保持私密：Starknet 如何为机构实现加密隐私

你好，

机构已经来了。它们正在购买我们的资产，也在将自身资产代币化。但从真正意义上说，它们并未完全上链。机构仍在链下使用其资产，而将区块链用于登记以及更低成本、持续进行的结算。我们认为，在使用资产时缺乏链上隐私，一直是市场参与者不愿将活跃资本迁移至链上的主要阻碍。

Starknet 正在改变这一点，确保你能够在保持隐私的同时使用自己的资产。这篇与 Starknet 合作撰写的文章，探讨了我们为何认为，一旦补上隐私这一缺失的解谜，更多资本将会上链并在链上投入使用。

 

 

简而言之：

• 透明性正是陷阱。 透明性已成为加密行业面向机构发展的瓶颈。市场需要的是交易，而不是交易者。公链把一切暴露给了所有人。

• 这将机构拒之门外。 基金、财资部门和托管机构或许能在少数场景下使用公共链上基础设施，但当每一个头寸、支付和交易对手关系都会演变为公开策略时，它们就无法在足够深的市场中全面运作。

• 此前的每一种解决方案都破坏了市场中的一个关键组件。 大多数方案都无法同时兼顾隐私、流动性和合规。Zcash 和 Monero 打造了隐私孤岛，Solana 式的机密转账只提供了部分隐私，而 Tornado Cash 则招致了监管机构的关注。

• STRK20 押注于：让现有资产变得私密，才是更好的路径。 USDC、代币化国债、BTC 封装资产和稳定币都可以在不变成拥有独立流动性的新资产的情况下实现私密化。

18 世纪晚期，Jeremy Bentham 设计了一座堪称完美的监狱——Panopticon。其设计是将牢房环绕着一座中央瞭望塔层层排布。每间牢房背后都有灯光照射，因此瞭望塔里的守卫可以同时看清每一间牢房。而囚犯却永远无法判断塔上是否真的有人在注视他们。他们从不知道自己何时正被监视，于是只能表现得仿佛时时刻刻都处于监视之下。两个世纪后，哲学家 Michel Foucault 借用这一设计，将其视为现代权力的模板。他说，可见性本身就是一种陷阱。若人人都无所遁形，枷锁便不再必要。仅仅是“被看见”，就足以完成控制。

加密世界打造了一个没有守卫的 Panopticon。它只是给每个囚犯都发了一副望远镜，再让他们彼此对准。

“不要信任，要验证。”这曾是我们这个行业最常挂在嘴边的一句话。很长一段时间里，公共账本的透明性一直是它最大的卖点。归根结底，我们曾寄望于，世界终究会接受把自己的财务状况置于所有人的审视之下。

这种希望曾持续了相当长一段时间。在经历了十年不透明的中介机构、倒闭的交易所和被反复质押的债权之后，一个任何人都能审计的账本似乎成了解决方案。你可以查看余额、核实供应量，并在无需信任运营方的情况下确认一笔交易已经完成结算。透明性并非众多功能中的一种，而是其全部卖点。

问题在于，如果加密行业想吸引传统金融参与者，它就必须背离这一最初的卖点。

其雄心已经从零售投机扩展到整个金融体系。代币化国债、稳定币结算、链上信贷、Bitcoin 抵押、企业财资流动、机构级去中心化金融。加密行业想要的是“真正的大钱”，而真正的大钱并不希望自己被围观。他们并没有做错什么，只是公开转移资金本身，就可能让他们受到伤害。

因此，加密行业正处在一个奇怪的位置。要赢得这些多年来一直在追逐的机构，它就必须重建那件自己花了十年时间用来与之划清界限的东西：隐私。那种每一个严肃的金融体系本就具备的隐私。那种带有监管监督的隐私。

人们或许会认为，这是一种对透明度的退让。在某种程度上，确实如此。但这也意味着，人们终于意识到，透明与保密从来不是一回事。早期的 Bitcoin 支持者同样也是隐私的倡导者。讽刺的是，Bitcoin 恰恰是现存最透明的系统之一。问题在于，市场需要知道一笔交易已经发生，以便更新价格；但市场从来不需要知道是谁完成了这笔交易。公共区块链把这两个事实融合进了同一数据层，而这种融合，正横亘在加密行业与其所渴望的资本之间。

过去几年里，Starknet 一直在化解透明、隐私与合规之间的这种张力。它围绕“可证明执行”而设计，即一笔交易可以在不暴露其内容的情况下被证明有效。这种设计使 Starknet 能够将隐私嵌入技术栈核心，而不是将其作为一项附加功能。STRK20 正是这一理念的体现。它让任何已存在于 Starknet 上的资产无需重新发行，就能获得私密模式。同时，它仍可与所有人使用的同一公共流动性进行交易，并为监管保留一条合法的审查路径。

本文探讨的是，加密技术如何以低成本化解隐私与可公开验证结算之间的紧张关系。目标应是在不放弃公开结算的前提下，重建金融市场结构中那些“看不见”的部分。这样一来，金融市场参与者在使用区块链基础设施时，就无需费尽周折。

被看见的代价

公共区块链就像一个透明的鱼缸，所有一切都始终暴露在所有人眼前。

传统上，金融体系一直将市场运作所需看到的信息，与参与者有权保护的信息区分开来。市场需要价格、流动性、终局性以及交易已完成结算的证明；但并不需要一套持续不断、实时播出的“谁在做什么”的直播画面。

以 Warren Buffett 为例。Berkshire Hathaway 经常向 SEC 申请保密处理 ，以便建立仓位。这样一来，市场就没有机会抢先交易。Phillips 66 于 2015 年，Chevron 和 Verizon 于 2020 年，以及最近的 Chubb，Berkshire Hathaway 在 2023 年和 2024 年期间悄然累计持有其约 67 亿美元的股份，并于 2024 年 5 月才予以披露。SEC 会不时向大型投资者批准这一安排，以便他们能够以合理的成本基础逐步吸纳股份。之所以存在这一机制，是因为信息会推动价格变动。

暗池的存在出于同样的原因。SEC 将其描述为一种另类交易系统，其运作方式是在交易达成前不披露具体订单信息 。其存在是为了避免大额订单在成交前就推动市场波动。它们并非边缘化的交易场所。仅暗池本身就大致承担了美国权益交易量的 15%至 18%，而一旦将包括高盛 Sigma X 和摩根大通 JPMX 等银行运营的资金池在内的所有场外交易场所计算在内， 如今美国全部权益交易中有一半以上发生在公开交易所之外。FINRA 发布场外交易数据 ，因为这如今已成为市场结构中不可或缺的一部分。

公链并不具备任何这类机制。你无法申请保密处理，也没有暗池可供你的订单通过，更不存在披露前的延迟。当一个钱包开始大举买入时，往往在订单成交之前就已向市场发出信号。

无论是 Berkshire 的保密申报，还是暗池交易，都不是市场的自然状态。二者都是叠加在一个默认完全暴露的体系之上的附加基础设施。它们同样设有门槛，且供给受限。当你在公开交易所下达一笔大额订单时，订单簿会向所有人显示你的下单规模，尽管不会显示你的姓名。传统市场中的保密性是通过工程化手段实现的，而获得这种保密性的机会，则被出售给那些真正需要它的人。

加密市场迄今仍未建立起能够像传统市场那样隐藏信息的工程基础设施。它甚至让这种暴露变得更严重，因为一旦你的某个地址与真实身份发生关联，想要维持假名性就会变得困难。当然，资深用户都很清楚，自己需要频繁更换地址。但他们必须时刻保持警惕。在去中心化交易所上，你的交易会在公开内存池中等待，这意味着你先要公开宣告自己接下来要做什么，然后再等待几秒钟，让别人有机会对此采取行动。而机器人确实会这么做。它们会抢在你之前买入，再在你的交易推高价格后卖给你。

每一个严肃的市场，最终都不得不在其公开层之上构建一层保密机制。因为没有它，资本就无法大规模流动。传统金融是通过独立、设有准入门槛的场所来建立这一层的。加密行业也必须如此。唯一的问题是，能否在不把私密资金流完全隔离到一个独立空间的情况下做到这一点。

加密货币缺乏隐私并非漏洞。其开放性是有意为之，正是这种设计的核心所在。亲自查阅账本、不信任任何人，正是其卖点。而这一切之所以成立，前提就是所有内容都对所有人可见。

可读性从来都不是中立的。在 《像国家那样看世界》 一书中，人类学家詹姆斯·斯科特阐明了政府是如何通过首先使社会变得可读，从而学会控制社会的。无法读懂的东西就无法控制，对吧？ 因此，他们将杂乱无章的地方特色简化为从办公档案中就能轻松解读的内容。地籍图取代了错综复杂的地方土地主张。重量单位被标准化。姓氏被固定下来，以便对民众征税和征兵。斯科特认为，无论谁能够获取并解读这张地图，最终就能控制该领土。

细想之下，加密行业构建了整个金融史上最清晰可读的市场图谱。但与任何国家都不同的是，它把这张图交到了所有人手中。读取账本的不再是某一个实体，而是整个网络。只不过在这种情况下，解读能力最强的一方胜出。

Curve 曾是规模最大的去中心化金融协议之一。2024 年 6 月，Curve 创始人 Michael Egorov 以其自持约 1.41 亿美元的 CRV 代币作为抵押，借入了近 9600 万美元的稳定币。这些操作分散在多个借贷市场 ，如 Inverse、UwU Lend、Fraxlend，以及 Curve 自己的 Llamalend。由于这一切都发生在链上，任何人都能看到他欠了多少钱、抵押物是什么，以及每笔贷款会在何种确切的 CRV 价格下被清算。George Soros 的“反身性”理论早已说明，当一个重要清算点为市场所知时，市场通常会主动去“猎杀”它。随着人们开始抢先押注清算，CRV 价格开始下滑。这些仓位随之发生连环平仓并被彻底击穿，最终留下约 1000 万美元的坏账。公开的清算价格并不是市场运行所必需的信息，它往往只是一个被瞄准的目标。

在加密货币这样一个体量较小的市场中，这种程度的透明度尚且可以接受。但如果你是一家共同基金，数百万人通过定投向你投入资金，你不会希望其他基金知道你在买什么、买了多少。没有任何体量足够大的参与者愿意待在一个透明的鱼缸里。

隐私为何屡屡失效

隐私在加密领域并不是一个新概念。这个行业已经多次尝试实现它。每一次尝试都试图解决前一代方案的问题，却又以不同方式失效。本文将审视其中三种具有代表性的路径。

孤立流动性

第一种做法是让隐私成为基础层的原生功能。而这一直觉是正确的。Zcash 和 Monero 将隐私内置于基础层，因此交易默认就是私密的，或至少接近私密。尽管其密码学设计很出色，但问题出在围绕它的一切。

流动性不足是首要问题。当一种资产孤立于自己的“孤岛”之上时，就必须在该岛上构建完整的金融生态系统。如果没有交易所、借贷市场、法币兑换通道和托管机构，这种资产便毫无意义。但如果没有流动性，谁又会去构建这些基础设施呢？缺乏金融基础设施支撑，这种孤立的资产便无处可去。因此，要实现规模化发展十分困难。

第二个问题是，用户必须采取行动，才能使其资产变为私密状态。其他人可以看到资产进入和退出隐私池。这就像进入事件视界：在你进去之前，人们都能看见你。资本市场无法在强隐私、弱准入的条件下运作。

Zcash 将屏蔽功能设为可选。用户几乎没有理由把自己的资产存入隐私池，因此始终未能形成足够的人群规模。当池子相对空置时，就更容易将资产归属于各自的所有者。一项研究仅通过匹配金额、时间点，以及屏蔽账户与透明账户之间持续发生的资金往来，就重建了有史以来发送至屏蔽地址的全部币中约三分之一的流向。根本没有可供藏身的人群。

这种设计的另一个问题在于，当你把一切都隐藏起来时，也把需要验证的内容一并隐藏了。2018 年，Electric Coin Company 的一名密码学家发现了 Zcash 屏蔽池背后 zk-SNARK 构造中的一个漏洞 。设置过程中的一个错误使作弊的证明者能够伪造看似有效的证明，同时也让攻击者可以无限增发伪造的屏蔽版 ZEC。这种不可见性让这个漏洞更令人不安。由于屏蔽供应量是私密的，伪造行为本不会留下任何痕迹。你无法审计你看不见的东西。Zcash 在 2018 年末悄然完成修补，并于次年披露此事，且没有证据表明曾有人利用过该漏洞（Electric Coin Company）。

Zcash 的可信设置曾存在一个漏洞。可以把可信设置理解为一群人围绕着一种秘密配方聚在一起。他们把各自掌握的秘密混合起来，生成一把主密钥。如果其中任何一名参与者保留了自己那一份秘密，他们就能永远伪造证明。整个系统的安全性都建立在这样一个前提之上：他们当中至少有一人销毁了自己的秘密。

一次受屏蔽的 Zcash 交易，的确能够隐藏发送方、接收方和金额。但问题在于，隐藏交易内容，并不等于隐藏交易本身。观察者仍然可以看到受屏蔽转账已经发生、发生的时间，以及流入屏蔽池和从中流出的金额。要把这些可见事实对应到某个身份，只需要候选人足够少即可。如果有一千人在相近时间屏蔽了相似金额，你的交易就会淹没其中；如果只有三个人这么做，你就是三者之一。密码学无法解决这一点。你的匿名性，完全取决于有多少人能让你混同其中。

部分隐私

第二种做法是保留公有链，只隐藏其上部分活动。Solana 的 Token-2022 机密转账扩展就是最清晰的例子。它会在代币仍留在 Solana 上时，对账户余额和转账金额进行加密；该功能于 2025 年作为 Solana 的 Confidential Balances 套件的一部分推出，并内置审计密钥，以便监管机构在必要时仍可解密。

一年过去了，该功能几乎完全处于闲置状态。PayPal 的 PYUSD 支持保密交易。然而，Phantom 和 Solflare 等主流钱包仍未原生支持该功能；证明是在链下生成的，且账户必须先设置加密密钥，才能接收保密转账。该功能虽然存在，但生态系统对其支持甚少。

机密交易会隐藏金额，但其余转账参数，如账户、交易对手和时间，仍然是公开的。而且，它无法与交换或借贷等其他原语组合使用。机密转账终究只是转账而已。一旦你希望这笔钱发挥作用——进行交换、出借、作为抵押品提交——另一端的协议就需要一个可操作的数字。因此，你加密的数额会在使用的瞬间被解密，这意味着这种隐私只在资产被被动持有时才成立。几乎没有人愿意为这种必须用自己的钱来换取的隐私买单。

混币

第三种方法是通过将所有人的资产混合在一起来切断资金轨迹。Tornado Cash 允许用户在 Ethereum 上存入资金，并提取到一个全新的地址。由于用户先从自己的地址转入资金池，再从资金池转出到新地址，他们地址之间的链上关联就被切断了。它并不是要求人们离开 Ethereum，而只是通过在中间加入一个黑箱，打断了可追踪性。

美国财政部于 2022 年制裁了 Tornado Cash，指称有超过 70 亿美元通过该平台被洗白，其中还包括与朝鲜臭名昭著的 Lazarus Group 相关的资金。联邦上诉法院于 2024 年末裁定该制裁违法 ，指出不可变的智能合约并非政府可以制裁的财产，财政部也于 2025 年 3 月正式将该协议从制裁名单中移除。尽管如此，其一名联合创始人仍在 2025 年 8 月被定罪 ，罪名是经营未经许可的资金传输业务，而陪审团未能就更严重的洗钱和制裁相关指控达成一致。

尽管你可以将这一切解读为隐私的一场胜利，但机构并不会看重这样的胜利。制裁虽被撤销，却是在经历了数年的诉讼、一场刑事审判，以及一名开发者面临最高可判20年监禁的指控之后才实现的。没有任何金融机构愿意部署资金，然后等待法律最终跟上。

Tornado Cash 还有一个问题。你可以在 0.1 ETH、1 ETH 等不同面额的资金池中将你的 ETH“匿名化”。但金额越高，就越难隐藏，因为“人群”规模不够大。

从所有这些尝试中可以清楚看出，隐私必须满足以下标准。

1. 它不能是一个孤岛，要求整个金融堆栈都推倒重建。指望用户绕过现有基础设施，用户体验会非常糟糕。因此，现有流动性不能被破坏。
2. 你必须确保该解决方案符合现行监管要求。没有监管合规，就无法形成关键规模，而寄希望于监管随后跟上，则是一种糟糕的策略。

每一种方案都解决了问题的一部分，却在另一方面失效。机构希望同时获得隐私、市场准入和合规解决方案。此前没有任何系统能够同时满足这三点。

这正是 Starknet 瞄准的空白。

证明它，而不是展示它

Eli Ben-Sasson 是 Starknet 的联合创始人，也是 Zerocash——Zcash 底层协议——的共同发明者。他亲眼见证了，即便是强大的密码学，也仍可能让资金陷入孤立无援的境地。隐私不能是透明系统上后加的一层功能；它必须是系统本身的属性。

要理解这为何重要，我们先来看一条普通链如何验证一个区块真实有效。在 Ethereum 上，当你发送 100 枚 USDC 时，每个验证者都会通过在本地重新执行这笔交易来完成验证。这就像一屋子的会计师，根据利润表来核对资产负债表中的资产与责任是否平衡。 如果验证者必须检查一切，他们就必须掌握全部信息。重新执行正是整个状态必须公开的原因。你无法重新计算自己看不见的内容，因此，透明性从来都不是这些链真正主动做出的选择。其结果之一是，隐私也无法在事后补加，因为一旦数字被隐藏，系统所依赖的那些“会计师”也就失明了。

Starknet 不要求每个节点都重新执行计算。只需由一方运行计算并生成一份 STARK 证明，其余各方只需验证该证明即可。为核验一项计算而重新执行它，需要获得其输入数据；但验证证明则没有这一要求。验证者无需知晓任何具体数值，也能确认结果是正确的。因此，正确性不再依赖于信息披露。

Starknet 区分两件事：一是交易是否正确，二是其内容是否可见。因此，隐私可以存在于基础层。

2026 年 5 月，一名审计 Zcash 最新屏蔽池（名为 Orchard）的研究人员发现，其零知识电路中存在一个可靠性漏洞 。该漏洞自 Orchard 于 2022 年上线以来一直存在，可能被用来在池内伪造 ZEC。Zcash Foundation 通过紧急软分叉禁用了 Orchard，并在两天后完成修复。没有迹象表明有人正在利用这一漏洞。

然而，Zcash 无法证明这一点。Orchard 池内的余额是隐藏的，因此无法“打开账本”核查是否没有币被伪造。该漏洞可以在池内伪造币，但将其转出会很困难。Zcash 对每个资金池都设有一个“旋转门”机制，这一规则会追踪流入的数量，并且绝不允许流出的数量超过流入。因此，无论 Orchard 内部伪造了多少，资金池都无法释放出超过用户存入数量的 ZEC，任何伪造价值也无法进入流通。这一检查之所以成立，只是因为资金池的存款和提款是公开的。没有人能够确定 Orchard 内部的余额现在仍然对得上。

隐藏的供应量使得这类漏洞在事后既无法被察觉，也无法被证实。这不是旧式的失败。Orchard 运行在一种无需可信设置的证明系统上，因此没有仪式，也没有可归咎的有毒废料 。漏洞出在电路上，而电路是该证明系统不可分割的一部分。取消可信设置，并未消除风险。

这就是为什么隐私必须贴近执行层。当你把隐私功能添加到公共系统中时，信息会在衔接处泄露。比如说，你有一个与公链兼容的私密钱包，就需要一种跨链桥机制，将你的资产从常规地址转移到私密地址。而这座桥很可能会暴露资产流动情况。当隐私是链的原生能力，也就是内置于执行层之中时，就更难被破坏。

同一套隐私机器

Starknet 上的程序使用 Cairo 编写。这门语言的设计使其上的一切都会生成可转化为 STARK 证明的数学轨迹。用于验证整个区块的同一套证明系统，也能证明一笔私密交易。二者本质上都只是 Cairo 代码被正确执行的 STARK 证明，因此链上可用同一套机制来处理。不同于早期将隐私作为附加功能的做法，隐私引擎在这里被视为与系统其他组件同等重要的一部分。

Starknet 之所以使用 STARK 而不是 Zcash 所采用的 SNARK，原因有二。首先，STARK 不需要可信设置 。如前所述，SNARK 一开始需要进行一次性仪式。尽管 Zcash 曾举行复杂的仪式来降低风险，甚至有一名参与者用喷灯销毁了自己的硬件，但“至少存在一名诚实参与者”这一假设仍然必须成立。

STARK 不需要这种假设。无需仪式，也不存在任何人必须保管的主密钥。但设置秘密只是屏蔽系统可能被伪造的两种途径之一。另一种是证明电路本身存在漏洞，即某个缺陷让无效交易通过验证，被当作有效交易。这与受信任设置无关。

第二个原因在于更长远的时间视角。SNARK 依赖椭圆曲线密码学，而足够强大的量子计算机最终可能将其攻破。STARK 仅使用哈希函数，而根据当今已知的攻击方式，这类函数具备抗量子攻击能力。一个旨在未来数十年持续保护金融记录隐私的系统，必须应对量子威胁。更何况，各国政府和银行已经在转向后量子标准。

随着架构和密码学基础现已就位，仍然缺少最后一块拼图。要让隐私真正发挥作用，它就必须能在所有设备上运行。优秀的设计不应让用户花费大量资金。因此，用户应能在自己的设备上构建证明，而无需将其交给服务器。

一份 STARK 证明包含数以万计的数字。要核实这样一份证明，必须将其提交到一个智能合约中运行。但由于证明体量过于庞大，单笔交易无法承载，因此核实过程缓慢且成本高昂。解决办法是设法让用户承担更少的工作。因此，2026 年 4 月的 Shinobi 升级将核实过程从智能合约中移出，纳入网络自身的共识机制。这将核实工作从用户/开发者转移给了链上的验证者。于是，这条链如今核查一份隐私证明，就像核查一个区块一样常规。此前无法大规模核实的私密交易，现在可在数秒内完成结算。本文其余内容都建立在这一变化之上。

STRK20 的作用

STRK20 为 Starknet 上已存在的资产赋予了隐私模式。你无需铸造新的资产。稳定币、代币化国债、封装 Bitcoin，或任何 ERC-20 代币，都可以进入一个共享隐私池并获得保密性。无需重新发行、分叉或迁移。Starknet 上现有的流动性和协议都可以在原有基础上具备隐私能力。

这个池子的运作方式就像一个装满密封信封的抽屉。当你存入资金时，它们会变成一张票据。这是一份关于你持有金额的私密记录，以及一个只有你自己知道的秘密。这张票据会被封存在一个信封里，并附上密码学家所说的“承诺”，然后这个信封会被放入一个由池中所有人共享的抽屉中。任何人都能看到抽屉里装满了信封，但没有人能看到其中任何一个信封里的内容。

当你想要花费你的资产时，你会在自己的设备上完成两件事。其一，你在不泄露秘密内容的情况下，证明自己掌握着抽屉中某个信封对应的秘密。其二，你会公布一个“nullifier”，即由该票据秘密生成的一个简短标记。每张票据只能生成一个 nullifier，因此一旦将其公布，就意味着这张票据已被花费。由于这个 nullifier 无法追溯到任何一个信封，它就能在不暴露具体对应对象的情况下，使你的票据失效。

这可以防止任何人在不显示余额的情况下重复花费同一张票据。由于没有可供核对的余额，链上会转而维护一份公开清单，记录所有曾经公布过的无效标记。票据一旦被花费，其无效标记就会被加入清单；若再尝试花费一次，由于相同的无效标记已经存在，网络便会拒绝该交易。Zcash 之所以不止一次失去其可靠性，正是因为这套机制中的此类漏洞。

用户资产的完整生命周期包括：存入、持有、转移、交易、提取。资金池内的一次转移会隐藏发送方、接收方、金额，甚至连转移的是哪种资产也一并隐去。对其他所有人来说，这不过是资金池中的又一条记录。该资金池被设计为可同时容纳多种资产，因此一个人可以同时持有 USDC、封装 BTC 和代币化国债，而无人能够读取其投资组合。由于账户抽象是 Starknet 的原生特性，这一设计从一开始就支持多重签名、智能账户和社交恢复，因此机构无需为了获得隐私而牺牲其现有的安全模型。其背后的协议已在其技术论文中作出说明。

一次转账只涉及双方。一次交换则必须触及一个共享市场。一个对某笔交易一无所知的市场，如何据此重新定价？此前所有系统都恰恰在这里失效。STRK20 的答案是：控制交换中各方所能看到的信息。

avnu Ekubo当你在 或 上进行私密兑换时，这笔交易会作为一次原子化动作执行，并对接与公开兑换相同的流动性。资金池会观察交易的规模和方向，因为它需要这些参数来调整价格和储备。但它并不关心是谁发起了交易、交易者还持有什么资产，或这次兑换与其前一次兑换有何关联。你的订单永远不会在公开内存池中等待，因此也就不存在被抢先交易的问题。与其他将流动性拆分到多个私密池的尝试不同，STRK20 在隐藏参与者身份的同时，维持了一个统一的共享市场。这样一来，市场能够获得所需的价格信息，却永远无法得知背后的人或地址。

监管者的钥匙

如果监管机构像对待 Tornado Cash 那样对付它，那么这一切都将毫无意义。加密原生主义者往往把合规视为投降。这种本能既出于原则，也对受监管金融体系的运作方式显得天真。托管机构、银行、基金或支付公司无法选择不接受监管。它需要对公众和竞争对手保密。它不可能获得凌驾于法律之上的豁免，而且它也并未提出这种要求。你的银行不会公开你的交易记录，但法院可以强制其披露，审计师也可以查阅账簿。

STRK20 的答案是查看密钥 ，由每个用户自行持有。这把密钥只能解密其自身的历史记录。可以把它想象成一个只有你才能打开的保险箱。在你租用它时，必须将一把密封的备用钥匙交由托管方保管。该托管方是一个由独立审计机构组成、受门限控制的群体 。在合法请求下，他们可以使用备用钥匙重建用户的资金轨迹，但无法打开整个资金池。在入口和出口处，钱包都会接受制裁名单筛查，因此受污染资金会被拒之门外。

进入该资金池的前提是提供一项证明，证明确实已正确托管查看密钥，而且无法绕过这一步。这意味着，合规已被内嵌进使用该系统的行为本身。若不合规，就无法使用该资金池。金融机构无需再为审计每一个下游链上产品的合规承诺而担忧。面对监管机构，它们可以给出一个站得住脚的答案，而由协议强制执行的规则，也远比一套依赖应用层自由裁量的机制更容易评估。这降低了尽职调查的成本。

不过，这种设计是在理念与现实可行性之间作出的妥协。由用户之外的任何一方持有备用密钥，都会重新引入一个受信任的中介。这正是加密行业最初试图避免的中心化路径之一，因此，若有纯粹主义者将其称为“后门”，也并非全无道理。在某种程度上，系统的完整性确实取决于获授权方如何管理这把密钥。所有银行和金融机构都在采用某种版本的这种妥协方案。它比无需信任的隐私更为收窄。STRK20 所提供的，是一种独立于市场的隐私机制，同时具备合法、有限且可执行的监督路径。这是机构能够使用的方案。

隐私市场

在此之前的每一种隐私系统，都只能提供机构所需功能中的一部分；没有一种能一次性全部满足。机构的需求清单并不长，但其中的权衡却始终棘手。它应该——

1. 对市场保持隐私，
2. 能够对接共享的公共流动性进行交易，
3. 具备一条合法的监督路径，并且
4. 这一切都应与人们已经持有的资产兼容，而不是要求人们铸造新的币。

Zcash 和 Monero 提供了隐私，却几乎别无其他。资产是私密的，但也因此成了各自孤立的“孤岛”，拥有自身稀薄的流动性，也没有任何一家机构可以依赖的监督路径。在一个维度上很强，在其余方面则完全缺失。

Solana 的保密转账让你能够留在拥有真实流动性的公链上。但它们隐藏了余额，却将交易行为暴露在外。金额被遮蔽了，但围绕它的行为仍然清晰可辨，而且没有内置的审计追踪。可及性良好，隐私性却只是局部实现。

Aztec 是该领域最严肃的隐私工程项目。它在自有的 Ethereum 二层网络上运行完全私密的智能合约，并采用客户端证明机制，自 2025 年末以来已上线运行。隐私并非没有代价。它存在于 Aztec 的封闭环境之内，这也意味着流动性同样被锁定其中。Aztec 的私密用户只能与 Aztec 生态中已存在的流动性进行交易，因此无法触及其外部深厚的公共流动性。

Canton 拥有机构层面的支持。它是一个为受监管参与者打造的许可型网络，其隐私与合规标准与银行现行维持的标准相近。但它的优势也构成了它的上限。它是一个由获准参与者组成的围墙花园，私有资本无法随意进出。

Railgun 是与 STRK20 所尝试方向最接近的“近亲”。它允许公共链上的现有资产进入受屏蔽的资金池，以私密方式使用去中心化金融，甚至还能通过一项名为 Private Proofs of Innocence 的工具证明资金是清白的。这套机制如今已经可以运行。它所欠缺的是规模与速度。它基于 zk-SNARK 运行，也因此背负了可信设置所带来的包袱；交易需通过中继者路由，而其规模又小到所能提供的匿名性远没有宣传中那样充分。

Zcash 将隐私置于其独立链上，因此其流动性被困住了。Solana 在其透明的基础层之上增加了隐私，因此你一旦交易就会泄露。Aztec 构建了一个属于自己的私有世界，因此其市场规模仅限于已迁移到那里的资产。Canton 始终保持许可制，因此从设计上就是封闭的。STRK20 则将隐私置于底层基础之中。首次实现了如果你想要隐私，就不必迁移到别处。至于这些优势是否有助于推动真正的采用，我们仍需拭目以待。

隐私能带来新的需求吗？

大多数隐私项目都附带一项隐性成本。若隐私功能存在于一个全新的生态中，每个应用都必须在那里重新构建。STRK20 试图避免这种成本，让 Starknet 上的去中心化金融具备隐私能力。资产可以切换到隐私模式，同时仍可接入现有应用，如此一来，既有市场将变得更有用，而不是被抛弃、转向一个新市场。

开发者并不想为了隐私而加入隐私功能。如果不能为其应用带来更多用户或更大交易量，这就毫无意义。隐私能否带来真正新增的需求？最重要的订单流，恰恰是如今根本无法上链的那一类。一个不愿披露持仓的基金，一家公司不愿公开其付款对象，一家托管机构不能让某个客户看到另一客户的账簿——在透明的链上，这些都无法参与。一个具备隐私能力的 DEX 或借贷市场，能够向那些一直被挡在门外的资本打开大门。

Starknet 试图解决什么问题

到目前为止，我们讨论的一直是设计层面。但谁最有可能使用它呢？当然是那些已经使用过链上金融的加密原生用户。但它也将把市场扩展至那些多年来一直在链上金融外围观望、却始终未曾入场的机构，因为现有基础设施会让它们的每一笔持仓和每一笔支付都暴露无遗。对其中大多数机构而言，资产本身其实已经可以上链。有了内置的隐私保护——这正是它们在传统世界中所习惯的——它们如今终于可以开始使用链上资产。

代币化，亦被暴露无遗

链上代币化现实世界资产的价值——不包括稳定币在内——从 2025 年初的约 60 亿美元增长到 2026 年年中的逾 300 亿美元 。BlackRock 的代币化美国国债基金 BUIDL 如今已可在去中心化金融中充当抵押品。

与全球固定收益市场数十万亿美元的规模相比，300亿美元不过是四舍五入的误差。当然，监管、分销以及生态系统缺失等诸多因素，都解释了为何整个市场尚未全面上链。然而，若没有隐私保护，资产管理公司不会把其账簿运行在这类轨道之上。

因此，代币是在链上发行的。然而，你会用这些代币去做的事情，往往仍停留在链下。对于那些原本根本无法接触这类资产的人来说，这样的安排是有益的；但对于已经在使用这些资产的人而言，链下轨道依然更优。只有当代币化资产持有人能够在不公开其背后策略的情况下进行交易，这种局面才会改变。

稳定币受阻之处

如今，稳定币已经行之有效，这一点已毫无疑问。它们能够跨境转移价值，在数秒内完成结算，并可在银行营业时间之外运行。在每年 39 万亿美元的转账规模中，真正的支付约占 1%，即 3900 亿美元。B2B 支付份额在一年内增长了 700%以上 ，达到约 2260 亿美元。

700%的增长确实存在，但与全球 89 万亿美元的 B2B 支付规模相比，这一体量仍微不足道。稳定币目前仅部分拿下了门槛较低的业务，例如加密公司之间的跨境转账、交易所结算，以及那些金额较小、不足以引起竞争对手关注的支付。真正有价值的资金流仍然避而远之，因为被看见本身就是一种代价。像 Kellogg 或 Mars 这样的公司，不会为了图方便使用链上支付，同时让全世界知道谁是它们的供应商。

速度和成本，作为稳定币最初的独特卖点，不能以牺牲隐私为代价。有了机密性，它们才能成为承载大额资金的轨道。

托管难题

为机构持有加密资产的托管机构面临一个没有理想答案的选择，问题归根结底在于钱包如何配置。它可以把所有人的资产放在一个混合钱包中，即综合账户，这种方式运营成本低，也能让任何单一客户隐身于资金池之中。或者，它也可以为每位客户提供各自独立的隔离钱包 ，而这正是客户进行任何链上操作时所需要的，因为借贷市场或去中心化交易所（DEX）在放贷或与某个账户交易之前，必须看到一个明确独立的账户。

问题在于，隔离钱包本身就是一份公开的交易记录。客户建立的每一个头寸、每一笔贷款、每一次抵押品调动，都会与这一个地址绑定，并向所有人开放。只要观察一段时间，你就能看出其策略。

托管机构会将客户资产集中存放在综合账户中。只有当客户需要交易时，才会把其对应份额转出到专属地址。这样一来，在资产静置时还能保持隐私。但客户一旦从该地址进行借贷或交易，这些活动就会立刻公开可见。余额在静止时可以保密；一旦开始运作，就无法再保持私密。

即使资产处于可用状态，STRK20 也能保护隐私。你现在可以直接在屏蔽池中进行交易，而无需将资产公开。很快，你也将能够以私密方式进行借贷。因此，相关行为不仅在资产闲置时得以隐藏，在你将其投入使用时同样能够保持隐蔽。

Satoshi 早已预见到这一点

Bitcoin 的文化推崇主权，但其账本却是最透明的。假名性只能隐藏你的身份，直到某个地址与你本人被关联起来为止。

在 2010 年 Bitcointalk 论坛的一则讨论中，当一名用户提出用密码学隐藏交易的想法时，Satoshi 认真对待了这一思路 ，但最终认定当时的工具还无法做到这一点。他写道：“很难想象在这种情况下如何应用零知识证明”，因为 Bitcoin 必须证明一枚币没有被重复花费，而这似乎要求能够看到一切。16 年后，零知识明确实做到了这一点，只是不是在 Bitcoin 上。

在使用 BTC 时，隐私显得更为重要。你可以将封装 bitcoin 存入 Aave，并以此为抵押借入稳定币，而无需出售。围绕 Bitcoin 构建的去中心化金融在两年前几乎一无所有，如今已增长至约 65 亿美元 ，其中 70 亿美元为封装 BTC。然而，这仍不到全球所有 bitcoin 总量的 1%。

Bitcoin 使用受限的主要原因，在于其基础层缺乏可编程性。若你必须使用 BTC，就不得不依赖一种建立在额外信任假设之上的解决方案。而这种信任，正是那堵墙。

Starknet 正直击问题根源。StarkWare 是 OP_CAT 提案的主要支持者之一。该提案旨在重新启用中本聪于 2010 年禁用的一条操作码，使 Bitcoin 能够直接验证 STARK 证明，并让 Starknet 在 Bitcoin 本身上完成结算。StarkWare 已经在 Bitcoin 测试网络上的验证器中运行过一份 STARK 证明，并为这项推动背后的研究提供了资金支持。如果该提案落地，Bitcoin 将获得真正的可编程性，以及由 Bitcoin 本身而非托管方担保的借贷、杠杆和收益。问题在于，OP_CAT 属于一次软分叉，而 Bitcoin 对规则的修改向来缓慢且审慎。这是一场以多年计的押注，也可能永远无法通过。

strkBTC 是在 OP_CAT 上线之前可行的方案。没错，它是一种带有额外信任假设的封装资产。但正是这种封装，让用户无需等待 Bitcoin 软分叉，就能获得兼具隐私性的去中心化金融。我们都知道，Bitcoin 的这类变更有多么难以实现。Starknet 正同时在两条跑道上推进。长期目标是在基础层让 Bitcoin 实现可编程；而近期目标，则是在这场长期之战推进期间，于 Starknet 上提供一个私密且可用的 bitcoin 版本。

隐私的复利效应

Starknet 的设计把规模转化为优势。资金池中的每一位新参与者和每一项新资产，都会让外界更难识别其中已有的参与者，因此，系统规模越大，隐私性也就越强。

数量带来安全

区块链过去比拼的是速度和费用。我们已经看到基础设施迅速商品化。各地的交易成本都在快速逼近零。流动性是唯一剩下的护城河。Hyperliquid 就是一个现实中的例子。

隐私池本身也是流动性。而且它比普通流动性更难复制。规模越大，隐私性越强。一个只有少数用户参与的资金池，会因时间点和金额匹配而暴露他们的身份。一个持有 USDC、strkBTC、代币化国债和质押代币，并有数千人流转其间的资金池，则更难识别其中的模式。每一笔存款，都会为其他每一次资金流动提供一种合理解释。Zcash 正是双向证明。八年来，其供应量中受到屏蔽保护的比例几乎不到十分之一，这也正是研究人员能够追踪其中大量资金流向的原因。后来，随着人群涌入，受屏蔽保护的占比升至 30%以上，这个资金池也变得更难解读。隐私是一种网络效应，而且与开始或费用不同，它会不断复利，而不是沦为同质化商品。

对于那些将自己的活动留在池内的人来说，这个池子最具隐私性。因为每次你跨越公开与私密的边界，都会有一些信息可被用来拼凑出你的身份。因此，理性的选择是留在池中。这一选择对你如此，对其他参与者也是如此：每多一个留在池中的用户，下一个人就越难被单独识别出来。如果 Starknet 能把这件事做好，隐私池本身就是它的护城河。因为竞争对手无法仅靠出块更快或燃料费更低来复制这一优势。

很多环节都必须顺利推进

每一种隐私解决方案都面临冷启动问题。资金池在开放首日最为脆弱：彼时参与者最少，首位用户暴露程度也最高。机构在建立信任之前，会等待更充足的流动性。原生隐私用户则可能对高度强调合规的设计望而却步。开发者等待用户，用户等待开发者，结果就是资金池始终难以做厚。Zcash 花了将近十年时间才积累起规模，而且背后还有一场运动推动。相比之下，STRK20 必须争取那些枯燥但关键的机构资金流，而这类资金流因建立信任所需时间更长，流动速度也更慢。完全有可能的是，资金池最终始终无法形成足够密度，而整个论点也都悬于此。

这种合规设计也未必会让任何一方满意。隐私至上主义者会将查看密钥视为后门而选择离开。一些监管机构会认为它提供的信息太少，从而使其无法被机构采用。银行的法务团队可能会在接受一种全新设计之前，先要求看到先例。该系统面临的风险是，在技术上实现了平衡，却在政治上同时无所依归。

这一领域正变得愈发拥挤。Aztec 正从第一性原理出发构建私密执行。ZKsync 为企业推出了其 Prividium 模式。Canton 已经把机构带进了同一个房间。由 Polygon 分拆出来的 Miden 也在严肃对待隐私问题。Starknet 的先发优势在于其架构，而加密行业里从不缺更优架构却输给分发的案例。它也可能最终只是停留在基础设施层面。私有基础层本身不会凭空产出任何东西。必须有人在其上构建保密结算，推出私密托管产品，并将其接入借贷市场和 RWA 平台。尽管其中一些环节已经上线，但借贷等功能也将在不久后落地。

一个漏洞，可能会让 STRK20 重演刚刚发生在 Zcash 的 Orchard 身上的事情。它是一个屏蔽池，因此承载着同样的风险。零知识证明并不会检查一笔交易是否诚实，只会验证它是否遵循了电路中预先固定的规则。当你遗漏了一条规则时，一笔本应失败的交易仍然会满足全部条件，而证明则会将其认证为有效。这是这类系统最常见的失效方式，与可信设置毫无关系。

Orchard 并没有任何可信设置，但漏洞还是发生了。取消这场“仪式”——这正是 STARK 所做的——只是关上了一扇门，却让这扇门依然敞开。有两点限制了损害。其一是电路接受审计的严格程度，以及缺陷被发现的速度，而这项工作永远不可能真正完成。其二是协议是否将资金池流出规模限制在流入规模之内，这样一来，在池内伪造的票据就永远无法被提取。

Starknet 如何最终将机构带上链

此前的每一套隐私系统都让你不得不做出取舍：保住隐私，就失去市场；保住市场，一旦接触资产，隐私就随之丧失。Starknet 并不强迫你做这种选择。已经在链上的资产可以转为私密状态，同时继续共享同样的公开流动性和同样的应用进行交易。没有其他隐私设计能够同时提供：无需可信设置、具备抗量子能力的证明、以协议速度完成结算，以及一个统一的共享流动性池。

我们一直在等待机构，而它们如今已经到来。但它们仍然把区块链当作后台系统，主要视其为账本。它们的资产尚未像区块链和智能合约所提供的那样实现完全可编程。机构资产上链，在很大程度上只是对链下发生事项的映射，以及用于这些资产的结算，因为这样成本更低。结算环节已经上链。然而，“让资产发挥作用”仍停留在链下，因为在公开环境中使用资产会暴露你的持仓。像 Starknet 这样的解决方案弥合了这一鸿沟，使资产能够在不让所有者担心被监视的情况下获得收益、出借、充当抵押品并进行交易。

多年来，加密行业一直将隐私视为逃离金融体系的出路。而事实或许恰恰相反：隐私最终可能成为模糊两者边界的关键。

探讨加密货币如何拓展传统金融，
Saurabh Deshpande