Payjoin 如何彌補比特幣最關鍵的隱私漏洞

比特幣的透明性既是其特色也是其弱點。每一筆交易都被記錄在公開帳本上，雖然錢包地址看起來像是隨機字串，但像 Chain Analysis 這樣的高階區塊鏈分析公司可以透過監控交易所流動，將這些地址與真實身份相關聯。對於關心財務隱私的用戶來說，這是一個根本性的威脅：交易歷史、支付模式以及錢包餘額都可能被企業監控甚至惡意行為者掌握。Payjoin 成為解決此問題的最有前途方案——它不是透過加密或協議變更，而是透過一個巧妙的協調機制，打破監控公司依賴的分析模式。

Payjoin 基金會於2025年中正式成立，並在 OpenSats、Cake Wallet、Spiral、人權基金會、Maelstrom 和 Btrust 的支持下，系統性地開發這套隱私工具包。與像 Samourai 或 Wasabi 這些獨立運作的隱私錢包不同，Payjoin 作為一個開源庫，任何比特幣支付應用都可以整合，類似2010年代推廣 HTTPS 的模式——一個共享標準，而非競爭的專有解決方案，促進了整個網路的隱私。這種做法也符合 Let’s Encrypt 透過免費、開放的工具推廣 SSL/TLS 安全的方式。

理解比特幣的隱私挑戰

區塊鏈分析基於一個基本假設：當一筆交易有多個輸入時，它們很可能屬於同一個實體。這點很重要：用戶通常持有多個 UTXO（未花費交易輸出）——可以想像成不同的錢包口袋。如果一筆支付需要合併兩個 UTXO 的資金，分析師就會立即將這些口袋聯繫起來，降低隱私。正常交易的手續費結構和找零管理也會產生額外的模式，經驗豐富的分析師可以利用這些模式來映射錢包關係、消費習慣和總持有量。

Chain Analysis 利用這些知識，與交易所、政府機構及其他實體合作，建立了一個系統性侵蝕隱私的生態圈。公司能追蹤誰在收款、你的錢包隨時間流動了多少錢，並推測你的消費模式——這些資訊通常需要直接存取銀行基礎設施才能獲得。

Payjoin 解決方案：打破啟發式陷阱

Payjoin 透過引入一個微妙但強大的機制來破壞這種分析：它允許收款方在交易中加入自己的輸入。從分析師的角度看，交易現在看起來有兩個輸入和兩個輸出——這正是通常暗示合併的格式。然而，在 Payjoin 交易中，一個輸入屬於發送者，一個屬於收款者，徹底顛覆了分析假設。

這個方法的美妙之處在於規模效應。當 Payjoin 交易變得普遍時，單一輸入的啟發式就會崩潰，成為一個不可靠的分析工具。統計學家和區塊鏈分析師將無法再可靠地假設多個輸入代表合併的持有量。這為所有比特幣用戶帶來隱私好處，而不僅僅是採用 Payjoin 的用戶，因為整個分析框架的可靠性都會降低。

關鍵的是，Payjoin 保持嚴格的非托管特性：雙方都完全控制自己的資金。交易是原子性的——如果雙方對金額和細節不同意，交易就不會執行。任何一方都不能單方面修改交易，金額仍然在鏈上可見，維持比特幣的可驗證性和稀缺性，這也是它與加密隱私幣的區別。

Payjoin 的架構與技術實作

Payjoin 透過發送者與收款者之間的直接協調來運作。最初的實作（現稱 Payjoin V1）要求雙方同步在線，協商並簽署交易，這限制了不同時間表或連線條件的用戶的採用。

V2 版本，正式稱為 BIP 77，解決了這個協調問題，採用非同步協議，利用 Oblivious HTTP（OHTTP）——一個已在 iOS 和主要瀏覽器中支援的網路標準。OHTTP 就像一層“最小化的 Tor”，提供單層加密和強制代理架構。當發送者想與離線的收款者啟動 Payjoin 時，他們會將一個加密的交易範本傳送到一個完全被遮蔽的目錄伺服器：該伺服器從不看到 IP 或交易內容，只收到一個 8KB 的統一加密資料塊，並在收款者上線時將其轉發。

Payjoin 基金會執行長 Dan Gould 解釋安全模型：「目錄伺服器只可透過 Oblivious HTTP 存取，這基本上是一個強制代理。所以 IP 地址永遠不會洩漏給目錄伺服器。有效載荷——預簽名的交易——實際上是端對端加密的，只有發送者和收款者能解讀。伺服器只收到一個加密的資料塊，他們看不到任何內容。」

這個設計反映成熟的隱私思維：不去發明新密碼學，而是利用已經經過嚴格同行評審的現有網路標準。OHTTP 被納入作業系統和瀏覽器，展現其在更廣泛網路基礎建設中的可信度。

越來越多的比特幣錢包支持 Payjoin

目前越來越多的比特幣錢包支持 Payjoin 標準，顯示早期的生態系統進展。BTCPay Server、Blue Wallet、Wasabi Wallet、Sparrow Wallet、Bitmask 和 JoinMarket 已支援 V1 版本。較新的實作包括 Bull Bitcoin Mobile 和 Cake Wallet，已整合 V2 版本。向後相容性確保尚未支援標準的錢包也能無縫接收 Payjoin 付款——用戶只需像平常一樣發送到 Payjoin 地址或掃描 QR 碼。

Payjoin 基金會在 GitHub 發布技術規範（BIP 77），並維護開源開發者工具包，鼓勵更廣泛的整合。僅 Rust 實作就吸引了37位貢獻者，展現真正的社群參與，而非中心化專案。

Payjoin 背後的團隊：打造隱私基礎設施

Dan Gould 擔任 Payjoin 開發工具包的執行長與主要維護者。他的比特幣隱私經歷從 TumbleBit 時代到 Wasabi Wallet 的行動實作。Gould 與 Spiral 的比特幣開發者 Yuval Kogman 共同撰寫 BIP 77，Kogman 擁有超過二十年的程式設計經驗，曾撰寫 WabiSabi DoS 保護措施和 CoinJoin 實作的漏洞研究。

Armin Sabouri 擔任研發主管，曾任 Botanix 的 CTO 和 Casa 的工程師。Sabouri 在 2021 年 MIT 比特幣黑客松中，透過 Tor 在 Mac OS 上實作 BIP 78 CoinJoin 功能，並共同撰寫 BIP 347（OP_CAT），展現其持續參與比特幣協議改進。

當被問及為何團隊將 Payjoin 設為非營利基金會而非營利公司時，Gould 透露一個策略見解：「比特幣隱私——營利公司基本上已經被扼殺了。」他進一步說明：激勵結構本質上不同。營利實體面臨壓力，必須銷售能立即產生收益的解決方案，但這不一定保障隱私。HTTPS 的推廣成功，正是靠 Mozilla 等非營利組織的去中心化努力，就像 Tor 透過志願者基礎建設得以持續一樣。相較之下，原本的 PGP 公司面臨商業化壓力，影響了其使命。Payjoin 基金會已申請 501©(3) 非營利身份，目前資金來自 OpenSats 和 Cake Wallet。捐款者可聯絡 donate@payjoin.org。

非同步 V2 版本：解決協調難題

從 V1 到 V2 的轉變代表了成熟的關鍵。V1 需要雙方同步在線，限制了跨時區或連線條件不同用戶的實際應用。V2 引入非同步協調，透過目錄伺服器模型，利用 Oblivious HTTP 確保伺服器完全不知用戶身份和交易內容。

這個架構類似 Lightning Network 透過多跳路由來保障隱私。Payjoin V2 伺服器不提供金錢獎勵，靠志願運營者維持——類似 Tor 出口節點，這些節點在數十年來維持了關鍵的隱私基礎設施，儘管成本和法律風險都很高。這種可持續性模型已在不同網路中證明，暗示 Payjoin 的志願者基礎設施也能達到類似的長久性。

Payjoin 與監管合規：澄清誤解

監管機構和交易所經常對比特幣隱私技術表示擔憂，認為它們是合規的障礙。Gould 在一次訪談中直言：「事實上，合規制度完全獨立於鏈上的內容。如果交易所想收集你的資訊——寶寶名字、地址、電話號碼、資金來源——有隱私預設並不會阻止他們這樣做。」

Payjoin 提供用戶自主權，而非規範下的模糊性。它阻止交易所、托管方和第三方完全掌握用戶的完整錢包歷史——過去、現在和未來的交易。合規要求可以與交易隱私並存，兩者是正交的。用戶可以在符合 KYC 的情況下，仍然保持對區塊鏈監控的隱私。Gould 表示，Payjoin「將揭露資訊的權力掌握在你自己手中」。

為何 Payjoin 對比特幣的貨幣功能如此重要

隱私的提升直接支持比特幣的可替代性——所有幣都平等且可互換，不論其交易歷史。這一特性對於健全的貨幣體系至關重要；如果某些幣因監控而被“污染”而失去接受度，比特幣作為交換媒介的價值就會受損。

像 Zcash 和 Monero 這樣的隱私幣，會將交易金額進行加密，實現較高的預設隱私。這種做法有折衷：驗證總供應變得更複雜，且隱私實作中的潛在漏洞可能導致無法偵測的通貨膨脹——對於健全貨幣來說是災難性的失敗。Payjoin 在不犧牲比特幣可驗證的稀缺性和透明供應的前提下，增強了幣的可替代性，並保持了比特幣與其他數位資產的區別。

主要的限制在於採用率：Payjoin 需要被足夠多的錢包和用戶整合。與在特定區塊高度激活的協議變更不同，隱私基礎設施依賴自願採用和商家支持。這正是為何 Payjoin 基金會以 Let’s Encrypt 為模範，強調開源工具和非營利永續，而非企業壟斷。

為了讓比特幣維持可替代性並抵抗國家層級的監控，Payjoin 必須從一項創新技術轉變為嵌入式基礎設施。每一個整合 Payjoin 的錢包開發者、每一個創建 Payjoin 交易的用戶，以及每一個接受 Payjoin 的商家，都在為整個網路的隱私保障增添力量。