异步Payjoin：比特币隐私的HTTPS

来源：CryptoNewsNet 原文标题：Async Payjoin，比特币隐私的HTTPS 原文链接： Async Payjoin 是比特币实现强隐私的最佳希望。它以HTTPS为模型，后者为网页提供了安全支付，Payjoin基金会一直在悄然构建这一隐私工具包，必须被大量比特币钱包采纳，以实现大规模隐私保护。

该方案借鉴了比特币和闪电网络开发工具包——在钱包开发者中已相当流行——并使用与比特币核心中已存在的相同密码学原语，便于集成到比特币主实现中，Async Payjoin 从底层设计就面向大规模采用。

继2010年代通过开源免费软件工具推动HTTPS在网络上的普及的Let’s Encrypt之后，Async Payjoin旨在通过开放的隐私标准解决比特币最大的隐私痛点。不同于专注隐私的钱包，Async Payjoin 是一个软件库，任何比特币支付应用都可以集成，加入类似于网页HTTPS的开放隐私标准。

Async Payjoin 也被基金会称为 Payjoin V2，因为它不同于较早的 V1 实现——后者在交易时需要双方都在线才能完成 Payjoin。如今，越来越多的比特币钱包支持 Payjoin 基金会的 V1 和 V2 标准，包括：

• BTCPay 服务器——V1
• Blue Wallet——V1
• Bull Bitcoin Mobile——V2
• Cake Wallet——V2
• Bitmask——V1
• JoinMarket——V1
• Sparrow Wallet——V1

Async Payjoin 具有向后兼容性，支持尚未支持该标准的钱包用户，无缝向 Payjoin 地址和二维码发送资金。比特币隐私爱好者应敦促他们喜爱的钱包提供商集成这一开源标准。

PayJoin 基金会团队

非营利组织 PayJoin 基金会于2025年8月成立，旨在推动开源隐私技术的发展，获得 OpenSats 和 Cake Wallet 的资金支持，同时 Spiral、Human Rights Foundation、Maelstrom 和 Brink 也支持许多为该项目贡献的开源开发者。他们在 GitHub 上的 Async Payjoin（Rust 实现）贡献者已达37人。

Async Payjoin 协议的开发，也称为 Bip 77 的 Payjoin V2，由基金会执行董事兼 Payjoin DevKit 主要维护者 Dan Gould 领导。Dan 自 TumbleBit 时代起就开创了比特币隐私工具，并与 Yuval Kogman（拥有超过二十年编程经验的顾问委员会成员）共同撰写了 BIP 77。Kogman 在比特币隐私领域有丰富工作经验，包括开发 WabiSabi DoS 保护措施和识别各种 CoinJoin 实现中的漏洞。

Armin Sabouri 也加入团队，担任研发负责人，曾任 Botanix CTO 和 Casa 工程师，2021 年 MIT 比特币黑客马拉松的获奖者之一，通过 Tor 在 Mac OS 上实现 Bip 78 CoinJoin，并且是 BIP 347 (OP_CAT) 的共同作者。

Gould 解释了为何他们决定成立 Payjoin 基金会而非营利实体，他表示：“比特币隐私——营利机构基本上已经被扼杀。” Gould 认为，非营利组织更具可持续性，因为它符合激励机制；“我认为营利机构有动机出售不一定保证隐私的产品，因为他们一旦成交就获利。而在互联网，我们看到过类似尝试，但 HTTPS 是由去中心化的非营利组织推动的，Tor 也是如此。”

Payjoin 如何工作？

Payjoin 通过打破普通交易的常见模式，为比特币提供隐私。在普通交易中，发送方通常有一个输入，会被拆分成两个以完成支付。输出中，一个可能是支付金额，另一个是找零返回给发送方。

用户通常拥有多个 UTXO (未花费交易输出)，就像多个钱包口袋。如果一笔交易试图发送超过某个 UTXO 中的金额，就会从另一个 UTXO中提取资金，将两个钱包口袋连接起来，而在此之前它们在链上可能毫无关联。这降低了用户的隐私，因为区块链分析者可能会假设这两个 UTXO 属于同一实体。

Payjoin 通过促进发送方和接收方之间的协调，打破了标准的输入启发式，从而实现看似有两个输入和两个输出的交易，其中一个输入来自接收方。接收方获得预期的金额；双方只需协调金额，共同创建交易。这样，原本单输入、双输出的交易变成了双输入、双输出，迷惑链上分析者。此类交易越多，单输入启发式的可靠性越低，从而为所有用户带来更高的隐私，因为链上分析的核心假设被打破。

这一过程完全是非托管的，双方对金额拥有完全控制权，签名并发送。它是原子操作；如果双方不同意，交易即作废。

区块链分析机构在某些情况下可以获取交易所用户数据，试图识别某个 UTXO 的所有者。这种信息泄露风险很大：“如果你监视这个，你可以看到你过去转账的对象，也可以看到未来转账的对象，还可以看到某人的资产总额，甚至可以知道某人的收入。”

此类增强比特币隐私的措施对比特币的成功至关重要，因为它维护了资产的可替代性（fungibility），这是良币的一个重要特性。可替代性意味着所有币都被视为平等且可互换的；一枚币的历史不会影响其价值。

专注于最大化链上隐私的加密货币，如 Zcash 或 Monero，通过加密转账金额提供更高的默认隐私等级，但成本也很高；这些替代币的总供应验证更复杂，相关密码学中的漏洞可能导致难以检测的通胀漏洞，削弱了稀缺性——良币的另一个关键特性。

Payjoin 则在不加密转账金额的情况下，为比特币提供更高的链上隐私，既尊重比特币的稀缺性，又增强了可替代性。主要的权衡是它不能成为协议层的变更；需要钱包采纳和用户参与。

还应注意，法币级隐私已经通过封闭的私有系统保护用户免受第三方分析，或者至少在尝试这样做。政府机构和银行高管对用户余额的可见性要大得多，但有组织的犯罪则没有。此外，世界许多国家都有法律保护用户的财务隐私，Async Payjoin 正在努力将比特币推向这一层面。

网络隐私与客户端-服务器 V2 模型：协议中的 Async 部分

传统 Payjoin 面临的一个主要挑战是需要双方都在线以协调创建交易。为解决此问题，Payjoin V2 引入了盲目录服务器，利用著名的互联网标准 Oblivious HTTP，实现异步的 Payjoin 协调。

“很酷的一点是协议让目录服务器变得盲化。目录服务器只通过 Oblivious HTTP 访问，基本上是一个强制代理。因此，IP 地址永远不会泄露给目录服务器，” Gould 解释道。“有效载荷实际上在发送方和接收方之间端到端加密。所以目录只会收到一个 8 千字节的统一加密块，他们看不到任何内容。”

Oblivious HTTP 类似于 Tor，通过加密提供隐私。“OHTTP 实际上已在 iOS 操作系统中支持，也用于浏览器，” Gould 指出。“OHTTP 有点像 Tor 的最小可行产品，Tor 通过多层加密和多跳保护隐私，而这只是最简版本，只经过一跳——只有一层加密。” 在闪电网络中也使用类似的多跳网络加密来保护用户隐私。

Payjoin V2 服务器不为运营者提供经济奖励，类似于 Tor 出口节点，这些节点多年来靠志愿者支持这些隐私网络。

关于合规性问题

监管机构以及交易所运营商常常担心比特币隐私技术，认为它们与合规相冲突。然而，这其实是一个误解。“实际上，合规制度完全独立于链的本质。如果交易所想收集你的信息，知道你的居住地，默认的隐私设置并不能阻止他们这样做。也不能阻止他们要求你提供信息以进行交易，” Gould 解释。“它只是不能让他们完全掌握你整个钱包的过去、现在和未来。所以，用户自己掌控是否披露关于自己资金的信息。”