用比特币私下支付：Async Payjoin的隐私解决方案内幕

当你使用标准钱包用比特币支付给某人时，你会留下可以被区块链分析师追踪的信息轨迹。你的交易公开揭示了哪些地址发出了资金、金额是多少，以及找零金额。虽然这种透明度在不影响比特币安全性的前提下，但确实为普通用户带来了隐私风险。Async Payjoin代表了一种突破性的方法，旨在解决这一挑战，提供在大规模保持财务隐私的同时，用比特币支付的途径。

与像Monero或Zcash这样使用加密隐藏交易金额的隐私导向替代方案不同，Async Payjoin通过一种协作交易方式增强比特币的隐私，而无需对比特币的核心协议进行更改。其设计借鉴了2010年代保障网页支付安全的HTTPS协议，由Payjoin基金会通过开源开发，旨在实现大规模钱包的普及。

为什么比特币支付需要隐私保护

当你发起比特币支付时，区块链观察者通常会看到一个简单的模式：一个发件地址结合多个输入（如果支付金额超过单个未花费交易输出UTXO），然后分成两个输出。一个是支付金额，另一个是找零返回。

问题在于链分析公司如Chain Analysis所做的基本假设：每当多个UTXO在一笔交易中被合并时，这些硬币很可能属于同一实体。这一启发式在传统交易中非常可靠，它允许分析师将你之前未关联的地址联系起来。随着你进行多次支付，分析公司可以绘制出你的完整交易历史，揭示：

• 你过去和现在支付过的所有对象
• 你交易的具体金额
• 你的比特币总持有量
• 你的消费习惯和收入水平

这些信息的不对称削弱了比特币的可替代性原则——所有硬币应当是平等且可互换的，无论其历史如何。当某些硬币变得“有污点”或可追踪到特定用户或活动时，它们就失去了这种可替代性。

Async Payjoin的工作原理：隐私增强交易的逐步解析

Payjoin通过引入发件人和收件人之间的协调，打破了标准的输入启发式。不是传统的单输入、双输出结构，而是一个包含两个输入和两个输出的交易，关键在于其中一个输入来自收款方的钱包。

以下是通过Payjoin实现隐私保护的比特币支付的实际流程：

协调过程：
你向某人发起支付，双方的钱包在后台进行通信。你不再是单纯创建并广播一笔交易，而是双方合作构建最终交易。收款方会贡献自己的一笔UTXO作为额外输入，同时仍然收到他们预期的全部金额。

隐私优势：
从区块链分析师的角度看，这笔交易变得模糊不清。他们无法判断哪个输入属于发件人，哪个属于收款人。两个输入和两个输出的存在打破了所有输入来自单一实体的假设。此类交易在区块链上的数量越多，单一输入启发式的可靠性就越低，为所有用户带来更强的隐私保护，超越单次交易的范围。

非托管且原子性：
整个过程保持非托管状态——双方对自己的资金拥有完全控制权。交易是原子性的，意味着只有在发件人和收款人都在密码学上达成一致后才有效。如果任何一方撤回，交易就不会执行。

早期的Payjoin V1实现需要双方同时在线以进行协调。而Async Payjoin（也称为Payjoin V2）通过使用Oblivious HTTP（OHTTP）和盲目录服务器解决了这一限制，实现异步协调。目录服务器从不看到任何一方的IP地址或交易细节，只处理等长的加密8KB数据块，类似于Tor的简化版本，只有一层加密。

支持隐私比特币支付的钱包

越来越多的比特币钱包支持Payjoin标准，允许用户进行隐私增强的交易。目前支持的有：

• Payjoin V1支持： BTCPay Server、Blue Wallet、Wasabi Wallet、Bitmask、JoinMarket、Sparrow Wallet
• Payjoin V2支持： Bull Bitcoin Mobile、Cake Wallet

协议具有向后兼容性，非Payjoin钱包的用户仍可无障碍向Payjoin地址和二维码发送资金。如果你偏好的钱包尚未支持Payjoin隐私标准，相关技术规范已在BIP 77中公布，GitHub上也提供了可集成的开发工具包，采用与比特币和闪电网络开发工具包相同的模块化设计。

Payjoin基金会：构建比特币的隐私基础设施

成立于2025年8月的Payjoin基金会，是一个非营利组织，致力于维护比特币支付的开源隐私开发。这个非营利结构是在观察到盈利隐私公司在比特币领域屡屡失败后有意选择的。

“比特币隐私——盈利公司基本上已经被扼杀了，”Payjoin基金会执行董事兼Payjoin DevKit主要维护者Dan Gould解释道。“原因很简单：盈利公司有动机出售不一定能保证隐私的东西。如果他们成功销售，就会获利。HTTPS之所以成功，是因为它由Let’s Encrypt领导的去中心化非营利组织推动，就像Tor依靠志愿者基础设施维持了数十年一样。”

基金会领导团队：
Dan Gould领导Async Payjoin的开发，同时也是Payjoin DevKit的主要维护者。他在TumbleBit时代就开始开发比特币隐私工具，曾为移动端分叉Wasabi Wallet。

Yuval Kogman担任顾问委员会成员和Spiral的“比特币巫师”，与Gould共同撰写了BIP 77（Payjoin V2标准）。拥有超过二十年的编程经验，Kogman在比特币隐私方面有丰富的工作，包括开发WabiSabi的拒绝服务保护措施，以及识别多个CoinJoin实现中的漏洞。

Armin Sabouri作为研发负责人加入，曾任Botanix的CTO和Casa的工程师。Sabouri在2021年MIT比特币黑客马拉松中获奖，实施了基于Tor的BIP 78 CoinJoin功能，并共同撰写了BIP 347（OP_CAT）。

资金与开发：
Payjoin基金会由OpenSats和Cake Wallet提供资金，此外还得到Spiral、Human Rights Foundation、Maelstrom和Btrust对开源开发者的支持。仅Rust版本的Async Payjoin在GitHub上就有37位贡献者。

基金会已申请美国501©(3)非营利组织身份，等待批准中。有意支持其使命的可以联系Gould：donate@payjoin.org。

Async Payjoin的技术架构：网络隐私与客户端-服务器模型

“Async”指的是该协议采用的盲目录服务器模型，使用户可以异步用比特币支付，无需双方同时在线。

Oblivious HTTP作为隐私基础：
该协议实现了Oblivious HTTP（OHTTP），一种已经过严格安全审查、在iOS和现代浏览器中原生支持的网页标准。Gould描述它为“Tor的最小可行产品”——它提供了比Tor多层加密和跳转更简洁的单一加密层。

“目录服务器只能通过Oblivious HTTP访问，它充当强制代理，”Gould解释。“IP地址永远不会泄露给目录服务器。加密的载荷——预签名的交易——在发件人和收件人之间端到端加密。目录只会收到一个8KB的统一加密数据块，什么也看不到。”

志愿者维护的隐私网络：
类似于Tor出口节点，Payjoin V2的目录服务器没有经济激励，依赖志愿者基础设施维护者。这一模式已成功支撑隐私网络数十年，与整个Payjoin项目的非营利理念一致。

比特币隐私与合规：破解误区

普遍存在一种误解，认为像Payjoin这样的比特币隐私工具与监管合规要求相冲突。交易所运营商和监管机构常担心隐私技术会削弱他们监控和执行反洗钱/了解客户（AML/KYC）标准的能力。

Gould指出，这种担忧忽略了根本问题：“合规制度与区块链的本质完全无关。如果交易所想收集你的姓名、居住地、电话号码和资金来源，默认的隐私并不能阻止他们收集这些信息。它也不会阻止他们要求你提供这些信息以进行交易。”

真正的影响：
Payjoin隐私并不排斥合规，而是将财务信息的控制权下放到用户手中。它不允许第三方完全掌握你的钱包全部历史（过去、现在和未来），而是由你自己决定是否共享。

“这意味着，不是每个区块链分析师、每个交易所和每个参与方都能完全了解你的财务历史，而是你默认保持隐私，”Gould强调。“合规和隐私并不互相排斥——如果正确实施，它们实际上是互补的。”

这与传统金融隐私的工作方式类似：政府和金融机构可以监控其监管的账户，但有组织的犯罪和竞争对手无法做到。许多国家已有保护金融隐私的法律。Async Payjoin旨在通过开源技术标准，将比特币提升到同样的隐私水平，而非由企业垄断。

通过将Payjoin作为开源库分发，而非专有钱包，Payjoin基金会确保任何比特币支付应用都能集成隐私功能，建立起广泛采用的基础设施——就像HTTPS推动网页安全，Let’s Encrypt推动证书分发一样。