У сфері приватних монет існує така межа — протокол Zerocash. Проекти Zcash, PirateChain, Horizen, Komodo і PIVX використовують цю схему, але чому саме вони обрали її? За цим стоїть досить складна історія.

З теоретичної точки зору, привабливість Zerocash очевидна. Його обіцянка — максимізація анонімності групи користувачів — теоретично може охопити всі вже створені монети на ланцюгу, що значно ускладнює відстеження транзакцій у порівнянні з іншими рішеннями. У поєднанні з технологією zkSNARKs, розмір доказів настільки малий, що їх перевірка відбувається неймовірно швидко. Особливо важливо — повне приховування суми транзакції, що дозволяє користувачам здійснювати анонімні перекази без необхідності обмінюватися на базову валюту спочатку. Це здається ідеальним рішенням для приватних монет.

Але в реальності ніколи не існує ідеальних рішень. Обчислювальні витрати Zerocash колись були справжнім кошмаром — обробка приватних транзакцій вимагала величезних ресурсів. Однак після оновлення до версії Sapling ця проблема значною мірою була вирішена.

Головна проблема — "довірена настройка" (trusted setup). Це не дрібниця. Команда має створити складний механізм довіри для ініціалізації системних параметрів. Якщо у коді є вразливості, криптографія має недоліки або сама довірена настройка була зламаною, наслідки можуть бути катастрофічними — зловмисник може безмежно створювати монети, і цей додатковий запас буде невидимим для системи. Це не лише математична проблема, а й питання системного дизайну.

Як Zcash бореться з цим ризиком? Вони застосували мультисторонню церемонію. Спочатку, у фазі Sprout, залучили шістьох учасників для налаштування, ідея полягає в тому, що — лише коли всі шість згодні і зкоординаційовані, можна розкривати початкові параметри. Іншими словами, потрібно довіряти цим шістьом особам, що вони чесно знищили свої початкові дані і церемонія була проведена правильно.

Однак пізніше виявили недоліки у цій процедурі. Zcash вирішили провести повторну церемонію довіреної настройки, цього разу залучивши вже 88 учасників. Чим більше учасників, тим складніше зговіритися, і теоретично ризик зменшується.

З криптографічної точки зору, Zerocash базується на досить нових теоріях — зокрема, KEA (Knowledge of Exponent Assumption), що є нестандартною криптографічною гіпотезою. Що це означає? Це означає, що безпека системи залежить від того, що ці математичні припущення ніколи не будуть зламані у майбутньому. А що станеться, якщо ці припущення колись зруйнуються? Ризик існує.

Крім того, структура Zerocash настільки складна, що мало хто справді розуміє всі її криптографічні деталі та логіку коду. Така "чорна скринька" породжує побоювання — мало хто володіє повною інформацією, що може призвести до помилок, які довго залишатимуться непоміченими.

Зerocash дійсно зробив крок уперед порівняно з попередником Zerocoin. Недолік Zerocoin — надмірні витрати на створення доказів і обмежена здатність приховувати інформацію. Zerocash за допомогою zkSNARKs зменшив розмір доказів до мінімуму, прискорив їх перевірку і одночасно забезпечив приховування всіх сум транзакцій, а також можливість здійснювати анонімні перекази без обмежень за фіксованими номіналами.

Щодо приватних схем, Zerocash справді є одним із передових. Однак його складність, залежність від довіреної настройки і потенційні криптографічні ризики — це речі, які користувачам потрібно розуміти по-справжньому. Це не просто питання "більше приватності — краще", а постійний баланс між приватністю, зручністю та безпекою.