Certo, vou falar direto: eu estava errado. Ou pelo menos, eu estava enganado até recentemente.
Se você tem lido este blog há algum tempo, provavelmente se lembra dos meus posts entusiasmados sobre ativos na rede Liquid. L-BTC, USDT na Liquid — eu os elogiei mais de uma vez. Eu escrevi que as transações lá são confidenciais, que isso te protege de analistas de AML sempre vigilantes e de exchanges centralizadas (CEXes) que podem congelar seus satoshis só porque, em algum momento no passado, eles "andaram em más companhias."
Eu acreditava nisso sinceramente.
Quando você envia uma transação Liquid na maioria das carteiras, normalmente recebe dois links para um explorador de blocos: um mostrando a transação confidencial, e outro mostrando a versão "desobscurecida". O segundo link está disponível apenas para o remetente, enquanto o primeiro pode ser visto por qualquer pessoa navegando no explorador. E por alguma razão, nunca me ocorreu questionar o que "confidencial" realmente significava. Nunca parei para checar exatamente o que era visível através desses links.
Recentemente, no entanto, processamos outra troca no rabbit.io, convertendo alguma criptomoeda em USDT na blockchain Liquid. O usuário nos pediu detalhes sobre a transação. Abri o explorador de blocos — e foi aí que tive um choque.
Todo o grafo de interações entre endereços estava ali, à vista de todos. Quem enviou algo para quem. Quando. Com que frequência. A estrutura das relações entre endereços estava totalmente exposta. E nada daquilo estava oculto por qualquer "confidencialidade."
Foi então que percebi que eu havia me enganado seriamente — e, pior, que eu havia te induzido ao erro sem querer. Sinto muito.
Liquid não te protege contra abuso relacionado a AML. Se um serviço de monitoramento AML decidir rotular qualquer endereço que já te enviou fundos como "contaminado", ele pode muito bem rotular também o seu endereço como contaminado — pelas mesmas razões que faz em qualquer outra blockchain transparente.
Eu confundi um tipo de confidencialidade com outro. E essa confusão importa.
O Que o Liquid Realmente Oculta?
"Transação confidencial" não é uma metáfora no caso do Liquid — é um termo tecnicamente preciso. Mas significa algo muito específico: o valor e o tipo de ativo são ocultos. Só isso.
Dito isso, aqui vai uma metáfora que me ajudou a entender. À medida que comecei a mergulhar nos detalhes, passei a pensar no Liquid como uma mesa coberta por uma toalha. A toalha esconde o prato — você não consegue ver o que há sobre ela nem quanto há — mas a mesa em si, e o movimento dos pratos sobre ela, permanecem totalmente visíveis para qualquer pessoa olhando através de um explorador de blocos.
Um observador externo não pode dizer se você transferiu cem bitcoins ou cinquenta centavos em USDT. Mas pode ver claramente que o endereço A enviou algo para o endereço B, e que B mais tarde recebeu algo do endereço C.
E é aí que meu problema começa.
Para pagamentos pessoais em Bitcoin não relacionados a swaps no rabbit.io, eu uso a Lightning Network. A razão é simples: o destinatário não vê o histórico das moedas. Eles não têm base para declará-las "contaminadas" e reter meus bitcoins sob esse pretexto sem entregar nada em troca.
Eu ingenuamente supus que o Liquid oferecia proteção semelhante — talvez com algum compromisso em termos de custódia total, mas sem a complexidade operacional de gerenciar canais de pagamento.
Descobri que não oferece.
O que o Liquid faz muito bem é resolver um problema totalmente diferente. A confidencialidade das transações no Liquid protege os usuários de abusos por parte dos emissores de tokens que operam na rede.
No Ethereum, Tron e blockchains semelhantes, os smart contracts por trás de tokens populares são projetados de modo que o emissor pode ver todo saldo de carteiras e, se necessário, apertar um botão para congelar seus tokens.
No Liquid, os emissores tecnicamente não podem fazer isso — esse é o primeiro ponto. E mesmo que quisessem, seria inútil: os valores e os tipos de ativos mantidos em cada endereço são ocultos. O emissor simplesmente não sabe quem detém quantos de seus tokens.
Liquid resolve o problema para o qual foi projetado. Simplesmente não era o problema que eu pensei que estivesse resolvendo. E isso não torna a blockchain ruim — torna-a especializada.
O Que Realmente Queremos Dizer por "Confidencial"
Antes de avançarmos, vamos esclarecer algo. Quando chamamos uma transação de "confidencial", do que exatamente estamos falando?
Cada transação tem vários componentes, e cada um deles pode ser ocultado separadamente:
- O valor e o ativo — quanto de quê está sendo transferido.
- As relações entre endereços — quem interagiu com quem e como o grafo de transações se apresenta.
- Identidades — o vínculo entre endereços e indivíduos ou organizações do mundo real.
- A própria existência da transferência — se alguém pode ao menos ver que uma transação ocorreu.
Diferentes sistemas tornam diferentes partes confidenciais. E uma vez que separamos essas camadas, fica muito mais fácil entender o que cada tecnologia realmente protege — e o que não protege.
Confidencialidade no Bitcoin
Lightning Network: Entregando Bitcoin de um Remetente Desconhecido
Se o Liquid oculta "quanto" e "o quê", o Lightning oculta "de onde."
Imagine que você quer enviar um pacote para um amigo em outra cidade. Você não o entrega pessoalmente. Você dá para um mensageiro, que entrega ao motorista de um ônibus de longa distância, que passa para um taxista local na cidade de destino, e o taxista finalmente entrega ao seu amigo.
Esse taxista, a última pessoa da cadeia, só sabe que o motorista do ônibus lhe entregou a caixa. Ele não faz ideia de que você foi o remetente original.
No Lightning, isso é chamado de roteamento em cebola — o mesmo conceito usado no Tor. O destinatário vê apenas o último salto na rota. O histórico das suas moedas é invisível para ele. Um analista de AML não tem nada para analisar, porque nenhum histórico de transações é registrado em nenhum lugar.
Isso é exatamente o que eu pessoalmente precisava. Por isso uso Lightning para minhas transações privadas.
Há uma nuance: abrir e fechar canais de pagamento são registrados na blockchain do Bitcoin. Mas esses são apenas a primeira e a última transações — não as dezenas, centenas ou mesmo milhares de pagamentos que podem passar entre elas.
Pagamentos Silenciosos: Um Destinatário, Muitos Endereços Invisíveis
Figuras públicas enfrentam um grande problema. Se elas publicam um endereço Bitcoin regular para doações ou pagamentos, qualquer pessoa pode abrir um explorador de blocos e ver quantas vezes fundos foram enviados para aquele endereço e quanto bitcoin ele atualmente mantém. É como se o número do seu cartão bancário desse a completos estranhos acesso ao extrato da sua conta.
Pagamentos Silenciosos resolvem isso elegantemente.
- Eu publico um único "endereço silencioso."
- Você o cola na sua carteira para me enviar dinheiro.
- Sua carteira então realiza um truque matemático inteligente: pega minha chave pública e a sua, e gera a partir delas um endereço único de uso único completamente novo.
- Esse endereço pertence a mim — mas nem eu o conheço com antecedência. E ele não pode ser vinculado de volta ao meu endereço silencioso público.
Os valores ainda são visíveis — isso continua sendo uma transação Bitcoin normal. Mas o vínculo entre uma identidade pública que publicou um endereço e os pagamentos específicos recebidos fica oculto.
Um esquema de privacidade similar foi proposto recentemente na rede Stellar.
Ark: Um Caldeirão para Bitcoin
Ark é um protocolo relativamente novo construído sobre o Bitcoin e ativamente em desenvolvimento. Ele busca oferecer algo semelhante ao Lightning, mas sem exigir que os usuários gerenciem canais.
Em vez de canais de pagamento individuais, todos os participantes depositam suas moedas em um pool compartilhado mantendo o controle sobre o montante que contribuíram. Você joga suas moedas na panela — elas se dissolvem entre milhares de outras.
Quando você quer pagar alguém, instrui o operador a reatribuir certa quantia para outro participante dentro do pool. Se o destinatário não faz parte do pool, o operador retira os fundos e os envia para o endereço especificado. O operador não pode recusar sua solicitação.
Como resultado, as moedas que você depositou originalmente e as moedas que seu amigo eventualmente recebe não estão ligadas por uma trilha visível on-chain. A conexão é quebrada.
Isso se assemelha a um mixer à primeira vista, mas seu propósito principal não é cortar vínculos entre depósitos e retiradas. A característica central são as transferências internas dentro do pool — reatribuições de direitos contra o operador. Estas são instantâneas e baratas, muito parecidas com transferências internas em CEX.
A diferença chave é que, ao contrário de um operador de CEX, o operador Ark não pode congelar seus fundos.
Do ponto de vista da confidencialidade, isso também é similar a transferências internas de CEX: o operador vê tudo, enquanto observadores externos não veem nada — nem mesmo o fato de que transferências ocorreram.
Shielded CSV: O Destinatário Verifica Sozinho
Esta é uma ideia muito nova, ainda em fase de pesquisa. Mas pode ser explicada de forma bem simples.
- Como funciona uma blockchain regular? Alice anuncia publicamente ao mundo: "Estou enviando a Bob mil satoshis!" Todos vêem, verificam e registram.
- Como funcionaria o Shielded CSV? Alice envia a Bob uma mensagem privada: "Estou te enviando mil satoshis. Aqui está a prova de que eu os tinha e que os gastei corretamente. Verifique você mesmo." Para o resto do mundo, Alice publica não a transação em si, mas uma prova criptográfica de que ela tinha os fundos e os gastou corretamente, o que impede gasto duplo.
Todas as informações sobre quanto ela enviou e para quem são transmitidas diretamente de Alice para Bob. O destinatário verifica o conteúdo da transferência sem revelá-lo ao mundo. Mais precisamente, a rede verifica que a transação é válida, enquanto o destinatário verifica o que ela realmente contém.
A blockchain armazena apenas o rastreamento criptográfico mínimo necessário para impedir o gasto duplo. Se você não participou da transação, não aprende nada sobre ela — exceto que algum UTXO foi destruído.
Um modelo similar — onde a blockchain armazena apenas provas zk da correção das transações — opera com sucesso há quase uma década na rede Zcash.
Confidencialidade em Outras Criptomoedas
MimbleWimble: Uma Blockchain Sem Endereços
Vamos sair do universo Bitcoin. Aqui, desenvolvedores atacaram o problema do grafo de transações de maneira muito mais radical.
Em blockchains tradicionais, você vê endereços, valores e uma estrutura explícita de transação: aqui está uma entrada, aqui está uma saída, e aqui está o vínculo entre elas.
No MimbleWimble — usado no Grin e no Beam — não existem endereços. Não há nem mesmo valores visíveis. Existem apenas inputs e outputs, e seus tamanhos são ocultos.
Quando um bloco é formado, ele não contém transações individuais com links claros entre cada entrada e saída. Em vez disso, contém:
- uma lista completa de todas as entradas incluídas no bloco,
- uma lista completa de todas as saídas criadas no bloco,
- e uma prova matemática de que o balanço geral está correto.
Não há registro de quem enviou moedas para quem. Além disso, se a saída de uma transação for gasta dentro do mesmo bloco que incluiu sua transação pai, essas entradas e saídas intermediárias desaparecem completamente do histórico da blockchain.
Um observador externo vê apenas que algumas moedas foram destruídas e outras criadas.
No entanto, as transações não são confidenciais para os nós da rede que as processam antes da inclusão em um bloco. Enquanto uma transação se propaga pela rede, o vínculo entre suas entradas e saídas é visível. Se alguém monitorar ativamente a propagação de transações antes da inclusão em bloco, poderá ser capaz de reconstruir partes do grafo.
MWEB no Litecoin: Endereços Que Na Verdade Não Existem
A rede Litecoin implementou uma extensão chamada MimbleWimble Extension Block (MWEB). Esta não é uma cadeia MimbleWimble separada como Grin ou Beam, mas uma camada adicional embutida na blockchain principal.
As moedas podem ser:
- movidas de UTXOs regulares para o MWEB,
- usadas dentro do MWEB,
- e posteriormente retiradas de volta para o Litecoin padrão.
Em certo sentido, isso lembra o Ark no Bitcoin — exceto que não há um único operador. Os "operadores" são os nós da rede e, claro, os mineradores que incluem entradas e saídas em blocos.
Para conveniência do usuário, a implementação do MWEB do Litecoin inclui funcionalidade de endereço. Existem strings que parecem endereços e a blockchain entende quando uma transação é enviada para um "endereço MWEB."
Mas esses endereços existem apenas no nível da interface do usuário. Dentro dos blocos MWEB propriamente ditos, não há endereços — apenas listas agregadas de inputs e outputs.
Monero: "Eu Sou Espártaco!"
É basicamente assim que o Monero funciona.
Quando você envia uma transação, sua carteira pega sua moeda e a mistura com várias outras saídas históricas não relacionadas da blockchain como iscas. Do ponto de vista de um observador externo, a transação poderia ter sido iniciada por qualquer membro daquele grupo.
Ao mesmo tempo, o Monero oculta o destinatário usando endereços "stealth" de uso único: um endereço único é gerado para cada pagamento (similar em espírito aos Pagamentos Silenciosos), e ele não pode ser vinculado ao endereço público do destinatário. Os valores das transações também são ocultos.
Essa é atualmente a forma mais agressiva de confidencialidade on-chain. É justamente por isso que os reguladores tendem a não gostar do Monero.
Mas "mais agressiva" não significa automaticamente "mais à prova de futuro." Mesmo que os próprios registros da blockchain sejam opacos, eles ainda existem. E ninguém pode ter absoluta certeza de que novas técnicas analíticas não surgirão um dia capazes de extrair mais informação desses registros.
Esse risco potencial distingue o Monero de sistemas como a Lightning Network, onde os registros de transações simplesmente não existem on-chain.
De fato, um conhecido entusiasta do Bitcoin conhecido como Supertestnet vem realizando um desafio há meses: ele pede a usuários de Monero que lhe enviem um pagamento via Lightning, e em troca ele lhes envia um pagamento equivalente em Monero. Depois convida-os a comparar quanto cada remetente consegue descobrir sobre o destinatário. Curiosamente, às vezes ele consegue extrair alguma informação sensível dos dados limitados registrados na blockchain Monero.
Em Conclusão: Não Existe Confidencialidade Universal
Vamos colocar tudo em uma imagem simples.
Quer se proteger de censura direcionada por emissores ou vigilância financeira? Então Liquid é sua ferramenta. Ele faz esse trabalho muito bem. A Tether não pode ver seu saldo USDT na Liquid e não pode congelá-lo, e golpistas não conseguem saber quais endereços valem a pena atacar com phishing.
Quer esconder a origem das suas moedas e se proteger de abuso por AML? Escolha a Lightning Network. O destinatário não pode ver de onde vieram os fundos.
Você só precisa impedir que transações de entrada sejam vinculadas à sua identidade pública? Use Pagamentos Silenciosos no Bitcoin ou uma solução similar no Stellar.
Quer que ninguém veja o grafo de transações? Olhe para MimbleWimble (Grin, Beam, Litecoin), Ark ou Zcash.
Quer ocultar tudo hoje — remetente, destinatário, valor e grafo — mesmo que exista um pequeno risco de que futuras análises possam desvendar parte disso? É aí que o Monero entra.
Esperando pelo que vem a seguir? Fique de olho no Shielded CSV.
Cada tecnologia foi projetada para lidar com um modelo de ameaça específico. Não faz sentido criticar um martelo porque ele é ruim em apertar parafusos. Liquid faz exatamente o que foi construído para fazer. Só não estava resolvendo o problema que eu pensei que estava resolvendo — e eu não tirei tempo para entender isso antes de recomendá-lo a você.
Agora eu entendi. E espero que isso também tenha ajudado você a entender.
