作者：nothingmuch

来源：https://spiralbtc.substack.com/p/the-scroll-2-wallet-clustering-basics

比特币交易所形成的图谱（graph）有许多可以观察到的模式。这些模式中的一部分已经得到了研究，并且用来猜测关联到同一个钱包的钱币，理论和实践皆有。

每一笔交易都由一组输入（“聪（sat）” 的来源）和一组输出（聪的去处）组成。输入会指向以往交易的输出。输出则将一些比特币锁定在特定的花费条件（也即 “地址”，也可称为“公钥脚本”或“输出脚本”）中。“关联钱币”意味着识别出控制着一组交易输出（不论是否已经花费过）的密钥的主体。

比特币白皮书的第 10 个章节“隐私性”简要讨论了钱币关联：

应该为每一笔交易使用一对新的密钥，以防止这些交易被关联起来、指向同一个主人。

当相同的公钥控制着多个钱币时，这些钱币显然就有关联，因为可以假设只有一个主体知道这个公钥背后的私钥（从而同时控制着这几个钱币）。

然而，地址复用并不是唯一的危险。白皮书继续说：

一些关联依然是不可避免的：携带多个输入的交易，必然会表明，这些输入有同一个主人。

这个假设通常被称为“输入来源同一性（common input ownership heuristic）”，缩写为 “CIOH”，也叫 “多输入线索”。它只是一种线索，因为，不像这段引文说的那么绝对，反例是存在的。不过，虽然它并不必然为真，但常常为真。

过去几年中，出现了更加复杂的钱包聚类分析方法。比如说，将交易的找零输出与支付输出区分开来、使用交易图中的更大结构（而不是只分析一笔交易）。部分方法已经在学术论文中得到了描述，但也一些依然密不示人。提升后的方法可以关联更多钱包，或者可以避免所谓的 “聚类崩溃”，也就是不同用户的钱币被错误的关联起来。商业产品常常还能从额外的信息源受益，比如 KYC 数据，并不完全依赖于用户在使用比特币协议时泄露的隐私；但是，聚类分析依然是中心主题。

这催生了一种隐私性的对抗性框架， 其中去匿名化攻击尝试将钱币划分到不同集群。从这个视角出发，捍卫隐私就意味着，要让敌手更加难以正确地将钱币划分到不同集群。最著名的案例包括协作式的交易构造，不论是公开制造困难的 CoinJoin 协议，还是悄悄地制造难题的 PayJoin，又或者这种困难最显然只是软件工作原理的一部分的闪电节点交易，在所有情形中，这种最简单的假设（CIOH）都会被搭配，只能进行更精细的分析。

这种对抗性框架也表明，不同的敌手拥有不同的能耐，合适的对抗模式取决于用户所面临的威胁模型：你是更加担心专制政府的监视，还是来自你的交易对手的窥探？

后续的文章将深入这些主题的细节。

nothingmuch2025-10-21
https://www.btcstudy.org/2025/10/21/the-scroll-2-wallet-clustering-basics/