DAO 金库是世界上唯一一个让你的竞争对手能实时读到每一笔交易的企业银行账户。 那种对治理而言是优点的透明,对运营而言却是负债。你支付的每一位供应商、每一位贡献者的工资、每一笔拨款、每一笔做市分配,以及你精确的现金跑道,全都摆在公开的区块浏览器上,任何愿意花心思去映射你钱包的人都能给它们贴上标签。竞争对手会拿你的跑道来定价。交易对手在和你谈判之前,就先看到了你付给所有其他人的价码。贡献者彼此能看到对方的报酬。这一切都不是治理上的好处——它只是泄露。
这篇文章讲的是如何让金库运营保持机密,同时让金库本身仍然自托管,并对那些理应看到它的人保持可审计。
一个公开的金库究竟泄露了什么
把区块浏览器对准一个已知的金库钱包,你就能读到:
- 现金跑道。 余额加上消耗速率,就等于一个对组织还能存活多久的精确估计。这在任何人手里都是一件谈判武器。
- 每一个交易对手。 供应商、审计方、交易所、做市商、收取加密货币的律所——沿着流出全都可归属。
- 薪酬。 贡献者和核心团队的付款,一旦某个地址被起底,往往可以推断到具体个人。
- 战略。 一笔突然打给做市商的大额转账、一个新的拨款计划、一笔收购款——在任何公告之前就已可见。
这和一个公开捐赠地址造成的暴露是同一种,只不过放大到了整个组织——参见在 Solana 上私密地接受加密货币捐赠。这也是为什么单靠加密金额解决不了问题:真正敏感的是关系(你付给谁、谁付给你),而即便金额被隐藏,这些关系依然公开。加密金额并不等于私密。
在不放弃托管或可审计性的前提下完成机密付款
目标不是把金库变成对它自己成员都不透明的黑箱——而是阻止外部从链上读出每一个运营细节。做法是让付款路由经过屏蔽池,从而切断"金库"与"这笔具体供应商付款"之间的公开关联,同时组织保留自己的记录。
金库存入屏蔽池,然后用零知识证明把每一笔支付作为提款付给各个交易对手。在链上,观察者看到的是金库向某个池子存款,以及一组毫不相关的提款分别落到不同地址——但无法把某一笔付款追溯回金库,也无法把它们彼此关联起来。什么是屏蔽池是底层机制;Relayer解释了为什么收款人无需 gas 也能收到款。
关键在于:
- 自托管完好无损。 资金只有凭一份由金库签名方授权的证明才会被释放;其他任何人都动不了它。这不是托管型混币器,而是一个自托管的池子(屏蔽池)。
- 可审计性是一种选择,而非默认。 组织保留自己的链下记录,可以有选择地向审计方、成员或监管者披露——而不是默认对所有人披露一切。
- 用对的资产付款。 即便金库持有 SOL,给以 USDC 开票的供应商也能用 USDC 付款,兑换发生在提款内部,而非一次公开的兑换——私密地把 SOL 兑换成 USDC。
常见的金库资金流
- 贡献者薪资发放。 给一份名册发薪,而不公布每个人的报酬或完整的团队图谱。这有专门的教程:在 Solana 上私密发薪。
- 供应商与服务付款。 审计、基础设施、法务、市场——付款时不把关系或金额暴露成一条干净的公开边。
- 拨款与生态资助。 在你准备好公告之前,资助接收方而不广播该计划的规模与节奏。
- 做市与 OTC 分配。 把规模转给交易对手,而不向市场发出信号——在 Solana 上私密 OTC 交易。
组织层面的纪律
Solana 钱包隐私清单里的操作规则同样适用,只是带上金库的特别考量:
- 别从一个可见地址在短时间内集中给所有人付款。 一簇在时间上挤在一起、金额又有辨识度的提款,会被观察者归并到一起。把付款拉开间隔、取整。
- 在给池子注资和付款之间用一段真正的隐私延迟——隐私延迟详解。
- 尽可能给交易对手用全新的收款地址;一个带可归属历史的供应商钱包会把付款重新连起来(选择收款地址)。
- 在金额上随大流。 从一个流量稀薄的池子里付出一笔异类金额,就会把来源重新识别出来——Solana 上的匿名集合。
诚实的边界
机密运营不等于逃避义务。一个 DAO 在它承诺过的地方,仍然欠它的成员治理透明;也可能欠审计方或监管者一些披露——对公开市场保持隐私,与对正确的相关方做选择性披露,是可以兼容的,但后者是组织的工作,而不是协议的工作。而且,没有任何公开的匿名集合能击败一个已经掌握你链下记录的对手。SolMask 无法保护你免受什么以及威胁模型。
先梳理一下今天哪些金库资金流暴露得最厉害,然后优先把它们挪进池子。从/swap开始。
FAQ
问:DAO 难道不需要一个透明的金库来支撑治理吗? 答: 它需要的是对成员和审计方的透明——而选择性披露正好提供了这一点。它并不需要把每一位供应商、每一笔工资、每一段跑道都广播给竞争对手和公开市场。那是不同的受众。
问:这是托管型的吗?谁掌控资金? 答: 金库掌控。资金只能凭一份由其签名方授权的证明离开。它是一个自托管的屏蔽池,而不是某个第三方替你保管钱。
问:我们还能为审计出具记录吗? 答: 能。组织保留自己的链下记录,并向它选择的对象披露。公开图谱的隐私与内部记账是相互独立的。
问:我们能从一个持有 SOL 的金库里用 USDC 给供应商付款吗? 答: 能——在提款内部完成兑换,这样就不会有一笔单独的、对金库资金的公开兑换。参见私密地把 SOL 兑换成 USDC。
问:第一个该转为私密的资金流是什么? 答: 通常是薪资和周期性的供应商付款——这些一旦按公开的时间表重复,最容易泄露团队规模、节奏和跑道。从这里开始:在 Solana 上私密发薪。