在比特幣交易中保護用戶數(shù)據(jù)隱私的提案。

這個提案最早以匿名的方式被發(fā)布在 Bitcoin 的 IRC Channel 里，作者化名為 Tom Elvis Jedusor，也就是法語版《哈利·波特》里伏地魔的名字。

其實最早提出的 Mimblewimble 方案并不完整，后來經(jīng)過社區(qū)其他人的改進和完善才有了現(xiàn)在的版本。這是一個為基于 output 模型的公有賬本提供加密貨幣隱私性的設(shè)計方案，并不涉及共識層，可用在幾乎任何共識規(guī)則系統(tǒng)上。

跟比特幣相比，Mimblewimble 最主要的優(yōu)勢在于信息的隱私性，如交易金額等隱私信息都被密碼學(xué)技術(shù)保護。隱私性帶來的一個直接好處，就是交易中的數(shù)字資產(chǎn)具有完全的可替換性——例如一些資金可能會被第三方認定為來路不明、甚至標(biāo)記為贓款，在使用時有被拒收的風(fēng)險，而收款方為了避免此類風(fēng)險，就必須承擔(dān)額外的驗證成本。

另一方面，比特幣等非匿名數(shù)字貨幣的交易歷史是完全透明公開的，如果對每一筆交易的金額和去向進行分析，事實上可以得到很多隱私信息，這也阻礙了它們成為更廣泛使用的交易媒介。

其實遠在比特幣之前，就有一種古老的交易形式可以實現(xiàn)對隱私性非常好的保護：交易雙方將錢藏到袖子里達成交易，這樣即使其他人目睹了這筆交易，也無法得知交易的金額等隱私信息。但是直接將這樣的思路照搬到區(qū)塊鏈里并不容易。因為在一個公開的賬本里，每一筆交易的合法性需要得到其他人的驗證，以確保交易的發(fā)起方確實授權(quán)了這筆交易，并且這筆交易沒有造成惡性通貨膨脹。

怎么樣能既把一筆交易的具體信息“藏到袖子里”，同時又允許其他人驗證交易的合法性呢？這即是 Mimblewimble 所解決的問題。

我們先來看大家最熟悉的比特幣的設(shè)計。眾所周知，比特幣對交易的隱私性保護得并不是很好：在比特幣系統(tǒng)里，盡管每個用戶都有一個匿名的錢包地址作為在鏈上的化名/假名，但每個地址所對應(yīng)的交易記錄與信息在上鏈后其實都是可以通過公開渠道查詢到的。通過將與匿名地址有交易往來的用戶的信息進行交叉分析，就可以輕易地追溯到用戶的真實身份。

MimbleWimble 三大貢獻為改善比特幣的隱私性、可替代性和擴容性

最初提出 MimbleWimble 這個方案的目的就是為了給比特幣提供隱私性。使用后有以下的好處：

保障隱私性：賬戶歸屬和交易關(guān)聯(lián)都會被隱藏，交易金額也會被隱藏起來。這也是 MimbleWimble 最直接的好處。

實現(xiàn)比特幣的可替代性：這意味著每筆錢都是同樣“干凈”的，可互相替代的。比如在比特幣中，有些錢可能會被標(biāo)記為贓款，一旦收到這樣的比特幣就有無法將它花出去的風(fēng)險——很多機構(gòu)都會拒絕接收這樣的贓款。有隱私性之后，每一筆錢看不到地址，就有了可替換性，最直接的好處就是收款方不用自己去追蹤看收到的錢是不是贓款，會為交易減少很多額外的負擔(dān)。就像大家平時花人民幣通常也不會專門查一下序列號，先檢查一下這錢是不是別人從銀行搶出去的。

對擴容有一些貢獻：這是一個額外的好處。主要是通過裁剪，可以減少狀態(tài)歷史的尺寸，降低存儲壓力和同步數(shù)據(jù)的難度。

而 Mimblewimble 主要提高的就是交易的隱私性，使得其他人無法輕易看到哪些用戶之間發(fā)生了交易，更看不到交易的具體金額是多少。

實際上，Mimblewimble 交易的連接性的保護，是一種比較被動的方式。即大家不會保存所有交易歷史，于是就不能直接從網(wǎng)絡(luò)查詢到很久以前的交易記錄了。但如果實時地關(guān)注每筆交易的動態(tài)并且全都記錄下來，還是可以得知每筆交易是由哪個用戶發(fā)給誰的，不過即使如此，交易的金額依然是從始自終都不會公開。

Mimblewimble 所用技術(shù)主要有保密交易（Confidential Transaction，也稱 CT）、Coin Join 和 Cut-through等。簡單分述如下：

Confidential Transaction 的核心思想是以 Pedersen 承諾方案（Pedersen Commitments）、而非明文的形式存儲每個 output 的金額，再通過加法同態(tài)的性質(zhì)驗證交易輸入輸出的金額是合法的；

Coin Join 是在出塊時即把整個區(qū)塊里的所有交易混合成一筆多個 input 到多個 output 的巨大交易，從而使其他人難以追蹤每筆 output 資金來源，相對比特幣的不可關(guān)聯(lián)性也更好；

Cut-through 技術(shù)則是對交易歷史進行裁剪，舍棄所有不需要的中間交易數(shù)據(jù)，最后只留下相當(dāng)于從 Coinbase 轉(zhuǎn)賬到 UTXO 的一筆交易。這樣可以極大地縮小整個區(qū)塊鏈的歷史數(shù)據(jù)體積，從而減輕存儲壓力并有利于整個系統(tǒng)擴容，特別有利于新加入的節(jié)點快速跟上整條鏈當(dāng)前的最新狀態(tài)。

如果想要深入理解 Mimblewimble 的原理，需要先了解下有關(guān)橢圓曲線和 Pedersen 承諾方案的基礎(chǔ)知識（有興趣的讀者可以自行查閱相關(guān)資料，此處省略五千字）。

簡單來說，關(guān)于橢圓曲線，我們只需要知道：1）橢圓曲線跟我們高中學(xué)的橢圓沒有半毛錢關(guān)系，99％以上的人到大學(xué)畢業(yè)也不會學(xué)到；2）橢圓曲線上的元素可以進行加法和標(biāo)量乘法的運算，但是除法運算極其困難——也就是說，給定橢圓曲線的兩個點 G 和 H，我們可以很容易地計算出 G+H 或者 233*G 對應(yīng)于哪個元素，卻很難計算 H/G 的值（也即找到一個滿足 k*G=H 的整數(shù) k）。橢圓曲線簽名實際上也是利用了這個單向的性質(zhì)。

Pedersen 承諾方案是一種承諾方式，即根據(jù)承諾值很難計算出對應(yīng)的明文，但是如果給出明文則很容易驗證它和承諾值是對應(yīng)的。這點其實跟我們常用的抗碰撞哈希函數(shù)有點像?！度龂萘x》中，周瑜和諸葛亮分別把自己想到的破曹之計寫在手心上然后同時攤開的橋段，描寫的就是一個線下版本的“承諾-驗證”過程。

當(dāng)然，Pedersen 承諾方案還有一些額外的性質(zhì)，那就是對于加法的同態(tài)性。它會把要承諾的數(shù) v 和一個隨機數(shù) r 一起記錄成 C=r*G+v*H 的形式，其中 G 和 H 是橢圓曲線群的兩個生成元。這樣，我們把兩個分別關(guān)于 (v1,r1) 和 (v2,r2) 的承諾值（按照橢圓曲線的加法）加在一起就可以得到一個關(guān)于（v1+v2,r1+r2）的承諾值，并且在這個過程中都不需要知道 v1，v2 的值。

可能說到這兒，大家會覺得太學(xué)術(shù)了。橢圓曲線到底有什么用呢？其實說到底，橢圓曲線就是為了保障賬戶的隱私和安全性。舉例說來，橢圓曲線就像是一個不透明的袋子，你可以把自己的金子放進這個袋子里，其他人就看不見你到底有多少金子。但是，你可以向別人證明幾個袋子加總共有 100 兩金子，同時別人卻無法得知每個袋子分別是幾兩。

Mimblewimble 的框架和原理

現(xiàn)在，我們從三個方面來介紹一下 Mimblewimble 的框架：首先是每筆 Output 輸出是什么樣，也就是每筆錢會以怎樣的形式存儲；其次是每筆交易是什么樣，也就是這些 Output 是如何轉(zhuǎn)換的；最后則是如何把交易打包成塊，把塊鏈接成整條區(qū)塊鏈。

我們先來看一下每筆的 Output 的呈現(xiàn)形式。同比特幣中的 UTXO 的一樣，Mimblewimble 的 UTXO 也是一個所有未花掉 Output 的列表。區(qū)別在于，比特幣的 UTXO 列表每一項呈現(xiàn)格式是一個地址對應(yīng)一個明文金額，而 Mimblewimble 則非如此。Mimblewimble 在這里用了 Pedersen 承諾方案的方式存儲每筆 Output 金額，并把其中隨機數(shù)的部分，作為交易生成簽名要用的私有信息。另外，每個 Output 還需要附有一個金額范圍的合法性證明，避免出現(xiàn)金額為負數(shù)或者溢出的問題。

然后是交易的處理。一筆交易其實就是資金從先前創(chuàng)建的 Output 流動到新創(chuàng)建 Output 里的過程。在 Mimblewimble，每筆交易的輸入輸出都是以 Pedersen 承諾方案的形式出現(xiàn)，金額都是被隱藏起來的。那么怎么去驗證交易的合法性呢？這里其實有兩件事需要得到驗證：一是同一筆交易的輸入與輸出金額需要時能對上；二是交易得到了輸入資產(chǎn)所有人的授權(quán)。

如果有明文的金額信息，第一條是非常容易驗證的，只需比較輸入的整體金額相加等于輸出金額整體加上手續(xù)費即可。但是 Mimblewimble 交易中沒有出現(xiàn)具體的金額，所以這里是利用了加法同態(tài)的性質(zhì)進行驗證。比如說，現(xiàn)在有 C1=r1*G+v1*H 和 C2=r2*G+v2*H 兩筆輸入以及 C3=r3*G+v3*H 和 C4=r4*G+v4*H 兩筆輸入，我們只需要驗證 (C1+C2)-(C3+C4+fee*H)=k*G 即可。因為只有 v1+v2=v3+v4+fee 的時候 H 前面的系數(shù)才能正好抵消掉，只剩下 G 的倍數(shù)。

這里的 k*G 被稱為 excess value，可以被作為一個公鑰，用于驗證的這筆交易是經(jīng)過資產(chǎn)所有人的許可的，也就是需要一個以 k 為私鑰的簽名來證明交易得到授權(quán)。因為 k 實際上是 r1、r2、r3、r4 的一個線性組合，其中 r3 和 r4 是由接收方選取的隨機數(shù)，所以上述簽名實際上需要發(fā)送方和接收方合作進行一個以 k 為私鑰的多重簽名才能完成。交易手續(xù)費、excess value、以及對應(yīng)的簽名合在一起，就構(gòu)成了一筆交易的 kernel，用于輔助驗證交易的合法性。

其實，只是上述步驟還不足以保證交易合法。如果輸出的金額是負數(shù)，實際上就可以憑空地造出一些錢來。比如我把一塊錢轉(zhuǎn)到兩個賬戶里，這兩個賬戶分別有正的一萬零一塊錢和負一萬塊錢，這樣雖然轉(zhuǎn)賬前后總金額上是相等的，但實際上我可以拋棄掉金額為負的賬戶，于是最后的結(jié)果就是憑空多出了一筆錢。所以為了解決這個問題，每個輸出還必須附帶一個范圍證明，用于保證輸出對應(yīng)的金額是正的且在某個范圍以內(nèi)。這個證明最初是用環(huán)簽名做的，缺點是證明比較長，證明范圍在 (0,2^64) 大約要 5kB 左右。后來有了 Bulletproof 的零知識證明技術(shù)，可以把范圍證明的大小縮小到 1kB 以內(nèi)。

接下來我們說一下如何把交易打包成塊。在這里 Mimblewimble 用到了和比特幣里面的 Coin Join 混幣技術(shù)類似的方法，把每個塊里所有交易輸入輸出分別按照順序排列，組成一個非常大的交易。我們可以很容易通過同態(tài)加法的性質(zhì)，驗證這筆新交易的輸入輸出總金額是否平衡。但很顯然，礦工不可能對這筆交易重新做出一個簽名。所以每個交易的 kernel 都會被保留下來用于輔助驗證。

這里其實還有一點小的 trick，就是如果直接用“excess value=輸入 commitment 之和-輸出 commitment 之和”的方式存儲的話，還是有可能通過 kernel 中 excess value 的值從整個區(qū)塊的輸入輸出中找到對應(yīng)的交易的輸入輸出的。所以，為了消除這種關(guān)聯(lián)性，Mimblewimble 除了 excess value 以外，還要求每筆交易指定一個 offset，使得“excess value +offset*G=輸入 commitment 之和-輸出 commitment 之和”。然后在打包區(qū)塊的時候，可以把整個塊里所有交易的 offset 全部加總為一個總的 offset，這個總的 offset 既足以幫助驗證區(qū)塊內(nèi)交易合法，又可以隱藏個別交易的 offset，消除關(guān)聯(lián)性。

有了單獨的區(qū)塊以后，我們可以把整個區(qū)塊鏈歷史上所有的區(qū)塊全都放在一起，再進行一次混合的操作，也就是所謂的 Cut-through。這次操作以后，就可以把所有已經(jīng)花掉的輸出都從交易歷史中移除——因為它們會作為輸入輸出各出現(xiàn)一次，對于驗證金額來說正好可以抵消掉。當(dāng)然，移除輸出的同時也可以移除它們對應(yīng)的范圍證明，這就省下來了很多空間。

經(jīng)過這樣的裁剪后，輸入端只剩下 Coinbase 發(fā)幣的輸入，這實際上可以從當(dāng)前塊的高度直接算出來，不需要存儲；輸出端剩下的恰好是所有還沒有被花掉的輸出，也即通常所說的 UTXO。于是整個區(qū)塊鏈的歷史就可以不再存儲那些已被花掉的輸出了。為了驗證這個從 Coinbase 輸入到 UTXO 的交易的合法性，所有歷史交易的 kernel 依然有必要保留，不過 kernel 的尺寸比起每筆交易來還是要節(jié)省不少的。

Mimblewimble 在擴容性上的意義

比特幣目前有接近 4 億筆的交易，但是 UTXO 里大約只有 6000 多萬個 Output。新用戶若想加入比特幣網(wǎng)絡(luò)，就得先知道過去所有的 200+GB 挖礦歷史，才能驗證最新的塊。而如果應(yīng)用 Mimblewimble 的方式，區(qū)塊鏈的交易歷史會被舍棄，只留下大約 25GB 的歷史交易 kernel，這樣處理數(shù)據(jù)時的復(fù)雜度即會減少很多。當(dāng)然，Mimblewimble 的 UTXO 需要附帶每個輸出的范圍證明，這是一個額外的負擔(dān)，但是這個負擔(dān)僅與 UTXO 的大小有關(guān)，而與整個鏈已經(jīng)運行的時間無關(guān)。此外，采用了新的 Bulletproof 技術(shù)后，范圍證明的尺寸和驗證效率都有了很大的改進。

Mimblewimble 在實際項目中的應(yīng)用

在 2018 年底和 2019 年初有 Grin 和 Beam 兩個基于 Mimblewimble 的項目先后上線。它們都為交易提供了更好的隱私性：沒有地址，也不會暴露交易金額，同時也難以把交易關(guān)聯(lián)起來。兩個項目都采用了 Bulletproof 技術(shù)用于范圍證明。此外，Grin 還支持多種常用的腳本，Beam 也計劃在今年實現(xiàn)對于常見腳本的支持，這在原本的 Mimblewimble 協(xié)議里是無法實現(xiàn)的，還用到了一些特別的技術(shù)。

這兩個項目最大的區(qū)別在于發(fā)幣的規(guī)則以及開發(fā)團隊獲得報酬的方式： Grin 選擇了一個線性的無上限的發(fā)行策略，開發(fā)團隊的報酬完全依賴于用戶和礦工們的捐贈；Beam 采用了更接近于比特幣的有上限且固定周期減半的發(fā)行策略，開發(fā)團隊靠著從前五年的挖礦獎勵中抽成來獲得收益。

我們來看看他倆的一個簡單對比：

首先，他們都通過 MimbleWimble 獲得了對于隱私性的保護。

其次，他們都采用了 Bulletproof 做范圍證明。

對于腳本和合約的支持方面：Grin 實現(xiàn)了多重簽名，閃電網(wǎng)絡(luò)等。注意，MimbleWimble 只能驗證交易不能驗證合約。

Beam 不支持合約，但他們計劃要做。

網(wǎng)絡(luò)層廣播：Grin 和 Beam 交易信息看不出，但是廣播層能直接看到 IP，依然可以得到隱私信息。通過加密再轉(zhuǎn)發(fā)，無人知道交易是誰轉(zhuǎn)出的。

Beam 還實現(xiàn)了 SBBS：這個只有 Mimblewible 需要做。因為 MimbleWimble 中的每筆交易需要雙方一起簽名。一方可以把簽了一半的東西，放在這個安全的 bbs 上，另一個人下載后再去簽名，最后把交易發(fā)出去。這樣的好處是不需要雙方同時在線。

pow 的區(qū)別：Grin 使用的是 Cuckoo cycle 的變種，而 Beam 是 Equihash

Grin 發(fā)幣是線性的, 所以會一直通脹

Beam：過段時間會減半，發(fā)幣總量有上限

Grin Foundation 是靠 donation 運營。之前捐款沒達到目標(biāo)，還號召大家快點多捐一點。

Beam 是會從前五年的塊里面抽稅用于獎勵開發(fā)者。

Grin 和 Beam 都是 Mimblewimble 技術(shù)在加密數(shù)字貨幣的實踐中非常好的嘗試。盡管它們還有種種不成熟和不足之處，但是這樣的嘗試必將為未來區(qū)塊鏈上的隱私保護提供更多寶貴的、可供借鑒的經(jīng)驗。(本文首發(fā)于 DeepTech 平臺每周二之 DeepHash 專欄)

楊光

楊光畢業(yè)于清華大學(xué)姚班，并于清華大學(xué)交叉信息研究院獲得計算機科學(xué)博士學(xué)位。加入 Conflux 團隊前曾在丹麥奧胡斯大學(xué)、中科院計算所、比特大陸從事研究工作。他的研究方向包括密碼學(xué)、博弈論和區(qū)塊鏈。他的博士論文曾獲得中國密碼學(xué)會優(yōu)秀博士學(xué)位論文獎。

“區(qū)塊鏈技術(shù)非常復(fù)雜，而且有很多誤解。更可怕的是，很多人自認為了解區(qū)塊鏈技術(shù)，但表現(xiàn)出的卻是無知。學(xué)術(shù)機構(gòu)有著巨大的責(zé)任去培養(yǎng)下一代的創(chuàng)新者。”在杜克大學(xué)商學(xué)院開設(shè)區(qū)塊鏈課程的教授 Campbell Harvey 曾經(jīng)有感而發(fā)地說。

每項新興技術(shù)發(fā)展都有它的周期，愈是可能帶來重大變革的技術(shù)，這個周期往往也愈明顯。就在區(qū)塊鏈技術(shù)步入所謂“幻滅的低谷”之時，DeepTech 深科技認為，下一個產(chǎn)業(yè)風(fēng)口，如今正在每個頂尖高校的實驗室、在各國央行與監(jiān)管機構(gòu)的研究室，在行業(yè)組織的研討會中醞釀著。

DeepTech 深科技認為，此時才是關(guān)鍵時刻，身為一家堅持深入報道科學(xué)科技產(chǎn)業(yè)的專業(yè)媒體與科技服務(wù)提供者，我們有責(zé)任也有必要，在這個時點上有帶領(lǐng)讀者去撥開迷霧、厘清誤解，培養(yǎng)對區(qū)塊鏈技術(shù)的更深刻認知。

因為此我們于每周二固定推出 DeepHash 專欄，由 DeepTech 資深編輯林佳誼，邀集千人學(xué)者兼天德鏈創(chuàng)始人蔡維德、分布式系統(tǒng)專家王嘉平、物聯(lián)網(wǎng)區(qū)塊鏈初創(chuàng) Biilabs 創(chuàng)始人朱宜振等專家學(xué)者共同維護，每周一次，帶領(lǐng)讀者在技術(shù)研發(fā)、在法規(guī)政策、在行業(yè)標(biāo)準(zhǔn)，在國際趨勢，方方面面深入挖掘未來 3-5 年真正具有產(chǎn)業(yè)化潛力的區(qū)塊鏈知識。