Huyền thoại Lightning « off-chain nên riêng tư »: những gì nghiên cứu học thuật đã phát hiện vào năm 2026

Quan niệm sai lầm, và vấn đề của nó

« Lightning Network riêng tư vì các giao dịch off-chain. » Câu này, được lặp đi lặp lại từ 2018 trong hầu hết các bài thuyết trình Bitcoin đại chúng, về mặt kỹ thuật đúng nhưng về mặt ngữ nghĩa gây hiểu lầm. Đúng: vâng, các khoản thanh toán giữa mở và đóng kênh không chạm đến blockchain Bitcoin. Gây hiểu lầm: không, việc không ghi chép on-chain không đủ để tạo nên tính riêng tư theo nghĩa thông thường.

Nghiên cứu học thuật 2024-2026, đặc biệt là bài báo ScienceDirect « Timechain-level modeling and analysis of the Bitcoin Lightning Network », nghiên cứu đại học được gncrypto đăng lại về « Lightning Network economically irrational and has privacy shortcomings », và nhiều công trình liên quan, đã kiên nhẫn phân tích tại sao trực giác đơn giản này không đứng vững.

Sáu rò rỉ cấu trúc

1. Đồ thị công khai

BOLT 7, giao thức gossip, phát tán đến các node trong mạng các kênh được công bố với dung lượng, các peer và chính sách định tuyến của chúng. Thông tin này công khai theo cấu trúc và được các crawler thương mại lập chỉ mục theo thời gian thực. Một kênh được công bố không có tính riêng tư về mặt topo.

2. Các invoices BOLT 11

Một invoice Lightning tiêu chuẩn (BOLT 11) mã hóa trong văn bản verbose của nó: node ID người nhận, số tiền chính xác, payment hash, thời hạn, mô tả. Giải mã một invoice được công bố, trên trang thương mại điện tử, trên Twitter, trong email, là đã có được một phần đáng kể metadata của khoản thanh toán.

3. Các payment hash trong quá trình truyền

Mỗi node trung gian định tuyến HTLC nhìn thấy payment hash và đích tiếp theo. Onion routing giới hạn phạm vi, mỗi node chỉ thấy từ ai và đến ai nó định tuyến, nhưng không loại bỏ tương quan. Một kẻ tấn công kiểm soát nhiều node có thể tái tạo đường đi qua timing analysis và hash matching.

4. Các channel announces và closes

Việc mở và đóng kênh là các giao dịch on-chain thông thường. Mặc dù các định dạng SegWit gần đây (Taproot, Schnorr) làm cho các channel funding transaction không phân biệt được với một khoản thanh toán single-sig cổ điển, các mẫu sử dụng vẫn có thể nhận diện: timing, số tiền đối xứng, co-spending.

5. Các heuristic người trả / người nhận

Bài báo ScienceDirect hình thức hóa nhiều heuristic cho phép một quan sát viên đề xuất một giả thuyết về nguồn gốc và đích đến của khoản thanh toán, ngay cả khi không kiểm soát trực tiếp các node trung gian. Ví dụ: nếu node A có dung lượng đi giảm N satoshis trong cùng giây mà node B có dung lượng đến tăng N satoshis (modulo fees), A→B là giả thuyết hợp lý. Các heuristic này không phải bằng chứng, nhưng chúng hoạt động với độ chính xác 60-80% trên các khoản thanh toán cỡ trung bình.

6. Các dịch vụ custodial

Wallet of Satoshi, Strike, Cash App và tất cả các ví custodial nhìn thấy toàn bộ các khoản thanh toán của người dùng và lưu giữ logs. Rò rỉ này là lớn và không thể bịt được bằng các cải tiến giao thức: chính kiến trúc custodial lộ ra, không phải LN bản thân nó.

Các cải tiến giao thức đang diễn ra

BOLT 12, các offers

Được triển khai trên LND v0.18 và CLN đầu 2026, BOLT 12 giới thiệu định dạng invoice bền vững mới. Thay vì chia sẻ một invoice duy nhất cho mỗi khoản thanh toán (tiết lộ node ID người nhận), người nhận công bố một offer, một tham chiếu bền vững. Người trả, khi kết nối với offer này, nhận được một route blinded kết thúc ở người nhận mà không tiết lộ node ID của họ. Đây là cải tiến cấu trúc quan trọng nhất trong nhiều năm.

Blinded paths

Cơ chế liên quan đến BOLT 12: người nhận có thể công bố một blinded path mô tả cách đến được với họ qua một chuỗi node trung gian mà người trả không thấy danh tính cuối cùng. Người trả tổng hợp định tuyến bằng cách sử dụng phần cuối bị che của đường đi. Như vậy, cả nguồn gốc lẫn đích đến không tiết lộ node ID đầy đủ cho nhau.

Payment-point endpoint privacy

Một công trình gần đây hơn (IETF / LND v0.19) khám phá việc sử dụng các điểm mật mã thay vì payment hashes cho các khoản thanh toán LN. Mục tiêu là phá vỡ các heuristic dựa trên hash matching giữa các node trung gian. Điều này vẫn còn thử nghiệm vào tháng 5 năm 2026.

Thực tiễn trung thực vào năm 2026

Đối với người dùng muốn thanh toán bằng LN với tính riêng tư hợp lý vào năm 2026, tổng hợp những gì hiệu quả cho ra:

• Ví self-hosted bắt buộc, Phoenix, Blixt, Zeus với backend LND/CLN tự quản lý. Không custodial.
• Node chạy hoàn toàn sau Tor, chỉ một endpoint .onion được phơi bày.
• Kênh riêng tư mặc định, không announce trừ khi bạn cần được định tuyến công khai.
• BOLT 12 offers để nhận thanh toán mà không công bố node ID của bạn.
• Nhiều đường rebalance qua swap services và atomic swaps khi có thể.
• Chấp nhận rõ ràng rằng chống lại kẻ tấn công thương mại được trang bị tốt (Chainalysis, Elliptic), tính riêng tư sẽ không tuyệt đối; và nó chưa bao giờ tuyên bố như vậy chống lại kẻ tấn công state-level.

Khung nhìn đúng đắn

Lightning Network không phải công cụ riêng tư theo nghĩa Monero là. Nó là công cụ khả năng mở rộng với một cửa sổ riêng tư theo quy trình đóng lại ngay khi người vận hành đưa ra các lựa chọn mặc định. Khi bài viết này nói huyền thoại « off-chain nên riêng tư » không đứng vững, không phải để nản lòng việc sử dụng LN, mà là để điều chỉnh kỳ vọng. Một node LN được cấu hình tốt vẫn tốt hơn nhiều về riêng tư so với thẻ ngân hàng, Stripe checkout, hoặc exchange tập trung. Nó chỉ không tương đương Monero, và sẽ không như vậy cho đến khi các cải tiến giao thức đang diễn ra đạt đến độ trưởng thành triển khai đầy đủ.