En el momento en que publicas una dirección de donaciones, has publicado un libro contable público de todos los que te apoyan y exactamente cuánto has recaudado. Esa es la parte que la mayoría de los proyectos no piensa a fondo. Una sola dirección publicada es cómoda, pero cada contribución a ella es permanente, pública y atribuible: cualquiera puede ver la wallet de cada donante, la cantidad, el momento y tu total acumulado. Para un creador eso es un problema de privacidad para sus simpatizantes; para una organización sin fines de lucro o un proyecto de código abierto puede ser un problema de seguridad para los donantes y uno estratégico para la organización.
Este artículo trata sobre recibir donaciones en Solana sin convertirlas en datos de vigilancia, protegiendo tanto la privacidad del donante como tu tesorería.
Qué expone realmente una dirección de donaciones pública
Publica una dirección y acepta todo en ella, y la cadena pasa a registrar:
- La wallet de cada donante. Un simpatizante que dona desde una wallet ligada a su identidad acaba de publicar "apoyo este proyecto" para siempre. Para causas políticamente sensibles, periodismo o cualquier cosa polémica, ese vínculo puede ser un riesgo real para el donante.
- Tu total exacto, en vivo. Competidores, contrapartes y curiosos pueden leer tu recaudación en tiempo real. No hay "no lo divulgamos": está en el explorador.
- Tu gasto. Cada salida desde la dirección de donaciones es igual de pública. Proveedores, salarios y subvenciones pagadas desde ella son todos atribuibles, que es el mismo problema que enfrentan las tesorerías: /blog/dao-treasury-privacy-on-solana.
Cifrar las cantidades no arreglaría el problema central aquí: las relaciones (quién te apoya, a quién pagas) son los datos sensibles, y esos siguen siendo públicos aunque las cifras estén ocultas. /blog/encrypted-amounts-are-not-private explica por qué.
Dos lados que proteger: el donante y el destinatario
La privacidad de las donaciones tiene dos mitades independientes, y cuál te importe define la configuración.
Proteger a los donantes significa que un simpatizante pueda dar sin publicar el vínculo entre su wallet portadora de identidad y tu causa. El donante lo hace por su lado: deposita en el pool blindado desde su propia wallet y luego hace que el retiro se entregue a tu dirección de donaciones. La cadena muestra su wallet depositando en un pool y un retiro no relacionado llegando a tu dirección, sin ninguna arista que conecte al simpatizante contigo. De tu lado, simplemente recibes fondos. (Si publicas una guía para donantes, /blog/sending-sol-without-revealing-your-main-wallet es el paso a paso al que dirigirlos.)
Proteger a la organización significa que tu total y tu gasto no sean un libro abierto. En lugar de acumular todo en una sola dirección visible, los fondos pueden moverse a través del pool para que las entradas que controlas y las salidas que haces no queden trivialmente atadas en un único saldo público y grafo de pagos.
Una configuración viable
No existe un único "botón de donar" que haga todo esto por arte de magia, pero las piezas se combinan limpiamente:
- Acepta en un conjunto rotativo de direcciones frescas, no en una dirección eterna. Una sola dirección de donaciones de larga vida es el peor caso: lo agrega todo. Rotar los destinos limita cuánto revela cualquier dirección individual. Cada una debería ser fresca en el sentido de /learn/choosing-a-recipient-address.
- Dile a los donantes preocupados por la privacidad que pueden dar a través del pool. Los donantes que quieran ocultar su apoyo depositan en el pool blindado y dirigen el retiro a tu dirección. Su wallet de identidad nunca aparece conectada contigo.
- Acepta el activo que realmente quieres. Si prefieres mantener USDC en lugar de SOL, los donantes (o tú, al retirar) pueden convertir dentro del paso privado —/blog/swapping-sol-to-usdc-privately— para que no tengas que hacer después un swap público y correlacionable de los fondos donados.
- Mueve los fondos acumulados a través del pool antes de gastarlos. Cuando pagas a un proveedor o a un colaborador, enrutar a través del pool blindado rompe el vínculo entre "donaciones que entran" y "este pago concreto que sale", la misma disciplina que cualquier pago privado.
Los límites honestos
Algunas cosas que conviene dejar claras, porque prometer de más sobre la seguridad del donante es peor que inútil:
- El donante controla su propia privacidad. Si un donante da directamente desde una wallet ligada a su identidad a tu dirección pública, tú no puedes ocultarlo retroactivamente por él. La privacidad del lado del donante es una acción del lado del donante.
- La divulgación off-chain sigue filtrando. Si un donante tuitea públicamente "acabo de dar 10 SOL a X" y el momento coincide con un retiro del pool a tu dirección, la inferencia es suya de evitar. La privacidad es una cadena de etapas; la cadena de bloques es una de ellas. /learn/what-solmask-cannot-protect-you-from.
- El cumplimiento normativo y la contabilidad son tu responsabilidad. La privacidad del grafo público y tus propias obligaciones contables son cosas separadas; este artículo trata de lo primero, no es asesoramiento sobre lo segundo.
Por dónde empezar
Lee la /blog/solana-wallet-privacy-checklist para la disciplina operativa, y luego configura tu primer flujo de recepción privada en /swap. Si gestionas una tesorería junto con las donaciones, /blog/dao-treasury-privacy-on-solana extiende las mismas ideas a los pagos a proveedores y colaboradores.
FAQ
P. ¿Puedo hacer que mi recaudación total sea completamente invisible? R. Puedes hacerla mucho más difícil de leer al no agregar todo en una dirección pública y al mover fondos a través del pool, pero en una cadena pública la opacidad perfecta de la tesorería no es una garantía que nadie honesto debería prometer. El objetivo es eliminar la lectura fácil, de un solo vistazo.
P. ¿Cómo dona un donante de forma privada? R. Deposita en el pool blindado desde su propia wallet y hace que el retiro se entregue a tu dirección. La conexión entre su wallet y tu causa nunca se vuelve una arista pública. Diríjelos a /blog/sending-sol-without-revealing-your-main-wallet.
P. ¿Debería publicar una sola dirección de donaciones o varias? R. Prefiere rotar direcciones frescas. Una sola dirección eterna agrega cada contribución y cada pago en un único saldo y grafo totalmente públicos.
P. ¿Puedo aceptar donaciones en USDC aunque los donantes envíen SOL? R. Sí: la conversión puede ocurrir dentro del retiro privado, de modo que no hay un swap público aparte. Ver /blog/swapping-sol-to-usdc-privately.