比特幣隱私保護技術實作手冊：CoinJoin、PayJoin、Taproot 截圖式操作指南與風險評估

前言：你的比特幣真的「匿名」嗎？

先泼一盆冷水：比特幣從來不是匿名的。

區塊鏈上每一筆交易都公開透明，任何人都能看到 A 地址轉了多少比特幣到 B 地址。問題在於：地址背後的人是誰？

這就是比特幣的「偽匿名性」——你的地址是一串字母數字，看起來很神秘，但一旦有人把這個地址跟你的身份關聯起來（比如在交易所買幣時做了 KYC），你的所有交易記錄就全曝光了。

Chainalysis、Elliptic 這些區塊鏈分析公司厲害得很，他們能透過交易圖譜分析，把你的地址、你的朋友地址、你的交易所地址全部串聯起來，畫出一張「誰轉給誰多少錢」的大圖。

我有個朋友曾經在論壇上炫耀自己「挖到了比特幣」，附上了自己的比特幣地址。幾天後，有人根據這個地址，查到了他在哪家交易所買的幣，進而查到了他的真實身份。這不是天方夜譚，這是比特幣世界的日常。

所以，追求隱私的人開始折騰各種技術——CoinJoin、PayJoin、Taproot。這篇文章，我把這三種技術掰開了揉碎了講，配上傻瓜式操作流程，讓你看完就能實作。

第一章：CoinJoin——把鈔票攪在一起

1.1 CoinJoin 是什麼？

CoinJoin 的原理很簡單：把多個人的交易「捆綁」在一起，讓外部觀察者分不清誰是誰。

舉個例子：

沒有 CoinJoin 的時候：
Alice 轉 1 BTC 給 Bob → 區塊鏈上清清楚楚：Alice 付了 1 BTC 給 Bob

CoinJoin 以後：
Alice（轉入 1 BTC）+ Carol（轉入 0.5 BTC）+ Dave（轉入 0.3 BTC）
→ 合併成一筆大交易
→ 輸出：Bob（0.8 BTC）+ Eve（0.6 BTC）+ Frank（0.4 BTC）
→ 外部觀察者只知道「有人湊了 1.8 BTC，分成了 0.8 + 0.6 + 0.4」
→ 但 Alice 的 1 BTC 去了哪裡？不知道！

關鍵在於：CoinJoin 交易要求所有輸出金額相等。如果 Alice 轉入 1 BTC，Carol 轉入 0.5 BTC，Dave 轉入 0.3 BTC，那他們的輸出就變成了三個相同金額的「混合輸出」——外部根本無法通過金額匹配來追蹤。

1.2 CoinJoin 的工具選擇

目前主流的 CoinJoin 工具：

Whirlpool（Samoan 開發的）

• GUI 介面友善
• 由 Wasabi Wallet 團隊維護
• 支援多個「混合池」（每個池的金額不同）
• 缺點：需要預先存入資金，流動性有損失

JoinMarket

• 完全去中心化
• 透過「maker-taker」模型激勵流動性提供者
• 適合技術能力較強的用戶
• 缺點：設定複雜，命令行操作

Wasabi Wallet

• 內建 CoinJoin 功能
• 隱私導向設計（默認使用 CoinJoin）
• 缺點：團隊爭議較大（創辦人跑路傳聞）

Samourai Wallet（已停止開發）

• 曾經是最好的移動端隱私錢包
• 提供Whirlpool 和 StonewallX2
• 遺憾：2024年因法律原因停止服務

我個人推薦 Wasabi Wallet，適合大多數人，GUI 友善，隱私效果也不錯。

1.3 Wasabi Wallet CoinJoin 實戰操作

步驟一：下載與安裝

1. 前往官網：wasabiwallet.io
2. 下載 Windows/macOS/Linux 版本
3. 驗證 PGP 簽名（可選但推薦）
4. 安裝並啟動

步驟二：創建錢包

1. 點擊 "Create New Wallet"
2. 設定錢包名稱和密碼（請用強密碼！這是保護你比特幣的關鍵）
3. 備份助記詞：12 個英文單詞，請用手抄下來，絕對不要截圖或存在電腦裡
4. 確認助記詞（軟體會讓你點擊特定的單詞順序）
5. 完成！

步驟三：存款

1. 點擊左上角的 "Receive"
2. 複製顯示的比特幣地址（以 bc1q 開頭，是 SegWit 地址）
3. 從交易所或其他錢包轉入你要混合的比特幣
4. 建議：每次混合的金額不要太大，控制在總資產的 20-30%

步驟四：啟動 CoinJoin

1. 點擊左側的 "CoinJoin"
2. 選擇你要混合的 UTXO（未花費輸出）
3. 設定「匿名集大小」：數字越大越隱私，但混合時間越長
4. 點擊 "Enqueue Selected UTXOs"
5. 等待軟體找到其他參與者，自動啟動混合

混合過程大約需要 30 分鐘到 2 小時，取決於匿名集大小和網路擁堵程度。

步驟五：取款

1. 混合完成後，你的比特幣會進入「混合輸出」
2. 點擊 "Send" 轉帳
3. 建議：每次只轉出一個混合輸出，不要一次把所有錢都轉走
4. 可以設置「轉帳延遲」（時間鎖）來增強隱私

1.4 CoinJoin 的風險與局限

風險一：對手方風險

CoinJoin 需要信任其他參與者不是「間諜節點」。如果某個參與者是 Chainalysis 部署的節點，他可能會收集所有人的 IP 地址和交易信息。

緩解方法：配合洋蔥路由（Tor）使用，隱藏真實 IP。

風險二：金額指紋

即使 CoinJoin 成功了，某些金額模式仍然可能暴露身份：

• 如果你混合了 1.0 BTC，而錢包只有你有 1.0 BTC，攻擊者可以合理猜測這是你的錢
• 混合後的比特幣，建議分成多筆小額轉帳

風險三：關聯性攻擊

如果你的交易所帳戶做了 KYC，而你在交易所提幣後直接 CoinJoin，再把混合後的幣轉回交易所，攻擊者可以建立以下推理鏈：

交易所 KYC → 提幣地址 X → CoinJoin → 混合輸出 Y → 存入交易所
→ X 和 Y 是同一個人控制的

緩解方法：不要把混合後的比特幣轉回有 KYC 的交易所。

第二章：PayJoin——讓交易雙方一起「攪」

2.1 PayJoin 的創新之處

CoinJoin 有個根本缺陷：它只能讓「付款方」獲得隱私，而收款方的隱私沒有提升。

想像一下：Alice 通過 CoinJoin 把比特幣轉給了 Bob。這筆 CoinJoin 交易讓 Alice 的身份更難追蹤了，但 Bob 的地址呢？只要攻擊者知道 Bob 的身份，他仍然可以追蹤到所有跟 Bob 有關的交易。

PayJoin（又稱 Pay-To-End-Point，P2EP）是個更聰明的設計：讓付款方和收款方一起參與混合。

原理：

傳統交易：
Alice（輸入）→ 轉帳給 Bob（輸出）
區塊鏈分析：Alice 付款給 Bob

PayJoin：
Alice（輸入 1 BTC）+ Bob（輸入 0.5 BTC）→ 轉帳給 Carol（輸出 1.5 BTC）
區塊鏈分析：無法判斷是 Alice 付錢給 Carol，還是 Bob 付錢給 Carol
           也無法判斷 Alice 和 Bob 的關係

厲害的地方在於：PayJoin 從外部看起來就像一筆普通的「多輸入交易」，完全不會引起注意。

傳統的隱私技術（如 CoinJoin）之所以會引起注意，是因為它們看起來「不尋常」——你很少看到陌生人之間的「捆綁交易」。但 PayJoin 不一樣，它是正常的商務往來，只不過多了「混合」這個額外功能。

2.2 PayJoin 的實作現況

PayJoin 目前還沒有被廣泛採用，主要原因是：

1. 需要雙方都支持：付款方和收款方都必須運行支援 PayJoin 的軟體
2. 錢包支援有限：目前只有 Sparrow Wallet、Blue Wallet、Bob Wallet 等少數錢包支援
3. 場景限制：適用於「面對面」或「即時」的支付場景

這就像打電話需要雙方都有電話一樣，PayJoin 的網路效應還沒有形成。但隨著越來越多錢包開始支援，PayJoin 的採用率正在慢慢提升。

2.3 Sparrow Wallet PayJoin 操作指南

Sparrow Wallet 是目前最流行的 PayJoin 實作工具之一。讓我一步步教你怎麼用。

步驟一：下載 Sparrow Wallet

1. 前往官網：sparrowwallet.com
2. 下載對應作業系統的版本（Windows/macOS/Linux）
3. 驗證簽名（重要！）
   - Windows: 檢查 PGP 簽名
   - macOS: 檢查 Apple Developer ID
   - Linux: 檢查 AppImage 簽名
4. 安裝

步驟二：創建錢包

1. 點擊 "File" → "New Wallet"
2. 輸入錢包名稱（例如 "My Private Wallet"）
3. 選擇 "Native Segwit (p2wpkh)" 類型（推薦，隱私性最好）
4. 設定密碼（這是用來加密錢包的，請用強密碼）
5. 備份助記詞
   - 系統會顯示 12 個單詞
   - 請用手抄下來
   - 千萬不要截圖或存電子檔
6. 確認助記詞（軟體會讓你點擊特定順序的單詞）

步驟三：設定 PayJoin 作為收款選項

1. 點擊錢包設定齒輪（右上角）
2. 選擇 "Preferences"
3. 點擊 "PayJoin"
4. 勾選 "Enable PayJoin on Receive"
5. 設定「最大輸入比例」：建議 50%
   - 這限制了你的交易對手最多能投入多少資金
   - 如果設得太高，對方可能投入過多資金
   - 如果設得太低，PayJoin 可能難以實現
6. 點擊 "Save"

步驟四：創建 PayJoin 發票

1. 點擊 "Receive"
2. 輸入你想要收到的比特幣數量（例如 0.1 BTC）
3. 在標籤區域可以添加備註（例如 "Payment from Alice"）
4. 選擇 "PayJoin" 作為標籤（這很重要！）
5. 點擊 "Create Invoice"
6. 複製顯示的發票二維碼或比特幣地址
7. 將發票發送給付款方

步驟五：接收 PayJoin 交易

1. 當付款方掃描你的發票時，Sparrow 會自動啟動 PayJoin 流程
2. 系統會顯示交易詳情
   - 你的輸入金額
   - 付款方的輸入金額
   - 總轉帳金額
   -礦工費
3. 仔細檢查交易詳情，確認無誤後點擊 "Broadcast"
4. 這筆交易會包含你和付款方的輸入
5. 但外部觀察者無法判斷誰付了多少

2.4 PayJoin 的隱私收益

PayJoin 的獨特之處在於：它能同時混淆付款方和收款方雙方的隱私。

傳統交易中，如果 Alice 付錢給 Bob，區塊鏈分析師可以建立這樣的推理：

• Alice 的地址 X → 轉帳給 Bob 的地址 Y
• 因此 Alice 和 Bob 之間有交易關係

PayJoin 交易中，這個推理鏈被打斷了：

• 地址 X + 地址 Y → 轉帳到地址 Z
• X 和 Y 可能都是付款方，也可能只有一個是付款方
• 無法確定 Alice 和 Bob 之間是否有直接交易

這種「不可判斷性」正是 PayJoin 的核心價值。

不僅如此，PayJoin 還能讓付款方受益——因為 PayJoin 交易看起來就像普通的「商務支出」，攻擊者很難判斷這是不是「洗錢」或「逃避納稅」。

第三章：Taproot——隱私與效率的雙重升級

3.1 Taproot 是什麼？

Taproot 是比特幣 2021 年 11 月的一次重大升級，代號為「Taproot」或「BIP-341/342」。它帶來了三個主要改進：

1. Schnorr 簽名：更高效、更安全的簽名算法
2. MAST：允許複雜的支出條件「隱藏」
3. Taproot：讓所有交易看起來都一樣，無論是簡單轉帳還是複雜合約

這三個改進聽起來很技術性，讓我一個個解釋。

3.2 Schnorr 簽名：有聚合的簽名

比特幣之前使用的 ECDSA 簽名有個缺點：多簽交易會暴露所有簽名者的身份。

假設你是一個 3-of-5 的多簽錢包，每次轉帳都需要 3 個人簽名。在 ECDSA 下，這筆交易會暴露所有 5 個簽名者的公鑰——外部觀察者可以推斷這是一筆多簽交易。

Schnorr 簽名的特異功能是「簽名聚合」：多個簽名可以合併成一個簽名。在 Schnorr 下，同樣的 3-of-5 多簽交易只會顯示「一個簽名」，外部觀察者甚至不知道這是多簽交易。

數學上，Schnorr 簽名的聚合是這樣實現的：

假設有三個簽名者，私鑰分別是 d1, d2, d3

他們對消息 m 的簽名分別是：
s1 = k1 + H(m, R1) × d1
s2 = k2 + H(m, R2) × d2
s3 = k3 + H(m, R3) × d3

其中 k1, k2, k3 是隨機 nonce

聚合簽名：
s = s1 + s2 + s3
R = R1 + R2 + R3

最終簽名 = (R, s)

驗證者只需檢查：
s × G = R + H(m, R) × (d1 + d2 + d3)

這個公式看起來複雜，核心思想很簡單：多個簽名可以像向量加法一樣合併成一個。

3.3 MAST：把複雜條件藏起來

比特幣的腳本語言支持「支出條件」——比如「這筆錢需要 3 個人中的 2 個簽名才能動用」，或者「這筆錢在一個月後才能動用」。

MAST（Merkelized Abstract Syntax Tree）的作用是：只顯示「實際使用」的條件，其他條件被哈希「隱藏」。

想像一下：你設計了一個複雜的合約，包含：

• 條件 A：如果 3-of-5 多簽通過，可以動用
• 條件 B：如果兩年後沒人動用，可以由我的家人動用
• 條件 C：如果比特幣價格跌破 $10,000，可以由我的備用私鑰動用

在 MAST 之前，所有這些條件都會暴露在區塊鏈上。攻擊者可以看到你設置了「比特幣跌破 $10,000」的條件，進而推斷你的持倉成本和風險承受能力。

有了 MAST，只有「實際使用」的條件會被暴露。其他條件只存儲它們的哈希值——攻擊者知道這些條件存在，但不知道具體內容。

3.4 Taproot：讓所有交易長得一樣

Taproot 的最終效果是：所有交易都看起來一模一樣，無論背後的支出條件有多複雜。

這是怎麼實現的呢？

Taproot 地址 = 內部公鑰 + 腳本哈希的 MAST 根

如果使用「內部公鑰」路徑（普通轉帳）：
  - 只需提供 Schnorr 簽名
  - 區塊鏈上看不出任何「特殊」結構

如果使用「腳本」路徑（複雜條件）：
  - 需要提供 MAST 證明和腳本執行結果
  - 但 MAST 只顯示「實際使用的條件」

這就像所有人都穿上了同樣的制服：無論你是總統還是士兵，在 Taproot 世界裡，你們的交易看起來都一模一樣。

3.5 Taproot 為什麼重要？

Taproot 的隱私優勢是革命性的：

優勢一：所有交易「長得一樣」

不管你的交易有多複雜，在 Taproot 地址下都看起來一模一樣。這就像所有人都穿上了同樣的制服，內部差異完全隱藏。

優勢二：多簽交易不被識別

Schnorr 簽名聚合讓多簽交易看起來像普通單簽交易。這讓多簽錢包用戶也能享受普通轉帳的隱私級別。

優勢三：更小的交易體積

Taproot 交易的數據量比傳統 SegWit 交易小約 15-25%，這意味著：

• 更低的礦工費
• 更大的區塊容量
• 更少的區塊鏈數據

3.6 Taproot 的實作：如何生成 Taproot 地址

方法一：使用 Sparrow Wallet

1. 創建或打開一個錢包
2. 點擊錢包設定（齒輪圖標）
3. 選擇 "Script Type"
4. 選擇 "Taproot (P2TR)"
5. 確認設定
6. 你的新接收地址將以 "bc1p" 開頭

方法二：使用 Electrum Wallet

1. 打開 Electrum
2. 點擊 "Wallet" → "Information"
3. 點擊 "Type" 下拉選單
4. 選擇 "p2tr: Single Sig"
5. 錢包會提示你備份新的助記詞（如果切換類型）
6. 完成！

方法三：使用 Bitcoin Core

1. 打開 Bitcoin Core
2. 點擊 "File" → "Receiving addresses"
3. 點擊 "New" 按鈕
4. 在地址類型下拉選單中選擇 "Taproot"
5. 點擊 "Create new receiving address"
6. 你的新地址將以 "bc1p" 開頭

3.7 Taproot 的採用現況

截至 2024 年年底：

Taproot 的採用速度比當年 SegWit 慢，主要原因是：

1. 比特幣社區對升級比較保守
2. 隱私優勢需要大量用戶都升級才能發揮
3. 交易所和支付平台採用較慢

好消息是：隨著越來越多的錢包開始默認生成 Taproot 地址，這個比例正在穩步提升。

第四章：隱私保護的「組合拳」

4.1 單一技術不夠用

說實在的，單獨使用 CoinJoin 或 PayJoin 或 Taproot，都不能提供完美的隱私。

這就像網路安全——單一的防火牆不夠，你需要多層防禦。

聰明的做法是組合使用：

組合一：CoinJoin + PayJoin

1. 先用 CoinJoin 混合你的比特幣
2. 混合後的比特幣，用 PayJoin 支付給商家
3. 這樣：CoinJoin 混淆了你的「資金來源」，PayJoin 混淆了你的「交易對象」

組合二：Taproot + CoinJoin

1. 創建 Taproot 地址作為收款地址
2. 用 CoinJoin 將比特幣混合
3. 混合後的比特幣存在新的 Taproot 地址
4. 用 Taproot 地址轉帳
5. 整個交易鏈條的隱私性大幅提升

組合三：CoinJoin + 時間延遲 + 多地址分散

1. 混合比特幣
2. 等待一段時間（建議 1 週到 1 個月）
3. 把混合後的比特幣分散到多個地址
4. 分批、間隔轉帳到最終目的地
5. 每次只轉出一小部分

4.2 隱私實踐清單

這裡我整理了一個「隱私實踐清單」，供你在日常使用中參考：

基本操作（每個人都應該做）：

• [ ] 使用自己的錢包，而不是把比特幣長期放在交易所
• [ ] 每次交易使用新地址
• [ ] 使用 HTTPS 的錢包或網站
• [ ] 不要在社交媒體公開分享你的比特幣地址
• [ ] 避免使用能識別你身份的錢包（如 Coinbase Wallet）

中級操作（進階用戶）：

• [ ] 使用 Wasabi Wallet 或 Sparrow Wallet 進行 CoinJoin
• [ ] 生成 Taproot 地址（bc1p 開頭）
• [ ] 配合洋蔥路由（Tor）使用比特幣錢包
• [ ] 避免使用有 KYC 的交易所直接提幣
• [ ] 使用 VaporOS 或 Qubes OS 等注重隱私的作業系統

高級操作（完全隱私愛好者）：

• [ ] 使用 Bitcoin Full Node（完整節點）而非輕錢包
• [ ] 設置 CoinJoin + PayJoin 組合使用
• [ ] 使用冷儲存 + 時間延遲 + 多地址分散
• [ ] 考慮使用物理隔離的 air-gapped 電腦進行交易
• [ ] 參與比特幣Meetups，學習更多隱私技術

第五章：風險評估——你的隱私到底值多少？

5.1 隱私與便利性的權衡

追求隱私是有代價的：

• 時間成本：CoinJoin 需要等待 30 分鐘到 2 小時
• 費用成本：CoinJoin 需要支付額外的手續費（通常是 0.5-3%）
• 複雜度：設定和使用隱私工具有一定的技術門檻
• 流動性損失：混合後的比特幣需要時間「成熟」，不能立即使用

你需要問自己：我的隱私風險有多高？值得我付出這些代價嗎？

5.2 不同場景的隱私需求

場景一：長期 HODL

• 隱私需求：低
• 建議：使用硬體錢包，偶爾換換地址就行
• 不需要 CoinJoin

場景二：日常小額支付

• 隱私需求：中
• 建議：使用閃電網路（Lighthing Network），天然隱私
• 比特幣主鏈交易使用 Taproot 地址

場景三：交易所轉帳

• 隱私需求：高
• 建議：交易所提幣 → CoinJoin 混合 → 新錢包地址
• 存入新交易所前再次混合

場景四：涉及敏感交易的個人

• 隱私需求：極高
• 建議：完整隱私套件（CoinJoin + PayJoin + Taproot + Tor + Full Node）
• 每次交易間隔時間要長

5.3 隱私與合規的平衡

最後，我想說一個很多人關心的問題：使用這些隱私工具，會不會觸法？

目前大多數國家沒有明確禁止 CoinJoin：

• 美國：隱私工具本身不違法，但用於洗錢則違法
• 歐盟：MiCA 法規對隱私 CoinJoin 的態度仍在演變
• 台灣：金管會尚未明確規範

建議：

1. 了解你所在司法管轄區的法律
2. 保留 CoinJoin 記錄，以防日後被問話
3. 不要把混合後的比特幣直接存入需要 KYC 的交易所
4. 避免參與「強制混合」（被迫與骯髒資金混合）的灰色地帶

結論：隱私是一場馬拉松

比特幣的隱私保護不是一勞永逸的事情，而是一個需要持續關注和學習的過程。

技術在進步：

• Taproot 正在慢慢普及
• PayJoin 正在被更多錢包支援
• 新的隱私協議（如 Ark、Frost）正在開發中

監管在收緊：

• 各國政府越來越關注比特幣的隱私特性
• 交易所的 KYC 要求越來越嚴格
• Chainalysis 的追蹤技術越來越先進

在這種「道高一尺魔高一丈」的環境下，持續學習和更新你的隱私實踐，才是最重要的。

記住：比特幣的隱私不是 0 或 1 的二元問題，而是一個連續的光譜。你的目標不是達到「完美隱私」（這不存在），而是讓自己的隱私程度「足夠高」，高到讓追蹤者放棄。

畢竟，鏈上分析師也是要看成本效益的——如果追蹤你的成本高於他們能獲得的收益，他們就會轉向更容易下手的目标。

所以，做一個「隱私上不那麼劃算」的目標，就足夠了。

工具下載連結：

• Wasabi Wallet：https://wasabiwallet.io
• Sparrow Wallet：https://sparrowwallet.com
• Electrum：https://electrum.org
• JoinMarket：https://github.com/joinmarket-org/joinmarket-clientserver
• Bitcoin Core：https://bitcoincore.org

延伸閱讀：

• BIP-340: Schnorr Signatures for secp256k1
• BIP-341: Taproot: SegWit version 1 spending rules
• BIP-342: Validation of Taproot scripts
• "Anatomy of a PayJoin" - kixunil.dev
• "Privacy Guides" - bitcoin.org
• Bitcoin Optech 的 Taproot 教程系列