采用比特币或加密货币在网上购物进行支付，隐私有保障吗？

加密货币被描绘为一种比信用卡还更具匿名特征且更不可追踪的支付手段。但是当你真正使用比特币或其他加密货币进行网上购物或作为支付手段的时候，你的隐私又能得到什么程度的保护呢？最近新发表的一篇论文就揭露了区块链可能带来的隐私泄露。论文根据多个网站的第三方追踪系统与区块链相结合设计多种攻击方式详细阐述了这种隐私泄露的可能性。

加密货币被描绘为一种比信用卡还更具匿名特征且更不可追踪的支付手段。那么如果你使用比特币或其他加密货币在网上购物或进行支付的话，你会拥有多少隐私？在新发表的一篇论文中，我们就揭示了你拥有的隐私可能会非常少。

包括购物网站在内的网站通常每个站点都有数十个第三方追踪系统。这些第三方会跟踪支付流量的敏感性细节信息，例如你添加到购物车的商品及其价格，无论你选择何种付款方式。至关重要的是，我们发现许多购物网站会向追踪系统泄露充分的购买信息，足以使这些追踪系统能够将其与区块链上的付款交易形成唯一关联。而在区块链上，就可以通过很多熟悉的方式来进一步将该交易与你的其他比特币钱包地址相关联。你可以使用Adblock Plus和uBlock Origin等浏览器扩展程序，以及像混币技术（CoinJoin）这样的比特币匿名技术来保护自己。尽管这些措施可能会有所帮助，但是我们发现，这种关联还是有可能的。

攻击全部范围的说明。以三个恰好拥有相同内置追踪系统的网站为例进行思考。Alice在前两个网站上进行购买并使用比特币进行支付，然后再在第三个网站上登录。商家A将交易的比特币地址二维码泄露给追踪系统，商家B泄露购买金额，而商家C则泄露Alice的个人身份信息（PII）。如今，这种程度的信息泄露是十分常见的，而且常常也是有意为之的。该追踪系统会根据Alice浏览器储存在用户本地终端上的数据（cookie）关联三笔购买交易。此外，该追踪系统也获取了足够的信息来唯一地（或接近唯一地）识别比特币区块链上与两次购买相对应的货币。然而，Alice采取了一些预防措施，在进行购买之前就通过CoinJoin将比特币存入钱包。因此，每笔交易都无法单独追溯到Alice的钱包，但是只有一个钱包同时参与了两次CoinJoin，因此，便可表明这就是Alice的钱包。

使用隐私测量工具OpenWPM，我们分析了接受比特币支付的130个电子商务网站，并发现其中53个网站会将交易详细信息泄露给追踪系统。许多（但也不是全部）信息泄露都是有意为之的，以进行广告活动与分析。此外，49个网站将个人标识符泄露给追踪系统：姓名、电子邮件、用户名等。这种组合就意味着追踪系统可以将现实世界的身份与比特币的地址关联起来。要清楚的是，所有泄露的数据都存储在数十家追踪公司的日志记录中，并且可以使用过去的采购数据来进行追溯性关联。

在这些网站的一个分组中，我们首次使用通过CoinJoin匿名技术“组合”的比特币进行了真正的购买。
       ［1］我们发现一个观测着我们的两笔购买交易（这也十分常见）的追踪系统在80%的时间里都能够识别我们的比特币钱包。我们将在论文中介绍攻击的全部详细信息，以及对其有效性的全面分析。

我们的发现提醒我们，在缺少可证明隐私属性的系统中可能会始料未及地出现信息泄露，以及潜在的触犯隐私的情况发生。当多个这样的系统相互作用的时候，这种信息泄露可能会更不易察觉。加密货币中的匿名性问题似乎尤为棘手，因为它继承了数据匿名化（敏感数据必须公开永久的存储在区块链上）以及匿名通信（隐私取决于由用户和应用程序的行为引起的不明显交互）的最糟糕情况。

［1］ 本实验中，我们进行了1-2轮混合。我们在论文中也提供了证明，虽然较高的混合深度降低了攻击的有效性，但是并没有战胜这种攻击。此处仍需更加仔细的研究权衡措施。