随着区块链隐私技术不断演进,Zcash 社区内出现了新的设计思路 - - Tachyon(塔奇昂)。Tachyon 对传统的屏蔽交易模型提出了激进但务实的改变:全面拥抱带外支付(out-of-band payments)、引入"无感同步"(oblivious synchronization)与证明承载数据(PCD)聚合,从而在可扩展性、证明复杂度与链上负担之间寻求新的平衡。对于关注 Zcash 协议发展、屏蔽池设计与zk-SNARK工程的读者而言,理解 Tachyon 的设计要点与权衡至关重要。Tachyon 并不是对现有 Orchard 的颠覆性抛弃,而是提供了一个兼容路径,使得现有实现可以逐步迁移或以"导向门"(turnstile)方式并行部署,从而在升级路径上保持灵活性与向后兼容性。 核心变革之一是移除链内密钥或钱包信息的分发。传统方案常常利用链上数据或地址结构来当作观察或分发信息的媒介,增加了协议复杂性并把许多密钥派生逻辑写入电路中。
Tachyon 主张把这些功能上移至钱包层或更高一层的支付协议,通过带外渠道(例如 URI 封装的支付、支付请求或其他点对点协商)完成秘钥协商与传输。这样做的直接好处是大幅简化了链上电路与键树设计,移除了多样化的地址分支、查看密钥以及部分派生机制,使得证明系统更接近最初 Zerocash 的构造,同时保留 Orchard 的一些关键创新,比如 RedPallas 密钥重随机化、同态价值承诺与绑定签名,以及把权限划分用于证明委托而不授予花费权限的分区密钥结构。 在笔记(note)与空决(nullifier)设计上,Tachyon 也采取了简化策略。由于带外支付几乎总是由支付接收方或在协商协议中事先选定某些随机数,Tachyon 可以省去原先用于防范"妖精金币"(faerie gold)攻击的多余字段。传统 Orchard 中用于支付地址的多样化器与传输密钥在 Tachyon 中被替换为更简单的"支付密钥",用于钱包在带外协议内进行协商。笔记内部只保留价值、一个 nonce 与承诺密钥,且这些字段可以基于带外共享密钥派生,从而减少了 zk 电路的复杂分支与状态。
空决的推导与处理方式受到无感同步机制的影响。共识验证者不再需要无限期地保存所有历史空决来防止双花,而只保留最近若干区块内的空决窗口,以拒绝在该窗口内重复出现的空决。过了窗口长度后,验证者可以永久修剪这些空决,从而大幅降低链上存储开销。为了在这样的设计下仍保证用户隐私与安全,用户必须证明其笔记在某个近期区块高度之前仍然可花费。用户为此可以将证明制作外包给不受信任的"无感同步服务"(oblivious syncing service),该服务在不学习用户钱包或交易详情的情况下协助构造证明。为了实现强隐私保证,所有空决在 Tachyon 中引入了额外的"风味"(flavor)成分 - - 一种用以区分或分层空决的派生机制,后续的专文将详细阐述风味的精确派生流程与安全性证明。
与 Orchard 不同的是,Tachyon 的空决不再需要复杂的电路友好 PRF 设计来抵御妖精金币攻击。Orchard 的空决使用了以 Poseidon 为基础的 keyed PRF,并通过一系列字段保证全局唯一性与抗碰撞性。Tachyon 则可以简化为一个对我们信赖的 keyed PRF,就地生成 32 字节的空决值。选择何种原语将成为设计讨论的重点:在数年研究与非均匀电路环境下,我们可以有更多选项来在安全性、性能与实现复杂度之间做出更合理的取舍。 为了统一链上数据结构,Tachyon 引入了"tachygram"一词,用来泛指在区块链中记录的 32 字节 blob,无论其原始语义是空决还是笔记承诺都被视作同类对象。这样的统一带来两个重要好处:一是简化共识逻辑,只需维持一个累加器或证明系统来处理成员性与非成员性;二是为后续的聚合与递归证明提供更简洁的接口。
为了将签名摘要与这些 tachygram 绑定,Tachyon 采用了将重随机化的公钥与承诺密钥本身作为对笔记承诺的嵌套承诺的方案,从而在不泄露敏感信息的前提下实现签名和承诺的语义绑定。 Tachyon 的一个核心创新是"tachystamp"。Tachystamp 是一种证明承载数据(PCD),包含了一个 tachygram 列表、一个类似于 anchor 的标识符以及一个递归 SNARK。与传统单交易签名不同,tachystamp 将授权数据、空决集合与证明捆绑为可组合的单元。由于 PCD 的合并语义,多个 tachystamp 可被合并成更大的证明,从而让区块内只需包含一个递归 SNARK 来证明大量屏蔽操作的合法性。区块生产者可以在构建区块时将若干笔交易的 tachystamp 聚合为"屏蔽交易聚合体",并在交易中以对聚合证明的引用替换原先的 tachystamp,从而节省区块空间并提升链上验证效率。
Tachyon 中的签名采用 RedPallas,并且仍然保留密钥重随机化能力。这能在多种操作上下文中提供灵活的授权模型。例如,签名可以证明某个密钥在特定上下文中拥有构造证明的能力,但并不赋予花费资金的权限。结合同态价值承诺与绑定签名,Tachyon 在维持隐私的同时提供强健的账务一致性保障。虽然理论上也可以对签名本身进行聚合以进一步压缩数据,但协议设计者选择在早期避免过早地引入复杂的签名聚合机制,以免引入难以预料的交叉影响。当前重点放在证明聚合与聚合化的授权数据上,因为完全屏蔽的交易甚至可以在聚合体内部独立存在,而不需要宿主交易。
从用户体验角度看,Tachyon 的带外支付模型带来明显的权衡。一方面,将密钥协商与支付请求移出链内能简化协议与电路,提高可扩展性;另一方面,它将用户体验与钱包设计的复杂性上移,要求钱包实现更复杂的带外协议栈、密钥协商与托管证据的流程。幸运的是,社区已有多种带外支付范式的成熟实现,例如 URI 封装支付与支付请求,这些模式天然抵消了妖精金币攻击并便于实现安全的用户交互。另一个可接受的折中是允许用户在链下与可信任的第三方协商,但这会牺牲一部分去中心化与隐私保证,因此无感同步服务的设计尤为关键,必须保证其在不获取用户敏感信息的条件下能为用户构造证明。 在部署策略上,Tachyon 可以作为 Orchard 的兼容升级或作为独立的屏蔽池配合转门(turnstile)使用。每种路径都有优缺点:兼容升级能更平滑地迁移现有用户与实现,但可能带来向后兼容性约束;独立屏蔽池则允许更激进的协议实验与优化,但需要额外的迁移与互操作设计。
无论哪种方式,协议核心的安全模型、证明语义与验证逻辑都必须得到严格形式化与审计,特别是关于空决窗口长度、风味派生与外包证明时的隐私边界。 展望未来,Tachyon 提供了一个值得探索的方向,使得 zk-SNARK 电路更加精简、链上状态更容易修剪、并通过聚合证明显著提高验证效率。关键的研究问题包括无感同步的形式化定义与攻击模型、风味与空决派生的具体构造与安全证明、以及如何在不牺牲用户隐私的前提下实现高效的聚合与递归 SNARK 架构。此外,实际工程实现还需权衡多种原语选择,例如用于 keyed PRF 的哈希函数或电路友好承诺方案、以及 RedPallas 实现的优化策略。 总之,Tachyon 并非单纯地将复杂度转移或回退到链外。它是一种系统级的重构,旨在将链上证明与授权数据变成可组合、可聚合的构件,同时将用户交互与密钥协商职责明确地迁移到钱包或更高层的协议中。
对于希望在可扩展性与高度隐私之间取得更好平衡的 Zcash 开发者与研究者而言,Tachyon 提供了丰富的研究议题与实用性的工程路径。未来随着对无感同步、tachystamp 聚合与空决窗口策略的深入探讨与实证实现,Tachyon 可能成为下一代屏蔽协议设计的重要参考。欢迎 Zcash 社区继续在安全性证明、原语选择与用户体验设计方面展开建设性讨论,共同推动隐私链技术向更高效、更可用的方向发展。 。
