Mitos Lightning "off-chain jadi privat": apa yang penelitian akademik ungkap pada 2026

Gagasan umum, dan masalahnya

"Lightning Network itu privat karena transaksinya off-chain." Kalimat ini, diulang sejak 2018 di hampir semua pitch Bitcoin untuk umum, adalah secara teknis benar tapi secara semantik menyesatkan. Benar: ya, pembayaran antara pembukaan dan penutupan saluran tidak menyentuh blockchain Bitcoin. Menyesatkan: tidak, tidak adanya catatan on-chain tidak cukup untuk membentuk privacy dalam arti yang biasanya dimaksud.

Penelitian akademik 2024-2026, terutama makalah ScienceDirect "Timechain-level modeling and analysis of the Bitcoin Lightning Network", studi universitas yang diangkat oleh gncrypto tentang "Lightning Network economically irrational and has privacy shortcomings", dan beberapa publikasi terkait, dengan sabar menguraikan mengapa intuisi sederhana ini tidak bertahan.

Enam kebocoran struktural

1. Graf publik

BOLT 7, protokol gossip, menyebarkan ke node-node di jaringan saluran yang diumumkan beserta kapasitas, peer, dan kebijakan routing mereka. Informasi ini publik secara konstruksi dan diindeks secara real-time oleh crawler komersial. Saluran yang diumumkan tidak memiliki privacy dalam arti topologis.

2. Invoice BOLT 11

Invoice Lightning standar (BOLT 11) mengenkode dalam teks verbosenya: node ID penerima, jumlah tepat, payment hash, kedaluwarsa, deskripsi. Mendekode invoice yang dipublikasikan, di situs e-commerce, di Twitter, di email, sudah berarti memperoleh bagian substansial dari metadata pembayaran.

3. Payment hash dalam transit

Setiap node perantara yang merutekan HTLC melihat payment hash dan tujuan berikutnya. Onion routing membatasi jangkauannya, setiap node hanya melihat dari siapa dan ke siapa ia merutekan, tapi tidak menghilangkan korelasi. Penyerang yang mengendalikan beberapa node dapat merekonstruksi jalur melalui timing analysis dan hash matching.

4. Channel announces dan closes

Pembukaan dan penutupan saluran adalah transaksi on-chain biasa. Meskipun format SegWit terbaru (Taproot, Schnorr) membuat channel funding transactions tidak dapat dibedakan dari pembayaran single-sig klasik, pola penggunaan tetap dapat diidentifikasi: timing, jumlah simetris, co-spending.

5. Heuristik pembayar / dibayar

Makalah ScienceDirect memformalkan beberapa heuristik yang memungkinkan pengamat mengajukan hipotesis tentang asal dan tujuan pembayaran, bahkan tanpa kontrol langsung atas node perantara. Misalnya: jika node A memiliki kapasitas keluar yang berkurang N satoshi dalam detik yang sama saat node B memiliki kapasitas masuk yang bertambah N satoshi (modulo fees), A→B adalah hipotesis rasional. Heuristik ini bukan bukti, tapi bekerja dengan 60-80% akurasi pada pembayaran ukuran menengah.

6. Layanan custodial

Wallet of Satoshi, Strike, Cash App dan semua wallet custodial melihat seluruh pembayaran pengguna mereka dan menyimpan log. Kebocoran ini masif dan tidak dapat ditambal oleh peningkatan protokol: arsitektur custodial yang memaparkan, bukan LN itu sendiri.

Peningkatan protokol yang sedang berlangsung

BOLT 12, offers

Dideploy di LND v0.18 dan CLN awal 2026, BOLT 12 memperkenalkan format invoice persisten baru. Alih-alih membagikan invoice unik per pembayaran (yang memaparkan node ID penerima), penerima mempublikasikan offer, referensi persisten. Pembayar, dengan terhubung ke offer ini, menerima route blind yang berakhir di penerima tanpa memaparkan node ID-nya. Ini adalah peningkatan struktural paling signifikan sejak bertahun-tahun.

Blinded paths

Mekanisme terkait BOLT 12: penerima dapat mempublikasikan blinded path yang menggambarkan cara mencapainya melalui rangkaian node perantara tanpa pembayar melihat identitas akhir. Pembayar menyusun routingnya menggunakan bagian blind dari jalur. Dengan demikian, baik asal maupun tujuan tidak saling memaparkan node ID lengkap mereka.

Payment-point endpoint privacy

Sebuah pekerjaan lebih baru (IETF / LND v0.19) mengeksplorasi penggunaan titik kriptografis alih-alih payment hash untuk pembayaran LN. Tujuannya adalah mematahkan heuristik berbasis matching hash antar node perantara. Ini masih eksperimental pada Mei 2026.

Praktik jujur pada 2026

Bagi pengguna yang ingin membayar dengan LN dengan privacy yang wajar pada 2026, penjumlahan dari apa yang berhasil adalah:

• Wallet self-hosted wajib, Phoenix, Blixt, Zeus dengan backend LND/CLN yang di-host sendiri. Tidak custodial.
• Node berjalan seluruhnya di belakang Tor, hanya satu endpoint .onion yang dipaparkan.
• Saluran privat secara default, tidak announce kecuali Anda perlu dirutekan secara publik.
• BOLT 12 offers untuk menerima pembayaran tanpa mempublikasikan node ID Anda.
• Banyak jalur rebalance melalui swap services dan atomic swaps jika memungkinkan.
• Penerimaan sadar bahwa melawan penyerang komersial yang well-equipped (Chainalysis, Elliptic), privacy tidak akan absolut; dan bahwa LN tidak pernah mengklaim demikian melawan penyerang state-level.

Framing yang tepat

Lightning Network bukan alat privacy dalam arti Monero. Ia adalah alat skalabilitas dengan jendela privacy prosedural yang tertutup begitu operator membuat pilihan default. Ketika artikel ini mengatakan bahwa mitos "off-chain jadi privat" tidak bertahan, bukan untuk mendiskuragikan penggunaan LN, melainkan untuk menyesuaikan ekspektasi. Node LN yang dikonfigurasi dengan baik tetap jauh lebih baik dalam privacy daripada kartu bank, Stripe checkout, atau exchange terpusat. Ia hanya tidak setara dengan Monero, dan tidak akan demikian selama peningkatan protokol yang sedang berlangsung belum mencapai maturitas deploy penuh.