Private Zahlungen auf Bitcoin nichts Lesbares on-chain
zkCoins bringt echte Privatsphäre zu Bitcoin. Beträge, Sender, Empfänger und Historie bleiben off-chain — bewiesen mit Zero-Knowledge, während jeder Transfer nur einen ~64-Byte-Nullifier auf Bitcoin veröffentlicht.
Kein Soft ForkSelf-custodialZero-KnowledgeKein Coordinator
~140 vBytes · vollständig öffentlich · eine pro Zahlung
eine Größenordnung kleiner
zkCoins-Transfer
ein ~64-Byte Nullifier
~16 vBytes on-chain · Coin-Daten off-chain
Coin-Daten berühren die Chain nie. Jeder Transfer veröffentlicht einen ~64-Byte-Nullifier auf Bitcoin — etwa 16 vBytes gegenüber ~140 bei einem regulären Transfer — konstant, egal wie viele Coins er bewegt.
"Use the chain for what the chain is good for — an immutable ordering of commitments to prevent double-spending."
— Robin Linus, Co-Autor von Shielded CSV
Whitepaper · ePrint 2025/068
Shielded CSV: Private and Efficient Client-Side Validation
Eine privatsphärewahrende Variante von Client-Side Validation, direkt auf Bitcoin abgewickelt.
Autoren
Jonas Nick (Blockstream) · Liam Eagen (Alpen Labs) · Robin Linus (ZeroSync)
Veröffentlicht
Januar 2025 (ePrint) · September 2024 (Whitepaper)
Client-Side Validation entkoppelt die Transaktionsvalidierung vom Bitcoin-Konsens, indem sie zum Empfänger wandert. Shielded CSV verbessert frühere CSV-Designs, indem die Transaktionshistorie vollständig verborgen bleibt: jeder Transfer leakt nur einen 64-Byte-Nullifier an die Chain, der Rest wird client-seitig über succinct Zero-Knowledge-Proofs verifiziert. Das Protokoll ist mit Bitcoin as-is kompatibel — kein Soft Fork, kein Hard Fork — und zielt auf grob eine Größenordnung mehr Transaktionen pro Sekunde als die Base Layer allein.
zkCoins v1 implementiert das Modell des Papers getreu: jeder Transfer veröffentlicht seinen ~64-Byte-Nullifier direkt auf Bitcoin als halb-aggregierte Signatur, sodass die Chain selbst jeden Nullifier garantiert, den ein Verifier für seine Double-Spend-Prüfungen braucht — keine Off-Chain-Batch-Daten, keine Data-Availability-Annahme. Etwa 16 vBytes on-chain pro Transfer, in der Größenordnung von ~100 Transaktionen pro Sekunde.
Private Transfers, ein winziger Nullifier auf Bitcoin
Coin-Daten bleiben off-chain. Jeder Transfer veröffentlicht nur einen ~64-Byte-Nullifier auf Bitcoin, bewiesen mit Zero-Knowledge — so gewinnen Privatsphäre und ein kleiner On-Chain-Footprint gleichzeitig.
On-Chain-Footprint
Ein Nullifier pro Transfer
Coin-Daten berühren die Chain nie. Jeder Transfer veröffentlicht einen ~64-Byte-Nullifier auf Bitcoin — nichts Lesbares über Beträge oder Parteien.
Transaktionsgraph
Nichts verknüpfbar
Anders als bei RGB oder Taproot Assets bleibt die Historie unter einem Zero-Knowledge-Proof verborgen. Empfänger prüfen die Gültigkeit, ohne je die Herkunft zu sehen.
Kompatibilität
Bitcoin, unverändert
Kein Soft Fork, kein Hard Fork. CSV-Protokolle nutzen die Chain nur für Ordering und Double-Spend-Prävention.
Kosten
Ein Bruchteil eines Bitcoin-Transfers
Jeder Transfer kostet etwa 16 vBytes on-chain — ein Bruchteil eines ~140-vByte-Bitcoin-Transfers, grob eine Größenordnung kleiner — konstant, egal wie viele Coins er bewegt.
So funktioniert's
Die Chain ordnet, der Empfänger validiert
Klassische Blockchains verlangen, dass jeder Node jede Transaktion validiert. Shielded CSV kehrt das um — Validierung wandert zum Empfänger, und Bitcoin tut nur, wofür es einzigartig gut ist.
1
Sender beweist
Der Sender erzeugt einen Transfer und einen succinct Validity-Proof der gesamten Historie des Coins — konstante Größe, egal wie alt der Coin ist.
2
Proof geht an den Empfänger
Der Proof reist direkt zum Empfänger, off-chain. Nur Sender und Empfänger sehen je Beträge, Parteien und Historie — keine Beträge oder Parteien werden auf die Chain geschrieben.
3
Der Nullifier wird auf Bitcoin veröffentlicht
Der ~64-Byte-Nullifier des Transfers wird als halb-aggregierte Signatur auf Bitcoin veröffentlicht. Publishing ist permissionless — jede Wallet kann selbst veröffentlichen — und die Chain selbst hält jeden Nullifier, den ein Verifier braucht.
4
Empfänger verifiziert client-seitig
Der Empfänger re-verifiziert den vollständigen Zero-Knowledge-Proof des Coins lokal — ein einzelner constant-time Check, egal wie lang die Historie ist — und akzeptiert ihn, ohne einer Drittpartei zu vertrauen.
5
Bitcoin verhindert Double-Spends
Bitcoin verzeichnet jeden Nullifier in kanonischer Reihenfolge, und das erste On-Chain-Vorkommen des State-Keys eines Coins wählt dessen einen gültigen Übergang. Die eine Aufgabe der Chain: garantieren, dass jeder Coin genau einmal ausgegeben wird — ohne dass Off-Chain-Daten nötig sind.
In Zahlen
Bitcoin, neben Shielded CSV
Metrik
Bitcoin (regulär)
zkCoins v1
On-Chain-Daten
volle Transaktion (~140 vBytes)
~64-Byte-Nullifier pro Transfer
Kosten pro Transfer
~140 vBytes
~16 vBytes pro Transfer
Privatsphäre
Keine — vollständig öffentlich
Voll — nichts Lesbares on-chain
Verifikation
Volles Script pro Tx
1× Transfer-Proof
Proof-Größe
N/A
Konstant, unabhängig von der Historie
Grenzen
Was Shielded CSV nicht ist
Privatsphäre ist hier strukturell, kein nachträglicher Aufsatz. Es lohnt sich, präzise zu sagen, was dieses Protokoll bewusst nicht ist.
Keine Sidechain
Es nutzt Bitcoin L1 direkt — kein separater Konsens, keine Bridge zu einer fremden Chain.
Kein Rollup
Kein Sequencer, kein Data-Availability-Layer — die Nullifier liegen auf Bitcoin selbst. Validity-Proofs wandern peer-to-peer zwischen Sender und Empfänger; der ~64-Byte-Nullifier jedes Transfers wird auf Bitcoin L1 verankert.
Kein Mixer
Privatsphäre ist strukturell, keine Obfuskation — ein globales Anonymity-Set aller Coins, kein kleiner Pool pro Runde.
Kein Token
Kein natives Protokoll-Token zum Bootstrappen. Wert lebt in client-side-validierten Coins.
Kein Soft Fork
Es läuft auf Bitcoin, wie es heute existiert — keine Konsensänderung, keine neuen Opcodes.
Roadmap
Der Weg zum Mainnet
AktivAls NächstesGeplantHorizont
Phase 01
Foundation
Q2 2026Aktiv
Der Proving-Stack und die Wallet–Server-Grenze. Alles Downstream hängt davon ab.
Zero-Knowledge-Circuit-Migration.Den State-Transition-Circuit auf ein rekursionsfähiges Proving-System mit SNARK-freundlichem Hash bringen.
Server-seitiges Proving auf Commodity-Hardware.Single-Host-Apple-Silicon-Ziel — keine GPU-Farmen, kein Cloud-Proving-Service. Die Wallet hält nur den Private Key.
Wallet-Grenze via BIP-340 Schnorr.Die Wallet signiert einen SHA-256-Digest des server-berechneten States. Kein Zero-Knowledge im Browser.
End-to-End-Roundtrip auf Signet.Account anlegen, minten, senden, empfangen — der volle User-Loop läuft auf einem öffentlichen Bitcoin-Testnet.
Phase 02
Pre-Mainnet-Härtung
Q3 2026Als Nächstes
Die Protokoll-Lücken zwischen „läuft auf Signet“ und „sicher mit echtem Bitcoin“ schließen.
Recipient-Commitments verbergen.Den residualen Link zwischen Sender, Empfänger und Coin-Identifier eliminieren.
Reorg-sichere Nullifier-Akkumulation.Kontrolliert degradieren, wenn sich die kanonische Chain reorganisiert — statt stecken zu bleiben.
Per-Coin-Freshness-Proofs.Empfänger prüfen das Alter eines Coins lokal, ohne einer Drittpartei zu vertrauen.
Paper-abgeleitete Security-Testsuite.Der volle Satz formaler Eigenschaften aus dem Shielded-CSV-Paper, kodiert als Failing-Witness-Tests.
Phase 03
Trustless BTC-Bridge
Q4 2026Geplant
Mint und Burn gegen natives BTC, ohne dem Issuer zu vertrauen. Die größte user-facing Trust-Lücke schließt sich hier.
BitVM2- / Clementine-artige Bridge.1-of-N Honesty Trust Model. Dieselbe Konstruktion, die auf Citrea Mainnet läuft.
Rekursiver Bitcoin Light Client.Ein succinct Proof, dass ein Deposit bei Depth ≥ 6 in der kanonischen Chain gelandet ist.
Rekursion → Groth16-Wrapping.Unsere rekursionsfreundlichen Proofs in einen Verifier bringen, den Bitcoin Script prüfen kann.
Federation-Scaling: N=3 → N=100.Start mit einer Single-Operator-Federation; Wachstum auf hundert unabhängige Mitglieder, bei denen eine ehrliche Key-Deletion genügt.
Wert atomar zwischen Lightning und zkCoins bewegen — kein Provider-Trust, keine custodial Bridge.
HTLC auf der Nullifier-Funding-Transaktion.Atomizität lebt auf Bitcoin Layer 1, nicht auf der privaten Coin-Layer. Standard-Primitive, kein Soft Fork.
Symmetrische LN ↔ zkCoins-Flows.Mit Lightning-Sats kaufen und zurück in Lightning-Sats verkaufen — beide Richtungen trustless.
Von Providern vorgestreckte Liquidität.Jeder kann einen Swap-Provider betreiben; das Protokoll erzwingt Ehrlichkeit, nicht der Operator.
Privatsphärewahrendes Swap-Muster.Ein Swap-Provider lernt die LN-Seite, nie den internen zkCoins-Graphen.
Phase 05
Langfristige Positionierung
2027 +Horizont
Die Bridge-Technologien von heute durch die von morgen ersetzen — ohne das Protokoll zu ändern.
Next-Generation-Proving-System.Port auf ein kleineres Field mit schnellerem Hash, sobald sich der Upstream-Stack stabilisiert hat. Algorithmische Struktur bleibt.
Bridge-Construction-Upgrade.Drop-in-Nachfolger von BitVM2 (Glock, Mosaic) senken On-Chain-Dispute-Kosten um zwei Größenordnungen. Circuit-Contract unverändert.
Federation-Diversity.Unabhängige Organisationen als Federation-Mitglieder gewinnen, bis one-honest-deletion eine sinnvolle Annahme ist.
Bridge-Verifier Trusted Setup.Eine Ceremony mit 30–60 Contributors ersetzt den Single-Contributor-Groth16-Parametersatz zum Testen des Bridge-Verifiers — zkCoins' eigene Proofs sind transparent (FRI) und brauchen kein Setup.
Hinweis. Daten markieren Ziel-Fenster für die Engineering-Arbeit, kein garantiertes Mainnet-Datum. zkCoins läuft in einer öffentlichen Testumgebung, bis die Pre-Mainnet-Härtung abgeschlossen ist; bis dahin steht kein echtes Bitcoin auf dem Spiel.
zkCoins bringt Shielded CSV in eine self-custodial Wallet — privates Bitcoin auf L1, kein Soft Fork. Wir halten eine offene Leitung für Venture Funds, Family Offices und strategische Angels, die das Projekt evaluieren.
Das Protokoll basiert auf publizierter Forschung (ePrint 2025/068), der Stack ist Open Source, die Roadmap ist öffentlich. Wir sammeln nicht aktiv Kapital ein — sind aber offen für Gespräche vor dem Mainnet.
zkCoins ist eine self-custodial Wallet für Shielded CSV, ein Privatsphäre-Protokoll für Bitcoin. Beträge, Sender, Empfänger und Transaktionshistorie bleiben off-chain, bewiesen mit Zero-Knowledge und client-seitig verifiziert. Jeder Transfer veröffentlicht nur einen ~64-Byte-Nullifier auf Bitcoin.
Ist zkCoins ein neuer Token oder Altcoin?
Nein — zkCoins ist keine separate Blockchain, kein Altcoin und kein natives Protokoll-Token. Es ist eine Client-Side-Validation-Layer, verankert auf Bitcoin L1; Wert lebt in client-side-validierten Coins. Der Transfer von On-Chain-BTC hinein und heraus läuft über eine Bridge, die auf der Roadmap steht.
Braucht zkCoins einen Soft Fork?
Nein. Shielded CSV läuft auf Bitcoin, wie es heute existiert — kein Soft Fork, kein Hard Fork, keine neuen Opcodes. Die Chain wird nur für Ordering von Commitments und Double-Spend-Prävention genutzt.
Wie hält zkCoins Transaktionen privat?
Jeder Spend wird mit einem Zero-Knowledge-Proof bewiesen und off-chain geteilt. Coin-Daten — Beträge, Parteien und Historie — berühren Bitcoin nie; nur ein ~64-Byte-Nullifier pro Transfer wird auf der Chain veröffentlicht.
Ist zkCoins self-custodial?
Ja. Keys werden lokal im Browser erzeugt und gespeichert und verlassen Ihr Gerät nie. zkCoins ist peer-to-peer ohne Coordinator oder Custodian, der Funds einfrieren oder das Netzwerk abschalten könnte.
Was ist Shielded CSV?
Shielded CSV (Client-Side Validation) ist ein privatsphärewahrendes Bitcoin-Protokoll aus dem Paper von Jonas Nick, Liam Eagen und Robin Linus (ePrint 2025/068). zkCoins v1 implementiert es getreu: jeder Transfer veröffentlicht einen ~64-Byte-Nullifier auf Bitcoin, alles andere wird client-seitig verifiziert.
Ist die Publisher-Rolle wirklich dezentral?
Publishing ist permissionless, und jede Wallet kann ihre eigenen Transfers zu trivialen Kosten selbst auf Bitcoin veröffentlichen — das deckelt, was ein dominanter Publisher verlangen kann. Wettbewerbswirtschaft begünstigt den schnellsten, bestkapitalisierten Operator, daher ist etwas Konzentration zu erwarten. Es ist nur ein Liveness-Risiko: ein Publisher hält nie Custody und kann einen Transfer höchstens zensieren oder verzögern, nie Coins stehlen oder fälschen. Ausführliche Analyse auf der Risks-Seite der Docs.
Wo liegen die Nullifier?
Auf Bitcoin. Jeder Transfer veröffentlicht seinen ~64-Byte-Nullifier direkt auf der Chain als halb-aggregierte Signatur, sodass Bitcoin selbst die Verfügbarkeit jedes Nullifiers garantiert, den ein Verifier zur Double-Spend-Prüfung braucht — keine Off-Chain-Batch-Daten und kein separater Data-Availability-Layer, dem zu vertrauen wäre. Die Coin-Daten — Beträge, Parteien und Historie — bleiben weiterhin off-chain, bewiesen mit Zero-Knowledge, und werden nie benötigt, um die öffentliche Double-Spend-Sicht zu rekonstruieren.
Privates Bitcoin heute ausprobieren
Die zkCoins-Wallet läuft im Browser. Keys werden lokal erzeugt und gespeichert — sie verlassen Ihr Gerät nie. Derzeit auf einem öffentlichen Testnetz; kein echtes Bitcoin steht auf dem Spiel.