<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Maxime Desalle</title><link>https://maxdesalle.com/</link><description>Recent content on Maxime Desalle</description><generator>Hugo -- gohugo.io</generator><language>en-us</language><managingEditor>rss@maxdesalle.com (Maxime Desalle)</managingEditor><webMaster>rss@maxdesalle.com (Maxime Desalle)</webMaster><lastBuildDate>Thu, 02 Jul 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://maxdesalle.com/index.xml" rel="self" type="application/rss+xml"/><item><title>This Physicist Says There Are Millions of You — Sam Kuypers</title><link>https://maxdesalle.com/podcast/episode-2/</link><pubDate>Thu, 02 Jul 2026 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/podcast/episode-2/</guid><description>My first interview with Sam Kuypers, quantum physicist and fellow at the Conjecture Institute.</description></item><item><title>Venice and Futarchy</title><link>https://maxdesalle.com/talks/talk-1/</link><pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/talks/talk-1/</guid><description>On the history of the Venetian Republic and the idea of futarchy.</description></item><item><title>This Cryptographer Has a 10-Year Plan for Zcash — Zooko Wilcox</title><link>https://maxdesalle.com/podcast/episode-1/</link><pubDate>Wed, 03 Jun 2026 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/podcast/episode-1/</guid><description>My first interview with Zooko Wilcox, co-founder of Zcash.</description></item><item><title>Mastering Zcash</title><link>https://maxdesalle.com/mastering-zcash/</link><pubDate>Mon, 12 Jan 2026 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/mastering-zcash/</guid><description>&lt;figure&gt;
&lt;img src="https://maxdesalle.com/bernstein.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Leonard Bernstein's "Ode to Freedom" concert on Christmas day in 1989 celebrating the fall of the Berlin Wall. The orchestra consisted of members representing the two German States and the four occupying powers of post-war Berlin. The concert was broadcast live to an estimated audience of 100 million people in more than twenty countries. The victory of freedom, democracy, and capitalism, over oppression, totalitarianism, and communism — pictured.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;With deep gratitude to Giulia Mouland for her feedback and editorial review, and to Arjun Khemani for his support.&lt;/em&gt;&lt;/p&gt;
&lt;hr&gt;
&lt;aside id="toc"&gt;
&lt;h4&gt;Table of Contents&lt;/h4&gt;
&lt;nav id="TableOfContents"&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#1-introduction"&gt;&lt;strong&gt;1. Introduction&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#2-origins"&gt;&lt;strong&gt;2. Origins&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#21-david-chaum-and-the-birth-of-digital-cash"&gt;2.1 David Chaum and the Birth of Digital Cash&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#22-the-cypherpunks"&gt;2.2 The Cypherpunks&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#23-bitcoin-the-wrong-tradeoff"&gt;2.3 Bitcoin: The Wrong Tradeoff&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#24-zerocoin-the-bolt-on-attempt"&gt;2.4 Zerocoin: The Bolt-On Attempt&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#25-zerocash-the-rebuild"&gt;2.5 Zerocash: The Rebuild&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#26-the-genesis-block"&gt;2.6 The Genesis Block&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#3-what-is-zcash"&gt;&lt;strong&gt;3. What is Zcash?&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#31-a-bitcoin-primer"&gt;3.1 A Bitcoin Primer&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#32-bitcoin-but-private"&gt;3.2 Bitcoin, But Private&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#33-the-fundamental-problem"&gt;3.3 The Fundamental Problem&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#34-shielded-notes"&gt;3.4 Shielded Notes&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#35-commitments-and-nullifiers"&gt;3.5 Commitments and Nullifiers&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#36-keys-and-addresses"&gt;3.6 Keys and Addresses&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#4-transaction-lifecycle"&gt;4. Transaction Lifecycle&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#41-the-setup"&gt;4.1 The Setup&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#42-note-selection-and-retrieval"&gt;4.2 Note Selection and Retrieval&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#43-merkle-paths"&gt;4.3 Merkle Paths&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#44-computing-nullifiers"&gt;4.4 Computing Nullifiers&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#45-creating-output-notes"&gt;4.5 Creating Output Notes&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#46-the-proof"&gt;4.6 The Proof&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#47-assembling-the-transaction"&gt;4.7 Assembling the Transaction&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#48-broadcasting-and-mempool"&gt;4.8 Broadcasting and Mempool&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#49-block-inclusion-and-finality"&gt;4.9 Block Inclusion and Finality&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#410-recipient-detection"&gt;4.10 Recipient Detection&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#5-the-philosophy-of-privacy"&gt;5. The Philosophy of Privacy&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#51-privacy-as-a-precondition-for-progress"&gt;5.1 Privacy as a Precondition for Progress&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#52-the-transparency-trap"&gt;5.2 The Transparency Trap&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#53-privacy-must-be-absolute"&gt;5.3 Privacy Must Be Absolute&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#54-the-macro-case"&gt;5.4 The Macro Case&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#55-the-fork-in-history"&gt;5.5 The Fork in History&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#6-evolution--economics"&gt;6. Evolution &amp;amp; Economics&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#61-protocol-generations"&gt;6.1 Protocol Generations&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#62-turnstiles"&gt;6.2 Turnstiles&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#63-funding-development"&gt;6.3 Funding Development&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#64-decentralized-governance"&gt;6.4 Decentralized Governance&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#7-zcash-vs-"&gt;7. Zcash VS &amp;hellip;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#71-tornado-cash-and-mixers"&gt;7.1 Tornado Cash and Mixers&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#72-monero"&gt;7.2 Monero&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#73-privacy-pools"&gt;7.3 Privacy Pools&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#74-aztec-and-private-l2s"&gt;7.4 Aztec and Private L2s&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#8-misconceptions"&gt;8. Misconceptions&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#81-zcash-is-not-private-by-default"&gt;8.1 &amp;ldquo;Zcash Is Not Private by Default&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#82-the-anonymity-set-is-small"&gt;8.2 &amp;ldquo;The Anonymity Set Is Small&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#83-optional-transparency-weakens-privacy"&gt;8.3 &amp;ldquo;Optional Transparency Weakens Privacy&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#84-zcash-uses-a-trusted-setup"&gt;8.4 &amp;ldquo;Zcash Uses a Trusted Setup&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#85-there-was-a-premine"&gt;8.5 &amp;ldquo;There Was a Premine&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#86-devs-get-20-of-mining-rewards"&gt;8.6 &amp;ldquo;Devs Get 20% of Mining Rewards&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#87-the-zcash-foundation-controls-zcash"&gt;8.7 &amp;ldquo;The Zcash Foundation Controls Zcash&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#88-the-mossad-is-behind-zcash"&gt;8.8 &amp;ldquo;The Mossad Is Behind Zcash&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#89-criminals-use-monero-for-a-reason"&gt;8.9 &amp;ldquo;Criminals Use Monero for a Reason&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#810-monero-is-more-private-because-all-transactions-are-private"&gt;8.10 &amp;ldquo;Monero Is More Private Because All Transactions Are Private&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#9-road-ahead"&gt;9. Road Ahead&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#91-project-tachyon"&gt;9.1 Project Tachyon&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#92-network-sustainability-mechanism-nsm"&gt;9.2 Network Sustainability Mechanism (NSM)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#93-quantum-resistance"&gt;9.3 Quantum Resistance&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#10-conclusion"&gt;10. Conclusion&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/nav&gt;
&lt;/aside&gt;
&lt;hr&gt;
&lt;p&gt;Contributions to this article are more than welcome &lt;a href="https://github.com/maxdesalle/website/blob/main/content/posts/mastering-zcash.md"&gt;on GitHub&lt;/a&gt; through pull requests.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id="1-introduction"&gt;&lt;strong&gt;1. Introduction&lt;/strong&gt;&lt;/h2&gt;
&lt;p&gt;Unless you&amp;rsquo;re using cash, the information about every purchase that you make is tracked and stored indefinitely. It doesn&amp;rsquo;t matter what it is, or how sensitive it is. The infrastructure that powers commerce, both offline and online, has effectively become an inescapable surveillance apparatus.&lt;/p&gt;
&lt;p&gt;When it was first released, there were hopes that Bitcoin could fix this, but unfortunately, it hasn’t. In fact, contrary to many people’s understanding, Bitcoin is incredibly transparent, as every transaction ever made is permanently stored and visible to everyone. Sure, wallets are pseudonymous, but in order to receive BTC you need to provide your address, thus providing your entire transaction history and balance to the sender. On top of that, services like &lt;a href="https://intel.arkm.com/"&gt;Arkham&lt;/a&gt; have made it trivial, for even the general public, to track and identify wallets.&lt;/p&gt;
&lt;p&gt;This is why authorities condone Bitcoin, for to state actors, transparent chains are better than the digital currencies that they themselves control (often called &lt;em&gt;Central Bank Digital Currencies&lt;/em&gt; or &lt;em&gt;CBDCs&lt;/em&gt;) in many ways. Since there is no resistance from the population to using Bitcoin, and no oversight on how chain data is used by authorities, it offers perfect visibility for state actors to track everything, with full impunity.&lt;/p&gt;
&lt;p&gt;In some ways, Bitcoin is actually worse than the banking system it sought to replace. At least bank records are private from the general public; Bitcoin isn&amp;rsquo;t.&lt;/p&gt;
&lt;p&gt;It’s for this reason that Zcash takes a different approach: offering default privacy, rather than default transparency. This means that when you make a &lt;em&gt;shielded&lt;/em&gt; Zcash transaction, the sender, the recipient, and the transaction amount are all encrypted. The network verifies the transaction is valid, verifying that you have the funds and aren&amp;rsquo;t spending more ZEC than you own, but isn’t privy to any information about the transaction itself.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;ZEC is the symbol or ticker for Zcash, like what BTC is for Bitcoin.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Initially, when you think about it, this sounds impossible. How can you prove that something is true without revealing the thing that you&amp;rsquo;re proving? The answer is zero-knowledge proofs, specifically a construction called &lt;em&gt;zk-SNARKs&lt;/em&gt;. The coverage of zk-SNARKs in this article will be kept light and accessible to the general reader, as it requires a substantial background in algebra and commitment schemes—beyond this article&amp;rsquo;s scope.&lt;/p&gt;
&lt;p&gt;We will also cover Zcash&amp;rsquo;s origins in academic cryptography, the philosophy that shaped it, and the protocol as it exists today.&lt;/p&gt;
&lt;p&gt;Some parts of this comprehensive study of Zcash will be more technical. Though I have tried to make things as clear and accessible as possible for everyone, if you have trouble with certain concepts, I recommend asking an LLM for clarification or simply skipping it and revisiting it later. If that doesn’t work, don&amp;rsquo;t hesitate to &lt;a href="https://signal.me/#eu/TST_2FkJznjly3Xkn2NnsNRDw32eoOTHwO0L9REt2N1A2fOQ_vdKEYb-C-KsvEW6"&gt;reach out&lt;/a&gt; with any questions.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/chaum.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;David Chaum, cryptography pioneer.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="2-origins"&gt;&lt;strong&gt;2. Origins&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="21-david-chaum-and-the-birth-of-digital-cash"&gt;2.1 David Chaum and the Birth of Digital Cash&lt;/h3&gt;
&lt;p&gt;The idea of private digital money is far from new, in fact, it dates back to 1982. David Chaum, who was then a PhD candidate in computer science, published a paper titled &lt;a href="https://link.springer.com/chapter/10.1007/978-1-4757-0602-4_18"&gt;&lt;em&gt;&amp;ldquo;Blind Signatures for Untraceable Payments.&amp;rdquo;&lt;/em&gt;&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;The core insight of this paper was simple and elegant: a bank could sign a digital token without seeing its content, just as you could sign the outside of a sealed envelope. Then, when the token was spent, the bank could verify its validity through its own signature, but wouldn’t be able to link the spending to the withdrawal.&lt;/p&gt;
&lt;p&gt;Later, in 1989, David Chaum founded &lt;a href="https://en.wikipedia.org/wiki/DigiCash"&gt;DigiCash&lt;/a&gt;, a company built to commercialize this idea. The product was called &lt;a href="https://en.wikipedia.org/wiki/Ecash"&gt;ecash&lt;/a&gt; and it enabled users to withdraw digital tokens from their bank accounts and spend them at merchants without leaving a trail connecting the buyer to the purchase. Several banks piloted the technology, including Deutsche Bank and Credit Suisse.&lt;/p&gt;
&lt;p&gt;Unfortunately, DigiCash didn’t succeed, the timing was wrong. Recall that this was created before widespread internet commerce, and before people understood the importance of online privacy. The company filed for bankruptcy in 1998, but with ecash, Chaum had proven that private digital money was doable.&lt;/p&gt;
&lt;h3 id="22-the-cypherpunks"&gt;2.2 The Cypherpunks&lt;/h3&gt;
&lt;p&gt;Soon after, a different kind of movement started taking shape. In 1992, a group of cryptographers, hackers, and libertarians started meeting in the San Francisco Bay Area and communicating via an electronic mailing list. They called themselves the &lt;a href="https://en.wikipedia.org/wiki/Cypherpunk"&gt;&lt;em&gt;cypherpunks&lt;/em&gt;&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;The cypherpunks were not academics writing papers, they were ideologues writing code. Their founding premise was that in the digital age, privacy would not be granted by governments or corporations, instead, it would have to be built, deployed, and defended by individuals using cryptographic tools. In 1993, group member &lt;a href="https://en.wikipedia.org/wiki/Eric_Hughes_%28cypherpunk%29"&gt;Eric Hughes&lt;/a&gt; crystallized this concept in &lt;a href="https://www.activism.net/cypherpunk/manifesto.html"&gt;&lt;em&gt;A Cypherpunk&amp;rsquo;s Manifesto&lt;/em&gt;&lt;/a&gt;:&lt;/p&gt;
&lt;p&gt;&lt;em&gt;&amp;ldquo;Privacy is necessary for an open society in the electronic age&amp;hellip; We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence&amp;hellip; We must defend our own privacy if we expect to have any&amp;hellip; Cypherpunks write code.&amp;rdquo;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;The mailing list became a crucible for the ideas that would shape the next three decades of cryptographic development. Members included &lt;a href="https://en.wikipedia.org/wiki/Julian_Assange"&gt;Julian Assange&lt;/a&gt; (before &lt;a href="https://en.wikipedia.org/wiki/WikiLeaks"&gt;WikiLeaks&lt;/a&gt;), &lt;a href="https://en.wikipedia.org/wiki/Hal_Finney_(computer_scientist)"&gt;Hal Finney&lt;/a&gt; (who would later receive the first Bitcoin transaction), &lt;a href="https://en.wikipedia.org/wiki/Nick_Szabo"&gt;Nick Szabo&lt;/a&gt; (who proposed &lt;a href="https://nakamotoinstitute.org/library/bit-gold/"&gt;&lt;em&gt;bit gold&lt;/em&gt;&lt;/a&gt;, a conceptual precursor to Bitcoin), and &lt;a href="https://en.wikipedia.org/wiki/Wei_Dai"&gt;Wei Dai&lt;/a&gt; (whose &lt;a href="https://nakamotoinstitute.org/library/b-money/"&gt;&lt;em&gt;b-money&lt;/em&gt;&lt;/a&gt; proposal was cited by Satoshi Nakamoto). In 1997, another member, &lt;a href="https://en.wikipedia.org/wiki/Adam_Back"&gt;Adam Back&lt;/a&gt;, invented &lt;a href="https://en.wikipedia.org/wiki/Hashcash"&gt;&lt;em&gt;Hashcash&lt;/em&gt;&lt;/a&gt;, the &lt;em&gt;Proof of Work (PoW)&lt;/em&gt; system later adopted by Bitcoin.&lt;/p&gt;
&lt;p&gt;The cypherpunks didn&amp;rsquo;t build a successful cryptocurrency, or did they? The creation of Bitcoin is attributed to the pseudonymous Satoshi Nakamoto, rumoured to have been a developer or a group of developers tied to the cypherpunks, and who has not been active in over a decade. In any case, what we know for sure, is that the cypherpunks built the culture, the tools, and the intellectual framework that has made private currency possible.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Shortly after this article was published, Zooko Wilcox, co-founder of Zcash, reached out noting the following:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;He &lt;em&gt;was&lt;/em&gt; on the Cypherpunk mailing list! Meaning the cypherpunks &lt;em&gt;did&lt;/em&gt; create a successful cryptocurrency. Mea culpa for that omission.&lt;/li&gt;
&lt;li&gt;Zooko became friends there with the founders, including &lt;a href="https://en.wikipedia.org/wiki/Timothy_C._May"&gt;Tim May&lt;/a&gt; who founded the crypto-anarachist movement, Eric Hughes who wrote &lt;em&gt;A Cypherpunk&amp;rsquo;s Manifesto&lt;/em&gt; as previously mentioned, &lt;a href="https://en.wikipedia.org/wiki/Bram_Cohen"&gt;Bram Cohen&lt;/a&gt; who created the BitTorrent protocol and with whom he worked on a startup focused on chains of secure hashes, and &lt;a href="https://en.wikipedia.org/wiki/John_Gilmore_(activist)"&gt;John Gilmore&lt;/a&gt; who co-founded the &lt;a href="https://en.wikipedia.org/wiki/Electronic_Frontier_Foundation"&gt;Electronic Frontier Foundation&lt;/a&gt;.&lt;/li&gt;
&lt;li&gt;The cypherpunk mailing list was instrumental in his development, with John Gilmore, for example, becoming a friend, mentor, and inspiration.&lt;/li&gt;
&lt;/ul&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;h3 id="23-bitcoin-the-wrong-tradeoff"&gt;2.3 Bitcoin: The Wrong Tradeoff&lt;/h3&gt;
&lt;p&gt;On October 31, 2008, Satoshi Nakamoto posted a paper to a cryptography mailing list titled &lt;a href="https://bitcoin.org/bitcoin.pdf"&gt;&lt;em&gt;&amp;ldquo;Bitcoin: A Peer-to-Peer Electronic Cash System.&amp;rdquo;&lt;/em&gt;&lt;/a&gt; The paper described a solution to a problem that had plagued digital currency designers for decades: how do you prevent double-spending without relying on a central authority?&lt;/p&gt;
&lt;p&gt;Satoshi&amp;rsquo;s proposed answer was the blockchain: a public ledger maintained by a decentralized network of miners, secured by PoW; it was brilliant, and it worked! Bitcoin launched in January of 2009, and for the first time, people could transfer value over the internet without banks, intermediaries, or permission.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;We will cover what miners and Proof of Work (PoW) are and how they work in the context of Zcash later in this article.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;However, there was one glaring problem, as mentioned above, Bitcoin isn&amp;rsquo;t private. The blockchain is entirely public by design: every transaction, every address, and every balance are visible to anyone who’s interested. Satoshi acknowledged this problem in the paper, suggesting that users could preserve some of their privacy by using new addresses for each transaction, but this was weak mitigation, as addresses can be clustered, transaction graphs can be analyzed and real-world identities can be linked through exchanges, merchants, and metadata.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://bitcointalk.org/index.php?topic=770.msg8637#msg8637"&gt;Nakamoto also later acknowledged&lt;/a&gt; that a privacy-preserving form of Bitcoin would enable a cleaner implementation of the protocol, but at the time, he couldn&amp;rsquo;t envision how to bring it about with zero-knowledge proofs.&lt;/p&gt;
&lt;p&gt;Problematically, the privacy problem remained overlooked for years. Early Bitcoin users assumed pseudonymity was close enough to anonymity, but they were wrong. By the early 2010s, researchers demonstrated that blockchain analysis could de-anonymize users with high accuracy. Companies like &lt;a href="https://en.wikipedia.org/wiki/Chainalysis"&gt;Chainalysis&lt;/a&gt;, founded in 2014, turned this into a business by selling blockchain forensics to law enforcement agencies, exchanges, and even governments.&lt;/p&gt;
&lt;p&gt;Bitcoin had solved the double-spend problem, but it had made the privacy problem worse.&lt;/p&gt;
&lt;h3 id="24-zerocoin-the-bolt-on-attempt"&gt;2.4 Zerocoin: The Bolt-On Attempt&lt;/h3&gt;
&lt;p&gt;In 2013, &lt;a href="https://en.wikipedia.org/wiki/Matthew_D._Green"&gt;Matthew Green&lt;/a&gt;, a cryptographer at Johns Hopkins University, and two graduate students, &lt;a href="https://www.cs.umd.edu/~imiers/"&gt;Ian Miers&lt;/a&gt; and &lt;a href="https://www.cs.purdue.edu/homes/clg/"&gt;Christina Garman&lt;/a&gt;, published &lt;a href="https://en.wikipedia.org/wiki/Zerocoin_protocol"&gt;&lt;em&gt;“Zerocoin,”&lt;/em&gt;&lt;/a&gt; a paper proposing a solution to Bitcoin’s problem.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;Fun fact shared by Zooko Wilcox after the publication of this article: Ian Miers and Christina Garman later became founding scientists at the Zcash Company (see section 2.6), with Christina Garman later joining the Board of Directors as well.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Their idea was to add a privacy layer on top of Bitcoin, such that users could convert their bitcoins into &lt;em&gt;zerocoins&lt;/em&gt;, anonymous tokens with no transaction history. Later, when you wanted to spend it, you could convert it back to Bitcoin. The conversion process relied on cryptographic techniques known as zero-knowledge proofs, which let you prove that you owned a valid zerocoin without revealing its origin.&lt;/p&gt;
&lt;p&gt;Zerocoin worked in theory, but it had problems. First, the proofs were large, two orders of magnitude larger than the few hundred bytes required for a normal Bitcoin transaction. Second, the cryptography was also limited: you could prove ownership, but you couldn&amp;rsquo;t hide transaction amounts. Third, and most critically, it required Bitcoin to adopt it as a protocol change, but Bitcoin&amp;rsquo;s conservative development culture made that unlikely.&lt;/p&gt;
&lt;p&gt;The Bitcoin community debated Zerocoin and ultimately decided to pass on it. The proposal never made it into the protocol.&lt;/p&gt;
&lt;h3 id="25-zerocash-the-rebuild"&gt;2.5 Zerocash: The Rebuild&lt;/h3&gt;
&lt;p&gt;In 2014, a new paper was published. The author list had expanded to include Eli Ben-Sasson and Alessandro Chiesa, cryptographers who had been working on a new generation of zero-knowledge proofs, plus Eran Tromer and Madars Virza.&lt;/p&gt;
&lt;p&gt;The paper was titled &lt;a href="https://ieeexplore.ieee.org/document/6956581"&gt;&lt;em&gt;&amp;ldquo;Zerocash: Decentralized Anonymous Payments from Bitcoin.&amp;rdquo;&lt;/em&gt;&lt;/a&gt; Despite what its title may lead you to think, it wasn&amp;rsquo;t simply a Bitcoin extension, it was a complete redesign.&lt;/p&gt;
&lt;p&gt;The key innovation was the use of zk-SNARKs, which stands for &lt;em&gt;Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge&lt;/em&gt;. These were zero-knowledge proofs that were small (a few hundred bytes), fast to verify (milliseconds), and expressive enough to prove complex statements about hidden data. With zk-SNARKs you can prove not just that you own a valid coin, but prove that an entire transaction is valid. This isn&amp;rsquo;t trivial, it means that the system verifies that the transaction amounts are correct, there is no double-spending, etc., all without revealing the sender, recipient, or amount.&lt;/p&gt;
&lt;p&gt;However, there was a catch: zk-SNARKs required a trusted setup. Someone had to generate a set of public parameters that the system would use forever, but, if that person kept the secret values used to generate the parameters, it’s so-called &lt;em&gt;toxic waste&lt;/em&gt;, they could undetectably create counterfeit coins. Though this was of serious concern, the researchers believed it could be prevented with careful ceremony design.&lt;/p&gt;
&lt;h3 id="26-the-genesis-block"&gt;2.6 The Genesis Block&lt;/h3&gt;
&lt;p&gt;&lt;a href="https://en.wikipedia.org/wiki/Zooko_Wilcox-O%27Hearn"&gt;Zooko Wilcox&lt;/a&gt; had been in the privacy and cryptography space for decades. He had worked at DigiCash in the 1990s and been involved with decentralized storage projects with strong privacy properties like &lt;a href="https://www.tahoe-lafs.org/trac/tahoe-lafs"&gt;Tahoe-LAFS&lt;/a&gt;. So, when the Zerocash paper was released, it was an immediate fit.&lt;/p&gt;
&lt;p&gt;In 2016, Wilcox founded the &lt;em&gt;Zcash Company&lt;/em&gt;, later renamed &lt;em&gt;Electric Coin Company&lt;/em&gt;, and assembled a team to turn Zerocash into a production cryptocurrency. The academic authors mentioned above joined as advisors and collaborators on the project.&lt;/p&gt;
&lt;p&gt;The trusted setup problem highlighted above required a creative solution. The team designed an elaborate, multi-party computation ceremony: six participants, all in different locations around the world, would contribute randomness to generate the public parameters, and as long as at least one participant destroyed their secret input, the toxic waste would be unrecoverable. The ceremony took place in late 2016, with participants including &lt;a href="https://en.wikipedia.org/wiki/Peter_Todd_%28programmer%29"&gt;Peter Todd&lt;/a&gt;, a Bitcoin Core developer, and journalists who documented the process. Extensive work went into making sure that the ceremony wasn&amp;rsquo;t compromised, as outlined &lt;a href="https://spectrum.ieee.org/the-crazy-security-behind-the-birth-of-zcash"&gt;here&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;On October 28, 2016, the &lt;a href="https://www.youtube.com/watch?v=O8QA6Nvg8RI"&gt;Zcash genesis block was mined&lt;/a&gt;. For the first time, a production cryptocurrency offered genuine, cryptographic privacy. Thirty-four years after David Chaum&amp;rsquo;s first paper, the dream of untraceable digital money was running on a live network.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/weimar.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Hyperinflation in the Weimar Republic. Banknotes had lost so much value that they were used as wallpaper.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="3-what-is-zcash"&gt;&lt;strong&gt;3. What is Zcash?&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="31-a-bitcoin-primer"&gt;3.1 A Bitcoin Primer&lt;/h3&gt;
&lt;div class="box box-tip"&gt;
&lt;div class="box-title"&gt;Tip&lt;/div&gt;
&lt;div class="box-content"&gt;If you already understand how Bitcoin works, feel free to skip ahead, this section is for readers unfamiliar with Bitcoin’s inner workings.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Bitcoin is essentially a payment system with no central operator. There is no bank, no company, and no single server that can be pointed to. Its decentralized mechanism operates through thousands of computers around the world that maintain identical copies of a shared ledger, called the &lt;em&gt;blockchain&lt;/em&gt;, and follow a set of rules to keep it in sync.&lt;/p&gt;
&lt;p&gt;The blockchain is an append-only data structure, and it&amp;rsquo;s literally a chain of blocks, so you can add new entries (blocks), but you can never modify or delete old ones. Each new block consists of transactions made on the network at the time the block was created. Additionally, each block references the one preceding it, leading to the formation of a chain. If you wanted to change a transaction from the past, you&amp;rsquo;d have to rewrite every successive block, which becomes computational impossibility once enough time has passed. We will see why that is the case later.&lt;/p&gt;
&lt;h4 id="keys-and-ownership"&gt;Keys and Ownership&lt;/h4&gt;
&lt;p&gt;Bitcoin uses public-key cryptography for wallets. When you &amp;ldquo;create a wallet,&amp;rdquo; what you&amp;rsquo;re really doing is generating a key pair: a private key (a large random number, kept secret) and a corresponding public key (derived mathematically from the private key). A Bitcoin address is derived from a public key through hashing and encoding.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Here&amp;rsquo;s an example of what these look like in practice (abbreviated using &lt;code&gt;...&lt;/code&gt;):&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Private key: &lt;code&gt;1E99423A4ED27608A15...E6E9F3A1C2B4D5F6A7B8C9D0&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Public key: &lt;code&gt;03F028892BAD7ED57D2F...3A6A6C6E7F8C9D0A1B2C3D4E5F607182&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Bitcoin address: &lt;code&gt;1BoatSLRHtKNngkdXEeobR76b53LETtpyT&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The private key lets you sign messages, while the public key lets anyone verify that a signature came from the corresponding private key without revealing the private key itself. This cryptography is what retains the private key’s privacy, as you can sign a message authorizing a transfer using your private key, and the network can verify your signature using your public key, without ever seeing your private key.&lt;/p&gt;
&lt;p&gt;An important conclusion here is that this means wallets don&amp;rsquo;t &amp;ldquo;hold&amp;rdquo; BTC in any meaningful sense. There&amp;rsquo;s no file on your computer containing coins. Rather, the blockchain holds the record of which addresses control which outputs, and your wallet is just a signing tool, it stores your private keys and uses them to authorize transactions. If you lose your private keys, you lose access to your funds; not because the coins disappeared, but because you can no longer prove your ownership.&lt;/p&gt;
&lt;h4 id="transactions-and-utxos"&gt;Transactions and UTXOs&lt;/h4&gt;
&lt;p&gt;Transactions are how Bitcoin value moves. When you send BTC, you&amp;rsquo;re publishing a signed message that effectively says: &amp;ldquo;I authorize the transfer of these coins to this address,&amp;rdquo; but what exactly are these coins?&lt;/p&gt;
&lt;p&gt;Bitcoin doesn&amp;rsquo;t track balances, there aren’t database entries somewhere saying &amp;ldquo;Address X has 3.5 BTC.&amp;rdquo; Instead, Bitcoin uses &lt;em&gt;Unspent Transaction Outputs&lt;/em&gt;, often abbreviated as &lt;em&gt;UTXOs&lt;/em&gt;. Every transaction consumes existing outputs and then creates new ones. The outputs you control but haven&amp;rsquo;t yet spent are your UTXOs. This means that your &amp;ldquo;balance&amp;rdquo; is just the sum of all of your unspent outputs. There’s no running tally of coins, just a collection of discrete chunks you control.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Here&amp;rsquo;s a quick example: Imagine that you have a $20 bill and you want to buy a $12 item. Obviously, you can&amp;rsquo;t tear the bill in half, so you hand over the $20 and receive $8 in change.&lt;/p&gt;
&lt;p&gt;UTXOs work the same way. If you own a 5 BTC output and want to send someone 3 BTC, you need to consume the entire 5 BTC output and create two new ones from it: 3 BTC for the recipient and 2 BTC that return to you as change. Your original 5 BTC output is now ‘spent’ and can never be used again.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;As a result, a Bitcoin transaction is a data structure containing some metadata as well as:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;Inputs:&lt;/strong&gt; References to UTXOs you&amp;rsquo;re spending, plus signatures proving you control them&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Outputs:&lt;/strong&gt; New UTXOs being created, each locked to a recipient&amp;rsquo;s public key&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Nodes validate that the inputs exist, haven’t been spent yet, and have valid signatures. If everything checks out, the transaction is relayed across the network and waits to be included in a miner’s block.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Here&amp;rsquo;s what a transaction looks like in practice (hashes and addresses are abbreviated using &lt;code&gt;...&lt;/code&gt;):&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;txid&amp;#34;: &amp;#34;c1b4e693...cbdc5821e3&amp;#34;,
&amp;#34;inputs&amp;#34;: [
{
&amp;#34;prev_txid&amp;#34;: &amp;#34;7b1eabe...98a14f3f&amp;#34;,
&amp;#34;output_index&amp;#34;: 0,
&amp;#34;signature&amp;#34;: &amp;#34;304402204e4...1a8768d1d09&amp;#34;,
&amp;#34;pubkey&amp;#34;: &amp;#34;0479be66...ffb10d4b8&amp;#34;
}
],
&amp;#34;outputs&amp;#34;: [
{
&amp;#34;amount&amp;#34;: 3.0,
&amp;#34;script&amp;#34;: &amp;#34;OP_DUP OP_HASH160 89...ba OP_EQUALVERIFY OP_CHECKSIG&amp;#34;
},
{
&amp;#34;amount&amp;#34;: 1.99,
&amp;#34;script&amp;#34;: &amp;#34;OP_DUP OP_HASH160 12...78 OP_EQUALVERIFY OP_CHECKSIG&amp;#34;
}
]
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Each input points to a previous transaction&amp;rsquo;s output by referencing its transaction ID and index, and each output specifies an amount. The signature proves you control the private key. The 0.01 BTC difference between the input of 5 BTC and outputs of 3BTC + 1.99 BTC, is the transaction fee, claimed by the miner.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="mining-and-proof-of-work-pow"&gt;Mining and Proof of Work (PoW)&lt;/h4&gt;
&lt;p&gt;Transactions don&amp;rsquo;t confirm themselves. They sit in a waiting area in a node called the mempool (memory pool) until a miner includes them in a block. Mining is the process by which new blocks get added to the chain, and it&amp;rsquo;s designed to be expensive. That&amp;rsquo;s a feature, not a bug, as we will see in a minute.&lt;/p&gt;
&lt;p&gt;The problem solved by mining is: in a decentralized network with no central authority, who decides which transactions are valid? Who decides their ordering? If two conflicting transactions appear, say, someone tries to spend the same coins twice, who resolves this conflict?&lt;/p&gt;
&lt;p&gt;Bitcoin&amp;rsquo;s solution is: in order to create a valid block, a miner must find a number, called a &lt;em&gt;nonce&lt;/em&gt;, such that when the block header (containing the previous block&amp;rsquo;s hash, a timestamp, etc.) is combined with this nonce and hashed, the resulting hash is below a certain target value. Since cryptographic hashes are effectively random, there&amp;rsquo;s no way to find a valid nonce except by guessing, so miners guess billions of times per second.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;For example, think of a block as a page of fixed information with one adjustable number on it (the nonce). Let&amp;rsquo;s assume we start counting the nonce at &lt;code&gt;0&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;A computer turns the entire page into a single output number called a hash. A hash can be something like &lt;code&gt;6&lt;/code&gt;, or &lt;code&gt;03a5b20&lt;/code&gt;, ultimately it’s just a number (yes, &lt;code&gt;03a5b20&lt;/code&gt; is a number, because it equals &lt;code&gt;3,824,416&lt;/code&gt; in decimal). Remember that the nonce is the only adjustable number on the page, changing only the nonce produces a completely different hash (number) each time.&lt;/p&gt;
&lt;p&gt;The network requires the hash to be below a fixed threshold value, and if it isn’t, the miner changes the nonce and tries again. Finally, the nonce is accepted when the hash meets the threshold requirement.&lt;/p&gt;
&lt;p&gt;For example, imagine a case where the threshold value is &lt;code&gt;5&lt;/code&gt;. The miner has their page of information and starts with a nonce of &lt;code&gt;0&lt;/code&gt;. If the computer returns a &lt;code&gt;6&lt;/code&gt;, which is above &lt;code&gt;5&lt;/code&gt;, the miner tries again, now &lt;code&gt;1&lt;/code&gt; as a nonce. If this time the computer returns a &lt;code&gt;4&lt;/code&gt;, which is below &lt;code&gt;5&lt;/code&gt;, then &lt;code&gt;1&lt;/code&gt; is accepted as a nonce!&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The difficulty adjusts every 2,016 blocks (about every two weeks), maintaining an average block time of ten minutes. If blocks are coming too fast, the target decreases, making the puzzle harder, and if blocks are coming too slow, the target increases. The difficulty adjustment is why Bitcoin&amp;rsquo;s block rate stays stable even as total mining power fluctuates.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Here&amp;rsquo;s what a block looks like:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;header&amp;#34;: {
&amp;#34;version&amp;#34;: 536870912,
&amp;#34;prev_block_hash&amp;#34;: &amp;#34;0000000...de0e5c842&amp;#34;,
&amp;#34;merkle_root&amp;#34;: &amp;#34;8b30c5ba1...1e0d5f8a2c1&amp;#34;,
&amp;#34;timestamp&amp;#34;: 1701432000,
&amp;#34;target&amp;#34;: &amp;#34;0000004f2c0...0000000&amp;#34;,
&amp;#34;nonce&amp;#34;: 2834917243
},
&amp;#34;transactions&amp;#34;: [
{
&amp;#34;txid&amp;#34;: &amp;#34;3a1b9c7e...7e8f9a0b1c&amp;#34;,
&amp;#34;inputs&amp;#34;: [{ &amp;#34;coinbase&amp;#34;: &amp;#34;03a5b20...706f6f6c&amp;#34; }],
&amp;#34;outputs&amp;#34;: [{ &amp;#34;amount&amp;#34;: 6.25, &amp;#34;script&amp;#34;: &amp;#34;OP_HASH160
f1c3...4c6a8 OP_EQUAL&amp;#34; }]
},
{ &amp;#34;txid&amp;#34;: &amp;#34;c1b4e...5821e3&amp;#34; },
{ &amp;#34;txid&amp;#34;: &amp;#34;7d5e8...b5c6d7e&amp;#34; }
]
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;The header is what gets hashed. Miners increment the nonce repeatedly until &lt;code&gt;SHA256(SHA256(header)) &amp;lt; target&lt;/code&gt;, meaning until applying the SHA256 hash function twice on the header returns a hash below the target value. The first transaction is always the &amp;ldquo;coinbase&amp;rdquo; transaction, which creates new coins and pays the miner.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Once a miner finds a valid nonce, they broadcast the block and other nodes verify it, checking that the hash meets the target, that all transactions are valid, and that the miner didn&amp;rsquo;t create more coins than allowed. If valid, nodes append the block to their chain and begin working on the next one. The miner earns a block reward in the form of newly minted bitcoin, plus the transaction fees from the transactions included in the block.&lt;/p&gt;
&lt;p&gt;So, how does this system prevent rewriting the past? Because each block’s hash is part of the next block, meaning that changing a single transaction changes the block’s hash and immediately breaks every block that comes after it.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;Imagine that you have two successive blocks, A and B. A&amp;rsquo;s hash is &lt;code&gt;5&lt;/code&gt; and B&amp;rsquo;s hash is &lt;code&gt;6&lt;/code&gt;. If you change a transaction in A, now A&amp;rsquo;s hash has changed, and requires B&amp;rsquo;s hash to change as well. B’s hash takes into account A&amp;rsquo;s hash given that B comes after A and A&amp;rsquo;s hash is in B. So, B&amp;rsquo;s hash will no longer be &lt;code&gt;6&lt;/code&gt; if a transaction is changed in A.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;In order to make the chain valid again, an attacker would have to redo the Proof of Work (the process of finding a nonce below a certain target value etc.) for not only that block, but for every subsequent block as well. Meanwhile, honest miners are mining and extending the &amp;ldquo;real&amp;rdquo; chain with new blocks. Additionally, Bitcoin follows the chain with the most cumulative Proof of Work, making it strongly inhibitive for attackers.&lt;/p&gt;
&lt;p&gt;Therefore, a successful attack would require an attacker to have 51% of the mining power in order to eventually catch up with and become the ‘real’ chain. Mining power can also be referred to as &lt;em&gt;hash power&lt;/em&gt;, as miners effectively just hash information countless times every second of every day.&lt;/p&gt;
&lt;h4 id="the-transparency-tradeoff"&gt;The Transparency Tradeoff&lt;/h4&gt;
&lt;p&gt;Importantly, for this system to function without a central authority, everyone must be able to verify everything. Every node checks every transaction against the full history of the chain, every UTXO is tracked, and every signature is validated.&lt;/p&gt;
&lt;p&gt;This comes at the cost of privacy, as every transaction and address balance is public. The entire flow of funds, from the 2009 genesis block to the most recently mined block, is visible to anyone who downloads the blockchain.&lt;/p&gt;
&lt;p&gt;So, Bitcoin solved the problem of trustless digital money, but it didn&amp;rsquo;t solve the problem of trustless private digital money. That&amp;rsquo;s where Zcash comes in.&lt;/p&gt;
&lt;h3 id="32-bitcoin-but-private"&gt;3.2 Bitcoin, But Private&lt;/h3&gt;
&lt;p&gt;Zcash is effectively like Bitcoin, but with the addition of encryption. In fact, many refer to it as &lt;em&gt;encrypted Bitcoin&lt;/em&gt;, even though it&amp;rsquo;s a completely different cryptocurrency.&lt;/p&gt;
&lt;p&gt;The economics of Zcash are nearly identical to Bitcoin&amp;rsquo;s, so if you understand Bitcoin&amp;rsquo;s monetary policy, you understand Zcash&amp;rsquo;s as well. Zcash has a hard cap of 21 million ZEC, just like Bitcoin has a 21 million BTC hard cap. New coins enter circulation through mining rewards, which halve approximately every four years, as with Bitcoin.&lt;/p&gt;
&lt;p&gt;The consensus mechanism is also Proof of Work, though Zcash uses Equihash rather than Bitcoin&amp;rsquo;s SHA256-based system for mining. Something interesting about Equihash is that it was built with the explicit aim of resisting the specialized ASICs that dominate Bitcoin mining, therefore keeping mining accessible to people with consumer GPUs. The choice reflects Zcash&amp;rsquo;s early emphasis on decentralization, though it no longer works as Equihash ASICs now exist.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;ASIC stands for &lt;em&gt;Application-Specific Integrated Circuit&lt;/em&gt;, you can think of them as computers specifically designed to mine cryptocurrencies. There exist ASICs specialized in SHA256 mining, Equihash mining, etc.&lt;/p&gt;
&lt;p&gt;ASICs hash information (blocks of transactions) all day long in hopes of finding a hash below the network&amp;rsquo;s target value.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Under the hood, Zcash uses the same UTXO transaction model as Bitcoin.&lt;/p&gt;
&lt;p&gt;However, Zcash differs from Bitcoin in what you can do with the UTXOs. Bitcoin has one pool of funds: the public chain, whereas Zcash has several, split into the transparent pool and the shielded pools, but both pools use ZEC as currency, and you can move funds between them. The transparent pool works exactly like Bitcoin: addresses start with t, transactions are fully visible, and anyone can trace the flow of funds.&lt;/p&gt;
&lt;p&gt;The shielded pools are completely different and are unique to Zcash. There are three pools , &lt;em&gt;Sprout&lt;/em&gt;, &lt;em&gt;Sapling&lt;/em&gt;, and &lt;em&gt;Orchard&lt;/em&gt;, with Orchard being the newest and most advanced. Sprout and Sapling are now practically unused, since they date back to previous network upgrades and rely on &lt;em&gt;trusted setups&lt;/em&gt;, which Orchard doesn&amp;rsquo;t; we will cover this further later on in the article. Shielded addresses start with z, and transactions reveal nothing about the sender, the recipient, or the amount.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;Henceforth, we will refer to Zcash pools as the transparent pool and the shielded pool, as though there are several shielded pools, in practice they are considered as a unified whole and Orchard one primarily used today.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The transparent pool exists for compatibility and optionality. Some users want auditability, some applications even require it, and exchanges often use transparent addresses for regulatory compliance. In this case, transparency is a feature, not a bug, and Zcash&amp;rsquo;s reliance on encryption for privacy in the shielded pool is unaffected by the usage of the transparent pools.&lt;/p&gt;
&lt;p&gt;We should think of the transparent pool and the shielded pool as two entirely independent systems that do not affect each other. People often mistakenly criticize Zcash&amp;rsquo;s transparency feature as somehow decreasing its privacy, but that is false. The Zcash anonymity set is mathematically independent from how much ZEC sits in transparent addresses. So, even if 99% of ZEC were transparent, the privacy of the shielded 1% would only be determined by the shielded pool itself.&lt;/p&gt;
&lt;h3 id="33-the-fundamental-problem"&gt;3.3 The Fundamental Problem&lt;/h3&gt;
&lt;p&gt;In Bitcoin, validating a transaction is straightforward. You check that the inputs exist and haven&amp;rsquo;t been spent before, that the signatures are valid, and that the outputs don&amp;rsquo;t exceed the inputs. Every piece of information needed to verify these conditions is right there on the blockchain, visible to everyone.&lt;/p&gt;
&lt;p&gt;Such transparency is what makes Bitcoin trustless. You don&amp;rsquo;t need to trust anyone because you can verify everything yourself. If you wanted to, you could even run a node for maximal trustlessness. However, this is also what makes Bitcoin a surveillance tool, as the very data that enables verification is the same data that enables tracking.&lt;/p&gt;
&lt;p&gt;Zcash wants both: trustless verification and privacy, but these seem to contradict each other. How can the network verify that a transaction is valid if it can&amp;rsquo;t see the transaction?&lt;/p&gt;
&lt;p&gt;Think about what validation actually requires:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;The inputs exist, as you can&amp;rsquo;t spend coins that don&amp;rsquo;t exist.&lt;/li&gt;
&lt;li&gt;The inputs haven&amp;rsquo;t been spent before, so that there’s no double-spending.&lt;/li&gt;
&lt;li&gt;The authorization to spend, since you control the private key.&lt;/li&gt;
&lt;li&gt;The math works out, and outputs don&amp;rsquo;t exceed inputs.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;In Bitcoin, nodes and miners check these four criteria by looking at the data. In Zcash, the sender, recipient, and amount are encrypted, and the data isn&amp;rsquo;t visible. How then can anyone check these criteria?&lt;/p&gt;
&lt;p&gt;The answer is that Zcash doesn&amp;rsquo;t ask nodes and miners to check the data. Instead, the sender provides a zk-SNARK, a cryptographic proof, that demonstrates that the transaction is valid without revealing any of the underlying information. Miners and nodes don&amp;rsquo;t learn what the inputs are, who the recipient is, or how much is being transferred, they only learn one thing: the proof is valid, and therefore the transaction is valid.&lt;/p&gt;
&lt;p&gt;It sounds insane, we can verify a financial transaction is valid, without seeing it!&lt;/p&gt;
&lt;p&gt;The following sections explain why this is possible, including how Zcash represents value and tracks what is spent, as well as how zero-knowledge proofs tie everything together.&lt;/p&gt;
&lt;h3 id="34-shielded-notes"&gt;3.4 Shielded Notes&lt;/h3&gt;
&lt;p&gt;As mentioned above, Bitcoin uses UTXOs. Zcash&amp;rsquo;s shielded pool uses something conceptually similar called notes; you can think of notes as encrypted UTXOs.&lt;/p&gt;
&lt;p&gt;So what is a note? A note is an encrypted object representing a specific amount of ZEC. It’s a discrete chunk of value, just like UTXOs, but unlike UTXOs, its contents are hidden. When you receive shielded ZEC, a note is created. When you spend the shielded Zec, that note is consumed and new notes are created for the recipient and your change if applicable, exactly as with UTXOs.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;This is what an Orchard note looks like after decryption:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1pg2aaph7jp8rpf6...sz7nt28qjmxgmwxa&amp;#34;,
&amp;#34;v&amp;#34;: 150000000,
&amp;#34;rho&amp;#34;: &amp;#34;0x9f8e7d6c5b4a...f8e7d6c5b4a39281706f5e4d3c2b1a0&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x1a2b3c4d5e6f70...c4d5e6f708192a3b4c5d6e7f809&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x7a3b4c5d6e7b...d8e9f0a1b3d4e5f6a7b8c9d0e1f2a3b&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;In this example, the value field v field shows 1.5 ZEC (150,000,000 zatoshis). The other fields, &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt; and &lt;code&gt;rcm&lt;/code&gt; will be covered later, for now, just understand that they are what makes the cryptography backing Zcash notes possible.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Notes are never modified, there is no updating of a balance. Rather, they&amp;rsquo;re created, they exist, and they&amp;rsquo;re destroyed when spent. If you have 10 ZEC and spend 3 ZEC, the original 10 ZEC note is consumed entirely, and two new notes are created: 3 ZEC given to the recipient and 7 ZEC returned to you, just like UTXOs.&lt;/p&gt;
&lt;p&gt;The critical difference between Zcash’s notes and Bitcoin&amp;rsquo;s UTXOs is their visibility. A Bitcoin UTXO is public: everyone can see its value, when it gets spent, etc. A Zcash note is encrypted: only the owner, and anyone they share their viewing key with can see its contents. The blockchain stores a cryptographic commitment to the note, it does not store the note itself.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;The blockchain never sees the decrypted note. In Orchard, each ‘action’ bundles together a spend and an output. Here&amp;rsquo;s what&amp;rsquo;s actually recorded:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;cv&amp;#34;: &amp;#34;0x9a8b7c6d5...8d7e6f5a4b3c2d1e0f9a8b&amp;#34;,
&amp;#34;nullifier&amp;#34;: &amp;#34;0x2c3d4e5f6a7b...d2e3f48e9f0a1b2c3d&amp;#34;,
&amp;#34;rk&amp;#34;: &amp;#34;0x5e6f7a8b...5a6b7c8d9e0f1a2b3c4d5e6f&amp;#34;,
&amp;#34;cmx&amp;#34;: &amp;#34;0x1a2b3c4d5e6f7...d3e4f5a6b7c8d9e0f1a2b&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x4d5e6f7a8b9...4f5a6b7c8d9e0f1a2b3c4d5e&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x8f7e6d5c4b3...a29180f7e6d5c&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x3c4d5e6f7a8...b9c0d1e2f3a4b5c&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;As you can see, it&amp;rsquo;s all encrypted, we will go over the specifics of each field later.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;You may be thinking, if notes are hidden, how does the network know they exist? Or how does it know when they&amp;rsquo;ve been spent? Here’s where commitments and nullifiers come in.&lt;/p&gt;
&lt;h3 id="35-commitments-and-nullifiers"&gt;3.5 Commitments and Nullifiers&lt;/h3&gt;
&lt;p&gt;Zcash&amp;rsquo;s shielded pool faces two problems that Bitcoin solves trivially through transparency:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;Proving notes exist:&lt;/strong&gt; When someone sends you shielded ZEC, how does the network know the note is real?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Preventing double-spending:&lt;/strong&gt; When you spend a note, how does the network know you haven&amp;rsquo;t spent it before?&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;The solution for Zcash is a combination of two cryptographic mechanisms: commitments and nullifiers.&lt;/p&gt;
&lt;h4 id="commitments"&gt;Commitments&lt;/h4&gt;
&lt;p&gt;A commitment is a value computed by hashing the note&amp;rsquo;s fields together. Here’s what it looks like In Orchard:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;cmx = Hash(addr, v, rho, psi, rcm) = 0x1a2b3c4d...9ca6b7c8d9e0f1a2b
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;‘Hash’ denotes the hashing function used. We take the fields of the shielded note, feed them to the hash function, and it returns a hash (in this case &lt;code&gt;0x1a2b3c4d...9ca6b7c8d9e0f1a2b&lt;/code&gt;).&lt;/p&gt;
&lt;p&gt;There are two properties that make this useful:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;One-way:&lt;/strong&gt; given the returned hash, &lt;code&gt;0x1a2b3c4d...9ca6b7c8d9e0f1a2b&lt;/code&gt;, you cannot recover the fields &lt;code&gt;addr&lt;/code&gt;, &lt;code&gt;v&lt;/code&gt;, &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt;, or &lt;code&gt;rcm&lt;/code&gt;, and the content of the note is hidden.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Collision-resistant:&lt;/strong&gt; you cannot find two different notes that produce the same commitment, each note maps to exactly one commitment.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Each time that a note is created, its commitment is added to the commitment tree — a Merkle tree — containing every note commitment ever created on the network.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;A Merkle tree is a data structure that lets you prove that an item is in a large set without revealing the item or downloading the entire set.&lt;/p&gt;
&lt;p&gt;Here&amp;rsquo;s how it works. Start with a list of values (in our case, note commitments): &lt;code&gt;cm0&lt;/code&gt; &lt;code&gt;cm1&lt;/code&gt; &lt;code&gt;cm2&lt;/code&gt; &lt;code&gt;cm3&lt;/code&gt;&lt;/p&gt;
&lt;p&gt;Pair them up and hash each pair together:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;H0 = Hash(cm0, cm1)&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;H1 = Hash(cm2, cm3)&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Now you have two hashes. Pair and hash again:&lt;/p&gt;
&lt;p&gt;&lt;code&gt;root = Hash(H0, H1)&lt;/code&gt;&lt;/p&gt;
&lt;p&gt;So far, we have taken pairs of items from the original set and combined each pair using a hash function. We then group the resulting hashes into pairs and hash them again, repeating this process layer by layer until we reach a single final hash. This final value is called the root hash, or Merkle root.&lt;/p&gt;
&lt;p&gt;This root hash effectively summarizes the entire set:&lt;/p&gt;
&lt;pre&gt;&lt;code&gt; root
/ \
/ \
H0 H1
/ \ / \
/ \ / \
cm0 cm1 cm2 cm3
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;The key property of Merkle trees is that if you change any leaf (commitment), meaning the values &lt;code&gt;cm0&lt;/code&gt;, &lt;code&gt;cm1&lt;/code&gt;, etc., every single hash above it changes too, all the way back to the root. The root acts as the fingerprint of the entire tree, if you have the same root, then you must have the same tree.&lt;/p&gt;
&lt;p&gt;Additionally, Merkle proofs provide an efficient way to check for an item in the tree without having to check the whole tree.&lt;/p&gt;
&lt;p&gt;For example, to prove that cm1 is in the tree doesn’t require revealing all of the commitments. To do so, just provide a Merkle path, that is, the sibling hashes along the way to the root. For &lt;code&gt;cm1&lt;/code&gt;, the Merkle path is &lt;code&gt;[cm0, H1]&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Here&amp;rsquo;s how a verifier could check that:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Take the first element in &lt;code&gt;[cm0, H1]&lt;/code&gt;, meaning &lt;code&gt;cm0&lt;/code&gt;, and hash it with &lt;code&gt;cm1&lt;/code&gt;, the item we want to check, this gives us &lt;code&gt;H0: Hash(cm0, cm1) = H0&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Hash the output of the first step (&lt;code&gt;H0&lt;/code&gt;) with the following item in &lt;code&gt;[cm0, H1]&lt;/code&gt;, meaning &lt;code&gt;H1&lt;/code&gt;. This gives us the &lt;code&gt;root&lt;/code&gt; hash: &lt;code&gt;Hash(H0, H1) = root&lt;/code&gt;.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;If the result matches the known root, then we can conclude that &lt;code&gt;cm1&lt;/code&gt; is in the tree, importantly, the verifier never sees &lt;code&gt;cm2&lt;/code&gt; or &lt;code&gt;cm3&lt;/code&gt;, it&amp;rsquo;s not necessary for the verification.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The commitment tree contains every shielded note commitment ever created, equalling millions of leaves (commitments). So, when you spend a note, you prove (inside the zk-SNARK) that you know a commitment and the valid Merkle path to the current root, without revealing which commitment is yours.&lt;/p&gt;
&lt;p&gt;The commitment tree is stored by nodes, as part of the chain state they maintain. Each block introduces new note commitments which nodes append to their local copy of the tree, updating the root accordingly.. The current root, known as the anchor, is what transactions reference when proving membership.&lt;/p&gt;
&lt;h4 id="nullifiers"&gt;Nullifiers&lt;/h4&gt;
&lt;p&gt;Commitments may solve the existence problem, but they also create a new one: how do you prevent spending the same note twice?&lt;/p&gt;
&lt;p&gt;In Bitcoin, this is trivial, because when you spend a UTXO, you directly reference its transaction identification and output index, such that everyone can see the UTXO has been spent. If you try to spend it again, nodes will reject the transactions because the UTXO has been marked as consumed.&lt;/p&gt;
&lt;p&gt;The same is not possible for Zcash. If spending a note required pointing to its commitment, it would reveal which commitment you&amp;rsquo;re spending and link that note to all future transactions, thus breaching privacy.&lt;/p&gt;
&lt;p&gt;In Zcash, the solution to prevent spending the same note twice is &lt;em&gt;nullifiers&lt;/em&gt;. Nullifiers are values derived from a note, and can only be computed by the note&amp;rsquo;s owner.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Let&amp;rsquo;s say that the commitment tree has 1 million notes, and one of these notes is yours, specifically &amp;lsquo;commitment &lt;code&gt;0x1a2b...&lt;/code&gt;&amp;rsquo;&lt;/p&gt;
&lt;p&gt;If spending the note required you to say &amp;ldquo;I&amp;rsquo;m spending &lt;code&gt;0x1a2b...&lt;/code&gt;&amp;rdquo; then:&lt;/p&gt;
&lt;p&gt;Everyone knows that &lt;code&gt;0x1a2b...&lt;/code&gt; is yours, and it’s no longer just one of a million anonymous commitments. It&amp;rsquo;s tagged as belonging to whoever made this transaction, and though they don’t know what&amp;rsquo;s in that commitment, it’s still problematic that they know it&amp;rsquo;s yours.&lt;/p&gt;
&lt;p&gt;Senders can now track you, as whoever created that note by sending you the ZEC knows the commitment they created. So, when you spend and point to it, they are able to observe that the payment has been spent, and learn when you moved your funds.&lt;/p&gt;
&lt;p&gt;Over time, the spending may become linkable. An observer might be able to correlate transactions based on spending patterns, timing, and destination, such that your commitments get clustered together as &amp;ldquo;probably the same person.&amp;rdquo;&lt;/p&gt;
&lt;p&gt;Nullifiers resolve these issues. If you publish the nullifier &lt;code&gt;0x2c3d...&lt;/code&gt;, which corresponds to the commitment &lt;code&gt;0x1a2b...&lt;/code&gt;, it’s impossible to compute the mapping of commitments to nullifiers without knowing your private key. The commitment remains anonymous in the Merkle tree, your spends cannot be linked, and the sender can&amp;rsquo;t tell if their payment was spent.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Here’s an example of a nullifier In Orchard:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;nullifier = Hash(nk, rho, psi) = 0x2c3d4e5f6a7b...d2e3f48e9f0a1b2c3d
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;nk is the nullifier deriving key, a secret key only you possess. &lt;code&gt;rho&lt;/code&gt; and &lt;code&gt;psi&lt;/code&gt; are values from the note itself, as seen previously. No one else can compute this nullifier because no one else has your &lt;code&gt;nk&lt;/code&gt;. &lt;code&gt;Hash&lt;/code&gt;, as in previous examples, is the hashing function being used (we will cover this later).&lt;/p&gt;
&lt;p&gt;Anytime that you spend a note, you also publish its nullifier. The network maintains a nullifier set, that is, a collection of every nullifier ever published. So, if a nullifier is already in the set, the transaction gets rejected, thus preventing double-spending.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Here&amp;rsquo;s how the nullifier set grows over time:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Block 1000000: &lt;code&gt;nullifier set = { }&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Block 1000001: &lt;code&gt;nullifier set = { 0x2c3d...3d }&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Block 1000002: &lt;code&gt;nullifier set = { 0x2c3d...3d, 0x8f7a...2b }&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Block 1000003: &lt;code&gt;nullifier set = { 0x2c3d...3d, 0x8f7a...2b, 0x1e4c...9a }&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Each spend adds exactly one nullifier. The set cannot shrink, it only ever grows.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;At the risk of being repetitive, let us cover once more why unlinkability is the critical property. The nullifier reveals nothing about which commitment it corresponds to. An observer sees a nullifier appear and knows that some note was spent, but can&amp;rsquo;t tell which one. The commitment tree could contain millions of notes and the nullifier could correspond to any of them.&lt;/p&gt;
&lt;h4 id="putting-it-all-together"&gt;Putting it all together&lt;/h4&gt;
&lt;p&gt;Given that commitments are never deleted, as the commitment tree is append-only and grows indefinitely, commitments remain in the tree even after a note is spent.&lt;/p&gt;
&lt;p&gt;This is precisely what makes Zcash&amp;rsquo;s anonymity set so strong. Spending requires proving &amp;ldquo;I know one of the N million commitments in this tree&amp;rdquo; without revealing which one. The spent note&amp;rsquo;s commitment is mixed among the others, so that even if an observer sees a nullifier appear they could not narrow down which of the millions of commitments it corresponds to.&lt;/p&gt;
&lt;p&gt;Your privacy set includes every shielded note ever created on the network.&lt;/p&gt;
&lt;p&gt;To summarize, every shielded transaction involves:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Creating notes, which adds new note commitments to the commitment tree.&lt;/li&gt;
&lt;li&gt;Spending notes, which publishes and adds a nullifier to the nullifier set.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;In order to construct a transaction, you must provide a zk-SNARK that proves:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;You know a note with a commitment in the tree, via a valid Merkle path.&lt;/li&gt;
&lt;li&gt;You know the secret key needed to compute that note&amp;rsquo;s nullifier.&lt;/li&gt;
&lt;li&gt;The nullifier you&amp;rsquo;re publishing corresponds to that note.&lt;/li&gt;
&lt;li&gt;The amounts balance of the entire transaction; inputs equal outputs plus fee.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;The network verifies the proof, checks whether or not the nullifier is in the set, and accepts the transaction. Importantly, it never learns which commitment was spent, who sent funds to whom, or how much was transferred.&lt;/p&gt;
&lt;h3 id="36-keys-and-addresses"&gt;3.6 Keys and Addresses&lt;/h3&gt;
&lt;p&gt;Bitcoin has a simple key model: one private key, one public key, and one or more addresses. Zcash&amp;rsquo;s shielded system is more complex, as different operations require different levels of access. Zcash leverages a hierarchy of keys to address this complexity.&lt;/p&gt;
&lt;h4 id="the-spending-key"&gt;The Spending Key&lt;/h4&gt;
&lt;p&gt;The spending key (&lt;code&gt;sk&lt;/code&gt;) is your master secret, it’s a very long and random number of 256 bits. Whoever has this can spend your funds, as everything else is derived from the spending key.&lt;/p&gt;
&lt;h4 id="the-full-viewing-key"&gt;The Full Viewing Key&lt;/h4&gt;
&lt;p&gt;The full viewing key (&lt;code&gt;fvk&lt;/code&gt;), derived from the spending key, lets you see everything about your wallet&amp;rsquo;s activity: incoming payments, outgoing payments, amounts, and memo fields, but it cannot handle spending.&lt;/p&gt;
&lt;p&gt;The full viewing key is useful for cases where you want to grant someone audit access without giving them control. Through the viewing key an accountant could verify your transaction history, a business could let compliance review its books, or a tax authority could confirm reported income; all without risking that the auditor walks away with the funds.&lt;/p&gt;
&lt;h4 id="incoming-and-outgoing-viewing-keys"&gt;Incoming and Outgoing Viewing Keys&lt;/h4&gt;
&lt;p&gt;The full viewing key can also be split into its constituent elements:&lt;/p&gt;
&lt;p&gt;Incoming viewing key (&lt;code&gt;ivk&lt;/code&gt;), which lets you detect and decrypt notes sent to you, but not notes that you’ve sent to others.
Outgoing viewing key (&lt;code&gt;ovk&lt;/code&gt;), which lets you decrypt the outgoing ciphertexts, so that you can see what you&amp;rsquo;ve sent and to whom.&lt;/p&gt;
&lt;p&gt;This granularity exists because users may want to share only limited information. For example, if you want to provide a service with your incoming viewing key so the service can notify you of received payments, without revealing any information about your spending patterns.&lt;/p&gt;
&lt;p&gt;A wallet can also choose to make sent note details unrecoverable, even to holders of the full viewing key. It does this by using a random OVK at the time of sending and immediately zeroing it from memory. The &lt;code&gt;outCiphertext&lt;/code&gt; is then encrypted to a key that no one possesses, making it impossible to determine the recipient address from the FVK alone. The value can still be inferred by subtracting the change from the input total, but the destination is lost.&lt;/p&gt;
&lt;h4 id="the-nullifier-deriving-key"&gt;The Nullifier Deriving Key&lt;/h4&gt;
&lt;p&gt;The nullifier deriving key (&lt;code&gt;nk&lt;/code&gt;), also derived from the spending key, is used to compute nullifiers when spending. This is required in order to mark notes as spent, which is why viewing keys alone can&amp;rsquo;t authorize transactions—they don&amp;rsquo;t have access to &lt;code&gt;nk&lt;/code&gt;.&lt;/p&gt;
&lt;h4 id="addresses"&gt;Addresses&lt;/h4&gt;
&lt;p&gt;At the bottom of the hierarchy are the addresses: what you give to people so they can pay you. In Orchard, addresses are derived from the incoming viewing key using a diversifier, which is just a small piece of random data. This means that even an IVK-only merchant terminal can derive new diversified addresses without needing the full viewing key or spending authority.&lt;/p&gt;
&lt;p&gt;The diversifier enables diversified addresses, meaning you can generate billions of unlinkable addresses from a single wallet. Though each address is completely different, they all funnel to the same set of keys. Additionally, you can give a unique address to every person or service you interact with.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Say you receive payments from an employer, a client, and an exchange. You give each a different diversified address:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Employer pays to: &lt;code&gt;u1employer8jp8rpf6...qjmxgmwxa&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Client pays to: &lt;code&gt;u1clientaph7jp8rpf...sz7nt28qj&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Exchange pays to: &lt;code&gt;u1exchng2aaph7jp8...gmwxasz7n&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;The three addresses belong to you and your wallet receives each sender’s incoming payments, but the employer, client, and exchange cannot deduce that they’re paying the same user by comparing their addresses.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="the-key-hierarchy"&gt;The Key Hierarchy&lt;/h4&gt;
&lt;p&gt;Here&amp;rsquo;s the hierarchy:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;spending key (sk)
|
+---&amp;gt; full viewing key (fvk)
| |
| +---&amp;gt; incoming viewing key (ivk)
| |
| +---&amp;gt; outgoing viewing key (ovk)
| |
| +---&amp;gt; addresses (via diversifiers)
|
+---&amp;gt; nullifier deriving key (nk)
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;As you move down the hierarchy, each level reveals less information. The spending key can do everything, the full viewing key sees everything, but can&amp;rsquo;t spend, and the incoming viewing key only sees incoming funds. Lastly, addresses reveal nothing, they&amp;rsquo;re just destinations.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/eli-ben-sasson.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Eli Ben-Sasson, co-founder of Zcash and now leading StarkWare.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="4-transaction-lifecycle"&gt;4. Transaction Lifecycle&lt;/h2&gt;
&lt;p&gt;This chapter will cover exactly what happens when you send shielded ZEC, from the moment you hit ‘send’ to the moment the recipient sees their balance update. To exemplify this, we&amp;rsquo;ll follow every stage of a single transaction, examining what your wallet computes, what the network sees, and what ends up on the blockchain.&lt;/p&gt;
&lt;h3 id="41-the-setup"&gt;4.1 The Setup&lt;/h3&gt;
&lt;p&gt;Alice wants to send 5 ZEC to Bob. She opens her wallet, enters Bob&amp;rsquo;s shielded address, specifies the amount, and confirms the send. What happens next involves each of the mechanisms we&amp;rsquo;ve covered thus far: notes, commitments, nullifiers, keys, Merkle proofs, and zk-SNARKs.&lt;/p&gt;
&lt;p&gt;Alice&amp;rsquo;s wallet holds two unspent notes:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Note A:&lt;/strong&gt; 3 ZEC&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Note B:&lt;/strong&gt; 4 ZEC&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;She&amp;rsquo;ll spend both (7 ZEC total) to send Bob 5 ZEC, pay a 0.001 ZEC fee, and receive 1.999 ZEC in change.&lt;/p&gt;
&lt;h3 id="42-note-selection-and-retrieval"&gt;4.2 Note Selection and Retrieval&lt;/h3&gt;
&lt;p&gt;Remember, Alice&amp;rsquo;s wallet doesn&amp;rsquo;t actually store ZEC, it stores the information needed to spend notes: the decrypted note data and the keys that control them. When Alice synced her wallet, it scanned the blockchain, attempted to decrypt every shielded output using her incoming viewing key, and stored the ones that succeeded.&lt;/p&gt;
&lt;p&gt;Here&amp;rsquo;s an example of note A:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt; {
&amp;#34;addr&amp;#34;: &amp;#34;u1alice...&amp;#34;,
&amp;#34;v&amp;#34;: 300000000, // 3 ZEC in zatoshis
&amp;#34;rho&amp;#34;: &amp;#34;0x7a8b9c...&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x1d2e3f...&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x4a5b6c...&amp;#34;,
&amp;#34;position&amp;#34;: 847291, // Position in commitment tree
&amp;#34;cmx&amp;#34;: &amp;#34;0x9f8e7d...&amp;#34; // The commitment
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;The position field is crucial because it tells the wallet where in the commitment tree this note is situated, information necessary to construct the Merkle proof.&lt;/p&gt;
&lt;h3 id="43-merkle-paths"&gt;4.3 Merkle Paths&lt;/h3&gt;
&lt;p&gt;In order to spend a note, Alice must prove that its commitment exists in the tree, without revealing which commitment it is. This requires proving a Merkle path from the commitment to the root.&lt;/p&gt;
&lt;p&gt;Alice&amp;rsquo;s wallet maintains Merkle witnesses locally as it syncs the blockchain, updating them as new commitments are appended to the tree. This is critical: querying a full node for a Merkle path at a specific position would reveal which note is being spent, which would be a serious privacy leak. Full nodes don&amp;rsquo;t even maintain the entire note commitment tree—only recent frontiers and the set of valid anchors.&lt;/p&gt;
&lt;p&gt;For Note A, at position 847,291 in a tree with depth 32, the path consists of 32 sibling hashes:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt; merkle_path_A = [
&amp;#34;0x1a2b3c...&amp;#34;, // Sibling at level 0
&amp;#34;0x4d5e6f...&amp;#34;, // Sibling at level 1
... // 30 more siblings
&amp;#34;0x7g8h9i...&amp;#34; // Sibling at level 31
]
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Anyone with access to this path can verify that &lt;code&gt;cmx_A&lt;/code&gt; is in the tree by hashing back to the root. but, inside the zk-SNARK, Alice can prove this without revealing &lt;code&gt;cmx_A&lt;/code&gt; or the path itself.&lt;/p&gt;
&lt;p&gt;The wallet also records the anchor—the Merkle root at the time the witness was captured. The transaction will reference this anchor and nodes can use it to verify that it&amp;rsquo;s a valid root.&lt;/p&gt;
&lt;h3 id="44-computing-nullifiers"&gt;4.4 Computing Nullifiers&lt;/h3&gt;
&lt;p&gt;Alice has her notes and their Merkle paths, now she needs to mark them as spent.&lt;/p&gt;
&lt;p&gt;Recall from section 3.5 that nullifiers solve the fundamental problem of preventing double-spending without revealing the note being spent? With Bitcoin, you have to point to a UTXO directly and everyone can see it&amp;rsquo;s now consumed, but with Zcash, pointing to a commitment would destroy privacy by linking you to that specific note.&lt;/p&gt;
&lt;p&gt;Alice computes a nullifier for each note she&amp;rsquo;s spending, the nullifier is derived from the note&amp;rsquo;s data and her secret nullifier deriving key (&lt;code&gt;nk&lt;/code&gt;):&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;nullifier_A = Hash(nk, rho_A, psi_A) = 0x2c3d4e5f...
nullifier_B = Hash(nk, rho_B, psi_B) = 0x8f7a9b2c...
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;The &lt;code&gt;rho&lt;/code&gt; and &lt;code&gt;psi&lt;/code&gt; values are unique to each note, meaning they were set when the note was created. The &lt;code&gt;nk&lt;/code&gt; is derived from Alice&amp;rsquo;s spending key, but only she possesses it.&lt;/p&gt;
&lt;p&gt;The construction has two critical properties:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;It’s deterministic:&lt;/strong&gt; Each note produces exactly one nullifier. If Alice tried to spend Note A twice, she&amp;rsquo;d have to publish &lt;code&gt;0x2c3d4e5f...&lt;/code&gt; twice. The network maintains a nullifier set of every nullifier ever published, so the second attempt would be rejected because that nullifier already exists.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;It’s unlinkable:&lt;/strong&gt; No one else can compute the nullifier for Alice&amp;rsquo;s notes because no one else has her nk, and crucially, no one can work backwards from a nullifier to determine its corresponding commitment. So, when &lt;code&gt;0x2c3d4e5f...&lt;/code&gt; appears on the blockchain, observers will see that some note was spent, but won’t be able to tell which of the millions of commitments in the tree it came from.&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;The nullifiers will be included in Alice&amp;rsquo;s transaction and published on-chain, but are the only public trace of her spending. Just two opaque 32-byte values that reveal nothing about the notes themselves, their amounts, or who controlled them.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;The nullifier set only grows. Unlike the commitment tree (which is append-only but tracks all notes ever created), the nullifier set tracks spent notes. A note&amp;rsquo;s commitment stays in the tree forever, even after it’s spent. The nullifier&amp;rsquo;s presence in the nullifier set is what marks it as consumed.&lt;/div&gt;
&lt;/div&gt;
&lt;h3 id="45-creating-output-notes"&gt;4.5 Creating Output Notes&lt;/h3&gt;
&lt;p&gt;Alice is spending 7 ZEC (3 ZEC + 4 ZEC) and needs to create two new notes: 5 ZEC for Bob and 1.999 ZEC for her change; there’s a 0.001 ZEC transaction fee.&lt;/p&gt;
&lt;p&gt;Each note requires novel randomness, so Alice&amp;rsquo;s wallet generates the cryptographic components that make each note unique and spendable only by its intended recipient.&lt;/p&gt;
&lt;h4 id="generating-note-components"&gt;Generating Note Components&lt;/h4&gt;
&lt;p&gt;For Bob&amp;rsquo;s 5 ZEC note:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1bob...&amp;#34;, // Bob&amp;#39;s shielded address
&amp;#34;v&amp;#34;: 500000000, // 5 ZEC in zatoshis
&amp;#34;rho&amp;#34;: &amp;#34;0x3e4f5a6b...&amp;#34;, // Derived deterministically
&amp;#34;psi&amp;#34;: &amp;#34;0x7c8d9e0f...&amp;#34;, // Random
&amp;#34;rcm&amp;#34;: &amp;#34;0x1a2b3c4d...&amp;#34; // Random (commitment randomness)
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;For Alice&amp;rsquo;s 1.999 ZEC change note:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1alice...&amp;#34;, // Alice&amp;#39;s own address
&amp;#34;v&amp;#34;: 199900000, // 1.999 ZEC in zatoshis
&amp;#34;rho&amp;#34;: &amp;#34;0x5f6a7b8c...&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x9d0e1f2a...&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x4e5f6a7b...&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;The &lt;code&gt;rho&lt;/code&gt; value in Orchard is derived deterministically from the transaction, which prevents against certain types of cryptographic attacks. The &lt;code&gt;psi&lt;/code&gt; and &lt;code&gt;rcm&lt;/code&gt; values are freshly sampled random numbers. Together, these values ensure that even if Alice sends Bob 5 ZEC a thousand times, the note’s commitment would be different every time.&lt;/p&gt;
&lt;h4 id="computing-commitments"&gt;Computing Commitments&lt;/h4&gt;
&lt;p&gt;Once the note components are ready, Alice computes the commitment for each output:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;cmx_bob = Hash(addr_bob, 500000000, rho_bob, psi_bob, rcm_bob)
= 0x8a9b0c1d...
&lt;/code&gt;&lt;/pre&gt;&lt;pre tabindex="0"&gt;&lt;code&gt;cmx_alice = Hash(addr_alice, 199900000, rho_alice, psi_alice, rcm_alice)
= 0x2d3e4f5a...
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;These commitments are what will be published on-chain and added to the commitment tree. They reveal nothing about the notes themselves, they are opaque 32-byte hashes, but anyone who knows the underlying values (the recipient, specifically), can verify that a commitment corresponds to a specific note.&lt;/p&gt;
&lt;h4 id="encrypting-the-notes"&gt;Encrypting the Notes&lt;/h4&gt;
&lt;p&gt;The commitments go on-chain, but Bob needs the actual note data in order to later spend his 5 ZEC. He needs to know the value, &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt;, and &lt;code&gt;rcm&lt;/code&gt;, as without these, the commitment is useless as he can&amp;rsquo;t construct a valid nullifier or prove ownership.&lt;/p&gt;
&lt;p&gt;Alice encrypts each note so that only the intended recipient can read it:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;For Bob:&lt;/strong&gt; Alice uses Bob&amp;rsquo;s address (which contains his public key material) to encrypt the note. The result is the &lt;code&gt;encCiphertext&lt;/code&gt; ciphertext: a blob of encrypted data that can only be decrypted using Bob’s incoming viewing key. When Bob&amp;rsquo;s wallet scans the blockchain and successfully decrypts this ciphertext, he learns he received 5 ZEC and stores all the data needed to spend it.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;For Alice&amp;rsquo;s records:&lt;/strong&gt; There&amp;rsquo;s a second ciphertext called &lt;code&gt;outCiphertext&lt;/code&gt;: this one is encrypted to Alice&amp;rsquo;s outgoing viewing key, allowing her wallet to remember what she sent. Without this, Alice wouldn&amp;rsquo;t have a record of where her funds went. It&amp;rsquo;s encrypted, rather than being stored in plaintext, so that node operators and observers can&amp;rsquo;t read it.&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;cmx&amp;#34;: &amp;#34;0x8a9b0c1d...&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x6b7c8d9e...&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x9f8e7d6c5b4a...[512 bytes]...&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x3c4d5e6f7a8b...[80 bytes]...&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;The &lt;code&gt;ephemeralKey&lt;/code&gt; is a one-time public key generated for this specific encryption, and Bob can use it alongside his private key in order to decrypt &lt;code&gt;encCiphertext&lt;/code&gt;. This is standard for public-key encryption, but the twist is that it&amp;rsquo;s happening inside a system which never linked Bob&amp;rsquo;s address to an identity, and where the ciphertext doesn’t reveal anything to outside observers.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;The encryption is not part of what the zk-SNARK proves. The encryption is a separate layer that ensures only recipients can access their funds, whereas the proof verifies that notes are correctly formed and that the transaction amounts balance. If Alice encrypted incorrectly (or maliciously used the wrong key), the transaction would still be valid on-chain—but Bob would never be able to find or spend his note. In practice, wallets handle this correctly, and the recipient&amp;rsquo;s inability to decrypt would be a wallet bug, not a protocol violation.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;At this point, Alice has everything required for the outputs: two commitments to publish and encrypted payloads so that each recipient can claim their note. Now comes the hard part: proving it&amp;rsquo;s valid without revealing any of it.&lt;/p&gt;
&lt;h3 id="46-the-proof"&gt;4.6 The Proof&lt;/h3&gt;
&lt;p&gt;Alice has assembled all of the pieces: the two notes to spend, their Merkle paths, the nullifiers that will mark them as consumed, and two fresh output notes with their commitments and encrypted payloads. Now, how to convince the network that everything is valid without revealing the details?&lt;/p&gt;
&lt;p&gt;Here’s where zk-SNARK comes in.&lt;/p&gt;
&lt;h4 id="what-the-proof-demonstrates"&gt;What the Proof Demonstrates&lt;/h4&gt;
&lt;p&gt;The proof is a cryptographic object that demonstrates all of the following are true:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The input notes exist.&lt;/strong&gt; Alice knows two of the commitments that are in the commitment tree. She proves this when outlining the valid Merkle paths from those commitments to the anchor (the tree root). The proof doesn&amp;rsquo;t reveal which commitments Alice is referencing, just that they&amp;rsquo;re in there somewhere among the millions.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Alice controls the inputs.&lt;/strong&gt; Alice knows the spending keys for both notes, specifically, she knows the secret values needed to derive the nullifiers and authorize the spend. Without this, anyone could try to spend anyone else&amp;rsquo;s notes.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The nullifiers are correct.&lt;/strong&gt; The nullifiers that she’s publishing actually correspond to the notes she&amp;rsquo;s spending. Alice can&amp;rsquo;t publish arbitrary nullifiers, they must be derived from real notes she controls using the proper formula.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The transaction amounts balance.&lt;/strong&gt; The sum of the input values (3 + 4 = 7 ZEC) equals the sum of the output values (5 + 1.999 = 6.999 ZEC) plus the fee (0.001 ZEC). No ZEC is created or destroyed. This is the fundamental conservation law of the system.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The output commitments are well-formed.&lt;/strong&gt; The commitments she&amp;rsquo;s publishing for Bob&amp;rsquo;s note and her change note are correctly computed from valid note data. She can&amp;rsquo;t publish garbage commitments—they must follow the proper structure.&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;The network doesn&amp;rsquo;t learn which notes were spent, who the recipient is, or the amount that moved from one party to another. It only learns that someone made a valid transaction: real inputs, real outputs, correct math, and proper authorization. That&amp;rsquo;s enough to update the global state, meaning adding commitments and recording nullifiers, without knowing anything about the transaction itself.&lt;/p&gt;
&lt;h4 id="what-the-proof-actually-is"&gt;What the Proof Actually Is&lt;/h4&gt;
&lt;p&gt;After all of this complexity, the proof itself is almost anticlimactic: roughly one to two kilobytes of data - that’s it! It’s just a small blob of bytes that encodes a mathematical argument.&lt;/p&gt;
&lt;p&gt;Verification is fast, just a few milliseconds on modest hardware. A node receives the proof, runs the verification algorithm, and returns a binary answer: valid or invalid. No judgment calls, no heuristics, no probabilistic guesses; the math either checks out or it doesn&amp;rsquo;t.&lt;/p&gt;
&lt;p&gt;This asymmetry is zk-SNARKs’ magic. Creating the proof is computationally expensive, Alice&amp;rsquo;s wallet does real work, crunching through elliptic curve operations and polynomial math. However, verifying the proof is cheap. The asymmetry makes the system practical: every node on the network can verify every shielded transaction without re-doing the heavy computation.&lt;/p&gt;
&lt;h4 id="the-circuit"&gt;The Circuit&lt;/h4&gt;
&lt;p&gt;How does Alice actually produce this proof? By running her transaction data through something called a circuit—a formal specification of exactly what conditions must hold for a valid Orchard spend.&lt;/p&gt;
&lt;p&gt;Think of the circuit as a massive checklist encoded in mathematical constraints. The step to prove &amp;ldquo;the Merkle path must be valid&amp;rdquo; becomes a series of hash computations that must produce the right output, the step &amp;ldquo;the nullifier must be correctly derived&amp;rdquo; becomes constraints on how certain values relate to each other, finally &amp;ldquo;the amounts must balance&amp;rdquo; becomes an equation that must hold.&lt;/p&gt;
&lt;p&gt;Alice&amp;rsquo;s wallet takes her private inputs (notes, keys, paths, randomness) and grinds through this circuit to find values that satisfy every constraint. The zk-SNARK machinery then compresses this entire satisfying assignment into a tiny proof that anyone can check.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;The circuit is fixed at the protocol level, and every Orchard transaction uses the same circuit, as defined in the Zcash specification. Alice can&amp;rsquo;t modify the rules, she can only prove that she followed them. This is what makes the system trustless: nodes don&amp;rsquo;t need to trust Alice, they just need to verify that her proof passes the universal circuit agreed to.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Alice&amp;rsquo;s wallet has now produced a proof: a ~1.5 KB object asserting that a valid transaction exists, without saying what it is. Now it’s time to package everything up and send it to the network.&lt;/p&gt;
&lt;h3 id="47-assembling-the-transaction"&gt;4.7 Assembling the Transaction&lt;/h3&gt;
&lt;p&gt;Alice has her nullifiers, her output notes, her encrypted payloads, and her proof - now she needs to package everything into a transaction that the network can process.&lt;/p&gt;
&lt;h4 id="the-action-structure"&gt;The Action Structure&lt;/h4&gt;
&lt;p&gt;Orchard uses a structure called an action. Each action bundles exactly one spend and one output together, this is a deliberate design choice. Earlier Zcash protocols (Sprout and Sapling), separated spends and outputs, but this leaked information about transaction structure. If you saw a transaction with three spends and one output, you would be learning something. Orchard eliminates this problem by forcing a 1:1 pairing.&lt;/p&gt;
&lt;p&gt;Alice is spending two notes and creating two outputs, so her transaction contains two actions:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Action 0:&lt;/strong&gt; Spends Note A (3 ZEC), creates Bob&amp;rsquo;s note (5 ZEC)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Action 1:&lt;/strong&gt; Spends Note B (4 ZEC), creates Alice&amp;rsquo;s change note (1.999 ZEC)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;The pairing within each action is arbitrary. Action 0 doesn&amp;rsquo;t mean Note A &amp;ldquo;became&amp;rdquo; Bob&amp;rsquo;s 5 ZEC. The values don&amp;rsquo;t match, and that&amp;rsquo;s fine. What matters is the global constraint: total inputs equal total outputs plus fee. The action structure just ensures tat observers can&amp;rsquo;t infer transaction shape.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;What if Alice wanted to spend two notes, but only create one output? In order to do this, she would still need two actions, so she would have to create a dummy output in the second action. A dummy is a zero-value note that exists only to balance the structure. The same applies in reverse: if she had one input but needed two outputs, she would include a dummy spend. Observers can&amp;rsquo;t distinguish real actions from dummies.&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="what-goes-onchain"&gt;What Goes Onchain&lt;/h4&gt;
&lt;p&gt;Here&amp;rsquo;s what Alice&amp;rsquo;s transaction actually contains:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;anchor&amp;#34;: &amp;#34;0x7f8e9d0c...&amp;#34;,
&amp;#34;actions&amp;#34;: [
{
&amp;#34;cv&amp;#34;: &amp;#34;0x9a8b7c6d...&amp;#34;,
&amp;#34;nullifier&amp;#34;: &amp;#34;0x2c3d4e5f...&amp;#34;,
&amp;#34;rk&amp;#34;: &amp;#34;0x5e6f7a8b...&amp;#34;,
&amp;#34;cmx&amp;#34;: &amp;#34;0x8a9b0c1d...&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x6b7c8d9e...&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x9f8e7d6c...[580 bytes]&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x3c4d5e6f...[80 bytes]&amp;#34;
},
{
&amp;#34;cv&amp;#34;: &amp;#34;0x1b2c3d4e...&amp;#34;,
&amp;#34;nullifier&amp;#34;: &amp;#34;0x8f7a9b2c...&amp;#34;,
&amp;#34;rk&amp;#34;: &amp;#34;0x4d5e6f7a...&amp;#34;,
&amp;#34;cmx&amp;#34;: &amp;#34;0x2d3e4f5a...&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x8c9d0e1f...&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x7e8f9a0b...[580 bytes]&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x5a6b7c8d...[80 bytes]&amp;#34;
}
],
&amp;#34;proof&amp;#34;: &amp;#34;0x1a2b3c4d...[~1.5 KB]&amp;#34;,
&amp;#34;bindingSig&amp;#34;: &amp;#34;0x4e5f6a7b...[64 bytes]&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Let&amp;rsquo;s break this down:&lt;/p&gt;
&lt;p&gt;anchor: The Merkle root that Alice&amp;rsquo;s proof references. This commits her transaction to a specific state of the commitment tree. Nodes will verify this is a valid root that existed at some point in the tree&amp;rsquo;s history. While old anchors are technically valid, wallets typically use recent anchors to maximize the anonymity set.&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;cv (value commitment):&lt;/strong&gt; A cryptographic commitment to the value being spent or created in each action. These don&amp;rsquo;t reveal the actual amounts. Instead, they&amp;rsquo;re constructed so that the sum of all cv values across the transaction encodes the net flow. If the transaction is balanced (inputs = outputs + fee), the math works out. If not, verification fails.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;nullifier:&lt;/strong&gt; The nullifiers for Note A and Note B. These get added to the nullifier set, marking those notes as spent forever.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;rk (randomized verification key):&lt;/strong&gt; This is used to verify the spend authorization signature. This proves Alice authorized this specific transaction without revealing her actual spending key.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;cmx:&lt;/strong&gt; The commitments for Bob&amp;rsquo;s note and Alice&amp;rsquo;s change note. These get added to the commitment tree.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;ephemeralKey + encCiphertext + outCiphertext:&lt;/strong&gt; The encrypted note data, as covered in section 4.5. These don&amp;rsquo;t affect consensus, but without them, recipients couldn&amp;rsquo;t claim their funds.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;proof:&lt;/strong&gt; The zk-SNARK proving everything is valid. One proof covers the entire transaction (both actions).&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;bindingSig:&lt;/strong&gt; A signature that ties all the pieces together. It proves that the cv values across all actions sum correctly (guaranteeing value conservation) and that the transaction hasn&amp;rsquo;t been tampered with. This is the final check that the amounts actually balance.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="the-fee"&gt;The Fee&lt;/h4&gt;
&lt;p&gt;You&amp;rsquo;ll notice the fee isn&amp;rsquo;t explicitly stated anywhere, that’s because it&amp;rsquo;s implicit. Alice’s input total is 7 ZEC and her output total is 6.999 ZEC. The difference, 0.001 ZEC, is the transaction fee, which is claimed by miners.&lt;/p&gt;
&lt;p&gt;The value commitments encode net flow, so when a miner verifies the binding signature, they&amp;rsquo;re confirming that inputs minus outputs equals the claimed fee. If Alice tried to claim her outputs totaled 7 ZEC, leaving no fee, the binding signature would fail. If she tried to create extra ZEC out of thin air and claimed 8 ZEC of outputs from the 7 ZEC of inputs, the proof itself would be invalid.&lt;/p&gt;
&lt;p&gt;The fee is public. Observers can see how much was paid to process the transaction, but that&amp;rsquo;s the only visible value. The input amounts, output amounts, and transfer of value between parties remain hidden.&lt;/p&gt;
&lt;p&gt;Importantly, &lt;a href="https://zips.z.cash/zip-0317"&gt;ZIP 317&lt;/a&gt; standardizes fee calculations so that compliant wallets do not permit discretionary fee amounts. This matters for privacy: if wallets allowed arbitrary fees, the choice of fee would leak information that could help fingerprint transactions or distinguish between wallet implementations.&lt;/p&gt;
&lt;h3 id="48-broadcasting-and-mempool"&gt;4.8 Broadcasting and Mempool&lt;/h3&gt;
&lt;p&gt;Alice&amp;rsquo;s wallet has assembled the complete transaction, now it needs to reach the network.&lt;/p&gt;
&lt;h4 id="sending-to-the-network"&gt;Sending to the Network&lt;/h4&gt;
&lt;p&gt;The sending process proceeds as follows. Alice&amp;rsquo;s wallet connects to one or more Zcash nodes and broadcasts the transaction. The message propagates through the peer-to-peer network, hopping from node to node until it reaches the miners and the broader network. The sending process works exactly as in Bitcoin, the transaction is just data gossiped from nodes to peers.&lt;/p&gt;
&lt;p&gt;From Alice&amp;rsquo;s perspective, this takes one or two seconds. She sees &amp;ldquo;transaction broadcast&amp;rdquo; in her wallet and just waits for the confirmation.&lt;/p&gt;
&lt;h4 id="initial-validation"&gt;Initial Validation&lt;/h4&gt;
&lt;p&gt;When a node receives Alice&amp;rsquo;s transaction, it doesn&amp;rsquo;t blindly accept it. Before relaying it further or adding it to the mempool, the node runs a series of checks:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Proof verification:&lt;/strong&gt; The node runs the zk-SNARK verifier on Alice&amp;rsquo;s proof. This takes a few milliseconds. If the proof is invalid, the transaction is rejected immediately. No further checks needed.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Anchor check:&lt;/strong&gt; The node verifies that the anchor Alice used (the Merkle root her proof references) is a valid root from the commitment tree&amp;rsquo;s history. The consensus protocol does not prohibit old anchors—any anchor that was ever a valid tree root is accepted. However, using a recent anchor is strongly advisable because it maximizes the anonymity set: the more notes in the tree at the time of the anchor, the larger the crowd Alice&amp;rsquo;s note hides in. Some wallets, like YWallet, allow selection of older anchors to enable spending old notes without requiring the wallet to have scanned all subsequent blocks.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Nullifier check:&lt;/strong&gt; The node checks both nullifiers against its local nullifier set. If either &lt;code&gt;0x2c3d4e5f...&lt;/code&gt; or &lt;code&gt;0x8f7a9b2c...&lt;/code&gt; already exists in the set, Alice is attempting to double-spend. The transaction is rejected.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Structural validity:&lt;/strong&gt; The node confirms the transaction is well-formed: correct field lengths, valid encodings, binding signature verifies, and so on. Malformed transactions are dropped.&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;If all of the checks pass, the node considers the transaction valid. Then, it adds the transaction to its mempool (memory pool), a holding area for unconfirmed transactions, and relays it to other nodes.&lt;/p&gt;
&lt;h4 id="waiting-in-the-mempool"&gt;Waiting in the Mempool&lt;/h4&gt;
&lt;p&gt;The mempool is purgatory for transactions. Alice&amp;rsquo;s transaction sits there alongside hundreds or thousands of others, all waiting for a miner to pick them up and include them in a block.&lt;/p&gt;
&lt;p&gt;Miners select transactions from the mempool based on fees. Higher fee transactions generally get picked first. Alice paid 0.001 ZEC, which is typical for Zcash, and under normal network conditions, this is enough to get included in the next block or two.&lt;/p&gt;
&lt;p&gt;During the waiting period, Alice&amp;rsquo;s transaction is unconfirmed. The network has validated it, but it hasn&amp;rsquo;t been written into the blockchain yet. Bob&amp;rsquo;s wallet might detect the pending transaction - some wallets show incoming unconfirmed transactions - but he can&amp;rsquo;t spend those funds until the transaction is mined.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;The mempool is not global, nor synchronized, each node maintains its own mempool. Due to network propagation delays, different nodes might have slightly different sets of pending transactions at any given moment. This doesn&amp;rsquo;t matter for consensus, what does matter is which transactions make it into blocks.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The transaction is broadcast. Nodes have validated it. Now, Alice waits for a miner to do the final work.&lt;/p&gt;
&lt;h3 id="49-block-inclusion-and-finality"&gt;4.9 Block Inclusion and Finality&lt;/h3&gt;
&lt;p&gt;A miner selects Alice&amp;rsquo;s transaction from their mempool, bundles it with other transactions, and begins the work of mining a new block.&lt;/p&gt;
&lt;h4 id="mining-the-block"&gt;Mining the Block&lt;/h4&gt;
&lt;p&gt;Zcash uses Proof of Work, just like Bitcoin. The miner constructs a block header containing the previous block&amp;rsquo;s hash, a timestamp, a Merkle root of the included transactions, and a nonce. Then, they grind through nonces until finding one that produces a hash below the target difficulty.&lt;/p&gt;
&lt;p&gt;This process is identical to what we covered in the Bitcoin primer (section 3.1), with one exception: Zcash uses the Equihash algorithm instead of SHA256. The security properties are the same - finding a valid block requires significant computational work and verifying that work is trivial.&lt;/p&gt;
&lt;p&gt;When a miner finds a valid nonce, they broadcast the block and then other nodes verify it: valid proof of work, valid transactions, correct structure. If everything checks out, nodes append the block to their chain and Alice&amp;rsquo;s transaction becomes part of the permanent record.&lt;/p&gt;
&lt;h4 id="state-updates"&gt;State Updates&lt;/h4&gt;
&lt;p&gt;Once the block is accepted, the network&amp;rsquo;s state changes:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The commitment tree grows:&lt;/strong&gt; Bob&amp;rsquo;s note commitment &lt;code&gt;0x8a9b0c1d...&lt;/code&gt; and Alice&amp;rsquo;s change note commitment &lt;code&gt;0x2d3e4f5a...&lt;/code&gt; are appended to the commitment tree. Now the tree now contains two more leaves than before and a new Merkle root is computed. This root becomes a valid anchor for future transactions.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The nullifier set expands:&lt;/strong&gt; Alice&amp;rsquo;s two nullifiers (&lt;code&gt;0x2c3d4e5f...&lt;/code&gt; and &lt;code&gt;0x8f7a9b2c...&lt;/code&gt;) are added to the nullifier set. Those notes are now permanently marked as spent. Any future transaction attempting to use either nullifier will be rejected.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The block reward is issued:&lt;/strong&gt; The miner receives newly minted ZEC (the block subsidy) plus the sum of all transaction fees in the block, including Alice&amp;rsquo;s 0.001 ZEC.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;These state updates are deterministic. Every node that processes the block arrives at exactly the same new state. The commitment tree has the same new root everywhere. The nullifier set contains the same entries everywhere. This is what makes the network consistent without central coordination.&lt;/p&gt;
&lt;h4 id="confirmations"&gt;Confirmations&lt;/h4&gt;
&lt;p&gt;Alice&amp;rsquo;s transaction is now confirmed, but confirmation doesn&amp;rsquo;t mean finality.&lt;/p&gt;
&lt;p&gt;Like Bitcoin, Zcash uses pure Proof of Work, which has no cryptographic finality. The chain with the most cumulative
work wins, but nothing prevents a sufficiently resourced attacker from building a longer chain that rewrites history.
Transactions in orphaned blocks return to the mempool or become invalid if they conflict with the attacker&amp;rsquo;s chain.&lt;/p&gt;
&lt;p&gt;The conventional wisdom—that after six confirmations, reversal is &amp;ldquo;negligible&amp;rdquo;—is misleading. It frames security as a
statistical property when it&amp;rsquo;s actually an adversarial one. This applies to all pure-PoW chains, Bitcoin included.
Against an attacker with majority hashpower, no confirmation count provides cryptographic certainty—only economic
assumptions about attacker incentives and hashpower costs.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;Zcash&amp;rsquo;s 75-second block time means confirmations accumulate faster—six confirmations take about seven and a half
minutes versus Bitcoin&amp;rsquo;s hour. Each block represents less work, but confirmations compound quickly.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The transaction is mined and the state is updated. Alice&amp;rsquo;s old notes are gone forever, replaced by two new notes in the commitment tree. One belongs to Bob, and now he needs to find it.&lt;/p&gt;
&lt;h3 id="410-recipient-detection"&gt;4.10 Recipient Detection&lt;/h3&gt;
&lt;p&gt;Alice&amp;rsquo;s transaction is on-chain. Bob&amp;rsquo;s 5 ZEC exists as a commitment in the tree, but Bob doesn&amp;rsquo;t know that yet. His wallet needs to find the corresponding note.&lt;/p&gt;
&lt;h4 id="scanning-the-blockchain"&gt;Scanning the Blockchain&lt;/h4&gt;
&lt;p&gt;Bob&amp;rsquo;s wallet periodically syncs with the network, downloading new blocks and scanning for incoming payments. The challenge is that Bob can&amp;rsquo;t simply search for his address. Shielded outputs don&amp;rsquo;t contain addresses in plaintext, every output resembles random encrypted data.&lt;/p&gt;
&lt;p&gt;Bob&amp;rsquo;s wallet tries to decrypt every shielded output it encounters, so for each &lt;code&gt;encCiphertext&lt;/code&gt; of every action of every block, the wallet attempts decryption using Bob&amp;rsquo;s incoming viewing key. Most of these attempts fail and produce unusable data, but that’s expected since those outputs belong to someone else.&lt;/p&gt;
&lt;p&gt;Finally, when Bob&amp;rsquo;s wallet hits Alice&amp;rsquo;s transaction and tries to decrypt the ciphertext in Action 0, the decryption succeeds and the valid note data emerges.&lt;/p&gt;
&lt;h4 id="recovering-the-note"&gt;Recovering the Note&lt;/h4&gt;
&lt;p&gt;When decryption works, Bob&amp;rsquo;s wallet recovers the full note plaintext:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1bob...&amp;#34;,
&amp;#34;v&amp;#34;: 500000000,
&amp;#34;rho&amp;#34;: &amp;#34;0x3e4f5a6b...&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x7c8d9e0f...&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x1a2b3c4d...&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Bob now has everything he needs:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The value:&lt;/strong&gt; 5 ZEC (500,000,000 zatoshis). His wallet updates his balance accordingly.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The note components:&lt;/strong&gt; The &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt;, and &lt;code&gt;rcm&lt;/code&gt; values that Alice generated. These are essential. Without them, Bob couldn&amp;rsquo;t compute the commitment to verify that it matches what&amp;rsquo;s on-chain, or derive the nullifier to spend the note later.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The position:&lt;/strong&gt; Bob&amp;rsquo;s wallet also records where this commitment sits in the tree. When the block was processed, the commitment was appended at a specific leaf index. Bob needs this position to construct a Merkle path when he eventually spends.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="verifying-the-note"&gt;Verifying the Note&lt;/h4&gt;
&lt;p&gt;Bob&amp;rsquo;s wallet doesn&amp;rsquo;t blindly trust the decrypted data. It recomputes the commitment from the recovered values:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;cmx_check = Hash(addr_bob, 500000000, rho, psi, rcm)
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;If &lt;code&gt;cmx_check&lt;/code&gt; matches the &lt;code&gt;cmx&lt;/code&gt; published onchain in Alice&amp;rsquo;s transaction, the note is valid. If they don&amp;rsquo;t match, something is incorrect (either corruption or malicious senders), and the wallet discards the note.&lt;/p&gt;
&lt;p&gt;During normal operations, this check always passes. Alice&amp;rsquo;s wallet constructed the note correctly, and the decryption recovered exactly what she encrypted.&lt;/p&gt;
&lt;h4 id="a-spendable-note"&gt;A Spendable Note&lt;/h4&gt;
&lt;p&gt;Bob now owns a spendable 5 ZEC note. His wallet stores the note data locally and keeps it ready for whenever he wants to use it. At that point, he’ll follow the same process that Alice did in order to send it to him:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Select the note&lt;/li&gt;
&lt;li&gt;Retrieve its Merkle path from the locally maintained witnesses&lt;/li&gt;
&lt;li&gt;Compute its nullifier&lt;/li&gt;
&lt;li&gt;Create output notes for his recipients&lt;/li&gt;
&lt;li&gt;Generate a proof&lt;/li&gt;
&lt;li&gt;Broadcast the transaction&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;The cycle repeats: Bob&amp;rsquo;s spend will reveal a nullifier, marking his note as consumed, new commitments will be added to the tree, and then new recipients will scan, decrypt, and discover their funds.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;Scanning is the main performance bottleneck for shielded wallets, as a wallet that&amp;rsquo;s been offline for months needs to trial-decrypt millions of outputs to catch up. It’s for this reason that light clients and optimized sync protocols matter. Project Tachyon, mentioned in section 2, aims to dramatically improve the catch-up process with oblivious synchronization, letting wallets query servers for relevant data without revealing what information is being sought.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Alice sent 5 ZEC to Bob. The network verified the transaction without learning who sent what to whom, but Bob was still able to detect his payment without anyone else knowing he received it. The transaction is complete.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/panopticon.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Jeremy Bentham's Panopticon, 1791. A prison designed so inmates never know if they're being watched. They learn to watch themselves.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="5-the-philosophy-of-privacy"&gt;5. The Philosophy of Privacy&lt;/h2&gt;
&lt;h3 id="51-privacy-as-a-precondition-for-progress"&gt;5.1 Privacy as a Precondition for Progress&lt;/h3&gt;
&lt;p&gt;Privacy does not mean secrecy, for secrecy aims to hide something shameful. Privacy is the right to choose what you reveal and to whom. Privacy is autonomy over your own information, it’s the foundation of freedom itself.&lt;/p&gt;
&lt;p&gt;This distinction matters because critics of privacy often conflate the two. The refrain of authoritarian systems proclaims that &amp;ldquo;if you have nothing to hide, you have nothing to fear,&amp;rdquo; and assumes that privacy is only valuable to those with something to conceal. However, privacy is valuable to everyone, precisely because it creates the conditions for everything else we value: free thought, free speech, free markets, and progress.&lt;/p&gt;
&lt;h4 id="the-conditions-for-progress"&gt;The Conditions for Progress&lt;/h4&gt;
&lt;p&gt;Karl Popper thought that progress was dependent on criticism. Bold ideas must be proposed, tested, and corrected, so that errors can be identified and discarded. This process requires freedom from punishment for proposing bold ideas before they’re tested and which risk being wrong. The panopticon ensures that dissent is muted before it can be voiced. Innovation requires permissions and criticism gets punished - the mechanism of progress breaks down.&lt;/p&gt;
&lt;p&gt;David Deutsch extended Popper&amp;rsquo;s insights, positing that humans are unique in virtue of being universal explainers. Our capacity to create knowledge, to understand the cosmos, and even transform them, makes us special. Yet, knowledge creation requires experimentation, and experimentation requires the freedom to fail privately before succeeding publicly. Surveillance inhibits the freedom to experiment, for when every action is observed and recorded, it suffocates creative thinking.&lt;/p&gt;
&lt;p&gt;These are not abstract concerns. They’re the reality of anyone who has self-censored knowing their words were being surveilled. Anyone who chose not to donate to a controversial or novel cause knowing the transaction would be visible or traceable. Anyone who avoided researching a sensitive topic knowing the query would be logged. Surveillance changes behavior, that’s one of its primary functions. Sometimes, changing behaviors amounts to constraining ideas, and thus, to constraining progress.&lt;/p&gt;
&lt;h4 id="money-as-the-final-monopoly"&gt;Money as the Final Monopoly&lt;/h4&gt;
&lt;p&gt;Throughout history, freedom has depended on the tools we had to protect it.&lt;/p&gt;
&lt;p&gt;The printing press encouraged free speech. Before Gutenberg, ideas often were chained to scribes and priests, locked behind institutional authority. The press broke the monopoly on information.&lt;/p&gt;
&lt;p&gt;The internet broke the monopoly of geography. Ideas could now be shared across borders in an instant. Coordination became possible without physical proximity. Censorship became harder when information could route around obstacles.&lt;/p&gt;
&lt;p&gt;Gunpowder shattered the monopoly of knights and kings over violence. A peasant with a musket could challenge a lord in armor. Power became more distributed.&lt;/p&gt;
&lt;p&gt;Every time, a new tool smashed an old monopoly. Now, one monopoly remains: money.&lt;/p&gt;
&lt;p&gt;Money is the most powerful coordination technology humans ever built. It’s how we signal value, allocate resources, and cooperate at scale, but it remains significantly restricted. Money is the most surveilled and the most controlled technology. Every transaction can be monitored. Governments can freeze accounts with a keystroke. Banks can cancel you overnight. Increasingly, capital controls can prevent you from withdrawing your own cash.&lt;/p&gt;
&lt;p&gt;Arguably, your money is not yours if someone else can see every transaction you make, decide whether or not to approve it, and later even decide to reverse that decision and inhibit access.&lt;/p&gt;
&lt;h4 id="privacy-in-markets"&gt;Privacy in Markets&lt;/h4&gt;
&lt;p&gt;Free markets require privacy, this conclusion follows from understanding how markets work:&lt;/p&gt;
&lt;p&gt;Markets aggregate information through prices, meaning that as participants make decisions based on private knowledge, prices emerge from the sum of those decisions. The mechanism functions only if participants are able to make decisions based on their private information without also revealing it prematurely. A trader who must broadcast every position before taking it will be front-run. A business that must publish every supplier relationship will be undercut. A donor who must announce every contribution will be pressured.&lt;/p&gt;
&lt;p&gt;Any leak, even just of small pieces of information, changes the market because it introduces bias and distorts decisions. The more surveillance there is in a system, the more distortion it faces. Perfect markets require participants who can act freely on private information, which is made impossible under conditions of absolute surveillance.&lt;/p&gt;
&lt;p&gt;Your net worth should not be a public API. Your transaction history should not be a queryable database. Your financial life should not be subject to the approval of observers. These are not edge cases or paranoid concerns, they are the baseline requirements for markets to function and for individuals to be free.&lt;/p&gt;
&lt;h3 id="52-the-transparency-trap"&gt;5.2 The Transparency Trap&lt;/h3&gt;
&lt;p&gt;Crypto was supposed to free us from financial surveillance, but It did the opposite.&lt;/p&gt;
&lt;p&gt;The cypherpunks who built this movement understood the stakes at hand. They understood that privacy in the digital age would not be granted by governments or corporations, but would have to be built, deployed, and defended with cryptographic tools. Bitcoin emerged from this tradition, and it did succeed in being the first crack in the dam, proof that money could exist outside government control.&lt;/p&gt;
&lt;p&gt;However, Bitcoin has a major flaw, it’s transparent by default. Every transaction, every address, and every balance is visible to anyone interested in looking for it. The blockchain is a permanent public ledger of all of the economic activity that has ever come across it. Satoshi acknowledged this limitation in his original whitepaper, suggesting that users could preserve some privacy by generating new addresses for each transaction. That was a weak mitigation then, and it’s developed into an absurd one now.&lt;/p&gt;
&lt;p&gt;Pseudonymity means that your identity is not directly tied to your address. Nevertheless, your identity can leak through observation of your behavior, such as the times at which you transact, the amounts that you move, the addresses you interact with, in sum, the patterns you repeat. With each data point the set of possible identities for an address narrows, until finally, with enough constraints, the set collapses to one.&lt;/p&gt;
&lt;p&gt;In the age of AI, pseudonymity is privacy on borrowed time, it’s just an illusion waiting to be dissolved by compute.&lt;/p&gt;
&lt;h4 id="commerce-requires-opacity"&gt;Commerce Requires Opacity&lt;/h4&gt;
&lt;p&gt;The transparency problem is not limited to individuals, as commerce also breaks down without privacy.&lt;/p&gt;
&lt;p&gt;Consider what happens when you make a single payment to a business on a transparent chain. Now, you can now see their address, and from that address potentially derive their total revenue, their customer addresses, their supplier relationships, their payroll, even their cash flow and runway.&lt;/p&gt;
&lt;p&gt;There is a reason that HR departments treat compensation structures as closely guarded secrets, that businesses do not publish their supplier contracts, and that financial statements are released quarterly, in controlled formats, rather than streamed in real-time to the public. Competitive markets require informational asymmetry. Businesses must be able to act on private knowledge without broadcasting it to competitors.&lt;/p&gt;
&lt;p&gt;The same logic applies to individuals. If your spending patterns reveal your health conditions, your political affiliations, your religious practices, and your personal relationships, then every transaction becomes a data point in generating a picture of who you are, what you value, and how you can be influenced or coerced.&lt;/p&gt;
&lt;p&gt;The web needed HTTPS before commerce could function online. Transmitting credit card numbers in plaintext was obviously unacceptable due to security reasons. The payment layer of the internet needs the same evolution, just as plaintext transactions were a prototype, production requires encryption.&lt;/p&gt;
&lt;h3 id="53-privacy-must-be-absolute"&gt;5.3 Privacy Must Be Absolute&lt;/h3&gt;
&lt;p&gt;Half-measures do not work because privacy is binary - you either have it or you do not.&lt;/p&gt;
&lt;p&gt;This may sound extreme, but it follows from how information works. A secret is only a secret until it leaks, as once it’s leaked, it cannot be unleaked. In a world of permanent storage, pattern recognition, and AI-powered analysis, any partial leak grows to become a full leak. The question is not if the remaining bits of information will be extracted, but when.&lt;/p&gt;
&lt;h4 id="the-single-bit-problem"&gt;The Single-Bit Problem&lt;/h4&gt;
&lt;p&gt;Imagine a privacy system that hides 99% of your transaction data but leaks the remaining 1%. That 1% might seem acceptable, but information compounds. One leaked bit constrains possibilities, and two bits constrain it further. Each additional leak narrows the possibilities of who you could be, what you could be doing, and why.&lt;/p&gt;
&lt;p&gt;Adversaries are patient. They’re going to collect partial pieces of information over time, correlate across data sources, and apply statistical techniques to extract the signal from the noise. Though a timing correlation here, an amount pattern there, a network graph connection elsewhere are not individually sufficient to identify you, they can once they converge.&lt;/p&gt;
&lt;p&gt;Remember, this is not a hypothesis, it’s the methodology of chain analysis, metadata analysis, and every modern surveillance system. The assumption that small leaks will remain small is incorrect; small leaks accumulate to compose complete pictures.&lt;/p&gt;
&lt;p&gt;Any privacy system that leaks must answer the following question: What happens when an adversary with unlimited time and compute optimizes against those leaks? If the answer is &amp;ldquo;they eventually win,&amp;rdquo; then the system does not provide privacy, it just provides delayed exposure.&lt;/p&gt;
&lt;h4 id="obfuscation-vs-encryption"&gt;Obfuscation vs Encryption&lt;/h4&gt;
&lt;p&gt;There are two approaches to hiding information, either you obfuscate it, making it harder to find among noise, or you encrypt it, making it mathematically inaccessible without the key.&lt;/p&gt;
&lt;p&gt;Obfuscation is hiding a needle in a haystack. It works until someone builds a better magnet. The needle is still there, still findable with sufficient effort. The security is economic, not mathematical. You are betting that finding the needle costs more than it is worth. But costs decline over time. Compute gets cheaper. Algorithms get smarter. Adversaries get more motivated. What is hidden today may be trivially exposed tomorrow.&lt;/p&gt;
&lt;p&gt;Encryption is destroying the needle and keeping only a locked description of it. Without the key, the description is indistinguishable from random noise. There is no magnet that helps. There is no amount of computation that extracts meaning from randomness. Security is mathematical, not economic. It does not degrade over time. An encrypted message from 2016 is exactly as secure today as it was then, assuming the cryptography was sound.&lt;/p&gt;
&lt;p&gt;This distinction matters enormously for financial privacy. Obfuscation-based approaches mix your transaction with others, to hide it among decoys or add noise to the data. Although these techniques raise the cost of analysis, they do not make analysis impossible. As analysis techniques improve, the protection weakens. Privacy that was adequate five years ago may be broken today, and privacy that seems adequate today may be broken by the tools of 2030.&lt;/p&gt;
&lt;p&gt;Encryption-based approaches hide the transaction itself, there is no transaction to analyze, only a proof that a valid transaction occurred. The data is not simply obscured, it is absent, and therefore immune to future developments in analysis techniques; you cannot find patterns in data that do not exist.&lt;/p&gt;
&lt;h4 id="why-this-determines-architecture"&gt;Why This Determines Architecture&lt;/h4&gt;
&lt;p&gt;This is why Zcash encrypts transactions rather than obfuscating them. The sender, recipient, and amount are not hidden among decoys or mixed with noise. Instead, they are encrypted. The blockchain stores commitments and proofs, not obscured data, so what the network sees is mathematically indistinguishable from random bytes.&lt;/p&gt;
&lt;p&gt;The concise argument is that if you accept that privacy must be absolute, that partial leaks compound into total exposure, and that adversary capabilities only grow over time, then encryption is the only viable architecture as the permanent solution, and obfuscation is just a temporary measure.&lt;/p&gt;
&lt;p&gt;The choice is not between more privacy and less privacy. It is between privacy that will hold and privacy that will eventually fail. There is no middle ground.&lt;/p&gt;
&lt;h3 id="54-the-macro-case"&gt;5.4 The Macro Case&lt;/h3&gt;
&lt;p&gt;So far, the privacy arguments have been philosophical. That privacy enables progress, transparency equates to surveillance, and partial privacy fails, remain true in any era. However, we do not live in just any era, in the current era, the macro environment makes privacy not just valuable but urgent.&lt;/p&gt;
&lt;h4 id="history-does-not-end"&gt;History Does Not End&lt;/h4&gt;
&lt;p&gt;The stability of modern western societies may have led people to misjudge the permanence of stability. Throughout history and across the world, stability is the exception, not the rule. Regimes collapse. Currencies fail. Debt cycles reset. Capital controls appear overnight. These are not rare events or distant history, these are features of the modern world happening to someone, somewhere, right now.&lt;/p&gt;
&lt;p&gt;In the past decade alone &lt;a href="https://en.wikipedia.org/wiki/2012%E2%80%932013_Cypriot_financial_crisis"&gt;Cyprus seized bank deposits&lt;/a&gt; during its financial crisis and &lt;a href="https://en.wikipedia.org/wiki/Capital_controls_in_Greece"&gt;Greece imposed capital controls&lt;/a&gt; preventing citizens from withdrawing their own money. &lt;a href="https://en.wikipedia.org/wiki/Lebanese_liquidity_crisis"&gt;Lebanon&amp;rsquo;s banking system collapsed&lt;/a&gt;, trapping savings behind withdrawal limits that have lasted years. &lt;a href="https://en.wikipedia.org/wiki/2018%E2%80%93present_Argentine_monetary_crisis"&gt;Argentina cycled through currency crises&lt;/a&gt; with depressing regularity. &lt;a href="https://www.cbn.gov.ng/out/2013/fprd/circular%20to%20all%20banks%20and%20other%20financial%20institutions-us$10,000.pdf"&gt;Nigeria restricted access to foreign currency&lt;/a&gt;. &lt;a href="https://www.reuters.com/markets/asia/china-steps-up-scrutiny-capital-flows-yuan-depreciates-2025-02-27/"&gt;China tightened capital flight controls&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;There’s a consistent pattern of governments reaching for financial controls when faced with fiscal pressure. The national economy and central banks allow bank accounts to be frozen, withdrawals limited, transfers blocked, and assets seized. Thus, the question becomes which assets are seizable and which are not.&lt;/p&gt;
&lt;p&gt;Gold has historically served as a hedge against scenarios of fiscal unpredictability. It’s hard to confiscate at scale, difficult to track, and holds value across regime transitions. Unfortunately, gold has terrible user experience in the modern world, as it must be physically acquired, verified for authenticity, stored securely, and transported though it’s high risk. The friction of its user experience limits its utility as a practical store of value for most.&lt;/p&gt;
&lt;p&gt;Bitcoin was supposed to be digital gold. Arguably, it is in certain ways, yet its transparency creates a different vulnerability. If every one of your transactions is visible on a public ledger, the state can simply identify your holdings, track your movements, and apply pressure through legal channels. The transparency that makes Bitcoin trustless also makes it targetable.&lt;/p&gt;
&lt;h4 id="the-surveillance-ratchet"&gt;The Surveillance Ratchet&lt;/h4&gt;
&lt;p&gt;Surveillance capabilities only move in one direction: expansion.&lt;/p&gt;
&lt;p&gt;Governments accumulate data, build systems, hire analysts, and develop analysis techniques. Governments can share information across agencies and even across borders. The infrastructure of surveillance, once built, does not get dismantled, but upgraded.&lt;/p&gt;
&lt;p&gt;AI is going to dramatically accelerate these advancements. Pattern matching that once required teams of analysts can now be automated. Metadata that once sat in silos can now be correlated at scale. Behavioral analysis that once took months can now happen in real time. The cost of surveillance per person drops toward zero. The only limit is what data exists to be analyzed.&lt;/p&gt;
&lt;p&gt;On transparent blockchains, that data is everything. Literally every transaction that you have ever made is permanently preserved, waiting for better analysis tools. The blockchain does not forget, and neither do the adversaries mining it for information.&lt;/p&gt;
&lt;p&gt;What you do today will be analyzed with the tools of tomorrow. Transactions that seem anonymous now may be trivially traceable in five years. Patterns that seem hidden in noise today may be obvious signals once the algorithms improve. The decisions that you make in 2026 must account for the state of privacy and analysis in 2030.&lt;/p&gt;
&lt;h4 id="the-precedent-we-must-remember"&gt;The Precedent We Must Remember&lt;/h4&gt;
&lt;p&gt;One of the most effective tools of authoritarian control is mandatory disclosure. It doesn’t begin with confiscation, but with the collection of information. Register your religion. Declare your assets. Report your associations. Though these requirements are presented as administrative and bureaucratic, these often precede something worse.&lt;/p&gt;
&lt;p&gt;Once disclosure becomes mandatory, populations can be segmented, and groups can be identified, analyzed, and assessed. Do they follow a religion that we disapprove of? Do they belong to associations that we find threatening? Do they possess assets that we might want? The separation and distinction precedes the persecution, it’s once the data exists that the targeted actions become possible.&lt;/p&gt;
&lt;p&gt;Authoritarian control has occurred within living memory, and even happened without the scalability advantages that modern technology provides. The Nazis used paper records and filing cabinets. Today, our digital tools make population-scale identification and targeting effortless.&lt;/p&gt;
&lt;p&gt;To hold private assets is to refuse these threats, it is to reject the premise that your financial life should be legible to power, it is a stance against a philosophy that has proven catastrophic when implemented.&lt;/p&gt;
&lt;p&gt;AI-powered surveillance is ever expanding. The weaponization of legal systems against disfavored groups is increasing. Capital controls are becoming more common as fiscal pressures mount. Confiscation for political reasons is no longer unthinkable in developed democracies.&lt;/p&gt;
&lt;p&gt;The security of your wealth should not depend on who wins elections. Your savings should not be one policy change away from seizure. Your financial privacy should not rely on the continued goodwill of institutions that have demonstrated their willingness to bend the rules.&lt;/p&gt;
&lt;p&gt;In sum, the macro case for privacy is that bad things have happened, are happening, and will continue to happen. The question is whether you’ll be prepared to face them when they arrive at your door.&lt;/p&gt;
&lt;h3 id="55-the-fork-in-history"&gt;5.5 The Fork in History&lt;/h3&gt;
&lt;p&gt;We’re at a branching point. The infrastructure of money is being rebuilt. The choices made now will determine what is possible late, and the branches diverge sharply.&lt;/p&gt;
&lt;h4 id="surveillance-money"&gt;Surveillance Money&lt;/h4&gt;
&lt;p&gt;One path leads to total financial visibility, where every transaction is logged, every donation is analyzed, and every purchase builds a profile. This outcome is the trajectory of our current system.&lt;/p&gt;
&lt;p&gt;Central bank digital currencies are being piloted across the globe. For example, &lt;a href="https://en.wikipedia.org/wiki/Digital_renminbi"&gt;China&amp;rsquo;s digital yuan&lt;/a&gt; is already deployed at scale, the &lt;a href="https://en.wikipedia.org/wiki/Digital_euro"&gt;European Central Bank is developing the digital euro&lt;/a&gt;, and the &lt;a href="https://www.federalreserve.gov/cbdc-faqs.htm"&gt;Federal Reserve has studied a digital dollar&lt;/a&gt;. Importantly, these systems are surveillance-enabling, not privacy-preserving, by design. The objective is increased visibility: who spent what, where, when, and with whom.&lt;/p&gt;
&lt;p&gt;Programmable money further extends the logic of fiscal control, introducing expiration dates on currency that force spending, restrictions on what categories of goods can be purchased, social credit systems where financial access depends on behavior scores, and stimulus payments that can only be used at approved vendors. None of this requires conspiracy, it only requires the infrastructure to have been built and the incentives to use it to arise.&lt;/p&gt;
&lt;p&gt;Transparent blockchains fulfill the infrastructure component by providing surveillance without the overhead of building CBDCs. Governments do not need to issue digital currency when citizens voluntarily record their transactions on public ledgers. The outcome is the same: a panopticon where economic activity is legible to anyone with the tools to read it.&lt;/p&gt;
&lt;p&gt;The path of total financial visibility ends with money as a means of control. It’s not an instrument of voluntary coordination, but a device for social management. Spend ‘correctly’ and you are left alone, spend ‘incorrectly’ and you are flagged, restricted, and frozen. The freedom to transact becomes a privilege granted to you by Big Brother.&lt;/p&gt;
&lt;h4 id="freedom-money"&gt;Freedom Money&lt;/h4&gt;
&lt;p&gt;The other leads to money that cannot be surveilled, censored, or controlled. Transactions are private by default, and account balances are visible only to their owners, making economic activity legible to participants and opaque to observers.&lt;/p&gt;
&lt;p&gt;It’s important to note that this path does not result in anarchy, a state of being without rules. The result of this path is rules, but rules that are enforced by mathematics rather than institutions. It’s not possible to double-spend because cryptography prevents it. It’s not possible to inflate the supply because the protocol forbids it. It’s not possible to forge transactions because you do not have access to the required keys. The rules are embedded in the system itself, enforced by nodes instead of government, and importantly, immune to discretionary override.&lt;/p&gt;
&lt;p&gt;In this future, markets function without the distortive effect of observation. Group coordination remains possible without the influence of surveillance. Dissenting organizations remain possible because financial support cannot be traced. Innovation remains possible because experimentation cannot be monitored. Thus, the conditions for progress described in section 5.1 are preserved.&lt;/p&gt;
&lt;h4 id="the-encryption-precedent"&gt;The Encryption Precedent&lt;/h4&gt;
&lt;p&gt;There’s still reason to believe that the freedom path is not foreclosed.&lt;/p&gt;
&lt;p&gt;In the 1990s, the United States government tried to ban strong encryption. The NSA and FBI argued that encrypted communications would support criminals and terrorists, and pushed for key escrow systems that would provide the government with backdoor access. These federal organizations classified encryption software as munition, making its export illegal.&lt;/p&gt;
&lt;p&gt;The cypherpunks opposed and defeated these measures, but encryption spread anyway. Researchers published algorithms. Developers shipped software. The internet adopted TLS. Today, encryption is not merely legal, but mandatory. HTTPS is required for banking, commerce, and communication. The government that once tried to ban encryption now mandates it to protect citizens.&lt;/p&gt;
&lt;p&gt;The transition from &amp;ldquo;encryption is dangerous&amp;rdquo; to &amp;ldquo;encryption is required&amp;rdquo; took about two decades. It’s very plausible that private money is going to follow this arc. Today, financial privacy is treated with suspicion: regulators view it as a tool for criminals, and compliance frameworks assume transparency to be the default. The arguments for communication privacy, deemed legitimate and important, also extend to financial privacy: individuals need protection from surveillance, commerce requires confidentiality, and the alternative is a world where control surfaces are everywhere.&lt;/p&gt;
&lt;p&gt;Zcash is legal in the United States, it’s even traded on regulated exchanges. It has operated for nearly a decade without being banned. This is not an accident. It reflects the same legal and political logic that protected encryption: the right to use cryptographic tools is defensible, and the benefits of privacy extend far beyond those who would abuse it.&lt;/p&gt;
&lt;h4 id="the-choice"&gt;The Choice&lt;/h4&gt;
&lt;p&gt;These paths are mutually exclusive, you cannot have both surveillance money and freedom money. You cannot have both financial privacy and universal transaction monitoring. The infrastructure currently being built will determine which world we inhabit.&lt;/p&gt;
&lt;p&gt;Choosing to shield your transactions is not just a personal financial decision, it’s a vote for which future path to choose. Your choices reveal your preferences, as every transaction in the shielded pool strengthens the network and every user who adopts private money makes it more viable. The technology exists, now we must decide to use it.&lt;/p&gt;
&lt;p&gt;Surveillance money leads to a future where economic freedom is a permission to be granted by the powerful. Freedom money leads to a world where economic freedom is fundamental and guaranteed by mathematics. Which do you choose?&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/northern-rock.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Depositors queue outside Northern Rock, September 2007. The first British bank run in 150 years.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="6-evolution--economics"&gt;6. Evolution &amp;amp; Economics&lt;/h2&gt;
&lt;h3 id="61-protocol-generations"&gt;6.1 Protocol Generations&lt;/h3&gt;
&lt;p&gt;Zcash has upgraded its core cryptography twice since launching, and with each generation came better performance, stronger security, and fewer trust assumptions. The protocol of today is substantially better than the protocol of 2016.&lt;/p&gt;
&lt;h4 id="sprout-2016"&gt;Sprout (2016)&lt;/h4&gt;
&lt;p&gt;The original shielded pool proved that private cryptocurrency was possible, as, for the first time, a production network offered cryptographic privacy backed by zero-knowledge proofs.&lt;/p&gt;
&lt;p&gt;Sprout was just a prototype clothed as production. Creating a shielded transaction required about 40 seconds of computation and several gigabytes of RAM. Sprout was not usable on phones, and barely usable on laptops. Most transactions remained transparent simply because shielding was too costly.&lt;/p&gt;
&lt;p&gt;Sprout also required a trusted setup ceremony, where six participants generated the initial parameters, each taking elaborate precautions to destroy their secret contributions. The ceremony worked, but it left an uncomfortable question: what if someone secretly kept the toxic waste?&lt;/p&gt;
&lt;h4 id="sapling-2018"&gt;Sapling (2018)&lt;/h4&gt;
&lt;p&gt;Two years later, Sapling replaced Sprout&amp;rsquo;s cryptography with something far more efficient. The time required for proof generation dropped from forty seconds to just a few. Memory requirements fell to a few dozen megabytes, and shielded transactions became practical on mobile devices for the first time.&lt;/p&gt;
&lt;p&gt;Sapling also introduced features that made privacy more usable. For example, viewing keys let users share read access to their transaction history without exposing spending authority, and diversified addresses let a single wallet generate billions of unlinkable receiving addresses.&lt;/p&gt;
&lt;p&gt;Importantly, the trusted setup remained. A new ceremony called Powers of Tau involved hundreds of participants over several months, followed by a Sapling-specific phase. The larger ceremony increased confidence, but the trust model was the same: believe that at least one participant was honest.&lt;/p&gt;
&lt;h4 id="orchard-2022"&gt;Orchard (2022)&lt;/h4&gt;
&lt;p&gt;Orchard replaced the entire system of proofs. Built on the Halo 2 proving system, it didn’t require a trusted setup and there was no ceremony. Thus, there’s no toxic waste and no trust assumptions about events that happened years ago.&lt;/p&gt;
&lt;p&gt;The performance of Orchard is comparable to Sapling, but with slightly larger proofs and no setup requirements. The cryptography is also structured differently, using a new curve cycle (Pallas and Vesta) designed specifically for recursive proofs.&lt;/p&gt;
&lt;p&gt;Orchard is the pool that Zcash was always meant to have. The earlier generations were the best technology available at the time; Orchard is what became possible once the research caught up with the vision.&lt;/p&gt;
&lt;h4 id="today"&gt;Today&lt;/h4&gt;
&lt;p&gt;Orchard is now the default for new shielded transactions. Some wallets, like Zashi, route users to Orchard automatically and auto-shield transparent funds before spending.&lt;/p&gt;
&lt;p&gt;Sapling remains supported but is being phased out. It served its purpose as a bridge between the prototype and the production-ready system, but Orchard is the final destination.&lt;/p&gt;
&lt;p&gt;Sprout has deprecated, though the pool still exists on-chain, wallets no longer create new Sprout transactions and users with funds in Sprout are encouraged to migrate.&lt;/p&gt;
&lt;h3 id="62-turnstiles"&gt;6.2 Turnstiles&lt;/h3&gt;
&lt;p&gt;Privacy creates an auditing problem. On a transparent chain, you can count every coin. The supply is the sum of all balances and visible to anyone. If a bug allowed coins to be created from nothing, you would see the total increase.&lt;/p&gt;
&lt;p&gt;Shielded pools hide balances. You cannot simply add up what everyone holds because you cannot see what anyone holds. So, if counterfeit coins entered the shielded pool, how would you know?&lt;/p&gt;
&lt;p&gt;The answer is turnstiles.&lt;/p&gt;
&lt;h4 id="the-mechanism"&gt;The Mechanism&lt;/h4&gt;
&lt;p&gt;Shielded pools each have their own turnstile, that is, a running tally of the ZEC that has entered and exited the pool. When coins move from the transparent pool into a shielded pool, the turnstile records the deposit, and when coins move back out, it records the withdrawal.&lt;/p&gt;
&lt;p&gt;The math is simple. If the turnstile shows 1 million ZEC have entered a pool and 800,000 ZEC have exited, then at most 200,000 ZEC remain. If someone tries to withdraw 300,000 ZEC, something is wrong, either the cryptography failed, or someone is attempting to commit fraud.&lt;/p&gt;
&lt;p&gt;Turnstiles do not prevent counterfeiting, instead, they detect it. More precisely, turnstiles detect any attempt to cash out counterfeit coins. You can forge ZEC inside a shielded pool (if you somehow break the complex cryptography), but you cannot spend those coins in the transparent pool without the discrepancy being noted.&lt;/p&gt;
&lt;h4 id="the-sprout-bug"&gt;The Sprout Bug&lt;/h4&gt;
&lt;p&gt;In 2018, a vulnerability was discovered in the Sprout cryptography. A flaw in the proof system that could have allowed an attacker to create coins without detection inside the shielded pool.&lt;/p&gt;
&lt;p&gt;The bug was found by the Zcash team during a security audit and patched before any exploitation occurred, but the episode demonstrated the importance of turnstiles.&lt;/p&gt;
&lt;p&gt;If an attacker had exploited the bug, they could have minted arbitrary ZEC within Sprout. but they could not have extracted those coins silently. The moment they tried to move forged ZEC into the transparent pool or a different shielded pool, the turnstile math would break and auditors would see that more ZEC exited Sprout than had ever entered.&lt;/p&gt;
&lt;p&gt;Turnstiles would successfully limit the blast radius of any attacks, as even a catastrophic cryptographic failure would not produce undetectable inflation. The damage would be bounded by the pool&amp;rsquo;s capacity, and any attempt to realize the counterfeit value would raise alarms.&lt;/p&gt;
&lt;h3 id="63-funding-development"&gt;6.3 Funding Development&lt;/h3&gt;
&lt;p&gt;Zcash made a controversial choice when it launched: to pursue protocol-level funding for development. Rather than relying on donations or corporate sponsorship, a portion of every block reward goes directly to development organizations.&lt;/p&gt;
&lt;h4 id="founders-reward-2016-2020"&gt;Founders&amp;rsquo; Reward (2016-2020)&lt;/h4&gt;
&lt;p&gt;For the first four years, 20% of all block rewards went to founders, early investors, employees, and the Zcash Foundation, through what was called the Founders&amp;rsquo; Reward.&lt;/p&gt;
&lt;p&gt;It remained a controversial decision despite the fact that the arrangement was disclosed before launch, and anyone mining or buying ZEC knew the terms. On one hand, the critics saw it as a tax on miners and a windfall for insiders. On the other hand, the supporters saw it as necessary funding for a project that required years of ongoing cryptographic research.&lt;/p&gt;
&lt;p&gt;The Founders&amp;rsquo; Reward ended upon the first halving in November 2020 and every recipient received exactly what was promised. The founders now no longer receive protocol rewards.&lt;/p&gt;
&lt;h4 id="dev-fund-2020-2024"&gt;Dev Fund (2020-2024)&lt;/h4&gt;
&lt;p&gt;Before the Founders&amp;rsquo; Reward expired, the community debated what should come next. The result was the Dev Fund, a continuation of the 20% allocation under a different structure.&lt;/p&gt;
&lt;p&gt;The new distribution directed 7% of block rewards to the Electric Coin Company (the primary development team), 5% to the Zcash Foundation (infrastructure and governance), and 8% to community grants administered by an independent committee. The founders and early investors were removed from the funding stream.&lt;/p&gt;
&lt;p&gt;The Dev Fund arrangement ran between the first halving and second halving in November 2024.&lt;/p&gt;
&lt;h4 id="extended-dev-fund-2024-2025"&gt;Extended Dev Fund (2024-2025)&lt;/h4&gt;
&lt;p&gt;As the second halving approached, the community voted on the allotment again, and decided to extend the Dev Fund with some modifications.&lt;/p&gt;
&lt;p&gt;Development funding continues at 20% of block rewards, but now a portion flows to a &amp;ldquo;lockbox&amp;rdquo; controlled by future governance mechanisms rather than existing organizations. The intent is to decentralize funding decisions over time, giving token holders more direct influence over how development money is spent.&lt;/p&gt;
&lt;h3 id="64-decentralized-governance"&gt;6.4 Decentralized Governance&lt;/h3&gt;
&lt;p&gt;No single entity controls Zcash. Development, infrastructure, and governance are distributed across independent organizations with different jurisdictions, funding sources, and mandates.&lt;/p&gt;
&lt;h4 id="the-organizations"&gt;The Organizations&lt;/h4&gt;
&lt;p&gt;Electric Coin Company (ECC) is the primary protocol development team. The ECC team maintains the reference node implementation, develops the Zashi wallet, and drives the core research. ECC is a subsidiary of the Bootstrap Project, a 501(c)(3) nonprofit based in the United States.&lt;/p&gt;
&lt;p&gt;Zcash Foundation handles infrastructure, community programs, and grants. The foundation’s team developed Zebra, an independent node implementation written in Rust, ensuring the network does not depend on a single codebase. The Zcash Foundation is a 501(c)(3) public charity, also US-based but operationally independent from ECC.&lt;/p&gt;
&lt;p&gt;Shielded Labs focuses on long-term research and ecosystem development. Based in Switzerland and funded by donations rather than protocol rewards, it provides geographic and structural diversity to the contributor base.&lt;/p&gt;
&lt;p&gt;Tachyon, led by cryptographer Sean Bowe, is building the infrastructure for Zcash to scale. Bowe was the architect behind Halo 2 and much of Zcash&amp;rsquo;s core cryptography. The Tachyon project aims to enable global private transactions through innovations in how wallets sync with the network without leaking information to servers.&lt;/p&gt;
&lt;p&gt;These four organizations collaborate but are not required to answer to each other. They can disagree and they sometimes do. The diversity of aims and perspectives is a feature that prevents capture and ensures multiple perspectives inform protocol decisions.&lt;/p&gt;
&lt;h4 id="the-zip-process"&gt;The ZIP Process&lt;/h4&gt;
&lt;p&gt;Protocol changes follow the Zcash Improvement Proposal (ZIP) process, meaning that anyone can propose a change. Proposals are debated publicly, refined through feedback, and accepted or rejected based on technical merit and community consensus.&lt;/p&gt;
&lt;p&gt;Major decisions skip the ZIP process and are resolved through community-wide polling. The Dev Fund extensions in 2020 and 2024 both involved extensive public deliberation and sentiment gathering before implementation. Input was taken from token holders, miners, and community members.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/enigma.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;The Enigma machine, used by Nazi Germany to encrypt military communications during World War II. Operators changed settings daily, producing messages that appeared as random gibberish to interceptors.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="7-zcash-vs-"&gt;7. Zcash VS &amp;hellip;&lt;/h2&gt;
&lt;p&gt;Privacy comes from value at rest, not value in motion.&lt;/p&gt;
&lt;p&gt;This single principle explains why most privacy solutions fail and why base layer encryption is the only architecture that works. Once you understand it, the landscape of privacy technologies becomes clear.&lt;/p&gt;
&lt;h3 id="71-tornado-cash-and-mixers"&gt;7.1 Tornado Cash and Mixers&lt;/h3&gt;
&lt;p&gt;Consider what happens when you use a mixer. You deposit funds, wait for some period, then withdraw it to a fresh address. The goal is to break the link between your input and output, but both the deposit and the withdrawal are visible. An observer sees when funds enter and funds exit. The mixer tries to obscure which input corresponds to which output, but this does not ensure privacy.&lt;/p&gt;
&lt;p&gt;Rather, it’s adding privacy to value in motion, which fails for the fundamental reason that the entry and exit points leak information.&lt;/p&gt;
&lt;p&gt;The deposit reveals the time and amount. The withdrawal reveals the time and the amount. If these correlate, privacy is broken. If you deposit 1.5 ETH and someone withdraws 1.5 ETH an hour later, the connection is obvious. Mixers try to solve this with fixed denominations and delays, but the leakage of information remains. Correlations are bound to emerge given enough data and sophisticated analysis.&lt;/p&gt;
&lt;p&gt;AI worsens these risks. Pattern matching that was once impractical becomes trivial to solve with timing analysis, amount clustering, and behavioral patterns. Every mixer is a puzzle waiting for algorithms to develop ways to solve it.&lt;/p&gt;
&lt;p&gt;The only way to truly separate incoming and outgoing transactions is to separate them on the aspects of both time and value. The incoming transaction must not cause the outgoing transaction. The amounts and the transaction timing must be unrelated.&lt;/p&gt;
&lt;p&gt;The private system therefore serves as an actual store of value. Money goes in, it sits, time passes, life happens, until eventually, unrelated amounts go out for unrelated reasons. The deposit and withdrawal are not two parts of a single operation, they are independent events separated by months or years of genuine storage.&lt;/p&gt;
&lt;p&gt;You could, in theory, do this with a mixer like Tornado Cash and leave funds in the pool indefinitely, but this is impractical because you cannot do anything with those funds while they sit there.&lt;/p&gt;
&lt;p&gt;Additionally, Tornado has fixed denomination pools, so you cannot send arbitrary amounts within the pool, you cannot transfer from one Tornado position to another, nor can you use it to pay someone or to interact with any application. To use your funds for anything at all, you must withdraw to a transparent Ethereum address, re-exposing yourself to the surveillance layer.&lt;/p&gt;
&lt;p&gt;Zcash is different. Shielded-to-shielded transfers are native, so you can receive funds, hold them, spend arbitrary amounts, receive change, and transact again, all without ever touching the transparent layer. Bridge from the shielded pool to other chains using Near Intents, paying in shielded ZEC while the recipient receives whatever asset they want. The shielded pool is not a waiting room, it’s a fully functional monetary system.&lt;/p&gt;
&lt;p&gt;This is the architectural distinction that matters. Mixers are escape hatches from transparent systems - you visit them, you wait, you leave. Zcash&amp;rsquo;s shielded pool is a destination - you can live there.&lt;/p&gt;
&lt;h3 id="72-monero"&gt;7.2 Monero&lt;/h3&gt;
&lt;p&gt;Monero is the most widely used privacy cryptocurrency besides Zcash. It represents a fundamentally different approach to the information leakage problem, and in understanding why their approach fails, we will clarify why Zcash’s approach works.&lt;/p&gt;
&lt;p&gt;Monero’s approach is to use ring signatures. When you spend funds, your transaction includes your real input plus 15 decoys sampled from the blockchain. An observer sees 16 possible senders and cannot tell which one is real.&lt;/p&gt;
&lt;p&gt;This sounds robust. Sixteen possibilities per transaction. The real spend is hidden among many fakes. In reality, this just means that the privacy is probabilistic, but not cryptographic.&lt;/p&gt;
&lt;p&gt;Law enforcement agencies have successfully traced Monero transactions. There’s even &lt;a href="https://cointelegraph.com/news/monero-transactions-japanese-authorities-arrest-18-scammers"&gt;a documented case of Japanese police analyzing Monero transactions&lt;/a&gt; to identify and arrest eighteen suspected fraudsters.&lt;/p&gt;
&lt;p&gt;The fundamental issue is the anonymity set. Each Monero transaction hides among 16 outputs, whereas each Zcash shielded transaction hides among every note ever created in the pool. There are millions of these notes, so the privacy Zcash offers is not incrementally superior, but categorically superior.&lt;/p&gt;
&lt;p&gt;Sixteen is a small number, definitely small enough to attack probabilistically, especially now that timing analysis, amount patterns, and behavioral heuristics can narrow the candidates. Sixteen is small enough that sufficient compute and data will eventually crack it.&lt;/p&gt;
&lt;p&gt;There is no probabilistic attack that works against a privacy set of millions of notes. It’s impossible to narrow the candidates through elimination because nothing is eliminated. The note you spent remains indistinguishable from millions of others forever.&lt;/p&gt;
&lt;p&gt;Monero&amp;rsquo;s developers understand this limitation, and there is active research into replacing ring signatures with zero-knowledge proofs, effectively, it’s planning on adopting Zcash&amp;rsquo;s approach; an implicit acknowledgment that decoy-based privacy has a ceiling.&lt;/p&gt;
&lt;p&gt;The distinction is simple: Monero obfuscates, Zcash encrypts. Obfuscation degrades over time as analysis techniques improve, encryption does not.&lt;/p&gt;
&lt;p&gt;On top of the technical weaknesses, Monero also carries cultural baggage. The community has embraced an association with illicit use, making its institutional adoption nearly impossible. This is part of why Monero has been delisted from virtually every major exchange while Zcash remains available on Coinbase, Gemini, and others. Privacy technology needs a path to legitimacy, and Monero has made that path harder for itself than it needed to be.&lt;/p&gt;
&lt;h3 id="73-privacy-pools"&gt;7.3 Privacy Pools&lt;/h3&gt;
&lt;p&gt;Privacy Pools present a different approach to privacy solutions. Rather than hiding among random decoys or encrypting everything, it lets users prove they are not associated with known bad actors. You can withdraw from a pool while demonstrating your funds did not come from sanctioned addresses or flagged transactions.&lt;/p&gt;
&lt;p&gt;The design is clever, association sets let you define who you are willing to be grouped with. Thus, you prove membership in a &amp;ldquo;clean&amp;rdquo; set without revealing which specific deposit is yours. Regulators receive assurance that funds are not tainted and users receive some privacy, everyone is happy.&lt;/p&gt;
&lt;p&gt;Except, this inverts due process.&lt;/p&gt;
&lt;p&gt;The premise of Privacy Pools is that you must prove your innocence. It’s on you to prove that your funds are not associated with criminals and to opt into a set of &amp;ldquo;good&amp;rdquo; users and provide cryptographic evidence that you belong there. The default assumption is suspicion, and the burden falls on you to clear it.&lt;/p&gt;
&lt;p&gt;In functioning legal systems, you do not have to prove that you are not a criminal - the prosecution must prove that you are. Privacy Pools normalize the opposite, that you are guilty until you prove yourself innocent through the approved association sets.&lt;/p&gt;
&lt;p&gt;The implications abound, as your privacy depends on what others choose to disclose. If members of your association set start proving exclusion from various activities to clear their own names, the remaining members become more suspicious. There is constant pressure to prove more, disclose more, and further narrow your set. The system creates chilling effects by design.&lt;/p&gt;
&lt;p&gt;There does not exist &amp;ldquo;compliant encryption&amp;rdquo; for messaging. Signal does not ask you to prove that you are not conversing with terrorists, it accepts that communication privacy is a right, at the cost of benefiting criminals.&lt;/p&gt;
&lt;p&gt;There is no reason that it should be any different for finance. The argument that money is special or that financial privacy uniquely enables harm do not survive scrutiny. Criminals use cars, phones, and the internet, yet, we do not require proof of innocence to drive, call, or browse.&lt;/p&gt;
&lt;p&gt;Privacy Pools attempts to find the middle between surveillance and freedom. It offers privacy that is conditional on compliance, requires proving you deserve it, and that can be withdrawn if you fail to convince others of your innocence.&lt;/p&gt;
&lt;p&gt;It&amp;rsquo;s permissioned finance with extra steps.&lt;/p&gt;
&lt;h3 id="74-aztec-and-private-l2s"&gt;7.4 Aztec and Private L2s&lt;/h3&gt;
&lt;p&gt;Ethereum Layer 2s, when supplemented with privacy features, represent serious engineering. Projects like Aztec are building encrypted rollups with sophisticated cryptography. The technology is sound and the team is talented; this is not a critique of their technical capabilities.&lt;/p&gt;
&lt;p&gt;Fundamentally, Aztec and Zcash are solving different problems.&lt;/p&gt;
&lt;p&gt;Aztec is a smart contract platform. Its value proposition is private programmability: encrypted DeFi, confidential computation, and private applications. This is valuable as it enables use cases not addressed by Zcash. If you want to interact with complex financial protocols without exposing your positions, use an encrypted smart contract chain.&lt;/p&gt;
&lt;p&gt;Zcash is money. Its value proposition is being a private store of value and medium of exchange. The memetics are clear: it’s essentially encrypted Bitcoin. A place to hold wealth privately, for years or decades, with confidence that the system will remain in existence and continue to function.&lt;/p&gt;
&lt;p&gt;These are not the same use case, therefore, their requirements differ.&lt;/p&gt;
&lt;p&gt;A store of value needs to be Lindy. It needs to sustain years of operation under adversarial conditions, survive market cycles, regulatory pressure, and technical challenges without breaking. Zcash has already built nearly a decade of this history. Aztec is new, and though the cryptography may be perfect, the system has not been tested over time. This may be acceptable for experimental applications, but not for the security of wealth holdings.&lt;/p&gt;
&lt;p&gt;A store of value also needs memetic strength. Bitcoin succeeded partly because &amp;ldquo;digital gold&amp;rdquo; is a powerful narrative that people understand and believe. &amp;ldquo;Encrypted Bitcoin&amp;rdquo; gives Zcash a similar anchor, inheriting Bitcoin&amp;rsquo;s monetary properties while adding the privacy that Bitcoin lacks. Aztec does not have this narrative, it’s simply a privacy infrastructure layer, not a monetary network.&lt;/p&gt;
&lt;p&gt;Beyond the technical design, there is a social layer. Zcash’s community formed around a shared commitment to privacy as a non-negotiable principle, and over nearly a decade it has resisted legal, political, and reputational pressure to weaken that commitment. By contrast, a Layer-2 system inherits its ultimate norms and governance constraints from its Layer-1. In Ethereum’s case, it is unclear whether the broader community would consistently defend strong encryption and transaction privacy if faced with regulatory pressure. For an asset intended to function as a long-term store of value, that uncertainty itself constitutes risk.&lt;/p&gt;
&lt;p&gt;Aztec and similar projects will likely find significant demand for private applications, but for the core use case of private money, a place where wealth can rest indefinitely, they serve a different purpose than Zcash.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/samizdat.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Samizdat — Soviet citizens copying and distributing banned literature by hand to evade state censorship. Possession meant prison.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="8-misconceptions"&gt;8. Misconceptions&lt;/h2&gt;
&lt;h3 id="81-zcash-is-not-private-by-default"&gt;8.1 &amp;ldquo;Zcash Is Not Private by Default&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception confuses what has historically been the default for wallets with protocol design.&lt;/p&gt;
&lt;p&gt;The misconception about default privacy arose because early wallets defaulted to transparent addresses for reasons of practicality. In Sprout and Sapling, shielded transactions were computationally expensive and exchanges required transparent deposits. So, the path of least resistance was often transparent.&lt;/p&gt;
&lt;p&gt;Orchard has now made shielded transactions more efficient and wallets like Zashi enforce shielding by default, automatically moving any transparent funds into the shielded pool before allowing you to spend. The user experience has become private-first.&lt;/p&gt;
&lt;p&gt;The transparent option remains for specific use cases, such as exchange compatibility, regulatory compliance, and user choice, but the default path through modern Zcash is shielded from start to finish.&lt;/p&gt;
&lt;h3 id="82-the-anonymity-set-is-small"&gt;8.2 &amp;ldquo;The Anonymity Set Is Small&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception stems from confusing Zcash with decoy-based systems.&lt;/p&gt;
&lt;p&gt;As we covered above, in Monero, your transaction hides among a fixed number of decoys. If there are 16 possible senders, your anonymity set is 16. Therefore, many critics assume that Zcash works similarly: if few people use the shielded pool, then your transaction hides among just a few others.&lt;/p&gt;
&lt;p&gt;However, this is wrong. Zcash does not sample decoys, it uses Merkle tree membership proofs.&lt;/p&gt;
&lt;p&gt;When you spend a shielded note, you prove that it exists somewhere in the commitment tree that contains every note ever created, without revealing which note it is. The verifier learns only that your note is one of the millions, not hundreds or thousands, in the tree.&lt;/p&gt;
&lt;p&gt;The Orchard pool contains millions of notes, that’s the anonymity set for every shielded transaction and it grows with every transaction and never shrinks.&lt;/p&gt;
&lt;p&gt;The size of the transparent pool is irrelevant, even if 99% of ZEC sat in transparent addresses, the shielded 1% would have an anonymity set of every shielded note ever created. The two pools are mathematically independent.&lt;/p&gt;
&lt;h3 id="83-optional-transparency-weakens-privacy"&gt;8.3 &amp;ldquo;Optional Transparency Weakens Privacy&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception assumes the transparent pool somehow contaminates the shielded pool.&lt;/p&gt;
&lt;p&gt;The two are independent systems, transparent ZEC and shielded ZEC operate in parallel. Transactions on the transparent side reveal nothing about the shielded side. The cryptographic guarantees of shielded transactions do not depend on how much ZEC sits in transparent addresses.&lt;/p&gt;
&lt;p&gt;Think of it as two separate ledgers that happen to share a currency; activity on one does not affect the privacy properties of the other.&lt;/p&gt;
&lt;p&gt;The transparent option exists because it provides real value. Exchanges can use transparent addresses for deposits and withdrawals, satisfying compliance requirements while still listing ZEC. This permits users who need auditability to choose it and applications that require transparency to build on it.&lt;/p&gt;
&lt;p&gt;The optional transparency does not compromise shielded privacy, it simply increases Zcash’s adoptability, something that completely private-by-default chains lack. This is exemplified by the fact that Monero has been delisted from major exchanges, while Zash remains on Coinbase and Gemini.&lt;/p&gt;
&lt;h3 id="84-zcash-uses-a-trusted-setup"&gt;8.4 &amp;ldquo;Zcash Uses a Trusted Setup&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception has failed to update from what once was true, but isn’t anymore.&lt;/p&gt;
&lt;p&gt;Sprout and Sapling required trusted setup ceremonies where participants generated cryptographic parameters and destroyed the secret values used to create them. If anyone kept those secrets, they could forge proofs and mint counterfeit ZEC.&lt;/p&gt;
&lt;p&gt;As covered above, the ceremonies were elaborate, consisting of multiple participants, air-gapped machines, and even subsequently destroyed hardware. Despite these strong precautions, the trust model introduced modicums of doubt.&lt;/p&gt;
&lt;p&gt;Orchard resolved this issue by using Halo 2, a proving system that requires no trusted setup. There was no ceremony, no toxic waste, and no threat of secrets not being destroyed. Now, the parameters come from public, verifiable data.&lt;/p&gt;
&lt;p&gt;Zcash&amp;rsquo;s shielded pool is now trustless, just like Bitcoin, and the security is guaranteed by cryptographic mathematics, rather than faith in ceremony participants.&lt;/p&gt;
&lt;h3 id="85-there-was-a-premine"&gt;8.5 &amp;ldquo;There Was a Premine&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception is fundamentally incorrect. No coins existed before the genesis block, there was zero premine.&lt;/p&gt;
&lt;p&gt;The fallacy arises from the Founders&amp;rsquo; Reward, because during Zcash’s first four years, 20% of block rewards went to founders, investors, employees, and the Zcash Foundation. However, this was not a premine, it was simply a portion of ongoing issuance, created through mining, just as for every other coin.&lt;/p&gt;
&lt;p&gt;This distinction matters. Premine would have created coins before anyone else can participate, whereas the Founders&amp;rsquo; Reward created coins at the same rate as miner rewards, and then directed them differently. Miners received 80% of each block, and founders received the remaining 20%, importantly, both came from the same issuance schedule.&lt;/p&gt;
&lt;p&gt;The terms of the Founder’s Reward were fully disclosed before launch, both the whitepaper and the website explained its reason and its process. So anyone mining or buying ZEC in 2016 knew exactly how its distribution functioned, and there was no hidden allocation, secret stash, or coins that appeared from nowhere.&lt;/p&gt;
&lt;p&gt;The Founders&amp;rsquo; Reward ended upon the first halving in November 2020, at that point, every recipient had received what was publicly promised and nothing more.&lt;/p&gt;
&lt;h3 id="86-devs-get-20-of-mining-rewards"&gt;8.6 &amp;ldquo;Devs Get 20% of Mining Rewards&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception conflates two programs and their respective recipients.&lt;/p&gt;
&lt;p&gt;The Founders&amp;rsquo; Reward ran from 2016 to 2020, directed 20% of block rewards to founders, early investors, employees, and the Zcash Foundation, and ended at the first halving. Therefore, founders haven’t received protocol rewards since 2020.&lt;/p&gt;
&lt;p&gt;The Dev Fund replaced the Founder’s Reward and ran from 2020 to 2024. The Dev Fund also allocates 20% of block rewards, but to different recipients. ECC receives 7% for protocol development, the Zcash Foundation receives 5% for infrastructure and grants, and community grants, administered by an independent community, receive 8%.&lt;/p&gt;
&lt;p&gt;Contrary to misconceptions, Dev Fund does not serve to support personal enrichment. Rather, it funds organizations that employ developers, maintain infrastructure, and award grants to ecosystem projects. The fund pays for Zcash’s continuous improvement.&lt;/p&gt;
&lt;p&gt;The alternative is Bitcoin’s model, which relies on donations and corporate sponsorships—an approach with its own tradeoffs. Zcash instead adopted protocol-level funding to support sustainable development, and nearly nine years of continuous upgrades suggest that this choice has been justified.&lt;/p&gt;
&lt;h3 id="87-the-zcash-foundation-controls-zcash"&gt;8.7 &amp;ldquo;The Zcash Foundation Controls Zcash&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception fails to understand that no single entity controls Zcash.&lt;/p&gt;
&lt;p&gt;In fact, there are four independent organizations that contribute to the protocol. The Electric Coin Company (ECC) builds the reference implementation and Zashi wallet. The Zcash Foundation maintains Zebra, an independent node implementation, and administers grants. Shielded Labs conducts research from Switzerland. The Tachyon team, led by Sean Bowe, builds scalability infrastructure.&lt;/p&gt;
&lt;p&gt;These organizations operate in different jurisdictions, with different funding sources, and different mandates. Though they collaborate on protocol development, they can disagree on issues and do not answer to a common authority.&lt;/p&gt;
&lt;p&gt;The separation of these organizations was implemented deliberately. In case one of the organizations is pressured, captured, or compromised, the others can continue to function and maintain the system. The protocol does not depend on a single team, and the two independent node implementations mean that there’s no single authoritative codebase.&lt;/p&gt;
&lt;p&gt;Zcash is more decentralized in governance than most cryptocurrency projects. Arguably, it’s more decentralized than Bitcoin, as the latter is dominated by a single implementation mechanism and a handful of maintainers control what gets merged.&lt;/p&gt;
&lt;h3 id="88-the-mossad-is-behind-zcash"&gt;8.8 &amp;ldquo;The Mossad Is Behind Zcash&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception is simply conspiracy theory, there is no evidence to support it.&lt;/p&gt;
&lt;p&gt;The conspiracy either points to the fact that some founders have connections to Israel or the fact that academic cryptographers are involved in the project. Based on this logic, any technology developed in part by people with ties to any country is controlled by that country&amp;rsquo;s intelligence services.&lt;/p&gt;
&lt;p&gt;Zcash is open source, literally every line of code is public and auditable; its cryptography is published mathematics, peer-reviewed and scrutinized by researchers worldwide. If there were a backdoor, it would be visible in the code and the proofs.&lt;/p&gt;
&lt;p&gt;Additionally, the four independent organizations, based in multiple countries, contribute to the protocol. The community includes developers, researchers, and users from every continent. It’s simply irrational to believe that an intelligence agency controls a globally distributed open source project due to the descent of any of the early contributors.&lt;/p&gt;
&lt;p&gt;The same conspiracy thinking could be used to target any technology. Signal was developed in part from grants from the United-States government, does that mean that the CIA is behind Singal? Linux has contributors from every major government and corporation, does that mean that multiple governments have compromised it?&lt;/p&gt;
&lt;p&gt;The code is open source and the math is public, both invalidate the conspiracy.&lt;/p&gt;
&lt;h3 id="89-criminals-use-monero-for-a-reason"&gt;8.9 &amp;ldquo;Criminals Use Monero for a Reason&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception implies that criminals would have necessarily identified the strongest privacy technology in order to conceal their crimes, but this gives criminals too much credit.&lt;/p&gt;
&lt;p&gt;Criminals are not cryptographers. They do not evaluate elliptic curve implementations or compare anonymity set constructions. Instead, they use what’s familiar and what already has a reputation in their communities.&lt;/p&gt;
&lt;p&gt;Monero built its brand around being the ‘crime coin’ and therefore attracted criminals. This demonstrates a pattern of reinforcement between Monero’s brand and criminals&amp;rsquo; use of Monero, not Monero’s technical superiority.&lt;/p&gt;
&lt;p&gt;The comparison of Monero and Zcash’s privacy capacities favours Zcash. Monero hides transactions among 16 decoys, while Zcash hides notes among more than millions of others. Monero&amp;rsquo;s decoys can be eliminated through chain analysis with time, while Zcash&amp;rsquo;s cryptographic indistinguishability makes such chain analysis decryption impossible. Monero cannot be criminals&amp;rsquo; choice for privacy reasons when law enforcement has successfully traced Monero transactions, as exemplified by the Japanese case covered above.&lt;/p&gt;
&lt;p&gt;Criminals also use cash, prepaid phones, and even standard email in their business, but no one argues these are used because they’re the most secure options available. Rather, these means are used because they are the most accessible and familiar options.&lt;/p&gt;
&lt;p&gt;The criminals’ choices reveal decisions based on marketing and network effects, not reasoned decisions based on cryptographic strength.&lt;/p&gt;
&lt;h3 id="810-monero-is-more-private-because-all-transactions-are-private"&gt;8.10 &amp;ldquo;Monero Is More Private Because All Transactions Are Private&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;This misconception argues that Monero&amp;rsquo;s mandatory privacy somehow means that it’s more secure than Zcash’s optional privacy model. The confusion arises from failing to distinguish design defaults from cryptographic strength.&lt;/p&gt;
&lt;p&gt;As covered above, Zcash is also private by default, as modern wallets enforce shielding. The default path is fully encrypted.&lt;/p&gt;
&lt;p&gt;Even if Monero and Zcash’s default paths differed, the distinction would not determine their privacy strengths.&lt;/p&gt;
&lt;p&gt;The mechanism matters more than the setting.&lt;/p&gt;
&lt;p&gt;Monero&amp;rsquo;s mechanism: ring signatures with 16 decoys, hiding your transaction among 16 possible senders. As the decoys can be eliminated over time through chain analysis, the anonymity set shrinks retroactively and the connection can be traced.&lt;/p&gt;
&lt;p&gt;Zcash&amp;rsquo;s mechanism: zero-knowledge proofs over a Merkle tree of over millions notes. Your transaction could have spent any of the notes, and there is no process of elimination to trace the origin. The set only grows and the cryptographic indistinguishability is permanent.&lt;/p&gt;
&lt;p&gt;The default of weak locks on every door is not preferential to the default of a strong lock on the doors that matter, and the option to add locks to the others. Mandatory weak privacy is simply weak privacy, and optional strong privacy is simply strong privacy.&lt;/p&gt;
&lt;p&gt;The correct question is not whether privacy is the default, but whether the privacy holds up under adversarial analysis. Zcash’s privacy does, Monero’s privacy does not.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/zcash-team.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Zcash team in the early days, featuring among others Zooko Wilcox-O'Hearn, co-founder of Zcash, and Jay Graber, then a junior developer in the Zcash team and who went on to later become CEO of Bluesky.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="9-road-ahead"&gt;9. Road Ahead&lt;/h2&gt;
&lt;h3 id="91-project-tachyon"&gt;9.1 Project Tachyon&lt;/h3&gt;
&lt;p&gt;Tachyon addresses three scaling bottlenecks in Zcash: double-spend prevention, blockchain scanning, and transaction size. Double-spend prevention is the hardest of the three, and its solution reveals what makes Tachyon a genuine breakthrough rather than another incremental optimization.&lt;/p&gt;
&lt;h4 id="the-nullifier-problem"&gt;The Nullifier Problem&lt;/h4&gt;
&lt;p&gt;Zcash prevents double-spending through nullifiers - when you spend a note, you reveal a nullifier: a random-looking string that functions as a revocation token. Nullifiers can&amp;rsquo;t be linked to the notes that they revoke, but if you try to spend the same note twice, you reveal the same nullifier and the network knows to reject the duplicate.&lt;/p&gt;
&lt;p&gt;The nullifier problem is that every validating node must store every nullifier ever revealed, forever. It’s unsafe to prune old nullifiers because someone may decide to respend an old note. At one hundred transactions per second, this would create roughly one gigabyte of state growth per day. If you’re not familiar, that&amp;rsquo;s an extreme amount compared to most blockchains, including high-throughput chains like Solana.&lt;/p&gt;
&lt;h4 id="why-naive-solutions-fail"&gt;Why Naive Solutions Fail&lt;/h4&gt;
&lt;p&gt;The cryptographic community has known for years that recursive proofs could solve this problem. Rather than the network tracking nullifiers, recursive proofs would permit users to prove they haven&amp;rsquo;t double-spent. Attach the proof to the transaction and validators verify the proof and then prune old nullifiers.&lt;/p&gt;
&lt;p&gt;The devil’s in the details.&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Approach 1:&lt;/strong&gt; Download the full chain history to your wallet and construct the proof locally. This works cryptographically but fails practically, as your wallet bears the bandwidth and computational cost of every transaction everyone else makes and phones can’t do this.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Approach 2:&lt;/strong&gt; Add an intermediary service. Send your transaction to the service, let it construct the proof using full chain history, and then broadcast it. This works, but it introduces massive latency. The service must process the entire chain for every transaction, and requires you to trust the service with your transaction data.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Approach 3:&lt;/strong&gt; Send your nullifiers to the service in advance, receive the proofs back, then later, attach those proofs to your transactions and broadcast. This may seem clever, but it has a fatal flaw: the service is able to observe which nullifiers you&amp;rsquo;re preparing to spend, and can therefore link your transactions together, leaking your primacy to the intermediary.&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="oblivious-synchronization"&gt;Oblivious Synchronization&lt;/h4&gt;
&lt;p&gt;Here’s Tachyon&amp;rsquo;s solution: A service that proves that you haven&amp;rsquo;t double-spent by performing the computation, without seeing what appears in the final transaction and learning which nullifiers you&amp;rsquo;re spending. The service cannot distinguish your transactions from anyone else&amp;rsquo;s.&lt;/p&gt;
&lt;p&gt;Technically, this is defined as being an &amp;ldquo;oblivious&amp;rdquo; service. The service is blind to the actual data that it&amp;rsquo;s processing on your behalf, so you get the computational help without trusting the helper.&lt;/p&gt;
&lt;p&gt;The result is validators that don&amp;rsquo;t store the full nullifier history. Therefore, users aren&amp;rsquo;t exposed to costs that scale with total network activity, and ledger indistinguishability, Zcash&amp;rsquo;s core privacy property, remains intact.&lt;/p&gt;
&lt;h4 id="the-other-bottlenecks"&gt;The Other Bottlenecks&lt;/h4&gt;
&lt;p&gt;Blockchain scanning, the process of identifying which transactions belong to you, is solved through protocol design changes rather than new cryptography. The current requirement to trial-decrypt every transaction becomes replaced with a more efficient payment protocol.&lt;/p&gt;
&lt;p&gt;Transaction size and verification time use the same recursive proof techniques. The marginal transaction size and the verification time drop to about the scale of Bitcoin. Thus, a fully private Zcash transaction ends up being around the same size and speed as a transparent Bitcoin transaction.&lt;/p&gt;
&lt;h4 id="what-this-enables"&gt;What This Enables&lt;/h4&gt;
&lt;p&gt;Once Tachyon is implemented, Zcash&amp;rsquo;s scaling constraints will become the same as those facing other blockchains - bandwidth and latency. The cryptographic overhead that made privacy expensive disappears and even a phone can transact privately without processing the full chain. A node can validate without storing gigabytes of nullifier state.&lt;/p&gt;
&lt;p&gt;The tradeoff between privacy and scale, long assumed to be fundamental to encrypted money, turns out to be an engineering problem with a cryptographic solution.&lt;/p&gt;
&lt;h3 id="92-network-sustainability-mechanism-nsm"&gt;9.2 Network Sustainability Mechanism (NSM)&lt;/h3&gt;
&lt;p&gt;Bitcoin faces a looming problem: As block rewards halve towards zero, transaction fees must compensate miners for retaining the network’s security. Whether fees will suffice remains an open question, but the anticipated alternatives, such as tail emissions, are going to break the 21 million cap.&lt;/p&gt;
&lt;p&gt;Zcash inherits this problem, but the &lt;a href="https://shieldedlabs.net/nsm/"&gt;Network Sustainability Mechanism&lt;/a&gt; solves it without breaking the cap.&lt;/p&gt;
&lt;h4 id="the-mechanism-1"&gt;The Mechanism&lt;/h4&gt;
&lt;p&gt;The NSM allows ZEC to be burned from circulating supply and reintroduced as future block rewards. Burning 1 ZEC now causes 0.5 additional ZEC to be issued over the next four years, 0.25 over the following four years, and so on. The issuance follows an exponential decay model approximating the existing four-year halving schedule.&lt;/p&gt;
&lt;p&gt;In the short-term, this results in reduced circulating supply and increased scarcity. In the long-term, there will be more ZEC available for block rewards further along the emission curve, sustaining miner incentives without exceeding the 21 million cap.&lt;/p&gt;
&lt;h4 id="three-zips"&gt;Three ZIPs&lt;/h4&gt;
&lt;p&gt;&lt;a href="https://zips.z.cash/zip-0233"&gt;ZIP 233&lt;/a&gt; establishes voluntary burning, meaning that users can donate directly to the Zcash network rather than to organizations or individuals. Wallets could offer an option to burn ZEC when transacting. Verifiable burns enable token-gated communities or identity badges that prove contribution to network sustainability.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://zips.z.cash/zip-0234"&gt;ZIP 234&lt;/a&gt; smooths the issuance curve, so that instead of abrupt halvings, emissions decay continuously. This provides a predictable mechanism for reintroducing burned coins without sudden supply shocks.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://zips.z.cash/zip-0235"&gt;ZIP 235&lt;/a&gt; burns 60% of transaction fees. Currently, this amounts to roughly 210 ZEC per year, which is a negligible amount. The point is to establish the mechanism while fees are low and miners have no economic incentive to oppose it, future fee structures remain a community decision to be made once NSM is operational.&lt;/p&gt;
&lt;h4 id="future-applications"&gt;Future Applications&lt;/h4&gt;
&lt;p&gt;The NSM creates infrastructure for use cases that the community will encounter down the line:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;ZSA fees:&lt;/strong&gt; Minting, transacting, or bridging Zcash Shielded Assets could burn a portion to compensate ZEC holders.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Legacy support fees:&lt;/strong&gt; Users storing funds in older pools could pay fees, thus incentivizing migration to newer, more secure pools.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Privacy incentivization fees:&lt;/strong&gt; Transparent address usage could incur fees to compensate for the reduced anonymity set.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Dynamic fees:&lt;/strong&gt; Shielded Labs is developing a &lt;a href="https://fees.shieldedinfra.net/"&gt;market-based fee system&lt;/a&gt; that replaces the fixed 10,000 zatoshi per-action fee. The mechanism calculates a median-based marginal fee from the previous 50 blocks, rounds to powers of ten to preserve privacy, and offers a 10× priority lane during congestion.&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="why-now"&gt;Why Now?&lt;/h4&gt;
&lt;p&gt;Currently, Transaction fees are minimal, so implementing the burn mechanism now avoids the political difficulty that Ethereum faced with EIP-1559, where miners had strong incentives to oppose fee burning. If implemented now, the precedent will exist by the time Zcash fees become significant.&lt;/p&gt;
&lt;p&gt;The NSM can continue Zcash&amp;rsquo;s tradition of improving on Bitcoin&amp;rsquo;s design. Privacy and the Dev Fund already differentiate Zcash, and this upgrade would add a third differentiation: a mechanism for long-term network sustainability that’s not present in Bitcoin.&lt;/p&gt;
&lt;h3 id="93-quantum-resistance"&gt;9.3 Quantum Resistance&lt;/h3&gt;
&lt;p&gt;Zcash&amp;rsquo;s relationship with quantum computing is more nuanced than most other cryptocurrencies. The protocol already provides significant post-quantum privacy protections in common scenarios, as a result of deliberate design choices made since the project&amp;rsquo;s inception.&lt;/p&gt;
&lt;h4 id="whats-already-protected"&gt;What&amp;rsquo;s Already Protected&lt;/h4&gt;
&lt;p&gt;Quantum adversaries cannot compromise onchain anonymity. Zcash&amp;rsquo;s nullifiers, the mechanism preventing double-spends, use keyed pseudorandom functions built on symmetric cryptography, and these primitives remain secure against quantum attacks. The commitment schemes are therefore perfectly hidden, and the symmetric encryption uses key sizes designed for post-quantum security.&lt;/p&gt;
&lt;p&gt;This contrasts sharply with other privacy cryptocurrencies. Monero&amp;rsquo;s key images, the equivalent of nullifiers, would become transparent to a quantum adversary, and the transaction graph would be revealed. Zcash&amp;rsquo;s construction avoids this vulnerability entirely.&lt;/p&gt;
&lt;h4 id="the-two-threats"&gt;The Two Threats&lt;/h4&gt;
&lt;p&gt;Quantum computers threaten two distinct properties: privacy and soundness.&lt;/p&gt;
&lt;p&gt;Privacy concerns center on &amp;ldquo;harvest now, decrypt later&amp;rdquo; style attacks. An adversary could collect encrypted transaction data today and decrypt it later, once quantum computers have arrived. This primarily affects in-band secret distribution, the mechanism for transmitting transaction details to recipients. Tachyon&amp;rsquo;s design removes in-band secret distribution entirely, protecting against this future threat.&lt;/p&gt;
&lt;p&gt;Soundness concerns center on elliptic curve cryptography, which could be broken by quantum computers. Though this would enable counterfeiting or theft, it would not compromise privacy. Therefore, the threats differ in their urgency as privacy breaks are retroactive (past transactions become vulnerable), while soundness breaks often are not (you can react when quantum computers appear).&lt;/p&gt;
&lt;h4 id="quantum-recoverability"&gt;Quantum Recoverability&lt;/h4&gt;
&lt;p&gt;ECC has developed techniques for “quantum recoverability” in Orchard. After upcoming wallet changes, and assuming that quantum computers appear, users would be able to recover funds through a special mechanism that prevents quantum adversaries from stealing them, a mechanism that also protects privacy.&lt;/p&gt;
&lt;p&gt;The timeline for wallet integration is that it’s released in 2026, so users that shield their coins and await these improvements will be protected.&lt;/p&gt;
&lt;h4 id="best-practices-today"&gt;Best Practices Today&lt;/h4&gt;
&lt;p&gt;Shield your coins. The shielded pool&amp;rsquo;s design already provides substantial quantum resistance for on-chain privacy. Treat addresses as secrets whenever possible. Turnstiles remain the final defense: even if counterfeiting occurred, it would eventually become detectable when funds exit shielded pools.&lt;/p&gt;
&lt;p&gt;Zcash&amp;rsquo;s cryptographers will remain ahead of developments, because the protocol&amp;rsquo;s modular design, which isolates vulnerable primitives, enables future upgrades without overhaul.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/tank-man.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;"Tank Man" standing in front of a column of tanks near Tiananmen Square in Beijing on June 5, 1989.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="10-conclusion"&gt;10. Conclusion&lt;/h2&gt;
&lt;p&gt;In conclusion, this article opened with a simple observation: unless you&amp;rsquo;re using cash, every purchase you make is tracked and stored indefinitely. Bitcoin could have fixed this, but it didn&amp;rsquo;t. The blockchain that was supposed to free us from financial surveillance became the most comprehensive surveillance tool ever deployed.&lt;/p&gt;
&lt;p&gt;Zcash took a different path. Instead of transparency by default, with privacy bolted on as an afterthought, it first solved the hardest problem: how do you verify transactions without seeing them?&lt;/p&gt;
&lt;p&gt;The answer required zero-knowledge proofs, commitments that hide amounts, nullifiers that prevent double-spends without linking transactions, and a note model that shatters the transaction graph entirely. Nine years of protocol evolution followed: Sprout proved that privacy was possible, Sapling made privacy practical, and now Orchard has made it trustless.&lt;/p&gt;
&lt;p&gt;The result of this evolution is ledger indistinguishability. Two shielded transactions cannot be told apart, not by observers, validators, or nation-states with unlimited resources. The data is not just obscured or mixed with decoys, it is encrypted. What the network sees is mathematically indistinguishable from random noise. A true Swiss vault.&lt;/p&gt;
&lt;p&gt;The road ahead remains demanding. Tachyon removes the bottlenecks that constrain scale. The NSM creates sustainable economics. Quantum resistance is a solvable problem with work already underway. The foundation is built. The cryptography works. The privacy is real.&lt;/p&gt;
&lt;p&gt;Before us are two futures: One where every transaction is visible, controllable, and reversible by whoever holds power, and another where money is as private as thoughts.&lt;/p&gt;
&lt;p&gt;Zcash is how money stays free.&lt;/p&gt;
&lt;div class="further-reading-section"&gt;
&lt;hr&gt;
&lt;aside class="further-reading"&gt;
&lt;h4&gt;Further Reading&lt;/h4&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="https://example.com"&gt;The Sovereign Individual&lt;/a&gt; by James Dale Davidson&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/zec-bag"&gt;My Zcash Investment Thesis&lt;/a&gt; by Frank Braun&lt;/li&gt;
&lt;li&gt;&lt;a href="https://zips.z.cash/protocol/protocol.pdf"&gt;Zcash Protocol Specification&lt;/a&gt; by Daira-Emma Hopwood et al.&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/zcash"&gt;Zcash: A Zero to Hero&amp;rsquo;s Guide&lt;/a&gt; by Arjun Khemani&lt;/li&gt;
&lt;li&gt;&lt;a href="https://messari.io/report/understanding-zcash-a-comprehensive-overview"&gt;Understanding Zcash: A Comprehensive Overview&lt;/a&gt; by Youssef Haidar&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.coindesk.com/research/inside-zcash-encrypted-money-at-planetary-scale"&gt;Inside Zcash: Encrypted Money at Planetary Scale&lt;/a&gt; by CoinDesk Research&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/zec-thesis"&gt;The Case for a Small Allocation to ZEC&lt;/a&gt; by Sacha&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/freedom-money"&gt;Freedom Money&lt;/a&gt; by Arjun Khemani&lt;/li&gt;
&lt;li&gt;&lt;a href="https://bitcoin.org/bitcoin.pdf"&gt;Bitcoin Whitepaper&lt;/a&gt; by Satoshi Nakamoto&lt;/li&gt;
&lt;/ul&gt;
&lt;/aside&gt;
&lt;/div&gt;</description></item><item><title>Dominando Zcash</title><link>https://maxdesalle.com/mastering-zcash-es/</link><pubDate>Mon, 12 Jan 2026 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/mastering-zcash-es/</guid><description>&lt;figure&gt;
&lt;img src="https://maxdesalle.com/bernstein.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Concierto "Oda a la Libertad" de Leonard Bernstein, realizado el día de Navidad de 1989 para celebrar la caída del Muro de Berlín. La orquesta estuvo compuesta por miembros que representaban a los dos Estados alemanes y a las cuatro potencias ocupantes del Berlín de posguerra. El concierto fue transmitido en vivo a una audiencia estimada de 100 millones de personas en más de veinte países. La victoria de la libertad, la democracia y el capitalismo sobre la opresión, el totalitarismo y el comunismo, representada en la imagen.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Con profundo agradecimiento a Giulia Mouland por sus comentarios y revisión editorial, a Arjun Khemani por su apoyo, y a César Oswaldo Navarro por la traducción al español.&lt;/em&gt;&lt;/p&gt;
&lt;hr&gt;
&lt;aside id="toc"&gt;
&lt;h4&gt;Table of Contents&lt;/h4&gt;
&lt;nav id="TableOfContents"&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#1-introducción"&gt;&lt;strong&gt;1. Introducción&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#2-orígenes"&gt;&lt;strong&gt;2. Orígenes&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#21-david-chaum-y-el-nacimiento-del-dinero-digital"&gt;2.1 David Chaum y el Nacimiento del Dinero Digital&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#22-los-cypherpunks"&gt;2.2 Los Cypherpunks&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#23-bitcoin-el-compromiso-equivocado"&gt;2.3 Bitcoin: El Compromiso Equivocado&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#24-zerocoin-el-intento-de-mejora"&gt;2.4 Zerocoin: El Intento de Mejora&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#25-zerocash-la-reconstrucción"&gt;2.5 Zerocash: La Reconstrucción&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#26-el-bloque-génesis"&gt;2.6 El Bloque Génesis&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#3-qué-es-zcash"&gt;&lt;strong&gt;3. ¿Qué es Zcash?&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#31-introducción-a-bitcoin"&gt;3.1 Introducción a Bitcoin&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#32-bitcoin-pero-privado"&gt;3.2 Bitcoin, Pero Privado&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#33-el-problema-fundamental"&gt;3.3 El Problema Fundamental&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#34-notas-protegidas"&gt;3.4 Notas Protegidas&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#35-compromisos-y-anuladores"&gt;3.5 Compromisos y Anuladores&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#36-claves-y-direcciones"&gt;3.6 Claves y Direcciones&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#4-el-ciclo-de-vida-de-una-transacción"&gt;4. El ciclo de vida de una transacción&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#41-la-configuración"&gt;4.1 La configuración&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#42-selección-y-recuperación-de-notas"&gt;4.2 Selección y recuperación de notas&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#43-obtención-de-rutas-merkle"&gt;4.3 Obtención de rutas Merkle&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#44-cálculo-de-anuladores"&gt;4.4 Cálculo de anuladores&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#45-creación-de-notas-de-salida"&gt;4.5 Creación de notas de salida&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#46-la-prueba"&gt;4.6 La prueba&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#47-ensamblaje-de-la-transacción"&gt;4.7 Ensamblaje de la transacción&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#48-difusión-y-mempool"&gt;4.8 Difusión y Mempool&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#49-inclusión-en-el-bloque-y-finalidad"&gt;4.9 Inclusión en el Bloque y Finalidad&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#410-detección-del-destinatario"&gt;4.10 Detección del Destinatario&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#5-la-filosofía-de-la-privacidad"&gt;5. La Filosofía de la Privacidad&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#51-la-privacidad-como-precondición-para-el-progreso"&gt;5.1 La Privacidad como Precondición para el Progreso&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#52-la-trampa-de-la-transparencia"&gt;5.2 La Trampa de la Transparencia&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#53-la-privacidad-debe-ser-absoluta"&gt;5.3 La Privacidad Debe Ser Absoluta&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#54-el-argumento-macroeconómico"&gt;5.4 El Argumento Macroeconómico&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#55-el-punto-de-inflexión-en-la-historia"&gt;5.5 El Punto de Inflexión en la Historia&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#6-evolución-y-economía"&gt;6. Evolución y Economía&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#61-generaciones-del-protocolo"&gt;6.1 Generaciones del Protocolo&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#62-torniquetes"&gt;6.2 Torniquetes&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#63-financiamiento-del-desarrollo"&gt;6.3 Financiamiento del Desarrollo&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#64-gobernanza-descentralizada"&gt;6.4 Gobernanza Descentralizada&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#7-zcash-vs-"&gt;7. Zcash vs. …&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#71-tornado-cash-y-mixers"&gt;7.1 Tornado Cash y Mixers&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#72-monero"&gt;7.2 Monero&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#73-pools-de-privacidad"&gt;7.3 Pools de privacidad&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#74-aztec-y-las-l2-privadas"&gt;7.4 Aztec y las L2 privadas&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#8-conceptos-erróneos"&gt;8. Conceptos erróneos&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#81-zcash-no-es-privado-por-defecto"&gt;8.1 &amp;ldquo;Zcash No Es Privado Por Defecto&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#82-el-conjunto-de-anonimato-es-pequeño"&gt;8.2 &amp;ldquo;El Conjunto De Anonimato Es Pequeño&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#83-la-transparencia-opcional-debilita-la-privacidad"&gt;8.3 &amp;ldquo;La Transparencia Opcional Debilita La Privacidad&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#84-zcash-usa-una-configuración-de-confianza"&gt;8.4 &amp;ldquo;Zcash Usa Una Configuración De Confianza&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#85-hubo-un-preminado"&gt;8.5 &amp;ldquo;Hubo Un Preminado&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#86-los-desarrolladores-reciben-el-20--de-las-recompensas-de-minería"&gt;8.6 &amp;ldquo;Los Desarrolladores Reciben el 20 % de las Recompensas de Minería&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#87-la-fundación-zcash-controla-zcash"&gt;8.7 &amp;ldquo;La Fundación Zcash Controla Zcash&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#88-el-mossad-está-detrás-de-zcash"&gt;8.8 &amp;ldquo;El Mossad está detrás de Zcash&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#89-los-delincuentes-utilizan-monero-por-una-razón"&gt;8.9 &amp;ldquo;Los delincuentes utilizan Monero por una razón&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#810-monero-es-más-privado-porque-todas-las-transacciones-son-privadas"&gt;8.10 &amp;ldquo;Monero es más privado porque todas las transacciones son privadas&amp;rdquo;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#9-el-camino-por-delante"&gt;9. El camino por delante&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#91-proyecto-tachyon"&gt;9.1 Proyecto Tachyon&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#92-mecanismo-de-sostenibilidad-de-la-red-nsm"&gt;9.2 Mecanismo de sostenibilidad de la red (NSM)&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#93-resistencia-cuántica"&gt;9.3 Resistencia cuántica&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#10-conclusión"&gt;10. Conclusión&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/nav&gt;
&lt;/aside&gt;
&lt;hr&gt;
&lt;p&gt;Las contribuciones a este artículo son más que bienvenidas &lt;a href="https://github.com/maxdesalle/website/blob/main/content/posts/mastering-zcash-es.md"&gt;en GitHub&lt;/a&gt; mediante solicitudes de incorporación de cambios.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id="1-introducción"&gt;&lt;strong&gt;1. Introducción&lt;/strong&gt;&lt;/h2&gt;
&lt;p&gt;A menos que utilices dinero en efectivo, la información sobre cada compra que realizas es registrada y almacenada indefinidamente. No importa qué sea, ni cuán sensible sea. La infraestructura que impulsa el comercio, tanto fuera de línea como en línea, se ha convertido efectivamente en un aparato de vigilancia del que es casi imposible escapar.&lt;/p&gt;
&lt;p&gt;Cuando Bitcoin fue lanzado por primera vez, existía la esperanza de que pudiera solucionar esto, pero lamentablemente no ha sido así. De hecho, contrariamente a lo que muchas personas creen, Bitcoin es increíblemente transparente, ya que cada transacción realizada queda almacenada permanentemente y visible para todos. Es cierto que las billeteras digitales son seudónimas, pero para recibir BTC necesitas proporcionar tu dirección, lo que implica facilitar al remitente todo tu historial de transacciones y tu saldo. Además, servicios como &lt;a href="https://intel.arkm.com/"&gt;Arkham&lt;/a&gt; han hecho que sea sencillo, incluso para el público en general, rastrear e identificar billeteras digitales.&lt;/p&gt;
&lt;p&gt;Por esta razón, las autoridades toleran Bitcoin, ya que para los actores estatales las cadenas transparentes son, en muchos aspectos, preferibles a las monedas digitales que ellos mismos controlan (a menudo llamadas Monedas Digitales de Bancos Centrales, o CBDC, por sus siglas en inglés). Dado que no existe resistencia por parte de la población a usar Bitcoin, y no hay supervisión sobre cómo las autoridades utilizan los datos de cadena, esto ofrece a los actores estatales una visibilidad perfecta para rastrear todo, con total impunidad.&lt;/p&gt;
&lt;p&gt;En algunos aspectos, Bitcoin es en realidad peor que el sistema bancario que buscaba reemplazar. Al menos los registros bancarios son privados para el público en general; Bitcoin no lo es.&lt;/p&gt;
&lt;p&gt;Es por esta razón que Zcash adopta un enfoque diferente: ofrecer privacidad por defecto, en lugar de transparencia por defecto. Esto significa que cuando realizas una transacción protegida de Zcash, el remitente, el destinatario y el monto de la transacción están todos encriptados. La red verifica que la transacción sea válida, verificando que tengas los fondos y que no estás gastando más ZEC de los que posees, pero no tiene acceso a ninguna información sobre la transacción en sí.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;ZEC es el símbolo o ticker de Zcash, de la misma manera que BTC lo es para Bitcoin.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Al principio, cuando uno lo piensa, esto parece imposible. ¿Cómo se puede demostrar que algo es verdadero sin revelar aquello que se está demostrando? La respuesta son las pruebas de conocimiento cero, específicamente una construcción llamada &lt;em&gt;zk-SNARKs&lt;/em&gt;. La explicación de zk-SNARKs en este artículo se mantendrá simple y accesible para el lector general, ya que comprenderlas a fondo requiere una base considerable en álgebra y en esquemas de compromiso, lo cual queda fuera del alcance de este artículo.&lt;/p&gt;
&lt;p&gt;También abordaremos los orígenes de Zcash en la criptografía académica, la filosofía que lo moldeó y el protocolo tal como existe hoy en día.&lt;/p&gt;
&lt;p&gt;Algunas partes de este estudio integral sobre Zcash serán más técnicas. Aunque he intentado hacer todo lo más claro y accesible posible para todos, si tienes dificultades con ciertos conceptos, recomiendo preguntar a un modelo de lenguaje (LLM) para obtener aclaraciones o simplemente saltarte esa parte y volver a ella más tarde. Si eso no funciona, no dudes &lt;a href="https://signal.me/#eu/TST_2FkJznjly3Xkn2NnsNRDw32eoOTHwO0L9REt2N1A2fOQ_vdKEYb-C-KsvEW6"&gt;en comunicarte&lt;/a&gt; con cualquier pregunta.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/chaum.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;David Chaum, pionero de la criptografía.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="2-orígenes"&gt;&lt;strong&gt;2. Orígenes&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="21-david-chaum-y-el-nacimiento-del-dinero-digital"&gt;2.1 David Chaum y el Nacimiento del Dinero Digital&lt;/h3&gt;
&lt;p&gt;La idea del dinero digital privado está lejos de ser nueva; de hecho, se remonta a 1982. David Chaum, quien en ese momento era candidato a doctorado en ciencias de la computación, publicó un artículo titulado &lt;a href="https://link.springer.com/chapter/10.1007/978-1-4757-0602-4_18"&gt;&lt;em&gt;&amp;ldquo;Firmas ciegas para pagos no rastreables.&amp;rdquo;&lt;/em&gt;&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;La idea central de este artículo era simple y elegante: un banco podía firmar un token digital sin ver su contenido, del mismo modo en que podrías firmar el exterior de un sobre sellado. Luego, cuando el token se gastaba, el banco podía verificar su validez mediante su propia firma, pero no sería capaz de vincular el gasto con el retiro.&lt;/p&gt;
&lt;p&gt;Posteriormente, en 1989, David Chaum fundó &lt;a href="https://en.wikipedia.org/wiki/DigiCash"&gt;DigiCash&lt;/a&gt;, una empresa creada para comercializar esta idea. El producto se llamaba &lt;a href="https://en.wikipedia.org/wiki/Ecash"&gt;ecash&lt;/a&gt; y permitía a los usuarios retirar tokens digitales de sus cuentas bancarias y gastarlos en comercios sin dejar un rastro que conectara al comprador con la compra. Varios bancos probaron esta tecnología, entre ellos Deutsche Bank y Credit Suisse.&lt;/p&gt;
&lt;p&gt;Lamentablemente, DigiCash no tuvo éxito; el momento no era el adecuado. Recordemos que esto fue creado antes de que el comercio por internet se generalizara y antes de que las personas comprendieran la importancia de la privacidad en línea. La empresa se declaró en bancarrota en 1998, pero con ecash, Chaum había demostrado que el dinero digital privado era posible.&lt;/p&gt;
&lt;h3 id="22-los-cypherpunks"&gt;2.2 Los Cypherpunks&lt;/h3&gt;
&lt;p&gt;Poco después, un tipo diferente de movimiento comenzó a tomar forma. En 1992, un grupo de criptógrafos, hackers y libertarios empezó a reunirse en el área de la Bahía de San Francisco y a comunicarse mediante una lista de correo electrónico. Se llamaron a sí mismos los &lt;a href="https://en.wikipedia.org/wiki/Cypherpunk"&gt;&lt;em&gt;Cypherpunks&lt;/em&gt;&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;Los Cypherpunks no eran académicos que escribían artículos; eran ideólogos que escribían código. Su premisa fundamental era que, en la era digital, la privacidad no sería otorgada por los gobiernos ni por las corporaciones; en cambio, tendría que ser construida, implementada y defendida por los propios individuos utilizando herramientas criptográficas. En 1993, el miembro del grupo &lt;a href="https://en.wikipedia.org/wiki/Eric_Hughes_%28cypherpunk%29"&gt;Eric Hughes&lt;/a&gt; cristalizó esta idea en &lt;a href="https://www.activism.net/cypherpunk/manifesto.html"&gt;&lt;em&gt;Un manifiesto de un Cypherpunk&lt;/em&gt;&lt;/a&gt;:&lt;/p&gt;
&lt;p&gt;&lt;em&gt;&amp;ldquo;La privacidad es necesaria para una sociedad abierta en la era electrónica&amp;hellip;. No podemos esperar que los gobiernos, las corporaciones u otras grandes organizaciones impersonales nos otorguen privacidad por su beneficencia&amp;hellip;. Debemos defender nuestra propia privacidad si esperamos tener alguna&amp;hellip;. Los Cypherpunks escriben código.&amp;rdquo;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;La lista de correo se convirtió en un crisol de ideas que darían forma a las siguientes tres décadas de desarrollo criptográfico. Entre sus miembros se encontraban &lt;a href="https://en.wikipedia.org/wiki/Julian_Assange"&gt;Julian Assange&lt;/a&gt; (antes de &lt;a href="https://en.wikipedia.org/wiki/WikiLeaks"&gt;WikiLeaks&lt;/a&gt;), &lt;a href="https://en.wikipedia.org/wiki/Hal_Finney_(computer_scientist)"&gt;Hal Finney&lt;/a&gt; (quien más tarde recibiría la primera transacción de Bitcoin), &lt;a href="https://en.wikipedia.org/wiki/Nick_Szabo"&gt;Nick Szabo&lt;/a&gt; (quien propuso &lt;a href="https://nakamotoinstitute.org/library/bit-gold/"&gt;&lt;em&gt;bit gold&lt;/em&gt;&lt;/a&gt;, un precursor conceptual de Bitcoin) y &lt;a href="https://en.wikipedia.org/wiki/Wei_Dai"&gt;Wei Dai&lt;/a&gt; (cuya propuesta &lt;a href="https://nakamotoinstitute.org/library/b-money/"&gt;&lt;em&gt;b-money&lt;/em&gt;&lt;/a&gt; fue citada por Satoshi Nakamoto). En 1997, otro miembro, &lt;a href="https://en.wikipedia.org/wiki/Adam_Back"&gt;Adam Back&lt;/a&gt;, inventó &lt;a href="https://en.wikipedia.org/wiki/Hashcash"&gt;&lt;em&gt;Hashcash&lt;/em&gt;&lt;/a&gt;, &lt;em&gt;el sistema de Prueba de Trabajo&lt;/em&gt; (PoW, por sus siglas en inglés) que posteriormente sería adoptado por Bitcoin.&lt;/p&gt;
&lt;p&gt;Los cypherpunks no construyeron una criptomoneda exitosa… ¿o sí? La creación de Bitcoin se atribuye al seudónimo Satoshi Nakamoto, de quien se rumorea que fue un desarrollador o un grupo de desarrolladores vinculados al movimiento cypherpunk, y que no ha estado activo durante más de una década. En cualquier caso, lo que sí sabemos con certeza es que los cypherpunks construyeron la cultura, las herramientas y el marco intelectual que hicieron posible la existencia de monedas privadas.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Poco después de que se publicara este artículo, Zooko Wilcox, cofundador de Zcash, se puso en contacto señalando lo siguiente:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;¡Él &lt;em&gt;estaba&lt;/em&gt; en la lista de correo de los cypherpunks! Lo que significaría que los cypherpunks &lt;em&gt;sí crearon&lt;/em&gt; una criptomoneda exitosa. Mea culpa por esa omisión.&lt;/li&gt;
&lt;li&gt;Zooko se hizo amigo allí de varios de los fundadores, entre ellos &lt;a href="https://en.wikipedia.org/wiki/Timothy_C._May"&gt;Tim May&lt;/a&gt;, quien fundó el movimiento criptoanarquista; Eric Hughes, quien escribió &lt;em&gt;&amp;ldquo;Un manifiesto de un Cypherpunk&amp;rdquo;&lt;/em&gt;, como se mencionó anteriormente; &lt;a href="https://en.wikipedia.org/wiki/Bram_Cohen"&gt;Bram Cohen&lt;/a&gt;, creador del protocolo BitTorrent, con quien trabajó en una empresa emergente enfocada en cadenas de hash seguros; y &lt;a href="https://en.wikipedia.org/wiki/John_Gilmore_(activist)"&gt;John Gilmore&lt;/a&gt;, cofundador de la &lt;a href="https://en.wikipedia.org/wiki/Electronic_Frontier_Foundation"&gt;Electronic Frontier Foundation&lt;/a&gt;.&lt;/li&gt;
&lt;li&gt;La lista de correo de los cypherpunks fue fundamental en su desarrollo. Por ejemplo, John Gilmore se convirtió en amigo, mentor e inspiración.&lt;/li&gt;
&lt;/ul&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;h3 id="23-bitcoin-el-compromiso-equivocado"&gt;2.3 Bitcoin: El Compromiso Equivocado&lt;/h3&gt;
&lt;p&gt;El 31 de octubre de 2008, Satoshi Nakamoto publicó un artículo en una lista de correo sobre criptografía titulado &lt;a href="https://bitcoin.org/bitcoin.pdf"&gt;&lt;em&gt;&amp;ldquo;Bitcoin: Un Sistema de Dinero Electrónico entre Pares.&amp;rdquo;&lt;/em&gt;&lt;/a&gt; El artículo describía una solución a un problema que había afectado a los diseñadores de monedas digitales durante décadas: ¿cómo evitar el doble gasto sin depender de una autoridad central?.&lt;/p&gt;
&lt;p&gt;La respuesta propuesta por Satoshi fue la blockchain: un libro mayor público mantenido por una red descentralizada de mineros, asegurado mediante o PoW. Fue una idea brillante, ¡y funcionó! Bitcoin se lanzó en enero de 2009, y por primera vez las personas pudieron transferir valor a través de internet sin bancos, intermediarios ni permisos.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;Más adelante en este artículo explicaremos qué son los mineros y la Prueba de Trabajo (PoW, por sus siglas en inglés) y cómo funcionan en el contexto de Zcash.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Sin embargo, había un problema evidente, como se mencionó antes: Bitcoin no es privado. La blockchain es completamente pública por diseño: cada transacción, cada dirección y cada saldo son visibles para cualquiera que esté interesado. Satoshi reconoció este problema en el artículo, sugiriendo que los usuarios podrían preservar parte de su privacidad utilizando nuevas direcciones para cada transacción. No obstante, esta era una mitigación débil, ya que las direcciones pueden agruparse, los grafos de transacciones pueden analizarse y las identidades del mundo real pueden vincularse a través de intercambios, comerciantes y metadatos.&lt;/p&gt;
&lt;p&gt;Más tarde, &lt;a href="https://bitcointalk.org/index.php?topic=770.msg8637#msg8637"&gt;Nakamoto también reconoció&lt;/a&gt; que una forma de Bitcoin que preservara la privacidad permitiría una implementación más limpia del protocolo, pero en ese momento no podía imaginar cómo lograrlo utilizando pruebas de conocimiento cero.&lt;/p&gt;
&lt;p&gt;El problema de la privacidad, de manera problemática, permaneció ignorado durante años. Los primeros usuarios de Bitcoin asumían que el seudonimato era prácticamente lo mismo que el anonimato, pero estaban equivocados. A comienzos de la década de 2010, investigadores demostraron que el análisis de la blockchain podía desanonimizar a los usuarios con alta precisión. Empresas como &lt;a href="https://en.wikipedia.org/wiki/Chainalysis"&gt;Chainalysis&lt;/a&gt;, fundada en 2014, convirtieron esto en un negocio al vender análisis forense de blockchain a agencias de aplicación de la ley, intercambios e incluso gobiernos.&lt;/p&gt;
&lt;p&gt;Bitcoin había resuelto el problema del doble gasto, pero había empeorado el problema de la privacidad.&lt;/p&gt;
&lt;h3 id="24-zerocoin-el-intento-de-mejora"&gt;2.4 Zerocoin: El Intento de Mejora&lt;/h3&gt;
&lt;p&gt;En 2013, &lt;a href="https://en.wikipedia.org/wiki/Matthew_D._Green"&gt;Matthew Green&lt;/a&gt;, criptógrafo de la Universidad Johns Hopkins, junto con dos estudiantes de posgrado, &lt;a href="https://www.cs.umd.edu/~imiers/"&gt;Ian Miers&lt;/a&gt; y &lt;a href="https://www.cs.purdue.edu/homes/clg/"&gt;Christina Garman&lt;/a&gt;, publicaron &lt;a href="https://en.wikipedia.org/wiki/Zerocoin_protocol"&gt;&lt;em&gt;“Zerocoin,”&lt;/em&gt;&lt;/a&gt; un artículo que proponía una solución al problema de Bitcoin.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;Un dato curioso compartido por Zooko Wilcox después de la publicación de este artículo: Ian Miers y Christina Garman posteriormente se convirtieron en científicos fundadores de la Zcash Company (ver sección 2.6), y Christina Garman más tarde también se unió a la Junta Directiva.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Su idea era añadir una capa de privacidad sobre Bitcoin, de modo que los usuarios pudieran convertir sus bitcoins en zerocoins, tokens anónimos sin historial de transacciones. Posteriormente, cuando quisieras gastarlos, podrías volver a convertirlos en Bitcoin. El proceso de conversión se basaba en técnicas criptográficas conocidas como pruebas de conocimiento cero, que permiten demostrar que posees un zerocoin válido sin revelar su origen.&lt;/p&gt;
&lt;p&gt;Zerocoin funcionaba en teoría, pero tenía problemas. Primero, las pruebas eran grandes, aproximadamente dos órdenes de magnitud más grandes que los pocos cientos de bytes requeridos para una transacción normal de Bitcoin. Segundo, la criptografía también era limitada: podías demostrar la propiedad, pero no podías ocultar los montos de las transacciones. Tercero, y lo más crítico, requería que Bitcoin lo adoptara como un cambio en el protocolo, pero la cultura de desarrollo conservadora de Bitcoin hacía que esto fuera poco probable.&lt;/p&gt;
&lt;p&gt;La comunidad de Bitcoin debatió Zerocoin y finalmente decidió rechazarlo. La propuesta nunca llegó a incorporarse al protocolo.&lt;/p&gt;
&lt;h3 id="25-zerocash-la-reconstrucción"&gt;2.5 Zerocash: La Reconstrucción&lt;/h3&gt;
&lt;p&gt;En 2014, se publicó un nuevo artículo. La lista de autores se amplió para incluir a Eli Ben-Sasson y Alessandro Chiesa, criptógrafos que habían estado trabajando en una nueva generación de pruebas de conocimiento cero, además de Eran Tromer y Madars Virza.&lt;/p&gt;
&lt;p&gt;El artículo se titulaba &lt;a href="https://ieeexplore.ieee.org/document/6956581"&gt;&lt;em&gt;&amp;ldquo;Zerocash: Pagos Anónimos Descentralizados a partir de Bitcoin.&amp;rdquo;&lt;/em&gt;&lt;/a&gt; A pesar de lo que su título podría sugerir, no era simplemente una extensión de Bitcoin, sino un rediseño completo.&lt;/p&gt;
&lt;p&gt;La innovación clave fue el uso de zk-SNARKs, que significa &lt;em&gt;Argumentos de Conocimiento Sucintos No Interactivos de Conocimiento Cero&lt;/em&gt;. Estas eran pruebas de conocimiento cero que eran pequeñas (unos pocos cientos de bytes), rápidas de verificar (milisegundos) y lo suficientemente expresivas como para demostrar afirmaciones complejas sobre datos ocultos. Con zk-SNARKs se puede demostrar no solo que posees una moneda válida, sino también que toda una transacción es válida. Esto no es trivial: significa que el sistema puede verificar que los montos de la transacción son correctos, que no hay doble gasto, etc., todo sin revelar el remitente, el destinatario ni el monto.&lt;/p&gt;
&lt;p&gt;Sin embargo, había un inconveniente: los zk-SNARKs requerían una configuración confiable. Alguien tenía que generar un conjunto de parámetros públicos que el sistema usaría permanentemente. Pero si esa persona conservaba los valores secretos utilizados para generar esos parámetros, lo que se conoce como residuos tóxicos, podría crear monedas falsificadas sin que nadie lo detectara. Aunque esto era una preocupación seria, los investigadores creían que podía evitarse mediante un diseño cuidadoso de la ceremonia de configuración.&lt;/p&gt;
&lt;h3 id="26-el-bloque-génesis"&gt;2.6 El Bloque Génesis&lt;/h3&gt;
&lt;p&gt;&lt;a href="https://en.wikipedia.org/wiki/Zooko_Wilcox-O%27Hearn"&gt;Zooko Wilcox&lt;/a&gt; llevaba décadas trabajando en el ámbito de la privacidad y la criptografía. Había trabajado en DigiCash en la década de 1990 y también participó en proyectos de almacenamiento descentralizado con fuertes propiedades de privacidad, como &lt;a href="https://www.tahoe-lafs.org/trac/tahoe-lafs"&gt;Tahoe-LAFS&lt;/a&gt;. Por eso, cuando se publicó el artículo sobre Zerocash, encajó inmediatamente con sus intereses.&lt;/p&gt;
&lt;p&gt;En 2016, Wilcox fundó la &lt;em&gt;Zcash Company&lt;/em&gt;, que posteriormente fue renombrada como &lt;em&gt;Electric Coin Company&lt;/em&gt;, y reunió un equipo para convertir Zerocash en una criptomoneda lista para su uso en producción. Los autores académicos mencionados anteriormente se unieron como asesores y colaboradores en el proyecto.&lt;/p&gt;
&lt;p&gt;El problema de la configuración confiable mencionado antes requería una solución creativa. El equipo diseñó una compleja ceremonia de computación multipartita: seis participantes, todos en diferentes lugares del mundo, aportarían aleatoriedad para generar los parámetros públicos. Mientras al menos uno de los participantes destruyera su entrada secreta, los residuos tóxicos serían irrecuperables. La ceremonia tuvo lugar a finales de 2016, con participantes que incluían a &lt;a href="https://en.wikipedia.org/wiki/Peter_Todd_%28programmer%29"&gt;Peter Todd&lt;/a&gt;, desarrollador de Bitcoin Core, y periodistas que documentaron el proceso. Se realizó un trabajo exhaustivo para asegurarse de que la ceremonia no fuera comprometida, tal como se describe &lt;a href="https://spectrum.ieee.org/the-crazy-security-behind-the-birth-of-zcash"&gt;aquí&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;El 28 de octubre de 2016, &lt;a href="https://www.youtube.com/watch?v=O8QA6Nvg8RI"&gt;se minó el bloque génesis de Zcash&lt;/a&gt;. Por primera vez, una criptomoneda en funcionamiento ofrecía privacidad criptográfica real. Treinta y cuatro años después del primer artículo de David Chaum, el sueño de un dinero digital imposible de rastrear estaba funcionando en una red activa.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/weimar.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Hiperinflación en la República de Weimar.
Los billetes habían perdido tanto valor que se utilizaban como papel tapiz.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="3-qué-es-zcash"&gt;&lt;strong&gt;3. ¿Qué es Zcash?&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="31-introducción-a-bitcoin"&gt;3.1 Introducción a Bitcoin&lt;/h3&gt;
&lt;div class="box box-tip"&gt;
&lt;div class="box-title"&gt;Tip&lt;/div&gt;
&lt;div class="box-content"&gt;Si ya entiendes cómo funciona Bitcoin, puedes saltar esta sección; está pensada para lectores que no están familiarizados con su funcionamiento interno.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Bitcoin es esencialmente un sistema de pagos sin un operador central. No hay un banco, una empresa ni un servidor único al que se pueda señalar como responsable. Su mecanismo descentralizado funciona gracias a miles de computadoras alrededor del mundo que mantienen copias idénticas de un libro mayor compartido, llamado blockchain, y siguen un conjunto de reglas para mantenerlo sincronizado.&lt;/p&gt;
&lt;p&gt;La blockchain es una estructura de datos de solo adición, y literalmente es una cadena de bloques. Esto significa que puedes agregar nuevas entradas (bloques), pero nunca modificar o eliminar las antiguas. Cada nuevo bloque contiene las transacciones realizadas en la red en el momento en que el bloque fue creado. Además, cada bloque hace referencia al bloque anterior, lo que da lugar a la formación de una cadena. Si quisieras cambiar una transacción del pasado, tendrías que reescribir todos los bloques posteriores, lo cual se vuelve computacionalmente imposible una vez que ha pasado suficiente tiempo. Más adelante veremos por qué ocurre esto.&lt;/p&gt;
&lt;h4 id="llaves-y-propiedad"&gt;Llaves y Propiedad&lt;/h4&gt;
&lt;p&gt;Bitcoin utiliza criptografía de clave pública para sus billeteras digitales. Cuando &amp;lsquo;creas una billetera&amp;rsquo;, lo que realmente estás haciendo es generar un par de claves: una clave privada (un número aleatorio grande, que se mantiene en secreto) y una clave pública correspondiente (derivada matemáticamente de la clave privada). Una dirección de Bitcoin se deriva de una clave pública mediante hashing y codificación.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Aquí hay un ejemplo de cómo se ven en la práctica (abreviado usando &lt;code&gt;...&lt;/code&gt;):&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Clave privada: &lt;code&gt;1E99423A4ED27608A15...E6E9F3A1C2B4D5F6A7B8C9D0&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Clave pública: &lt;code&gt;03F028892BAD7ED57D2F...3A6A6C6E7F8C9D0A1B2C3D4E5F607182&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Dirección de Bitcoin: &lt;code&gt;1BoatSLRHtKNngkdXEeobR76b53LETtpyT&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;La clave privada te permite firmar mensajes, mientras que la clave pública permite que cualquiera verifique que una firma proviene de la clave privada correspondiente, sin revelar la clave privada en sí. Esta criptografía es lo que mantiene la privacidad de la clave privada, ya que puedes firmar un mensaje autorizando una transferencia usando tu clave privada, y la red puede verificar tu firma utilizando tu clave pública, sin ver nunca tu clave privada.&lt;/p&gt;
&lt;p&gt;Una conclusión importante aquí es que las billeteras digitales en realidad no &amp;ldquo;guardan&amp;rdquo; BTC en un sentido real. No existe un archivo en tu computadora que contenga monedas. En cambio, la blockchain mantiene el registro de qué direcciones controlan qué salidas, y tu billetera digital es simplemente una herramienta de firma: almacena tus claves privadas y las utiliza para autorizar transacciones. Si pierdes tus claves privadas, pierdes el acceso a tus fondos; no porque las monedas hayan desaparecido, sino porque ya no puedes demostrar que eres su propietario.&lt;/p&gt;
&lt;h4 id="transacciones-y-utxo"&gt;Transacciones y UTXO&lt;/h4&gt;
&lt;p&gt;Las transacciones son la forma en que se mueve el valor en Bitcoin. Cuando envías BTC, estás publicando un mensaje firmado que, en esencia, dice: &amp;ldquo;Autorizo la transferencia de estas monedas a esta dirección.&amp;rdquo; Pero entonces surge la pregunta: ¿qué son exactamente esas monedas?&lt;/p&gt;
&lt;p&gt;Bitcoin no registra saldos. No existen entradas en una base de datos que digan &amp;ldquo;la dirección X tiene 3.5 BTC&amp;rdquo;. En su lugar, Bitcoin utiliza &lt;em&gt;Salidas de Transacción No Gastadas&lt;/em&gt; (UTXO, por sus siglas en inglés). Cada transacción consume salidas existentes y luego crea nuevas. Las salidas que controlas pero que aún no has gastado son tus UTXO. Esto significa que tu &amp;ldquo;saldo&amp;rdquo; es simplemente la suma de todas tus salidas no gastadas. No hay un conteo continuo de monedas, sino una colección de unidades discretas que controlas.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Ejemplo: Aquí hay un ejemplo rápido. Imagina que tienes un billete de $20 y quieres comprar algo que cuesta $12. Obviamente no puedes partir el billete por la mitad, así que entregas los $20 y recibes $8 de cambio.&lt;/p&gt;
&lt;p&gt;Los UTXO funcionan de la misma manera. Si posees una salida de 5 BTC y quieres enviar 3 BTC a alguien, necesitas consumir completamente esa salida de 5 BTC y crear dos nuevas salidas a partir de ella: 3 BTC para el destinatario, y 2 BTC que regresan a ti como cambio. Tu salida original de 5 BTC ahora está &amp;ldquo;gastada&amp;rdquo; y nunca podrá utilizarse nuevamente.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Como resultado, una transacción de Bitcoin es una estructura de datos que contiene cierta información de metadatos, además de:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;Entradas&lt;/strong&gt;: Referencias a los UTXO que estás gastando, junto con firmas que demuestran que los controlas.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Salidas&lt;/strong&gt;: Nuevos UTXO que se crean, cada uno bloqueado con la clave pública del destinatario.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Los nodos verifican que las entradas existan, no hayan sido gastadas todavía y tengan firmas válidas. Si todo está correcto, la transacción se retransmite por la red y espera a ser incluida en el bloque de un minero.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Aquí se muestra cómo se ve una transacción en la práctica (los hashes y direcciones están abreviados con &lt;code&gt;...&lt;/code&gt;):&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;txid&amp;#34;: &amp;#34;c1b4e693...cbdc5821e3&amp;#34;,
&amp;#34;inputs&amp;#34;: [
{
&amp;#34;prev_txid&amp;#34;: &amp;#34;7b1eabe...98a14f3f&amp;#34;,
&amp;#34;output_index&amp;#34;: 0,
&amp;#34;signature&amp;#34;: &amp;#34;304402204e4...1a8768d1d09&amp;#34;,
&amp;#34;pubkey&amp;#34;: &amp;#34;0479be66...ffb10d4b8&amp;#34;
}
],
&amp;#34;outputs&amp;#34;: [
{
&amp;#34;amount&amp;#34;: 3.0,
&amp;#34;script&amp;#34;: &amp;#34;OP_DUP OP_HASH160 89...ba OP_EQUALVERIFY OP_CHECKSIG&amp;#34;
},
{
&amp;#34;amount&amp;#34;: 1.99,
&amp;#34;script&amp;#34;: &amp;#34;OP_DUP OP_HASH160 12...78 OP_EQUALVERIFY OP_CHECKSIG&amp;#34;
}
]
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Cada entrada apunta a la salida de una transacción anterior, haciendo referencia a su ID de transacción y su índice, y cada salida especifica un monto. La firma demuestra que controlas la clave privada. La diferencia de 0.01 BTC entre la entrada de 5 BTC y las salidas de 3 BTC + 1.99 BTC corresponde a la comisión de la transacción, que es reclamada por el minero.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="minería-y-prueba-de-trabajo-pow"&gt;Minería y Prueba de Trabajo (PoW)&lt;/h4&gt;
&lt;p&gt;Las transacciones no se confirman por sí solas. Permanecen en un área de espera en los nodos llamada mempool (pool de memoria) hasta que un minero las incluye en un bloque. La minería es el proceso mediante el cual se agregan nuevos bloques a la cadena, y está diseñado para ser costoso. Esto no es un error, sino una característica, como veremos en un momento.&lt;/p&gt;
&lt;p&gt;El problema que la minería intenta resolver es el siguiente: en una red descentralizada sin autoridad central, ¿quién decide qué transacciones son válidas? ¿Quién decide su orden? Si aparecen dos transacciones en conflicto, por ejemplo, cuando alguien intenta gastar las mismas monedas dos veces, ¿quién resuelve ese conflicto?&lt;/p&gt;
&lt;p&gt;La solución de Bitcoin es la siguiente: para crear un bloque válido, un minero debe encontrar un número llamado &lt;em&gt;nonce&lt;/em&gt; de tal forma que, cuando el encabezado del bloque (que contiene el hash del bloque anterior, una marca de tiempo, etc.) se combine con ese nonce y se aplique una función hash, el hash resultante quede por debajo de un determinado valor objetivo. Dado que los hashes criptográficos son esencialmente aleatorios, no existe una forma directa de encontrar un nonce válido excepto probando una y otra vez. Por eso, los mineros realizan miles de millones de intentos por segundo.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Por ejemplo, imagina un bloque como una página con información fija y un único número ajustable en ella (el nonce). Supongamos que comenzamos a contar el nonce desde &lt;code&gt;0&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Una computadora convierte toda la página en un único número de salida llamado hash. Un hash puede ser algo como &lt;code&gt;6&lt;/code&gt; o &lt;code&gt;03a5b20&lt;/code&gt;; en última instancia solo es un número (sí, &lt;code&gt;03a5b20&lt;/code&gt; también es un número, porque equivale a &lt;code&gt;3,824,416&lt;/code&gt; en decimal). Recuerda que el nonce es el único número ajustable en la página, y cambiar solo el nonce produce un hash completamente diferente cada vez.&lt;/p&gt;
&lt;p&gt;La red exige que el hash esté por debajo de un valor umbral fijo, y si no lo está, el minero cambia el nonce e intenta nuevamente. Finalmente, el nonce se acepta cuando el hash cumple con el requisito del umbral.&lt;/p&gt;
&lt;p&gt;Por ejemplo, imagina un caso donde el valor umbral es &lt;code&gt;5&lt;/code&gt;. El minero tiene su página de información y comienza con un nonce de &lt;code&gt;0&lt;/code&gt;. Si la computadora devuelve &lt;code&gt;6&lt;/code&gt;, que es mayor que &lt;code&gt;5&lt;/code&gt;, el minero lo intenta otra vez, ahora con &lt;code&gt;1&lt;/code&gt; como nonce. Si esta vez la computadora devuelve &lt;code&gt;4&lt;/code&gt;, que es menor que &lt;code&gt;5&lt;/code&gt;, entonces &lt;code&gt;1&lt;/code&gt; se acepta como nonce válido.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;La dificultad se ajusta cada 2,016 bloques (aproximadamente cada dos semanas), manteniendo un tiempo promedio de diez minutos por bloque. Si los bloques se generan demasiado rápido, el valor objetivo disminuye, lo que hace que el problema sea más difícil. Si, por el contrario, los bloques se generan demasiado lentamente, el valor objetivo aumenta. Este ajuste de dificultad es la razón por la que la tasa de bloques de Bitcoin se mantiene estable, incluso cuando la potencia total de minería fluctúa.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Así es como se ve un bloque en la práctica:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;header&amp;#34;: {
&amp;#34;version&amp;#34;: 536870912,
&amp;#34;prev_block_hash&amp;#34;: &amp;#34;0000000...de0e5c842&amp;#34;,
&amp;#34;merkle_root&amp;#34;: &amp;#34;8b30c5ba1...1e0d5f8a2c1&amp;#34;,
&amp;#34;timestamp&amp;#34;: 1701432000,
&amp;#34;target&amp;#34;: &amp;#34;0000004f2c0...0000000&amp;#34;,
&amp;#34;nonce&amp;#34;: 2834917243
},
&amp;#34;transactions&amp;#34;: [
{
&amp;#34;txid&amp;#34;: &amp;#34;3a1b9c7e...7e8f9a0b1c&amp;#34;,
&amp;#34;inputs&amp;#34;: [{ &amp;#34;coinbase&amp;#34;: &amp;#34;03a5b20...706f6f6c&amp;#34; }],
&amp;#34;outputs&amp;#34;: [{ &amp;#34;amount&amp;#34;: 6.25, &amp;#34;script&amp;#34;: &amp;#34;OP_HASH160
f1c3...4c6a8 OP_EQUAL&amp;#34; }]
},
{ &amp;#34;txid&amp;#34;: &amp;#34;c1b4e...5821e3&amp;#34; },
{ &amp;#34;txid&amp;#34;: &amp;#34;7d5e8...b5c6d7e&amp;#34; }
]
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;El encabezado del bloque es lo que se somete al proceso de hash. Los mineros incrementan el nonce repetidamente hasta que se cumpla la condición: &lt;code&gt;SHA256(SHA256(header)) &amp;lt; target&lt;/code&gt;, es decir, aplican dos veces la función hash SHA-256 al encabezado hasta que el hash resultante sea menor que el valor objetivo. La primera transacción del bloque siempre es la transacción &amp;ldquo;coinbase&amp;rdquo;, que crea nuevas monedas y paga la recompensa al minero.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Una vez que un minero encuentra un nonce válido, difunde el bloque a la red, y los otros nodos lo verifican, comprobando que: el hash cumple con el objetivo, todas las transacciones son válidas, y el minero no creó más monedas de las permitidas. Si todo es válido, los nodos agregan el bloque a su cadena y empiezan a trabajar en el siguiente. El minero gana una recompensa en forma de bitcoins recién creados, además de las comisiones de las transacciones incluidas en el bloque.&lt;/p&gt;
&lt;p&gt;Entonces, ¿cómo evita este sistema que se reescriba el pasado? Porque el hash de cada bloque forma parte del bloque siguiente. Esto significa que cambiar una sola transacción modifica el hash del bloque y rompe inmediatamente todos los bloques que vienen después.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;Imagina que tienes dos bloques consecutivos, A y B. El hash de A es &lt;code&gt;5&lt;/code&gt; y el hash de B es &lt;code&gt;6&lt;/code&gt;. Si cambias una transacción en A, entonces el hash de A cambia, y eso obliga a que también cambie el hash de B. Esto ocurre porque el hash de B incluye el hash de A, ya que B viene después de A y contiene su hash. Por lo tanto, el hash de B ya no será &lt;code&gt;6&lt;/code&gt; si se modifica una transacción en A.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Para volver a hacer válida la cadena, un atacante tendría que rehacer la Prueba de Trabajo (el proceso de encontrar un nonce por debajo de un determinado valor objetivo) no solo para ese bloque, sino también para todos los bloques posteriores. Mientras tanto, los mineros honestos siguen minando y extendiendo la cadena &amp;ldquo;real&amp;rdquo; con nuevos bloques. Además, Bitcoin sigue la cadena que tenga la mayor cantidad acumulada de Prueba de Trabajo, lo que dificulta enormemente que un atacante tenga éxito.&lt;/p&gt;
&lt;p&gt;Por lo tanto, para que un ataque tenga éxito, el atacante necesitaría controlar el 51 % del poder de minería, para eventualmente alcanzar y convertirse en la cadena &amp;ldquo;real&amp;rdquo;. El poder de minería también se conoce como &lt;em&gt;poder de hash&lt;/em&gt;, ya que los mineros básicamente calculan funciones hash de información innumerables veces por segundo, todos los días.&lt;/p&gt;
&lt;h4 id="la-compensación-de-la-transparencia"&gt;La Compensación de la Transparencia&lt;/h4&gt;
&lt;p&gt;Es importante señalar que para que este sistema funcione sin una autoridad central, todos deben poder verificar todo. Cada nodo revisa cada transacción comparándola con todo el historial de la cadena, cada UTXO es rastreado y cada firma es validada.&lt;/p&gt;
&lt;p&gt;Esto tiene un costo en términos de privacidad, ya que cada transacción y el saldo de cada dirección son públicos. Todo el flujo de fondos, desde el bloque génesis de 2009 hasta el bloque más reciente minado, es visible para cualquiera que descargue la blockchain.&lt;/p&gt;
&lt;p&gt;Así, Bitcoin resolvió el problema del dinero digital sin necesidad de confianza, pero no resolvió el problema del dinero digital privado sin confianza. Ahí es donde entra Zcash.&lt;/p&gt;
&lt;h3 id="32-bitcoin-pero-privado"&gt;3.2 Bitcoin, Pero Privado&lt;/h3&gt;
&lt;p&gt;Zcash es, en esencia, similar a Bitcoin, pero con la adición de encriptación. De hecho, muchas personas lo describen como &lt;em&gt;Bitcoin encriptado&lt;/em&gt;, aunque en realidad es una criptomoneda completamente diferente.&lt;/p&gt;
&lt;p&gt;La economía de Zcash es casi idéntica a la de Bitcoin, por lo que si entiendes la política monetaria de Bitcoin, también entiendes la de Zcash. Zcash tiene un límite máximo de 21 millones de ZEC, del mismo modo que Bitcoin tiene un límite máximo de 21 millones de BTC. Las nuevas monedas entran en circulación mediante recompensas de minería, que se reducen a la mitad aproximadamente cada cuatro años, al igual que en Bitcoin.&lt;/p&gt;
&lt;p&gt;El mecanismo de consenso también es Prueba de Trabajo, aunque Zcash utiliza Equihash en lugar del sistema basado en SHA256 que usa Bitcoin para la minería. Algo interesante de Equihash es que fue diseñado con el objetivo explícito de resistir los ASIC especializados que dominan la minería de Bitcoin, con el fin de mantener la minería accesible para personas con GPUs de consumo. Esta elección reflejaba el énfasis inicial de Zcash en la descentralización, aunque hoy en día ya no funciona del todo, porque ahora también existen ASICs para Equihash.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;ASIC, por sus siglas en inglés significa &lt;em&gt;Circuito Integrado de Aplicación Específica&lt;/em&gt;. Puedes pensar en ellos como computadoras diseñadas específicamente para minar criptomonedas. Existen ASICs especializados en distintos algoritmos, por ejemplo, para minería con SHA256, Equihash, entre otros.&lt;/p&gt;
&lt;p&gt;Los ASICs calculan hashes de información (bloques de transacciones) continuamente durante todo el día, con la esperanza de encontrar un hash que esté por debajo del valor objetivo de la red.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;En su funcionamiento interno, Zcash utiliza el mismo modelo de transacciones UTXO que Bitcoin.&lt;/p&gt;
&lt;p&gt;Sin embargo, Zcash difiere de Bitcoin en lo que se puede hacer con esos UTXO. Bitcoin tiene un solo conjunto de pools: la cadena pública, mientras que Zcash tiene varios, divididos entre el pool transparente y los pools protegidos, pero, ambos pools utilizan ZEC como moneda, y es posible mover fondos entre ellos. El pool transparente funciona exactamente igual que en Bitcoin: las direcciones comienzan con la letra t, las transacciones son completamente visibles, y cualquiera puede rastrear el flujo de los fondos.&lt;/p&gt;
&lt;p&gt;Los pools protegidos son completamente diferentes y exclusivos de Zcash. Existen tres pools: &lt;em&gt;Sprout&lt;/em&gt;, &lt;em&gt;Sapling&lt;/em&gt; y &lt;em&gt;Orchard&lt;/em&gt;, Orchard es el más reciente y avanzado. Sprout y Sapling actualmente casi no se utilizan, ya que provienen de actualizaciones anteriores de la red y dependen de &lt;em&gt;configuraciones de confianza&lt;/em&gt;, algo que Orchard ya no requiere. Más adelante en el artículo explicaremos esto con mayor detalle. Las direcciones protegidas comienzan con z, y las transacciones no revelan nada sobre el remitente, el destinatario o el importe.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;En adelante, nos referiremos a los pools de Zcash como el pool transparente y el pool protegido, como si hubiera varios pools protegidos, pero en la práctica se consideran un todo unificado y Orchard es el que se utiliza principalmente en la actualidad.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;El pool transparente existe por motivos de compatibilidad y opcionalidad. Algunos usuarios quieren auditabilidad, algunas aplicaciones incluso la requieren, y las bolsas suelen utilizar direcciones transparentes para cumplir con la normativa. En este caso, la transparencia es una característica, no un error, y la confianza de Zcash en el cifrado para la privacidad en el pool protegido no se ve afectada por el uso de los pools transparentes.&lt;/p&gt;
&lt;p&gt;Debemos considerar el pool transparente y el pool protegido como dos sistemas totalmente independientes que no se afectan entre sí. A menudo se critica erróneamente la función de transparencia de Zcash por considerar que reduce de alguna manera su privacidad, pero eso es falso. El conjunto de anonimato de Zcash es matemáticamente independiente de la cantidad de ZEC que se encuentra en direcciones transparentes. Por lo tanto, incluso si el 99 % de los ZEC fueran transparentes, la privacidad del 1 % protegido solo vendría determinada por el propio pool protegido.&lt;/p&gt;
&lt;h3 id="33-el-problema-fundamental"&gt;3.3 El Problema Fundamental&lt;/h3&gt;
&lt;p&gt;En Bitcoin, validar una transacción es sencillo. Se comprueba que las entradas existen y no se han gastado antes, que las firmas son válidas y que las salidas no superan las entradas. Toda la información necesaria para verificar estas condiciones se encuentra en la cadena de bloques, visible para todos.&lt;/p&gt;
&lt;p&gt;Esa transparencia es lo que hace que Bitcoin sea fiable. No es necesario confiar en nadie porque se puede verificar todo por uno mismo. Si se quisiera, se podría incluso ejecutar un nodo para lograr la máxima confianza. Sin embargo, esto es también lo que convierte a Bitcoin en una herramienta de vigilancia, ya que los mismos datos que permiten la verificación son los que permiten el seguimiento.&lt;/p&gt;
&lt;p&gt;Zcash quiere ambas cosas: verificación sin confianza y privacidad, pero ambas parecen contradecirse entre sí. ¿Cómo puede la red verificar que una transacción es válida si no puede verla?&lt;/p&gt;
&lt;p&gt;Piensa en lo que realmente requiere la validación:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Las entradas existen, ya que no se pueden gastar monedas que no existen.&lt;/li&gt;
&lt;li&gt;Las entradas no se han gastado antes, por lo que no hay doble gasto.&lt;/li&gt;
&lt;li&gt;La autorización para gastar, ya que tú controlas la clave privada.&lt;/li&gt;
&lt;li&gt;Las matemáticas funcionan y las salidas no superan las entradas.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;En Bitcoin, los nodos y los mineros comprueban estos cuatro criterios examinando los datos. En Zcash, el remitente, el destinatario y la cantidad están encriptados, y los datos no son visibles. Entonces, ¿cómo se pueden comprobar estos criterios?&lt;/p&gt;
&lt;p&gt;La respuesta es que Zcash no pide a los nodos y mineros que comprueben los datos. En su lugar, el remitente proporciona un zk-SNARK, una prueba criptográfica, que demuestra que la transacción es válida sin revelar ninguna de la información subyacente. Los mineros y los nodos no saben cuáles son las entradas, quién es el destinatario ni cuánto se transfiere, solo saben una cosa: la prueba es válida y, por lo tanto, la transacción es válida.&lt;/p&gt;
&lt;p&gt;Parece una locura, ¡podemos verificar que una transacción financiera es válida sin verla!&lt;/p&gt;
&lt;p&gt;En las siguientes secciones se explica por qué esto es posible, incluyendo cómo Zcash representa el valor y realiza un seguimiento de lo que se gasta, así como cómo las pruebas de conocimiento cero lo unen todo.&lt;/p&gt;
&lt;h3 id="34-notas-protegidas"&gt;3.4 Notas Protegidas&lt;/h3&gt;
&lt;p&gt;Como se mencionó anteriormente, Bitcoin utiliza UTXO. El pool protegido de Zcash utiliza algo conceptualmente similar llamado notas; se puede pensar en las notas como UTXO encriptado.&lt;/p&gt;
&lt;p&gt;Entonces, ¿qué es una nota? Una nota es un objeto cifrado que representa una cantidad específica de ZEC. Es una porción discreta de valor, al igual que los UTXO, pero a diferencia de estos, su contenido está oculto. Cuando se recibe ZEC protegido, se crea una nota. Cuando se gasta el Zec protegido, esa nota se consume y se crean nuevas notas para el destinatario y el cambio, si procede, exactamente igual que con los UTXO.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Así es como se ve una nota de Orchard después del descifrado:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1pg2aaph7jp8rpf6...sz7nt28qjmxgmwxa&amp;#34;,
&amp;#34;v&amp;#34;: 150000000,
&amp;#34;rho&amp;#34;: &amp;#34;0x9f8e7d6c5b4a...f8e7d6c5b4a39281706f5e4d3c2b1a0&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x1a2b3c4d5e6f70...c4d5e6f708192a3b4c5d6e7f809&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x7a3b4c5d6e7b...d8e9f0a1b3d4e5f6a7b8c9d0e1f2a3b&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;En este ejemplo, el campo de valor v muestra 1,5 ZEC (150 000 000 zatoshis). Los otros campos, &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt; y &lt;code&gt;rcm&lt;/code&gt;, se tratarán más adelante. Por ahora, basta con entender que son los que hacen posible la criptografía que respalda las notas de Zcash.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Las notas nunca se modifican, no hay actualización del saldo. Más bien, se crean, existen y se destruyen cuando se gastan. Si tienes 10 ZEC y gastas 3 ZEC, la nota original de 10 ZEC se consume por completo y se crean dos notas nuevas: 3 ZEC que se entregan al destinatario y 7 ZEC que se te devuelven, al igual que los UTXO.&lt;/p&gt;
&lt;p&gt;La diferencia fundamental entre las notas de Zcash y los UTXO de Bitcoin es su visibilidad. Un UTXO de Bitcoin es público: todo el mundo puede ver su valor, cuándo se gasta, etc. Una nota de Zcash está cifrado: solo el propietario y cualquier persona con la que comparta su clave de visualización puede ver su contenido. La cadena de bloques almacena un compromiso criptográfico con el nota, no almacena el nota en sí.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;La cadena de bloques nunca ve la nota descifrada. En Orchard, cada &amp;ldquo;acción&amp;rdquo; agrupa un gasto y una salida. Esto es lo que se registra realmente:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;cv&amp;#34;: &amp;#34;0x9a8b7c6d5...8d7e6f5a4b3c2d1e0f9a8b&amp;#34;,
&amp;#34;nullifier&amp;#34;: &amp;#34;0x2c3d4e5f6a7b...d2e3f48e9f0a1b2c3d&amp;#34;,
&amp;#34;rk&amp;#34;: &amp;#34;0x5e6f7a8b...5a6b7c8d9e0f1a2b3c4d5e6f&amp;#34;,
&amp;#34;cmx&amp;#34;: &amp;#34;0x1a2b3c4d5e6f7...d3e4f5a6b7c8d9e0f1a2b&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x4d5e6f7a8b9...4f5a6b7c8d9e0f1a2b3c4d5e&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x8f7e6d5c4b3...a29180f7e6d5c&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x3c4d5e6f7a8...b9c0d1e2f3a4b5c&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Como puede ver, todo está encriptado. Más adelante repasaremos los detalles de cada campo.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Puede que se pregunte: si las notas están ocultas, ¿cómo sabe la red que existen? ¿O cómo sabe cuándo se han gastado? Aquí es donde entran en juego los compromisos y los anuladores.&lt;/p&gt;
&lt;h3 id="35-compromisos-y-anuladores"&gt;3.5 Compromisos y Anuladores&lt;/h3&gt;
&lt;p&gt;El pool protegido de Zcash se enfrenta a dos problemas que Bitcoin resuelve de forma trivial mediante la transparencia:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;&lt;strong&gt;Demostrar que las notas existen:&lt;/strong&gt; Cuando alguien te envía ZEC protegidos, ¿cómo sabe la red que la nota es real?&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Evitar el Doble Gasto:&lt;/strong&gt; Cuando gastas una nota, ¿cómo sabe la red que no la has gastado antes?&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;La solución para Zcash es una combinación de dos mecanismos criptográficos: compromisos y anuladores.&lt;/p&gt;
&lt;h4 id="compromisos"&gt;Compromisos&lt;/h4&gt;
&lt;p&gt;Un compromiso es un valor calculado mediante el hash de los campos de la nota. Así es como se ve en Orchard:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;cmx = Hash(addr, v, rho, psi, rcm) = 0x1a2b3c4d...9ca6b7c8d9e0f1a2b
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;&amp;ldquo;Hash&amp;rdquo; denota la función hash utilizada. Tomamos los campos de la nota protegida, los introducimos en la función hash y esta devuelve un hash (en este caso 0x1a2b3c4d‹→ &amp;hellip;9ca6b7c8d9e0f1a2b).&lt;/p&gt;
&lt;p&gt;Hay dos propiedades que lo hacen útil:&lt;/p&gt;
&lt;p&gt;1.&lt;strong&gt;Unidireccional:&lt;/strong&gt; dado el hash devuelto, 0x1a2b3c4d‹→ &amp;hellip;9ca6b7c8d9e0f1a2b, no se pueden recuperar los campos &lt;code&gt;addr&lt;/code&gt;, &lt;code&gt;v&lt;/code&gt;, &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt; o &lt;code&gt;rcm&lt;/code&gt;, y el contenido de la nota queda oculto.
2.&lt;strong&gt;Resistente a colisiones:&lt;/strong&gt; no se pueden encontrar dos notas diferentes que produzcan el mismo compromiso, cada nota se asigna exactamente a un compromiso.&lt;/p&gt;
&lt;p&gt;Cada vez que se crea una nota, su compromiso se añade al árbol de compromisos (un árbol Merkle) que contiene todos los compromisos de notas creados en la red.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Un árbol Merkle es una estructura de datos que permite demostrar que un elemento se encuentra en un conjunto grande sin revelar el elemento ni descargar todo el conjunto.&lt;/p&gt;
&lt;p&gt;Así es como funciona. Comience con una lista de valores (en nuestro caso, compromisos de notas): &lt;code&gt;cm0&lt;/code&gt; &lt;code&gt;cm1&lt;/code&gt; &lt;code&gt;cm2&lt;/code&gt; &lt;code&gt;cm3&lt;/code&gt;&lt;/p&gt;
&lt;p&gt;Empareje los valores y aplique un hash a cada par:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;code&gt;H0 = Hash(cm0, cm1)&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;&lt;code&gt;H1 = Hash(cm2, cm3)&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Ahora tiene dos hash. Empareje y vuelva a hacer el hash:&lt;/p&gt;
&lt;p&gt;&lt;code&gt;root = Hash(H0, H1)&lt;/code&gt;&lt;/p&gt;
&lt;p&gt;Hasta ahora, hemos tomado pares de elementos del conjunto original y hemos combinado cada par utilizando una función hash. A continuación, agrupamos los hash resultantes en pares y los volvemos a hash, repitiendo este proceso capa por capa hasta llegar a un único hash final. Este valor final se denomina raíz hash o raíz Merkle.&lt;/p&gt;
&lt;p&gt;Este hash raíz resume eficazmente todo el conjunto:&lt;/p&gt;
&lt;pre&gt;&lt;code&gt; root
/ \
/ \
H0 H1
/ \ / \
/ \ / \
cm0 cm1 cm2 cm3
&lt;/code&gt;&lt;/pre&gt;
&lt;p&gt;La propiedad clave de los árboles Merkle es que si se cambia cualquier hoja (compromiso), es decir, los valores &lt;code&gt;cm0&lt;/code&gt;, &lt;code&gt;cm1&lt;/code&gt;, etc., todos los hash superiores también cambian, hasta llegar a la raíz. La raíz actúa como la huella digital de todo el árbol, si se tiene la misma raíz, entonces se debe tener el mismo árbol.&lt;/p&gt;
&lt;p&gt;Además, las pruebas Merkle proporcionan una forma eficaz de comprobar un elemento del árbol sin tener que comprobar todo el árbol.&lt;/p&gt;
&lt;p&gt;Por ejemplo, para demostrar que cm1 está en el árbol no es necesario revelar todos los compromisos. Para ello, basta con proporcionar una ruta Merkle, es decir, los hash hermanos a lo largo del camino hasta la raíz. Para &lt;code&gt;cm1&lt;/code&gt;, la ruta Merkle es &lt;code&gt;[cm0, H1]&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Así es como un verificador podría comprobarlo:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Tome el primer elemento de &lt;code&gt;[cm0, H1]&lt;/code&gt;, es decir, &lt;code&gt;cm0&lt;/code&gt;, y hágalo hash con &lt;code&gt;cm1&lt;/code&gt;, el elemento que queremos comprobar, lo que nos da &lt;code&gt;H0: Hash(cm0, cm1) = H0&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Hash la salida del primer paso (&lt;code&gt;H0&lt;/code&gt;) con el siguiente elemento en &lt;code&gt;[cm0, H1]&lt;/code&gt;, es decir, &lt;code&gt;H1&lt;/code&gt;. Esto nos da el hash raíz: &lt;code&gt;Hash(H0, H1) = root&lt;/code&gt;.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Si el resultado coincide con la raíz conocida, podemos concluir que &lt;code&gt;cm1&lt;/code&gt; está en el árbol. Es importante destacar que el verificador nunca ve &lt;code&gt;cm2&lt;/code&gt; ni &lt;code&gt;cm3&lt;/code&gt;, ya que no son necesarios para la verificación.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;El árbol de compromisos contiene todos los compromisos de notas protegidas que se han creado, lo que equivale a millones de hojas (compromisos). Por lo tanto, cuando gastas una nota, demuestras (dentro del zk-SNARK) que conoces un compromiso y la ruta Merkle válida hasta la raíz actual, sin revelar cuál es tu compromiso.&lt;/p&gt;
&lt;p&gt;El árbol de compromisos se almacena por nodos, como parte del estado de la cadena que mantienen. Cada bloque introduce nuevos compromisos de notas que los nodos añaden a su copia local del árbol, actualizando la raíz en consecuencia.
La raíz actual, conocida como el ancla, es a lo que hacen referencia las transacciones cuando demuestran su pertenencia.&lt;/p&gt;
&lt;h4 id="anuladores"&gt;Anuladores&lt;/h4&gt;
&lt;p&gt;Los compromisos pueden resolver el problema de la existencia, pero también crean uno nuevo: ¿cómo se evita gastar la misma nota dos veces?&lt;/p&gt;
&lt;p&gt;En Bitcoin, esto es trivial, porque cuando gastas un UTXO, haces referencia directa a su identificación de transacción y al índice de salida, de modo que todo el mundo puede ver que el UTXO se ha gastado. Si intentas gastarlo de nuevo, los nodos rechazarán las transacciones porque el UTXO ha sido marcado como consumido.&lt;/p&gt;
&lt;p&gt;Lo mismo no es posible en Zcash. Si para gastar una nota fuera necesario señalar su compromiso, se revelaría qué compromiso se está gastando y se vincularía esa nota a todas las transacciones futuras, lo que supondría una violación de la privacidad.&lt;/p&gt;
&lt;p&gt;En Zcash, la solución para evitar gastar dos veces la misma nota son los &lt;em&gt;anuladores&lt;/em&gt;. Los anuladores son valores derivados de una nota y solo pueden ser calculados por el propietario de la nota.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Supongamos que el árbol de compromisos tiene un millón de notas y que una de ellas es suya, específicamente &amp;ldquo;compromiso &lt;code&gt;0x1a2b...&lt;/code&gt;&amp;rdquo;&lt;/p&gt;
&lt;p&gt;Si para gastar la nota tuvieras que decir &amp;ldquo;Estoy gastando &lt;code&gt;0x1a2b...&lt;/code&gt;&amp;rdquo; entonces:&lt;/p&gt;
&lt;p&gt;Todo el mundo sabría que &lt;code&gt;0x1a2b...&lt;/code&gt; es tuya, y ya no sería solo uno de los millones de compromisos anónimos. Se etiqueta como perteneciente a quien haya realizado esta transacción y, aunque no se sepa qué hay en ese compromiso, sigue siendo problemático que se sepa que es suyo.&lt;/p&gt;
&lt;p&gt;Los remitentes ahora pueden rastrearlo, ya que quien haya creado esa nota al enviarle el ZEC conoce el compromiso que ha creado. Por lo tanto, cuando gasta y lo señala, ellos pueden observar que se ha gastado el pago y saber cuándo ha movido sus fondos.&lt;/p&gt;
&lt;p&gt;Con el tiempo, el gasto puede llegar a ser vinculable. Un observador podría correlacionar las transacciones basándose en los patrones de gasto, el momento y el destino, de modo que tus compromisos se agruparan como &amp;ldquo;probablemente la misma persona.&amp;rdquo;&lt;/p&gt;
&lt;p&gt;Los anuladores resuelven estos problemas. Si publicas el anulador &lt;code&gt;0x2c3d...&lt;/code&gt;, que corresponde al compromiso &lt;code&gt;0x2c3d...&lt;/code&gt;, es imposible calcular la correspondencia entre los compromisos y los anuladores sin conocer tu clave privada. El compromiso permanece anónimo en el árbol Merkle, tus gastos no se pueden vincular y el remitente no puede saber si su pago se ha gastado.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Aquí tienes un ejemplo de un anulador en Orchard:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;nullifier = Hash(nk, rho, psi) = 0x2c3d4e5f6a7b...d2e3f48e9f0a1b2c3d
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;nk es la clave derivada del anulador, una clave secreta que solo usted posee. rho y psi son valores de la propia nota, como se ha visto anteriormente. Nadie más puede calcular este anulador porque nadie más tiene su nk. Hash, como en los ejemplos anteriores, es la función hash que se utiliza (lo veremos más adelante).&lt;/p&gt;
&lt;p&gt;Cada vez que gastas una nota, también publicas su anulador. La red mantiene un conjunto de anuladores, es decir, una colección de todos los anuladores que se han publicado. Por lo tanto, si un anulador ya está en el conjunto, la transacción se rechaza, lo que evita el doble gasto.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Así es como crece el conjunto de anuladores con el tiempo:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Block 1000000: &lt;code&gt;nullifier set = { }&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Block 1000001: &lt;code&gt;nullifier set = { 0x2c3d...3d }&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Block 1000002: &lt;code&gt;nullifier set = { 0x2c3d...3d, 0x8f7a...2b }&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;Block 1000003: &lt;code&gt;nullifier set = { 0x2c3d...3d, 0x8f7a...2b, 0x1e4c...9a }&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Cada gasto añade exactamente un anulador. El conjunto no puede reducirse, solo crecer.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;A riesgo de ser repetitivos, veamos una vez más por qué la imposibilidad de vincular es una propiedad fundamental. El anulador no revela nada sobre a qué compromiso corresponde. Un observador ve aparecer un anulador y sabe que se ha gastado alguna nota, pero no puede saber cuál. El árbol de compromisos podría contener millones de notas y el anulador podría corresponder a cualquiera de ellas.&lt;/p&gt;
&lt;h4 id="poniendo-todo-junto"&gt;Poniendo todo junto&lt;/h4&gt;
&lt;p&gt;Dado que los compromisos nunca se eliminan, ya que el árbol de compromisos es de solo añadir y crece indefinidamente, los compromisos permanecen en el árbol incluso después de que se haya gastado una nota.&lt;/p&gt;
&lt;p&gt;Esto es precisamente lo que hace que el conjunto de anonimato de Zcash sea tan fuerte. Para gastar es necesario demostrar &amp;ldquo;Sé cuál es uno de los N millones de compromisos de este árbol&amp;rdquo; sin revelar cuál es. El compromiso de la nota gastada se mezcla con los demás, de modo que, aunque un observador vea aparecer un anulador, no podría determinar a cuál de los millones de compromisos corresponde.&lt;/p&gt;
&lt;p&gt;Su conjunto de privacidad incluye todas las notas protegidas que se han creado en la red.&lt;/p&gt;
&lt;p&gt;En resumen, cada transacción protegida implica:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Crear notas, lo que añade nuevos compromisos de notas al árbol de compromisos.&lt;/li&gt;
&lt;li&gt;Gastar notas, lo que publica y añade un anulador al conjunto de anuladores.&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Para construir una transacción, debes proporcionar un zk-SNARK que demuestre:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Que conoce una nota con un compromiso en el árbol, a través de una ruta Merkle válida.&lt;/li&gt;
&lt;li&gt;Que conoce la clave secreta necesaria para calcular el anulador de esa nota.&lt;/li&gt;
&lt;li&gt;El anulador que está publicando corresponde a esa nota.&lt;/li&gt;
&lt;li&gt;El saldo de las cantidades de toda la transacción; las entradas son iguales a las salidas más la comisión.&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;La red verifica la prueba, comprueba si el anulador está en el conjunto y acepta la transacción. Es importante destacar que nunca se sabe qué compromiso se gastó, quién envió los fondos a quién ni cuánto se transfirió.&lt;/p&gt;
&lt;h3 id="36-claves-y-direcciones"&gt;3.6 Claves y Direcciones&lt;/h3&gt;
&lt;p&gt;Bitcoin tiene un modelo de claves sencillo: una clave privada, una clave pública y una o más direcciones. El sistema protegido de Zcash es más complejo, ya que las diferentes operaciones requieren diferentes niveles de acceso. Zcash aprovecha una jerarquía de claves para abordar esta complejidad.&lt;/p&gt;
&lt;h4 id="la-clave-de-gasto"&gt;La Clave de Gasto&lt;/h4&gt;
&lt;p&gt;La clave de gasto (&lt;code&gt;sk&lt;/code&gt;) es tu secreto maestro, es un número muy largo y aleatorio de 256 bits. Quien la tenga puede gastar tus fondos, ya que todo lo demás se deriva de la clave de gasto.&lt;/p&gt;
&lt;h4 id="la-clave-de-visualización-completa"&gt;La Clave de Visualización Completa&lt;/h4&gt;
&lt;p&gt;La clave de visualización completa (&lt;code&gt;fvk&lt;/code&gt;), derivada de la clave de gasto, le permite ver todo lo relacionado con la actividad de su monedero: pagos entrantes, pagos salientes, importes y campos de notas, pero no puede gestionar los gastos.&lt;/p&gt;
&lt;p&gt;La clave de visualización completa es útil en los casos en los que se desea conceder a alguien acceso de auditoría sin darle control. A través de la clave de visualización, un contable podría verificar su historial de transacciones, una empresa podría permitir que el departamento de cumplimiento normativo revisara sus libros o una autoridad fiscal podría confirmar los ingresos declarados; todo ello sin correr el riesgo de que el auditor se lleve los fondos.&lt;/p&gt;
&lt;h4 id="claves-de-visualización-de-entradas-y-salidas"&gt;Claves de Visualización de Entradas y Salidas&lt;/h4&gt;
&lt;p&gt;La clave de visualización completa también se puede dividir en sus elementos constitutivos:&lt;/p&gt;
&lt;p&gt;Clave de visualización entrante (&lt;code&gt;ivk&lt;/code&gt;), que le permite detectar y descifrar las notas que le envían, pero no las que usted envía a otros.
Clave de visualización saliente (&lt;code&gt;ovk&lt;/code&gt;), que le permite descifrar los textos cifrados salientes, de modo que pueda ver lo que ha enviado y a quién.&lt;/p&gt;
&lt;p&gt;Esta granularidad existe porque es posible que los usuarios solo deseen compartir información limitada. Por ejemplo, si desea proporcionar un servicio con su clave de visualización entrante para que el servicio pueda notificarle los pagos recibidos, sin revelar ninguna información sobre sus patrones de gasto.&lt;/p&gt;
&lt;p&gt;Una billetera también puede optar por hacer que los detalles de las notas enviadas sean irrecuperables, incluso para los titulares de la clave de visualización completa. Para ello, utiliza una OVK aleatoria en el momento del envío y la borra inmediatamente de la memoria. A continuación, el &lt;code&gt;outCiphertext&lt;/code&gt; se cifra con una clave que nadie posee, lo que hace imposible determinar la dirección del destinatario solo a partir de la FVK. El valor aún se puede inferir restando el cambio del total de la entrada, pero el destino se pierde.&lt;/p&gt;
&lt;h4 id="la-clave-derivada-del-anulador"&gt;La Clave Derivada del Anulador&lt;/h4&gt;
&lt;p&gt;La clave derivada del anulador (&lt;code&gt;nk&lt;/code&gt;), también derivada de la clave de gasto, se utiliza para calcular los anuladores al realizar un gasto. Esto es necesario para marcar las notas como gastadas, por lo que las claves de visualización por sí solas no pueden autorizar transacciones, ya que no tienen acceso a &lt;code&gt;nk&lt;/code&gt;.&lt;/p&gt;
&lt;h4 id="direcciones"&gt;Direcciones&lt;/h4&gt;
&lt;p&gt;En la parte inferior de la jerarquía se encuentran las direcciones: lo que le das a las personas para que puedan pagarte. En Orchard, las direcciones se derivan de la clave de visualización completa utilizando un diversificador, que es solo un pequeño fragmento de datos aleatorios.&lt;/p&gt;
&lt;p&gt;El diversificador permite direcciones diversificadas, lo que significa que puedes generar miles de millones de direcciones no vinculables desde una sola billetera. Aunque cada dirección es completamente diferente, todas se canalizan hacia el mismo conjunto de claves. Además, puedes dar una dirección única a cada persona o servicio con el que interactúas.&lt;/p&gt;
&lt;div class="box box-example"&gt;
&lt;div class="box-title"&gt;Example&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Supongamos que recibes pagos de un empleador, un cliente y una bolsa de cambio. Les das a cada uno una dirección diversificada diferente:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;El empleador paga a: &lt;code&gt;u1employer8jp8rpf6...qjmxgmwxa&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;El cliente paga a: &lt;code&gt;u1clientaph7jp8rpf...sz7nt28qj&lt;/code&gt;&lt;/li&gt;
&lt;li&gt;La bolsa paga a: &lt;code&gt;u1exchng2aaph7jp8...gmwxasz7n&lt;/code&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Las tres direcciones le pertenecen y su monedero recibe los pagos entrantes de cada remitente, pero el empleador, el cliente y la plataforma de intercambio no pueden deducir que están pagando al mismo usuario comparando sus direcciones.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="la-jerarquía-de-clave"&gt;La Jerarquía de Clave&lt;/h4&gt;
&lt;p&gt;Esta es la jerarquía:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;spending key (sk)
|
+---&amp;gt; full viewing key (fvk)
| |
| +---&amp;gt; incoming viewing key (ivk)
| |
| +---&amp;gt; outgoing viewing key (ovk)
| |
| +---&amp;gt; addresses (via diversifiers)
|
+---&amp;gt; nullifier deriving key (nk)
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;A medida que se desciende en la jerarquía, cada nivel revela menos información. La clave de gasto puede hacer todo, la clave de visualización completa lo ve todo, pero no puede gastar, y la clave de visualización de ingresos solo ve los fondos entrantes. Por último, las direcciones no revelan nada, solo son destinos.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/eli-ben-sasson.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Eli Ben-Sasson, cofundador de Zcash y ahora al frente de StarkWare.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="4-el-ciclo-de-vida-de-una-transacción"&gt;4. El ciclo de vida de una transacción&lt;/h2&gt;
&lt;p&gt;Este capítulo cubrirá exactamente lo que ocurre cuando envías ZEC protegido,
desde el momento en que presionas &amp;ldquo;enviar&amp;rdquo; hasta el momento en que el
destinatario ve su saldo actualizado. Para ilustrar esto, seguiremos cada
etapa de una sola transacción, examinando lo que calcula tu billetera,
lo que ve la red y lo que queda registrado en la cadena de bloques.&lt;/p&gt;
&lt;h3 id="41-la-configuración"&gt;4.1 La configuración&lt;/h3&gt;
&lt;p&gt;Alice quiere enviar 5 ZEC a Bob. Abre su billetera digital, introduce la dirección protegida de Bob, especifica la cantidad y confirma el envío. Lo que ocurre a continuación implica cada uno de los mecanismos que hemos visto hasta ahora: notas, compromisos, anuladores, claves, pruebas Merkle y zk-SNARK.&lt;/p&gt;
&lt;p&gt;La billetera digital de Alice contiene dos notas sin gastar:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Nota A:&lt;/strong&gt; 3 ZEC&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Nota B:&lt;/strong&gt; 4 ZEC&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Ella gastará ambas (7 ZEC en total) para enviar a Bob 5 ZEC, pagará una tarifa de 0,001 ZEC y recibirá 1,999 ZEC de cambio.&lt;/p&gt;
&lt;h3 id="42-selección-y-recuperación-de-notas"&gt;4.2 Selección y recuperación de notas&lt;/h3&gt;
&lt;p&gt;Recuerde que la billetera digital de Alice no almacena realmente ZEC, sino la información necesaria para gastar las notas: los datos descifrados de las notas y las claves que las controlan. Cuando Alice sincronizó su billetera digital, esta escaneó el blockchain, intentó descifrar cada salida protegida utilizando su clave de visualización entrante y almacenó las que tuvieron éxito.&lt;/p&gt;
&lt;p&gt;Aquí hay un ejemplo de la nota A:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt; {
&amp;#34;addr&amp;#34;: &amp;#34;u1alice...&amp;#34;,
// 3 ZEC in zatoshis
&amp;#34;v&amp;#34;: 300000000, // 3 ZEC denominados en zatoshis
&amp;#34;rho&amp;#34;: &amp;#34;0x7a8b9c...&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x1d2e3f...&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x4a5b6c...&amp;#34;,
// Position in commitment tree
&amp;#34;position&amp;#34;: 847291, // Position in commitment tree
// The commitment
&amp;#34;cmx&amp;#34;: &amp;#34;0x9f8e7d...&amp;#34; // El compromiso
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;El campo de posición es crucial porque le indica a la billetera digital dónde se encuentra esta nota en el árbol de compromisos, información necesaria para construir la prueba Merkle.&lt;/p&gt;
&lt;h3 id="43-obtención-de-rutas-merkle"&gt;4.3 Obtención de rutas Merkle&lt;/h3&gt;
&lt;p&gt;Para gastar una nota, Alice debe demostrar que su compromiso existe en el árbol, sin revelar de qué compromiso se trata. Esto requiere demostrar una ruta Merkle desde el compromiso hasta la raíz.&lt;/p&gt;
&lt;p&gt;La billetera de Alice mantiene los testigos Merkle localmente mientras
sincroniza la cadena de bloques, actualizándolos a medida que se agregan
nuevos compromisos al árbol. Esto es fundamental: consultar un nodo completo
para obtener una ruta Merkle en una posición específica revelaría qué nota
se está gastando, lo que representaría una grave fuga de privacidad. Los nodos
completos ni siquiera mantienen todo el árbol de compromisos de notas, solo
las fronteras recientes y el conjunto de anclajes válidos.&lt;/p&gt;
&lt;p&gt;Para la nota A, en la posición 847 291 en un árbol con una profundidad de 32, la ruta consta de 32 hash similares:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt; merkle_path_A = [
&amp;#34;0x1a2b3c...&amp;#34;, // Sibling at level 0
&amp;#34;0x4d5e6f...&amp;#34;, // Sibling at level 1
... // 30 more siblings
&amp;#34;0x7g8h9i...&amp;#34; // Sibling at level 31
]
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Cualquiera que tenga acceso a esta ruta puede verificar que &lt;code&gt;cmx_A&lt;/code&gt; está en el árbol mediante un hash de vuelta a la raíz. Sin embargo, dentro del zk-SNARK, Alice puede demostrarlo sin revelar &lt;code&gt;cmx_A&lt;/code&gt; ni la propia ruta.&lt;/p&gt;
&lt;p&gt;La billetera digital también registra el ancla, es decir, la raíz Merkle en el momento de la recuperación de la ruta. La transacción hará referencia a esta ancla y los nodos podrán utilizarla para verificar que se trata de una raíz reciente y válida.&lt;/p&gt;
&lt;h3 id="44-cálculo-de-anuladores"&gt;4.4 Cálculo de anuladores&lt;/h3&gt;
&lt;p&gt;Alice tiene sus notas y sus rutas Merkle, ahora necesita marcarlas como gastadas.&lt;/p&gt;
&lt;p&gt;Recordemos de la sección 3.5 que los nulificadores resuelven el problema
fundamental de evitar el doble gasto sin revelar la nota que se está gastando.
Con Bitcoin, tienes que señalar un UTXO directamente y cualquiera puede ver
que ya fue consumido, pero con Zcash, señalar un compromiso destruiría la
privacidad al vincularte a esa nota específica.&lt;/p&gt;
&lt;p&gt;Alice calcula un anulador para cada nota que gasta, el anulador se deriva de los datos de la nota y de su clave secreta de derivación del anulador (&lt;code&gt;nk&lt;/code&gt;):&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;nullifier_A = Hash(nk, rho_A, psi_A) = 0x2c3d4e5f...
nullifier_B = Hash(nk, rho_B, psi_B) = 0x8f7a9b2c...
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Los valores &lt;code&gt;rho&lt;/code&gt; y &lt;code&gt;psi&lt;/code&gt; son únicos para cada nota, lo que significa que se establecieron cuando se creó la nota. El &lt;code&gt;nk&lt;/code&gt; se deriva de la clave de gasto de Alice, pero solo ella lo posee.&lt;/p&gt;
&lt;p&gt;La construcción tiene dos propiedades críticas:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Es determinista:&lt;/strong&gt; Cada nota produce exactamente un anulador. Si Alice intentara gastar la nota A dos veces, tendría que publicar 0x2c3d4e5f&amp;hellip; dos veces. La red mantiene un conjunto de anuladores de todos los anuladores publicados, por lo que el segundo intento sería rechazado porque ese anulador ya existe.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Es inseparable:&lt;/strong&gt; Nadie más puede calcular el anulador de las notas de Alice porque nadie más tiene su nk y, lo que es más importante, nadie puede trabajar retrospectivamente a partir de un anulador para determinar su compromiso correspondiente. Por lo tanto, cuando 0x2c3d4e5f&amp;hellip; aparece en la cadena de bloques, los observadores verán que se ha gastado alguna nota, pero no podrán saber de cuál de los millones de compromisos del árbol procede.&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Los anuladores se incluirán en la transacción de Alice y se publicarán en la cadena, pero son el único rastro público de su gasto. Solo dos valores opacos de 32 bytes que no revelan nada sobre los billetes en sí, sus cantidades o quién los controlaba.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;El conjunto de anuladores solo crece. A diferencia del árbol de compromisos (que solo se puede añadir, pero que rastrea todas las notas creadas), el conjunto de anuladores rastrea las notas gastadas. El compromiso de una nota permanece en el árbol para siempre, incluso después de haber sido gastado. La presencia del anulador en el conjunto de anuladores es lo que lo marca como consumido.&lt;/div&gt;
&lt;/div&gt;
&lt;h3 id="45-creación-de-notas-de-salida"&gt;4.5 Creación de notas de salida&lt;/h3&gt;
&lt;p&gt;Alice está gastando 7 ZEC (3 ZEC + 4 ZEC) y necesita crear dos notas nuevas: 5 ZEC para Bob y 1,999 ZEC para su cambio; hay una comisión por transacción de 0,001 ZEC.&lt;/p&gt;
&lt;p&gt;Cada nota requiere una aleatoriedad novedosa, por lo que la billetera digital de Alice genera los componentes criptográficos que hacen que cada nota sea única y solo pueda ser gastada por su destinatario previsto.&lt;/p&gt;
&lt;h4 id="generación-de-componentes-de-nota"&gt;Generación de componentes de nota&lt;/h4&gt;
&lt;p&gt;Para la nota de 5 ZEC de Bob:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1bob...&amp;#34;, // Bob&amp;#39;s shielded address
&amp;#34;v&amp;#34;: 500000000, // 5 ZEC in zatoshis
&amp;#34;rho&amp;#34;: &amp;#34;0x3e4f5a6b...&amp;#34;, // Derived deterministically
&amp;#34;psi&amp;#34;: &amp;#34;0x7c8d9e0f...&amp;#34;, // Random
&amp;#34;rcm&amp;#34;: &amp;#34;0x1a2b3c4d...&amp;#34; // Random (commitment randomness)
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Para el cambio de 1,999 ZEC de Alice:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1alice...&amp;#34;, // Alice&amp;#39;s own address
&amp;#34;v&amp;#34;: 199900000, // 1.999 ZEC in zatoshis
&amp;#34;rho&amp;#34;: &amp;#34;0x5f6a7b8c...&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x9d0e1f2a...&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x4e5f6a7b...&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;El valor &lt;code&gt;rho&lt;/code&gt; en Orchard se deriva de forma determinista de la transacción, lo que previene ciertos tipos de ataques criptográficos. Los valores &lt;code&gt;psi&lt;/code&gt; y &lt;code&gt;rcm&lt;/code&gt; son números aleatorios recién muestreados. Juntos, estos valores garantizan que, incluso si Alice envía a Bob 5 ZEC mil veces, el compromiso de la nota sería diferente cada vez.&lt;/p&gt;
&lt;h4 id="cálculo-de-compromisos"&gt;Cálculo de compromisos&lt;/h4&gt;
&lt;p&gt;Una vez que los componentes de la nota están listos, Alice calcula el compromiso para cada salida:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;cmx_bob = Hash(addr_bob, 500000000, rho_bob, psi_bob, rcm_bob)
= 0x8a9b0c1d...
&lt;/code&gt;&lt;/pre&gt;&lt;pre tabindex="0"&gt;&lt;code&gt;cmx_alice = Hash(addr_alice, 199900000, rho_alice, psi_alice, rcm_alice)
= 0x2d3e4f5a...
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Estos compromisos son los que se publicarán en la cadena y se añadirán al árbol de compromiso. No revelan nada sobre las notas en sí, son hash opacos de 32 bytes, pero cualquiera que conozca los valores subyacentes (el destinatario, concretamente) puede verificar que un compromiso corresponde a una nota específica.&lt;/p&gt;
&lt;h4 id="cifrado-de-las-notas"&gt;Cifrado de las notas&lt;/h4&gt;
&lt;p&gt;Los compromisos se incluyen en cadena, pero Bob necesita los datos reales de la nota para poder gastar posteriormente sus 5 ZEC. Necesita conocer el valor, &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt; y &lt;code&gt;rcm&lt;/code&gt;, ya que sin ellos, el compromiso es inútil, ya que no puede construir un anulador válido ni demostrar la propiedad.&lt;/p&gt;
&lt;p&gt;Alice cifra cada nota para que solo el destinatario previsto pueda leerla:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Para Bob:&lt;/strong&gt; Alice utiliza la dirección de Bob (que contiene su material de clave pública) para cifrar la nota. El resultado es el texto cifrado &lt;code&gt;encCiphertext&lt;/code&gt;: un bloque de datos cifrados que solo se puede descifrar utilizando la clave de visualización entrante de Bob. Cuando la billetera digital de Bob escanea la cadena de bloques y descifra con éxito este texto cifrado, se entera de que ha recibido 5 ZEC y almacena todos los datos necesarios para gastarlos.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Para los registros de Alice:&lt;/strong&gt; Hay un segundo texto cifrado llamado &lt;code&gt;outCiphertext&lt;/code&gt;: este está cifrado con la clave de visualización saliente de Alice, lo que permite a su billetera digital recordar lo que envió. Sin esto, Alice no tendría un registro de dónde fueron sus fondos. Está cifrado, en lugar de almacenado en texto plano, para que los operadores de nodos y los observadores no puedan leerlo.&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;cmx&amp;#34;: &amp;#34;0x8a9b0c1d...&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x6b7c8d9e...&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x9f8e7d6c5b4a...[512 bytes]...&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x3c4d5e6f7a8b...[80 bytes]...&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;El &lt;code&gt;ephemeralKey&lt;/code&gt; es una clave pública de un solo uso generada para este cifrado específico, y Bob puede utilizarla junto con su clave privada para descifrar el &lt;code&gt;encCiphertext&lt;/code&gt;. Esto es habitual en el cifrado de clave pública, pero la novedad es que se produce dentro de un sistema que nunca ha vinculado la dirección de Bob a una identidad y en el que el texto cifrado no revela nada a los observadores externos.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;El cifrado no forma parte de lo que prueba zk-SNARK. El cifrado es una capa independiente que garantiza que solo los destinatarios puedan acceder a sus fondos, mientras que la prueba verifica que las notas estén correctamente formadas y que los importes de las transacciones cuadren. Si Alice cifrara incorrectamente (o utilizara maliciosamente la clave equivocada), la transacción seguiría siendo válida en cadena, pero Bob nunca podría encontrar ni gastar su nota. En la práctica, las billeteras digitales gestionan esto correctamente, y la incapacidad del destinatario para descifrarlo sería un error de la billetera digital, no una violación del protocolo.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;En este punto, Alice tiene todo lo necesario para las salidas: dos compromisos para publicar y cargas útiles cifradas para que cada destinatario pueda reclamar su nota. Ahora viene la parte difícil: demostrar que es válida sin revelar nada.&lt;/p&gt;
&lt;h3 id="46-la-prueba"&gt;4.6 La prueba&lt;/h3&gt;
&lt;p&gt;Alice ha reunido todas las piezas: Las dos notas para gastar, sus rutas Merkle, los anuladores que las marcarán como consumidas y dos notas de salida nuevas con sus compromisos y cargas útiles cifradas. Ahora bien, ¿cómo convencer a la red de que todo es válido sin revelar los detalles?&lt;/p&gt;
&lt;p&gt;Aquí es donde entra en juego zk-SNARK.&lt;/p&gt;
&lt;h4 id="lo-que-demuestra-la-prueba"&gt;Lo que demuestra la prueba&lt;/h4&gt;
&lt;p&gt;La prueba es un objeto criptográfico que demuestra que todo lo siguiente es cierto:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Las notas de entrada existen.&lt;/strong&gt; Alice conoce dos de los compromisos que se encuentran en el árbol de compromiso. Ella lo demuestra al esbozar las rutas Merkle válidas desde esos compromisos hasta el ancla (la raíz del árbol). La prueba no revela a qué compromisos se refiere Alice, solo que están ahí en algún lugar entre los millones.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Alice controla las entradas.&lt;/strong&gt; Alice conoce las claves de gasto de ambas notas, concretamente, conoce los valores secretos necesarios para derivar los anuladores y autorizar el gasto. Sin esto, cualquiera podría intentar gastar las notas de otra persona.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Los anuladores son correctos.&lt;/strong&gt; Los anuladores que publica corresponden realmente a las notas que está gastando. Alice no puede publicar anuladores arbitrarios, deben derivarse de notas reales que controla utilizando la fórmula adecuada.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Los importes de la transacción cuadran.&lt;/strong&gt; La suma de los valores de entrada (3 + 4 = 7 ZEC) es igual a la suma de los valores de salida (5 + 1,999 = 6,999 ZEC) más la comisión (0,001 ZEC). No se crea ni se destruye ningún ZEC. Esta es la ley fundamental de conservación del sistema.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Los compromisos de salida están bien formados.&lt;/strong&gt; Los compromisos que publica para la nota de Bob y su nota de cambio se calculan correctamente a partir de datos válidos de la nota. No puede publicar compromisos sin sentido, deben seguir la estructura adecuada.&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;La red no sabe qué notas se gastaron, quién es el destinatario ni la cantidad que se transfirió de una parte a otra. Solo sabe que alguien realizó una transacción válida: entradas reales, salidas reales, cálculos matemáticos correctos y autorización adecuada. Eso es suficiente para actualizar el estado global, es decir, añadir compromisos y registrar anulaciones, sin saber nada sobre la transacción en sí.&lt;/p&gt;
&lt;h4 id="qué-es-realmente-la-prueba"&gt;Qué es realmente la prueba&lt;/h4&gt;
&lt;p&gt;Después de toda esta complejidad, la prueba en sí misma es casi anticlimática: aproximadamente uno o dos kilobytes de datos, ¡eso es todo! Es solo un pequeño bloque de bytes que codifica un argumento matemático.&lt;/p&gt;
&lt;p&gt;La verificación es rápida, solo unos milisegundos en un hardware modesto. Un nodo recibe la prueba, ejecuta el algoritmo de verificación y devuelve una respuesta binaria: válida o no válida. Sin juicios de valor, sin heurística, sin conjeturas probabilísticas; las matemáticas se verifican o no se verifican.&lt;/p&gt;
&lt;p&gt;Esta asimetría es la magia de zk-SNARKs. Crear la prueba es computacionalmente costoso, la billetera digital de Alice hace un trabajo real, procesando operaciones de curvas elípticas y matemáticas polinómicas. Sin embargo, verificar la prueba es barato. La asimetría hace que el sistema sea práctico: cada nodo de la red puede verificar cada transacción protegida sin tener que volver a realizar el complicado cálculo.&lt;/p&gt;
&lt;h4 id="el-circuito"&gt;El circuito&lt;/h4&gt;
&lt;p&gt;¿Cómo genera Alice esta prueba? Procesando los datos de su transacción a través de algo llamado circuito, una especificación formal de las condiciones exactas que deben cumplirse para que un gasto en Orchard sea válido.&lt;/p&gt;
&lt;p&gt;Piensa en el circuito como una enorme lista de verificación codificada en restricciones matemáticas. El paso para demostrar que &amp;ldquo;la ruta Merkle debe ser válida&amp;rdquo; se convierte en una serie de cálculos hash que deben producir el resultado correcto, el paso &amp;ldquo;el anulador debe derivarse correctamente&amp;rdquo; se convierte en restricciones sobre cómo se relacionan entre sí ciertos valores y, finalmente, &amp;ldquo;las cantidades deben cuadrar&amp;rdquo; se convierte en una ecuación que debe cumplirse.&lt;/p&gt;
&lt;p&gt;La cartera digital de Alice toma sus entradas privadas (notas, claves, rutas, aleatoriedad) y las procesa a través de este circuito para encontrar valores que satisfagan todas las restricciones. A continuación, el mecanismo zk-SNARK comprime toda esta asignación satisfactoria en una pequeña prueba que cualquiera puede comprobar.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;El circuito se fija a nivel de protocolo, y todas las transacciones de Orchard utilizan el mismo circuito, tal y como se define en la especificación de Zcash. Alice no puede modificar las reglas, solo puede demostrar que las ha seguido. Esto es lo que hace que el sistema sea fiable: los nodos no necesitan confiar en Alice, solo tienen que verificar que su prueba supera el circuito universal acordado.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;La billetera digital de Alice ha generado ahora una prueba: un objeto de ~1,5 KB que afirma que existe una transacción válida, sin decir cuál es. Ahora es el momento de empaquetarlo todo y enviarlo a la red.&lt;/p&gt;
&lt;h3 id="47-ensamblaje-de-la-transacción"&gt;4.7 Ensamblaje de la transacción&lt;/h3&gt;
&lt;p&gt;Alice tiene sus anuladores, sus notas de salida, sus cargas útiles cifradas y su prueba; ahora necesita empaquetar todo en una transacción que la red pueda procesar.&lt;/p&gt;
&lt;h4 id="la-estructura-de-la-acción"&gt;La estructura de la acción&lt;/h4&gt;
&lt;p&gt;Orchard utiliza una estructura denominada &amp;ldquo;acción&amp;rdquo;. Cada acción agrupa exactamente un gasto y una salida, lo cual es una elección de diseño deliberada. Los protocolos anteriores de Zcash (Sprout y Sapling) separaban los gastos y las salidas, pero esto filtraba información sobre la estructura de la transacción. Si veías una transacción con tres gastos y una salida, obtenías cierta información. Orchard elimina este problema al forzar un emparejamiento 1:1.&lt;/p&gt;
&lt;p&gt;Alice gasta dos notas y crea dos salidas, por lo que su transacción contiene dos acciones:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Acción 0:&lt;/strong&gt; Gasta la nota A (3 ZEC), crea la nota de Bob (5 ZEC)&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Acción 1:&lt;/strong&gt; Gasta la nota B (4 ZEC), crea la nota de cambio de Alice (1,999 ZEC)&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;El emparejamiento dentro de cada acción es arbitrario. La acción 0 no significa que la Nota A &amp;ldquo;se convirtiera&amp;rdquo; en los 5 ZEC de Bob. Los valores no coinciden, y eso está bien. Lo que importa es la restricción global: el total de entradas es igual al total de salidas más la comisión. La estructura de la acción solo garantiza que los observadores no puedan inferir la forma de la transacción.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;¿Qué pasaría si Alice quisiera gastar dos notas, pero solo crear una salida? Para ello, seguiría necesitando dos acciones, por lo que tendría que crear una salida ficticia en la segunda acción. Una salida ficticia es una nota de valor cero que solo existe para equilibrar la estructura. Lo mismo se aplica a la inversa: si tuviera una entrada pero necesitara dos salidas, incluiría un gasto ficticio. Los observadores no pueden distinguir las acciones reales de las ficticias.&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="lo-que-se-registra-en-cadena"&gt;Lo que se registra en cadena&lt;/h4&gt;
&lt;p&gt;Esto es lo que contiene realmente la transacción de Alice:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;anchor&amp;#34;: &amp;#34;0x7f8e9d0c...&amp;#34;,
&amp;#34;actions&amp;#34;: [
{
&amp;#34;cv&amp;#34;: &amp;#34;0x9a8b7c6d...&amp;#34;,
&amp;#34;nullifier&amp;#34;: &amp;#34;0x2c3d4e5f...&amp;#34;,
&amp;#34;rk&amp;#34;: &amp;#34;0x5e6f7a8b...&amp;#34;,
&amp;#34;cmx&amp;#34;: &amp;#34;0x8a9b0c1d...&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x6b7c8d9e...&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x9f8e7d6c...[580 bytes]&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x3c4d5e6f...[80 bytes]&amp;#34;
},
{
&amp;#34;cv&amp;#34;: &amp;#34;0x1b2c3d4e...&amp;#34;,
&amp;#34;nullifier&amp;#34;: &amp;#34;0x8f7a9b2c...&amp;#34;,
&amp;#34;rk&amp;#34;: &amp;#34;0x4d5e6f7a...&amp;#34;,
&amp;#34;cmx&amp;#34;: &amp;#34;0x2d3e4f5a...&amp;#34;,
&amp;#34;ephemeralKey&amp;#34;: &amp;#34;0x8c9d0e1f...&amp;#34;,
&amp;#34;encCiphertext&amp;#34;: &amp;#34;0x7e8f9a0b...[580 bytes]&amp;#34;,
&amp;#34;outCiphertext&amp;#34;: &amp;#34;0x5a6b7c8d...[80 bytes]&amp;#34;
}
],
&amp;#34;proof&amp;#34;: &amp;#34;0x1a2b3c4d...[~1.5 KB]&amp;#34;,
&amp;#34;bindingSig&amp;#34;: &amp;#34;0x4e5f6a7b...[64 bytes]&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Desglosemos esto:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;&lt;code&gt;anchor&lt;/code&gt; (ancla):&lt;/strong&gt; la raíz de Merkle a la que hace referencia la prueba de Alice. Esto compromete su transacción a un estado específico del árbol de compromisos. Los nodos verificarán que esta sea una raíz válida que existió en algún momento del historial del árbol. Aunque los anchors antiguos son técnicamente válidos, las billeteras suelen usar anchors recientes para maximizar el conjunto de anonimato.&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;code&gt;cv (value commitment)&lt;/code&gt; (compromiso de valor):&lt;/strong&gt; Un compromiso criptográfico del valor que se gasta o se crea en cada acción. Estos no revelan los montos reales. En su lugar, están construidos de tal forma que la suma de todos los valores cv de la transacción codifica el flujo neto. Si la transacción está balanceada (entradas = salidas + comisión), la matemática cuadra. Si no, la verificación falla.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;code&gt;nullifier&lt;/code&gt; (anulador):&lt;/strong&gt; Los anuladores para la Nota A y la Nota B. Estos se añaden al conjunto de anuladores, marcando esas notas como gastadas para siempre.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;code&gt;rk (randomized verification key)&lt;/code&gt; (clave de verificación aleatorizada):&lt;/strong&gt; Se utiliza para verificar la firma de autorización de gasto. Esto demuestra que Alice autorizó esta transacción específica sin revelar su clave de gasto real.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;cmx:&lt;/strong&gt; Los compromisos para la nota de Bob y la nota de cambio de Alice. Estos se añaden al árbol de compromisos.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;ephemeralKey + encCiphertext + outCiphertext:&lt;/strong&gt; Los datos de la nota encriptados, como se describe en la sección 4.5. Estos no afectan al consenso, pero sin ellos, los destinatarios no podrían reclamar sus fondos.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;code&gt;proof&lt;/code&gt; (prueba):&lt;/strong&gt; El zk-SNARK que demuestra que todo es válido. Una sola prueba cubre la transacción completa (ambas acciones).&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;&lt;code&gt;bindingSig&lt;/code&gt; (firma vinculante):&lt;/strong&gt; Una firma que une todas las piezas. Demuestra que los valores cv de todas las acciones suman correctamente (garantizando la conservación del valor) y que la transacción no ha sido manipulada. Este es el chequeo final de que los montos realmente cuadran.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="la-comisión"&gt;La Comisión&lt;/h4&gt;
&lt;p&gt;Notarás que la comisión no aparece explícitamente en ningún lugar, y eso se debe a que es implícita. El total de entradas de Alice es 7 ZEC y el total de salidas es 6.999 ZEC. La diferencia, 0.001 ZEC, es la comisión de la transacción, que es reclamada por los mineros.&lt;/p&gt;
&lt;p&gt;Los compromisos de valor codifican el flujo neto, por lo que cuando un minero verifica la firma vinculante, en realidad está confirmando que las entradas menos las salidas son iguales a la comisión declarada. Si Alice intentara afirmar que sus salidas suman 7 ZEC, dejando sin comisión, entonces la firma vinculante fallaría. Si ella intentara crear ZEC adicionales de la nada y afirmara 8 ZEC de salidas a partir de 7 ZEC de entradas, la prueba en sí sería inválida.&lt;/p&gt;
&lt;p&gt;La comisión es pública. Los observadores pueden ver cuánto se pagó para procesar la transacción, pero ese es el único valor visible. Los montos de las entradas, los montos de las salidas y la transferencia de valor entre las partes permanecen ocultos.&lt;/p&gt;
&lt;p&gt;Es importante destacar que &lt;a href="https://zips.z.cash/zip-0317"&gt;ZIP 317&lt;/a&gt; estandariza el cálculo de las comisiones, de modo que las billeteras compatibles no permiten montos discrecionales. Esto importa para la privacidad: si las billeteras permitieran comisiones arbitrarias, la elección de la comisión filtraría información que podría ayudar a identificar transacciones o distinguir entre implementaciones de billeteras.&lt;/p&gt;
&lt;h3 id="48-difusión-y-mempool"&gt;4.8 Difusión y Mempool&lt;/h3&gt;
&lt;p&gt;La billetera digital de Alice ya ha ensamblado la transacción completa; ahora esta necesita llegar a la red.&lt;/p&gt;
&lt;h4 id="envío-a-la-red"&gt;Envío a la Red&lt;/h4&gt;
&lt;p&gt;El proceso de envío ocurre de la siguiente manera: la billetera digital de Alice se conecta a uno o más nodos de Zcash y difunde la transacción. El mensaje se propaga a través de la red entre pares, pasando de nodo a nodo hasta llegar a los mineros y al resto de la red. El proceso de envío funciona exactamente igual que en Bitcoin: la transacción es simplemente datos que los nodos difunden entre sus pares en la red.&lt;/p&gt;
&lt;p&gt;Desde la perspectiva de Alice, esto toma uno o dos segundos. En su billetera digital aparece “transacción difundida” y luego solo tiene que esperar la confirmación.&lt;/p&gt;
&lt;h4 id="validación-inicial"&gt;Validación Inicial&lt;/h4&gt;
&lt;p&gt;Cuando un nodo recibe la transacción de Alice, no la acepta ciegamente. Antes de reenviarla a otros nodos o agregarla al mempool, el nodo ejecuta una serie de verificaciones:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Verificación de Prueba:&lt;/strong&gt; El nodo ejecuta el verificador zk-SNARK sobre la prueba de Alice. Esto toma unos pocos milisegundos. Si la prueba es inválida, la transacción se rechaza inmediatamente. No se necesitan más verificaciones.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Verificación del ancla:&lt;/strong&gt; El nodo verifica que el ancla &lt;code&gt;anchor&lt;/code&gt; utilizada por Alice (la raíz de Merkle a la que hace referencia su prueba) sea una raíz válida del historial del árbol de compromisos. El protocolo de consenso no prohíbe los &lt;code&gt;anchor&lt;/code&gt; antiguos: se acepta cualquier &lt;code&gt;anchor&lt;/code&gt; que haya sido alguna vez una raíz válida del árbol. Sin embargo, es muy recomendable utilizar un &lt;code&gt;anchor&lt;/code&gt; reciente, ya que maximiza el conjunto de anonimato: cuantas más notas haya en el árbol al momento del &lt;code&gt;anchor&lt;/code&gt;, mayor será la multitud en la que se oculta la nota de Alice. Algunas billeteras, como YWallet, permiten seleccionar &lt;code&gt;anchor&lt;/code&gt;s más antiguos para poder gastar notas antiguas sin necesidad de que la billetera haya escaneado todos los bloques posteriores.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Verificación de anuladores:&lt;/strong&gt; El nodo revisa ambos anuladores en su conjunto local de anuladores. Si alguno de ellos, por ejemplo &lt;code&gt;0x2c3d4e5f...&lt;/code&gt; o &lt;code&gt;0x8f7a9b2c...&lt;/code&gt;, ya existe en el conjunto, significa que Alice está intentando gastar dos veces. En ese caso, la transacción se rechaza.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Validez estructural:&lt;/strong&gt; El nodo confirma que la transacción esté bien formada: longitudes de campo correctas, codificaciones válidas, que la firma vinculante sea verificable, entre otros aspectos. Las transacciones mal formadas se descartan.&lt;/p&gt;
&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;Si todas las verificaciones se superan, el nodo considera que la transacción es válida. Luego la agrega a su mempool, que es un área de espera para transacciones no confirmadas, y la retransmite a otros nodos.&lt;/p&gt;
&lt;h4 id="esperando-en-el-mempool"&gt;Esperando en el Mempool&lt;/h4&gt;
&lt;p&gt;El mempool es como un purgatorio para las transacciones. La transacción de Alice permanece allí junto con cientos o miles de otras, todas esperando que un minero las seleccione y las incluya en un bloque.&lt;/p&gt;
&lt;p&gt;Los mineros seleccionan transacciones del mempool basándose en las comisiones. Generalmente, las transacciones con comisiones más altas se eligen primero. Alice pagó 0.001 ZEC, lo cual es típico para Zcash, y en condiciones normales de la red esto suele ser suficiente para que se incluya en el siguiente bloque o en los dos siguientes.&lt;/p&gt;
&lt;p&gt;Durante este período de espera, la transacción de Alice está sin confirmar. La red ya la ha validado, pero todavía no se ha escrito en la blockchain. La billetera de Bob podría detectar la transacción pendiente, algunas billeteras muestran transacciones entrantes no confirmadas, pero él no puede gastar esos fondos hasta que la transacción sea minada.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;El mempool no es global ni está sincronizado; cada nodo mantiene su propio mempool. Debido a los retrasos en la propagación de la red, diferentes nodos pueden tener conjuntos ligeramente distintos de transacciones pendientes en un momento dado. Esto no importa para el consenso; lo que realmente importa es qué transacciones se incluyen en los bloques.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;La transacción ha sido difundida y los nodos la han validado. Ahora, Alice espera que un minero haga el trabajo final.&lt;/p&gt;
&lt;h3 id="49-inclusión-en-el-bloque-y-finalidad"&gt;4.9 Inclusión en el Bloque y Finalidad&lt;/h3&gt;
&lt;p&gt;Un minero selecciona la transacción de Alice de su mempool, la agrupa con otras transacciones y comienza el trabajo de minar un nuevo bloque.&lt;/p&gt;
&lt;h4 id="minado-del-bloque"&gt;Minado del Bloque&lt;/h4&gt;
&lt;p&gt;Zcash utiliza Prueba de Trabajo, al igual que Bitcoin. El minero construye un encabezado de bloque que contiene el hash del bloque anterior, una marca de tiempo, una raíz de Merkle de las transacciones incluidas y un nonce. Luego, prueban repetidamente diferentes nonces hasta encontrar uno que produzca un hash por debajo de la dificultad objetivo.&lt;/p&gt;
&lt;p&gt;Este proceso es idéntico al que cubrimos en la introducción a Bitcoin (sección 3.1), con una excepción: Zcash utiliza el algoritmo Equihash en lugar de SHA256. Las propiedades de seguridad son las mismas: encontrar un bloque válido requiere un trabajo computacional significativo, mientras que verificar ese trabajo es trivial.&lt;/p&gt;
&lt;p&gt;Cuando un minero encuentra un nonce válido, difunde el bloque y otros nodos lo verifican: prueba de trabajo válida, transacciones válidas, estructura correcta. Si todo está en orden, los nodos añaden el bloque a su cadena y la transacción de Alice se convierte en parte del registro permanente.&lt;/p&gt;
&lt;h4 id="actualizaciones-del-estado"&gt;Actualizaciones del Estado&lt;/h4&gt;
&lt;p&gt;Una vez que el bloque es aceptado, el estado de la red cambia:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;El árbol de compromisos crece:&lt;/strong&gt; El compromiso de la nota de Bob &lt;code&gt;0x8a9b0c1d...&lt;/code&gt; y el de la nota de cambio de Alice &lt;code&gt;0x2d3e4f5a...&lt;/code&gt; se añaden al árbol. Ahora el árbol contiene dos &amp;ldquo;hojas&amp;rdquo; más que antes y se calcula una nueva raíz de Merkle. Esta raíz se convierte en un ancla válido para futuras transacciones.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;El conjunto de anuladore se expande:&lt;/strong&gt; Los dos anuladores de Alice (&lt;code&gt;0x2c3d4e5f...&lt;/code&gt; y &lt;code&gt;0x8f7a9b2c...&lt;/code&gt;) se agregan al conjunto. Esas notas quedan ahora marcadas permanentemente como gastadas. Cualquier transacción futura que intente usar alguno de estos dos anuladores será rechazada.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Se emite la recompensa del bloque:&lt;/strong&gt; El minero recibe ZEC recién creados (el subsidio del bloque) más la suma de todas las comisiones de las transacciones incluidas en el bloque, incluyendo los 0.001 ZEC de Alice.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Estas actualizaciones del estado son decisivas. Cada nodo que procesa el bloque llega exactamente al mismo estado nuevo. El árbol de compromisos tiene la misma raíz nueva en todas partes. El conjunto de anuladores contiene las mismas entradas en todas partes. Esto es lo que hace que la red sea consistente sin necesidad de una coordinación centralizada.&lt;/p&gt;
&lt;h4 id="confirmaciones"&gt;Confirmaciones&lt;/h4&gt;
&lt;p&gt;La transacción de Alice ahora está confirmada, pero confirmación no significa finalidad.&lt;/p&gt;
&lt;p&gt;Al igual que Bitcoin, Zcash utiliza un sistema de Prueba de Traabajo puro, el cual no posee finalidad criptográfica. La cadena con la mayor cantidad de trabajo acumulado es la que gana, pero nada impide que un atacante con recursos suficientes construya una cadena más larga que reescriba la historia. Las transacciones en bloques huérfanos regresan al mempool o se invalidan si entran en conflicto con la cadena del atacante.&lt;/p&gt;
&lt;p&gt;La creencia convencional de que tras seis confirmaciones el riesgo de reversión es &amp;ldquo;insignificante&amp;rdquo; es engañosa. Presenta la seguridad como una propiedad estadística cuando, en realidad, es una propiedad adversarial. Esto aplica a todas las cadenas de PoW puro, incluido Bitcoin. Contra un atacante que posee la mayoría del poder de cómputo, ningún número de confirmaciones ofrece certeza criptográfica; solo ofrece suposiciones económicas sobre los incentivos del atacante y los costos del hashpower.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;El tiempo de bloque de 75 segundos de Zcash significa que las confirmaciones se acumulan más rápido: seis confirmaciones toman unos siete minutos y medio, frente a la hora que toma en Bitcoin. Cada bloque representa menos trabajo, pero las confirmaciones se suman rápidamente.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;La transacción ha sido minada y el estado se ha actualizado. Las notas antiguas de Alice han desaparecido para siempre, reemplazadas por dos notas nuevas en el árbol de compromisos. Una le pertenece a Bob, y ahora él necesita encontrarla.&lt;/p&gt;
&lt;h3 id="410-detección-del-destinatario"&gt;4.10 Detección del Destinatario&lt;/h3&gt;
&lt;p&gt;La transacción de Alice ya está en la cadena. Los 5 ZEC de Bob existen como un compromiso en el árbol, pero Bob aún no lo sabe. Su billetera necesita encontrar la nota correspondiente.&lt;/p&gt;
&lt;h4 id="escaneo-de-la-blockchain"&gt;Escaneo de la Blockchain&lt;/h4&gt;
&lt;p&gt;La billetera de Bob se sincroniza periódicamente con la red, descargando nuevos bloques y escaneando en busca de pagos entrantes. El desafío es que Bob no puede simplemente buscar su dirección. Las salidas protegidas no contienen direcciones en texto plano; cada salida parece datos encriptados aleatorios.&lt;/p&gt;
&lt;p&gt;La billetera de Bob intenta desencriptar cada salida protegida con la que se encuentra; por lo tanto, para cada encCiphertext de cada acción de cada bloque, la billetera intenta la desencriptación utilizando la clave de visualización entrante de Bob. La mayoría de estos intentos fallan y producen datos inservibles, pero eso es lo esperado, ya que esas salidas pertenecen a otra persona.&lt;/p&gt;
&lt;p&gt;Finalmente, cuando la billetera de Bob llega a la transacción de Alice e intenta desencriptar el ciphertext en la Acción 0, la desencriptación tiene éxito y surgen los datos válidos de la nota.&lt;/p&gt;
&lt;h4 id="recuperación-de-la-nota"&gt;Recuperación de la Nota&lt;/h4&gt;
&lt;p&gt;Cuando la desencriptación funciona, la billetera de Bob recupera el texto plano completo de la nota:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;{
&amp;#34;addr&amp;#34;: &amp;#34;u1bob...&amp;#34;,
&amp;#34;v&amp;#34;: 500000000,
&amp;#34;rho&amp;#34;: &amp;#34;0x3e4f5a6b...&amp;#34;,
&amp;#34;psi&amp;#34;: &amp;#34;0x7c8d9e0f...&amp;#34;,
&amp;#34;rcm&amp;#34;: &amp;#34;0x1a2b3c4d...&amp;#34;
}
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Bob ahora tiene todo lo que necesita:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;El valor:&lt;/strong&gt; 5 ZEC (500,000,000 zatoshis). Su billetera actualiza su saldo en consecuencia.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Los componentes de la nota:&lt;/strong&gt; Los valores &lt;code&gt;rho&lt;/code&gt;, &lt;code&gt;psi&lt;/code&gt; y &lt;code&gt;rcm&lt;/code&gt; que Alice generó. Estos son esenciales. Sin ellos, Bob no podría calcular el compromiso para verificar que coincide con lo que está en la cadena, ni derivar el anulador para gastar la nota más tarde.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;La posición:&lt;/strong&gt; La billetera de Bob también registra en qué parte del árbol se encuentra este compromiso. Cuando se procesó el bloque, el compromiso se añadió en un índice de hoja específico. Bob necesita esta posición para construir una ruta de Merkle cuando eventualmente decida gastar los fondos.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="verificando-la-nota"&gt;Verificando la Nota&lt;/h4&gt;
&lt;p&gt;La billetera de Bob no confía ciegamente en los datos desencriptados. Vuelve a calcular el compromiso a partir de los valores recuperados:&lt;/p&gt;
&lt;pre tabindex="0"&gt;&lt;code&gt;cmx_check = Hash(addr_bob, 500000000, rho, psi, rcm)
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;Si el &lt;code&gt;cmx_check&lt;/code&gt; coincide con el &lt;code&gt;cmx&lt;/code&gt; publicado en cadena en la transacción de Alice, la nota es válida. Si no coinciden, algo es incorrecto (ya sea corrupción o remitentes malintencionados) y la billetera descarta la nota.&lt;/p&gt;
&lt;p&gt;Durante las operaciones normales, esta verificación siempre es exitosa. La billetera de Alice construyó la nota correctamente y la desencriptación recuperó exactamente lo que ella encriptó.&lt;/p&gt;
&lt;h4 id="una-nota-gastable"&gt;Una Nota Gastable&lt;/h4&gt;
&lt;p&gt;Bob ahora posee una nota de 5 ZEC gastable. Su billetera almacena los datos de la nota localmente y la mantiene lista para cuando él desee utilizarla. En ese momento, él seguirá el mismo proceso que Alice utilizó para enviársela a él:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Seleccionar la nota&lt;/li&gt;
&lt;li&gt;Obtener su ruta de Merkle a partir de los testigos mantenidos localmente&lt;/li&gt;
&lt;li&gt;Calcular su anulador&lt;/li&gt;
&lt;li&gt;Crear notas de salida para sus destinatarios&lt;/li&gt;
&lt;li&gt;Generar una prueba&lt;/li&gt;
&lt;li&gt;Difundir la transacción&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;El ciclo se repite: el gasto de Bob revelará un anulador, marcando su nota como consumida, se añadirán nuevos compromisos al árbol, y luego nuevos destinatarios escanearán, descifrarán y descubrirán sus fondos.&lt;/p&gt;
&lt;div class="box box-note"&gt;
&lt;div class="box-title"&gt;Note&lt;/div&gt;
&lt;div class="box-content"&gt;El escaneo de notas es el punto crítico de rendimiento para las billeteras protegidas, ya que una billetera que ha estado sin conexión durante meses necesita probar millones de salidas encriptadas para ponerse al día. Por esta razón, los clientes ligeros y los protocolos de sincronización optimizados son importantes. El Proyecto Tachyon, mencionado en la sección 2, busca mejorar drásticamente el proceso de actualización mediante sincronización inconsciente, permitiendo que las billeteras consulten servidores por datos relevantes sin revelar qué información se está buscando.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Alice envió 5 ZEC a Bob. La red verificó la transacción sin conocer quién envió qué a quién, pero Bob aún pudo detectar su pago sin que nadie más supiera que lo recibió. La transacción está completa.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/panopticon.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;El Panóptico de Jeremy Bentham, 1791. Una prisión diseñada para que los reclusos nunca sepan si están siendo observados. Aprenden a vigilarse a sí mismos.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="5-la-filosofía-de-la-privacidad"&gt;5. La Filosofía de la Privacidad&lt;/h2&gt;
&lt;h3 id="51-la-privacidad-como-precondición-para-el-progreso"&gt;5.1 La Privacidad como Precondición para el Progreso&lt;/h3&gt;
&lt;p&gt;Privacidad no significa secreto, ya que el secreto busca ocultar algo vergonzoso. La privacidad es el derecho a elegir qué revelas y a quién. La privacidad es la autonomía sobre tu propia información; es el fundamento de la libertad misma.&lt;/p&gt;
&lt;p&gt;Esta distinción es importante porque los críticos de la privacidad suelen confundir ambas cosas. El refrán de los sistemas autoritarios proclama que &amp;ldquo;si no tienes nada que ocultar, no tienes nada que temer&amp;rdquo;, y asume que la privacidad solo es valiosa para aquellos con algo que encubrir. Sin embargo, la privacidad es valiosa para todos, precisamente porque crea las condiciones para todo lo demás que valoramos: el pensamiento libre, la libertad de expresión, los mercados libres y el progreso.&lt;/p&gt;
&lt;h4 id="las-condiciones-para-el-progreso"&gt;Las Condiciones para el Progreso&lt;/h4&gt;
&lt;p&gt;Karl Popper pensaba que el progreso dependía de la crítica. Se deben proponer ideas audaces, probarlas y corregirlas, para que los errores puedan ser identificados y descartados. Este proceso requiere estar libre de castigos por proponer ideas atrevidas antes de que sean probadas y que corren el riesgo de ser erróneas. El panóptico asegura que la disidencia sea silenciada antes de que pueda ser expresada. La innovación comienza a requerir permisos y la crítica es castigada: el mecanismo del progreso se rompe.&lt;/p&gt;
&lt;p&gt;David Deutsch extendió las ideas de Popper, postulando que los seres humanos son únicos en virtud de ser explicadores universales. Nuestra capacidad para crear conocimiento, para entender el cosmos e incluso transformarlo, es lo que nos hace especiales. Sin embargo, la creación de conocimiento requiere experimentación, y la experimentación requiere la libertad de fallar en privado antes de tener éxito en público. La vigilancia inhibe la libertad de experimentar, porque cuando cada acción es observada y registrada, se asfixia el pensamiento creativo.&lt;/p&gt;
&lt;p&gt;Estas no son preocupaciones abstractas. Son la realidad de cualquiera que se haya autocensurado sabiendo que sus palabras estaban siendo vigiladas. De cualquiera que decidió no donar a una causa controversial o novedosa sabiendo que la transacción sería visible o rastreable. De cualquiera que evitó investigar un tema sensible sabiendo que la consulta quedaría registrada. La vigilancia cambia el comportamiento; esa es una de sus funciones principales. A veces, cambiar comportamientos equivale a restringir ideas y, por lo tanto, a restringir el progreso.&lt;/p&gt;
&lt;h4 id="el-dinero-como-el-monopolio-final"&gt;El Dinero como el Monopolio Final&lt;/h4&gt;
&lt;p&gt;A lo largo de la historia, la libertad ha dependido de las herramientas que teníamos para protegerla.&lt;/p&gt;
&lt;p&gt;La imprenta fomentó la libertad de expresión. Antes de Gutenberg, las ideas solían estar encadenadas a escribas y sacerdotes, encerradas tras la autoridad institucional. La imprenta rompió el monopolio de la información.&lt;/p&gt;
&lt;p&gt;El internet rompió el monopolio de la geografía. Ahora las ideas pueden compartirse a través de las fronteras en un instante. La coordinación se hizo posible sin proximidad física. La censura se volvió más difícil cuando la información podía &amp;ldquo;enrutarse&amp;rdquo; alrededor de los obstáculos.&lt;/p&gt;
&lt;p&gt;La pólvora destrozó el monopolio de los caballeros y los reyes sobre la violencia. Un campesino con un mosquete podía desafiar a un señor con armadura. El poder se distribuyó más.&lt;/p&gt;
&lt;p&gt;Cada vez, una nueva herramienta aplastó un viejo monopolio. Ahora, queda un último monopolio: el dinero.&lt;/p&gt;
&lt;p&gt;El dinero es la tecnología de coordinación más poderosa que los humanos hayan construido jamás. Es la forma en que señalamos el valor, asignamos recursos y cooperamos a gran escala; pero sigue estando significativamente restringido. El dinero es la tecnología más vigilada y controlada. Cada transacción puede ser monitoreada. Los gobiernos pueden congelar cuentas con solo pulsar una tecla. Los bancos pueden cancelarte de la noche a mañana. Cada vez más, los controles de capital pueden impedirte retirar tu propio efectivo.&lt;/p&gt;
&lt;p&gt;Podría decirse que tu dinero no es tuyo si alguien más puede ver cada transacción que realizas, decidir si la aprueba o no, y más tarde incluso decidir revertir esa decisión e impedir el acceso.&lt;/p&gt;
&lt;h4 id="la-privacidad-en-los-mercados"&gt;La Privacidad en los Mercados&lt;/h4&gt;
&lt;p&gt;Los mercados libres requieren privacidad; esta conclusión se desprende de entender cómo funcionan los mercados:&lt;/p&gt;
&lt;p&gt;Los mercados agregan información a través de los precios, lo que significa que a medida que los participantes toman decisiones basadas en su conocimiento privado, los precios emergen de la suma de esas decisiones. El mecanismo funciona solo si los participantes pueden tomar decisiones basadas en su información privada sin revelarla prematuramente. Un trader que debe difundir cada posición antes de tomarla será adelantado. Una empresa que deba publicar cada relación con sus proveedores será perjudicada. Un donante que deba anunciar cada contribución será presionado.&lt;/p&gt;
&lt;p&gt;Cualquier filtración, incluso de pequeñas piezas de información, cambia el mercado porque introduce sesgos y distorsiona las decisiones. Cuanta más vigilancia hay en un sistema, más distorsión enfrenta. Los mercados perfectos requieren participantes que puedan actuar libremente sobre información privada, lo cual se vuelve imposible bajo condiciones de vigilancia absoluta.&lt;/p&gt;
&lt;p&gt;Tu patrimonio neto no debería ser una API pública. Tu historial de transacciones no debería ser una base de datos consultable. Tu vida financiera no debería estar sujeta a la aprobación de observadores. Estos no son casos aislados ni preocupaciones paranoicas; son los requisitos básicos para que los mercados funcionen y para que los individuos sean libres.&lt;/p&gt;
&lt;h3 id="52-la-trampa-de-la-transparencia"&gt;5.2 La Trampa de la Transparencia&lt;/h3&gt;
&lt;p&gt;Se suponía que las criptomonedas nos liberarían de la vigilancia financiera, pero hicieron lo contrario.&lt;/p&gt;
&lt;p&gt;Los cypherpunks que construyeron este movimiento entendían lo que estaba en juego. Entendían que la privacidad en la era digital no sería otorgada por gobiernos o corporaciones, sino que tendría que ser construida, desplegada y defendida con herramientas criptográficas. Bitcoin surgió de esta tradición y logró ser la primera grieta en la presa, la prueba de que el dinero podía existir fuera del control gubernamental.&lt;/p&gt;
&lt;p&gt;Sin embargo, Bitcoin tiene un fallo importante: es transparente por defecto. Cada transacción, cada dirección y cada saldo es visible para cualquiera que tenga interés en buscarlo. La blockchain es un libro contable público y permanente de toda la actividad económica que ha pasado por ella. Satoshi reconoció esta limitación en su whitepaper original, sugiriendo que los usuarios podrían preservar algo de privacidad generando nuevas direcciones para cada transacción. Eso era una mitigación débil entonces, y se ha convertido en una absurda ahora.&lt;/p&gt;
&lt;p&gt;El seudonimato significa que tu identidad no está directamente vinculada a tu dirección. No obstante, tu identidad puede filtrarse a través de la observación de tu comportamiento: las horas en las que realizas transacciones, los montos que mueves, las direcciones con las que interactúas; en resumen, los patrones que repites. Con cada punto de datos, el conjunto de identidades posibles para una dirección se reduce hasta que, finalmente, con suficientes restricciones, el conjunto colapsa en una sola.&lt;/p&gt;
&lt;p&gt;En la era de la IA, el seudonimato es privacidad con tiempo prestado; es solo una ilusión esperando a ser disuelta por el poder de cómputo.&lt;/p&gt;
&lt;h4 id="el-comercio-requiere-opacidad"&gt;El Comercio Requiere Opacidad&lt;/h4&gt;
&lt;p&gt;El problema de la transparencia no se limita a los individuos, ya que el comercio también se desmorona sin privacidad.&lt;/p&gt;
&lt;p&gt;Considera lo que sucede cuando realizas un único pago a una empresa en una cadena transparente. Ahora puedes ver su dirección y, a partir de ella, deducir potencialmente sus ingresos totales, las direcciones de sus clientes, sus relaciones con proveedores, su nómina e incluso su flujo de caja y su liquidez.&lt;/p&gt;
&lt;p&gt;Hay una razón por la que los departamentos de Recursos Humanos tratan las estructuras de compensación como secretos celosamente guardados, por la que las empresas no publican sus contratos con proveedores y por la que los estados financieros se emiten trimestralmente, en formatos controlados, en lugar de transmitirse en tiempo real al público. Los mercados competitivos requieren asimetría de información. Las empresas deben poder actuar basándose en conocimiento privado sin transmitirlo a sus competidores.&lt;/p&gt;
&lt;p&gt;La misma lógica se aplica a los individuos. Si tus patrones de gasto revelan tus condiciones de salud, tus afiliaciones políticas, tus prácticas religiosas y tus relaciones personales, entonces cada transacción se convierte en un punto de datos para generar una imagen de quién eres, qué valoras y cómo se te puede influir o coaccionar.&lt;/p&gt;
&lt;p&gt;La web necesitaba HTTPS antes de que el comercio pudiera funcionar en línea. Transmitir números de tarjeta de crédito en texto plano era obviamente inaceptable por razones de seguridad. La capa de pagos de Internet necesita la misma evolución: así como las transacciones en texto plano eran un prototipo, la producción requiere ser encriptado.&lt;/p&gt;
&lt;h3 id="53-la-privacidad-debe-ser-absoluta"&gt;5.3 La Privacidad Debe Ser Absoluta&lt;/h3&gt;
&lt;p&gt;Las medidas a medias no funcionan porque la privacidad es binaria: o la tienes o no la tienes.&lt;/p&gt;
&lt;p&gt;Esto puede sonar extremo, pero se deduce de cómo funciona la información. Un secreto es solo un secreto hasta que se filtra; una vez filtrado, no puede dejar de estar filtrado. En un mundo de almacenamiento permanente, reconocimiento de patrones y análisis impulsado por IA, cualquier filtración parcial crece hasta convertirse en una filtración completa. La pregunta no es si se extraerán los bits restantes de información, sino cuándo.&lt;/p&gt;
&lt;h4 id="el-problema-del-bit-único"&gt;El Problema del Bit Único&lt;/h4&gt;
&lt;p&gt;Imagina un sistema de privacidad que oculta el 99% de los datos de tu transacción, pero filtra el 1% restante. Ese 1% podría parecer aceptable, pero la información se acumula. Un bit filtrado limita las posibilidades, y dos bits las limitan aún más. Cada filtración adicional estrecha las posibilidades de quién podrías ser, qué podrías estar haciendo y por qué.&lt;/p&gt;
&lt;p&gt;Los adversarios son pacientes. Recopilarán piezas parciales de información a lo largo del tiempo, las correlacionarán entre diversas fuentes de datos y aplicarán técnicas estadísticas para extraer la &amp;ldquo;señal&amp;rdquo; del &amp;ldquo;ruido&amp;rdquo;. Aunque una correlación temporal por aquí, un patrón de montos por allá y una conexión en el gráfico de red en otro lugar no sean individualmente suficientes para identificarte, pueden lograrlo una vez que convergen.&lt;/p&gt;
&lt;p&gt;Recuerda, esto no es una hipótesis; es la metodología del análisis de cadena, el análisis de metadatos y de todo sistema de vigilancia moderno. La suposición de que las pequeñas filtraciones seguirán siendo pequeñas es incorrecta; las pequeñas filtraciones se acumulan para componer imágenes completas.&lt;/p&gt;
&lt;p&gt;Cualquier sistema de privacidad que tenga filtraciones debe responder a la siguiente pregunta: ¿Qué sucede cuando un adversario con tiempo y poder de cómputo ilimitados optimiza su ataque contra esas filtraciones? Si la respuesta es &amp;ldquo;eventualmente ganan&amp;rdquo;, entonces el sistema no proporciona privacidad; solo proporciona una exposición retrasada.&lt;/p&gt;
&lt;h4 id="ofuscación-vs-encriptación"&gt;Ofuscación vs Encriptación&lt;/h4&gt;
&lt;p&gt;Existen dos enfoques para ocultar información: puedes ofuscarla, haciéndola más difícil de encontrar entre el ruido, o puedes encriptarla, haciendo que sea matemáticamente inaccesible sin la clave.&lt;/p&gt;
&lt;p&gt;Ofuscación es como esconder una aguja en un pajar. Funciona hasta que alguien construye un imán mejor. La aguja sigue allí, y aún se puede encontrar con suficiente esfuerzo. La seguridad es económica, no matemática. Estás apostando a que encontrar la aguja cuesta más de lo que vale. Pero los costos disminuyen con el tiempo: la computación se vuelve más barata, los algoritmos más inteligentes y los adversarios más motivados. Lo que hoy está oculto, mañana puede ser trivialmente expuesto.&lt;/p&gt;
&lt;p&gt;Encriptación es como destruir la aguja y conservar solo una descripción bloqueada de ella. Sin la clave, la descripción es indistinguible del ruido aleatorio. No existe un imán que ayude. No hay cantidad de computación que extraiga significado del azar. La seguridad es matemática, no económica, y no se degrada con el tiempo. Un mensaje encriptado de 2016 es tan seguro hoy como lo era entonces, suponiendo que la criptografía sea sólida.&lt;/p&gt;
&lt;p&gt;Esta distinción es enormemente importante para la privacidad financiera. Los enfoques basados en ofuscación mezclan tu transacción con otras, para ocultarla entre señuelos o añadir ruido a los datos. Aunque estas técnicas aumentan el costo del análisis, no lo hacen imposible. A medida que mejoran las técnicas de análisis, la protección se debilita. La privacidad que era adecuada hace cinco años, hoy podría estar quebrantada, y la que parece adecuada hoy podría quebrantada con las herramientas de 2030.&lt;/p&gt;
&lt;p&gt;Los enfoques basados en encriptación ocultan la transacción en sí misma; no hay transacción que analizar, solo una prueba de que ocurrió una transacción válida. Los datos no solo están oscurecidos, están ausentes, y por lo tanto son inmunes a futuros avances en técnicas de análisis; no se pueden encontrar patrones en datos que no existen.&lt;/p&gt;
&lt;h4 id="por-qué-esto-determina-la-arquitectura"&gt;Por qué Esto Determina la Arquitectura&lt;/h4&gt;
&lt;p&gt;Esta es la razón por la que Zcash encripta las transacciones en lugar de simplemente ofuscarlas. El remitente, el destinatario y el monto no se ocultan entre señuelos ni se mezclan con ruido. En cambio, se encriptan. La blockchain almacena compromisos y pruebas, no datos oscurecidos. Por lo tanto, lo que la red ve es matemáticamente indistinguible de bytes aleatorios.&lt;/p&gt;
&lt;p&gt;El argumento conciso es el siguiente: si se acepta que la privacidad debe ser absoluta, que las filtraciones parciales se acumulan hasta producir una exposición total, y que las capacidades de los adversarios solo aumentan con el tiempo, entonces el encriptado es la única arquitectura viable como solución permanente, mientras que la ofuscación es solo una medida temporal.&lt;/p&gt;
&lt;p&gt;La elección no es entre más privacidad o menos privacidad. Es entre una privacidad que se mantendrá y una privacidad que eventualmente fallará. No hay punto intermedio.&lt;/p&gt;
&lt;h3 id="54-el-argumento-macroeconómico"&gt;5.4 El Argumento Macroeconómico&lt;/h3&gt;
&lt;p&gt;Hasta ahora, los argumentos a favor de la privacidad han sido filosóficos. Que la privacidad permite el progreso, que la transparencia equivale a vigilancia, y que la privacidad parcial termina fallando, son ideas que siguen siendo válidas en cualquier época. Sin embargo, no vivimos en una época cualquiera; en la actualidad, el entorno macroeconómico hace que la privacidad no solo sea valiosa, sino urgente.&lt;/p&gt;
&lt;h4 id="la-historia-no-termina"&gt;La Historia No Termina&lt;/h4&gt;
&lt;p&gt;La estabilidad de las sociedades occidentales modernas puede haber llevado a muchas personas a subestimar lo permanente que parece esa estabilidad. A lo largo de la historia y en distintas partes del mundo, la estabilidad es la excepción, no la regla. Los regímenes colapsan. Las monedas fracasan. Los ciclos de deuda se reinician. Los controles de capital aparecen de la noche a la mañana. Estos no son eventos raros ni hechos lejanos del pasado; son características del mundo moderno que le están ocurriendo a alguien, en algún lugar, en este mismo momento.&lt;/p&gt;
&lt;p&gt;Solo en la última década, &lt;a href="https://en.wikipedia.org/wiki/2012%E2%80%932013_Cypriot_financial_crisis"&gt;Chipre confiscó depósitos bancarios&lt;/a&gt; durante su crisis financiera y &lt;a href="https://en.wikipedia.org/wiki/Capital_controls_in_Greece"&gt;Grecia impuso controles de capital&lt;/a&gt; que impedían a los ciudadanos retirar su propio dinero. &lt;a href="https://en.wikipedia.org/wiki/Lebanese_liquidity_crisis"&gt;El sistema bancario del Líbano colapsó&lt;/a&gt;, atrapando los ahorros detrás de límites de retiro que han durado años. &lt;a href="https://en.wikipedia.org/wiki/2018%E2%80%93present_Argentine_monetary_crisis"&gt;Argentina atravesó repetidas crisis monetarias&lt;/a&gt; con una regularidad preocupante. &lt;a href="https://www.cbn.gov.ng/out/2013/fprd/circular%20to%20all%20banks%20and%20other%20financial%20institutions-us$10,000.pdf"&gt;Nigeria restringió el acceso a divisas extranjeras&lt;/a&gt;. &lt;a href="https://www.reuters.com/markets/asia/china-steps-up-scrutiny-capital-flows-yuan-depreciates-2025-02-27/"&gt;China endureció los controles contra la fuga de capitales&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;Existe un patrón constante: cuando los gobiernos enfrentan presión fiscal, recurren a controles financieros. La economía nacional y los bancos centrales permiten que las cuentas bancarias sean congeladas, los retiros limitados, las transferencias bloqueadas y los activos confiscados. Por lo tanto, la cuestión pasa a ser qué activos pueden ser confiscados y cuáles no.&lt;/p&gt;
&lt;p&gt;Históricamente, el oro ha servido como protección frente a escenarios de incertidumbre fiscal. Es difícil de confiscar a gran escala, complicado de rastrear y conserva valor incluso durante cambios de régimen. Sin embargo, el oro tiene una experiencia de uso muy deficiente en el mundo moderno, ya que debe adquirirse físicamente, verificarse su autenticidad, almacenarse de forma segura y transportarse, lo cual implica un alto riesgo. Esa fricción limita su utilidad como reserva de valor práctica para la mayoría de las personas.&lt;/p&gt;
&lt;p&gt;Bitcoin se suponía que sería el oro digital. En ciertos aspectos, podría decirse que lo es. Sin embargo, su transparencia crea una vulnerabilidad diferente. Si todas tus transacciones son visibles en un registro público, el Estado puede identificar fácilmente tus tenencias, rastrear tus movimientos y ejercer presión a través de canales legales. La transparencia que hace que Bitcoin no requiera confianza en intermediarios también lo hace vulnerable a ser objetivo de control.&lt;/p&gt;
&lt;h4 id="el-efecto-de-trinquete-de-la-vigilancia"&gt;El Efecto de Trinquete de la Vigilancia&lt;/h4&gt;
&lt;p&gt;Las capacidades de vigilancia solo se mueven en una dirección: expansión.&lt;/p&gt;
&lt;p&gt;Los gobiernos acumulan datos, construyen sistemas, contratan analistas y desarrollan nuevas técnicas de análisis. También pueden compartir información entre agencias e incluso entre fronteras. La infraestructura de vigilancia, una vez construida, no se desmantela; sino que se mejora.&lt;/p&gt;
&lt;p&gt;La IA acelerará drásticamente estos avances. El reconocimiento de patrones, que antes requería equipos de analistas, ahora puede automatizarse. Los metadatos, que antes estaban aislados en distintos sistemas, ahora pueden correlacionarse a escala. El análisis de comportamiento, que antes tomaba meses, ahora puede realizarse en tiempo real. El costo de vigilar a cada persona tiende a acercarse a cero. El único límite es la cantidad de datos disponibles para analizar.&lt;/p&gt;
&lt;p&gt;En blockchains transparentes, esos datos lo son todo. Literalmente cada transacción que has realizado queda preservada permanentemente, esperando herramientas de análisis más avanzadas. La blockchain no olvida, y tampoco lo hacen los adversarios que extraen información de ella.&lt;/p&gt;
&lt;p&gt;Lo que haces hoy será analizado con las herramientas del mañana. Las transacciones que hoy parecen anónimas podrían ser fácilmente rastreables dentro de cinco años. Los patrones que hoy parecen ocultos entre el ruido podrían convertirse en señales evidentes cuando los algoritmos mejoren. Por eso, las decisiones que tomes en 2026 deben considerar el estado de la privacidad y de las tecnologías de análisis en 2030.&lt;/p&gt;
&lt;h4 id="el-precedente-que-debemos-recordar"&gt;El Precedente que Debemos Recordar&lt;/h4&gt;
&lt;p&gt;Una de las herramientas más efectivas del control autoritario es la divulgación obligatoria. No comienza con la confiscación, sino con la recopilación de información. Registra tu religión. Declara tus activos. Reporta tus asociaciones. Aunque estos requisitos se presentan como procedimientos administrativos y burocráticos, a menudo preceden a algo peor.&lt;/p&gt;
&lt;p&gt;Una vez que la divulgación se vuelve obligatoria, las poblaciones pueden segmentarse, y los grupos pueden identificarse, analizarse y evaluarse. ¿Siguen una religión que desaprobamos? ¿Pertenecen a asociaciones que consideramos amenazantes? ¿Poseen activos que podríamos querer? La separación y la distinción preceden a la persecución; es una vez que los datos existen cuando las acciones específicas se vuelven posibles.&lt;/p&gt;
&lt;p&gt;El control autoritario ha ocurrido dentro de la memoria de personas que aún viven, e incluso sucedió sin las ventajas de escala que proporciona la tecnología moderna. Los nazis utilizaban registros en papel y archivadores. Hoy en día, nuestras herramientas digitales permiten identificar y seleccionar a la gente sin realizar ningún esfuerzo.&lt;/p&gt;
&lt;p&gt;Poseer activos privados es rechazar estas amenazas; es negar la premisa de que tu vida financiera debe ser legible para el poder. Es adoptar una postura contra una filosofía que ha demostrado ser catastrófica cuando se implementa.&lt;/p&gt;
&lt;p&gt;La vigilancia impulsada por IA sigue expandiéndose constantemente. La instrumentalización de los sistemas legales contra grupos desfavorecidos está aumentando. Los controles de capital se están volviendo más comunes a medida que aumentan las presiones fiscales. La confiscación por motivos políticos ya no es algo impensable incluso en democracias desarrolladas.&lt;/p&gt;
&lt;p&gt;La seguridad de tu riqueza no debería depender de quién gane las elecciones. Tus ahorros no deberían estar a una sola decisión política de ser confiscados. Tu privacidad financiera no debería depender de la buena voluntad continua de instituciones que han demostrado estar dispuestas a flexibilizar las reglas.&lt;/p&gt;
&lt;p&gt;En resumen, el argumento macroeconómico a favor de la privacidad es que cosas malas han ocurrido, están ocurriendo y seguirán ocurriendo. La pregunta es si estarás preparado para enfrentarlas cuando lleguen a tu puerta.&lt;/p&gt;
&lt;h3 id="55-el-punto-de-inflexión-en-la-historia"&gt;5.5 El Punto de Inflexión en la Historia&lt;/h3&gt;
&lt;p&gt;Estamos en un punto de bifurcación. La infraestructura del dinero se está reconstruyendo. Las decisiones que se tomen ahora determinarán lo que será posible en el futuro, y los caminos divergen de manera marcada.&lt;/p&gt;
&lt;h4 id="dinero-de-vigilancia"&gt;Dinero de Vigilancia&lt;/h4&gt;
&lt;p&gt;Un camino conduce a la visibilidad financiera total, donde cada transacción queda registrada, cada donación es analizada y cada compra contribuye a construir un perfil. Este resultado es la trayectoria del sistema actual.&lt;/p&gt;
&lt;p&gt;Las monedas digitales de bancos centrales (CBDC) ya están siendo probadas en todo el mundo. Por ejemplo, &lt;a href="https://en.wikipedia.org/wiki/Digital_renminbi"&gt;el yuan digital de China&lt;/a&gt; ya se encuentra implementado a gran escala, &lt;a href="https://en.wikipedia.org/wiki/Digital_euro"&gt;el Banco Central Europeo está desarrollando el euro digital&lt;/a&gt;, y &lt;a href="https://www.federalreserve.gov/cbdc-faqs.htm"&gt;la Reserva Federal ha estudiado un dólar digital&lt;/a&gt;. Es importante señalar que estos sistemas están diseñados para habilitar la vigilancia, no para preservar la privacidad. El objetivo es aumentar la visibilidad: quién gastó qué, dónde, cuándo y con quién.&lt;/p&gt;
&lt;p&gt;El dinero programable amplía aún más la lógica del control fiscal. Puede introducir fechas de expiración en la moneda que obliguen a gastar, restricciones sobre qué tipos de bienes pueden comprarse, sistemas de crédito social en los que el acceso financiero depende de puntuaciones de comportamiento, y pagos de estímulo que solo pueden utilizarse con proveedores aprobados. Nada de esto requiere teorías conspirativas; solo requiere que la infraestructura exista y que aparezcan los incentivos para utilizarla.&lt;/p&gt;
&lt;p&gt;Las blockchains transparentes ya cumplen la parte de infraestructura, proporcionando vigilancia financiera sin la necesidad de construir CBDC. Los gobiernos no necesitan emitir una moneda digital cuando los ciudadanos registran voluntariamente sus transacciones en registros públicos. El resultado es el mismo: un panóptico, donde la actividad económica es legible para cualquiera que tenga las herramientas para analizarla.&lt;/p&gt;
&lt;p&gt;El camino hacia la visibilidad financiera total termina con el dinero como instrumento de control. Ya no sería una herramienta de coordinación voluntaria, sino un mecanismo de gestión social. Si gastas &amp;ldquo;correctamente&amp;rdquo;, te dejan en paz. Si gastas &amp;ldquo;incorrectamente&amp;rdquo;, puedes ser marcado, restringido o bloqueado. La libertad de realizar transacciones se convierte entonces en un privilegio otorgado por el &amp;ldquo;Gran Hermano&amp;rdquo;.&lt;/p&gt;
&lt;h4 id="dinero-de-libertad"&gt;Dinero de Libertad&lt;/h4&gt;
&lt;p&gt;El otro camino conduce a un dinero que no puede ser vigilado, censurado ni controlado. Las transacciones son privadas por defecto, y los saldos de las cuentas solo son visibles para sus propietarios, lo que hace que la actividad económica sea comprensible para los participantes pero opaca para los observadores externos.&lt;/p&gt;
&lt;p&gt;Es importante señalar que este camino no conduce a la anarquía, entendida como una situación sin reglas. El resultado de este camino sí tiene reglas, pero reglas que son aplicadas por las matemáticas en lugar de por instituciones. No es posible gastar dos veces el mismo dinero porque la criptografía lo impide. No es posible inflar la oferta monetaria porque el protocolo lo prohíbe. Tampoco es posible falsificar transacciones, ya que no se tiene acceso a las claves necesarias. Las reglas están integradas en el propio sistema, aplicadas por los nodos de la red en lugar de por los gobiernos, y, lo más importante, son inmunes a modificaciones arbitrarias.&lt;/p&gt;
&lt;p&gt;En este futuro, los mercados funcionan sin el efecto distorsionador de la observación constante. La coordinación entre grupos sigue siendo posible sin la influencia de la vigilancia. Las organizaciones disidentes pueden existir porque el apoyo financiero no puede rastrearse. La innovación continúa siendo posible porque la experimentación no puede ser monitoreada. De este modo, se preservan las condiciones para el progreso descritas en la sección 5.1.&lt;/p&gt;
&lt;h4 id="el-precedente-de-la-encriptación"&gt;El Precedente de la Encriptación&lt;/h4&gt;
&lt;p&gt;Aún hay razones para creer que el camino de la libertad no está cerrado.&lt;/p&gt;
&lt;p&gt;En la década de 1990, el gobierno de Estados Unidos intentó prohibir la fuerte encriptación. La NSA y el FBI argumentaban que las comunicaciones encriptadas favorecerían a criminales y terroristas, y promovieron sistemas de custodia de claves que permitirían al gobierno tener acceso mediante puertas traseras. Estas agencias federales clasificaron el software de encriptación como munición, lo que hacía que su exportación fuera ilegal.&lt;/p&gt;
&lt;p&gt;Los cypherpunks se opusieron a estas medidas y finalmente las derrotaron, pero el encriptado se difundió de todos modos. Los investigadores publicaron algoritmos, los desarrolladores lanzaron software, y Internet adoptó TLS. Hoy en día, la encriptación no solo es legal, sino obligatorio. HTTPS es necesario para la banca, el comercio y la comunicación. El mismo gobierno que una vez intentó prohibir la encriptación ahora lo exige para proteger a los ciudadanos.&lt;/p&gt;
&lt;p&gt;La transición de &amp;ldquo;la encriptación es peligrosa&amp;rdquo; a &amp;ldquo;la encriptación es necesaria&amp;rdquo; tomó aproximadamente dos décadas. Es muy probable que el dinero privado siga esta trayectoria. Actualmente, la privacidad financiera suele tratarse con sospecha: los reguladores la consideran una herramienta para criminales, y los marcos de cumplimiento asumen la transparencia como norma por defecto. Sin embargo, los argumentos a favor de la privacidad en las comunicaciones, que hoy se consideran legítimos e importantes, también se aplican a la privacidad financiera: las personas necesitan protección frente a la vigilancia, el comercio requiere confidencialidad y la alternativa es un mundo donde los mecanismos de control están en todas partes.&lt;/p&gt;
&lt;p&gt;Zcash es legal en Estados Unidos e incluso se negocia en plataforma de cambios reguladas. Ha operado durante casi una década sin ser prohibido. Esto no es un accidente. Refleja la misma lógica legal y política que protegió la encriptación: el derecho a usar herramientas criptográficas es defendible, y los beneficios de la privacidad van mucho más allá de quienes podrían abusar de ella.&lt;/p&gt;
&lt;h4 id="la-elección"&gt;La Elección&lt;/h4&gt;
&lt;p&gt;Estos caminos son mutuamente excluyentes: no se puede tener dinero de vigilancia y dinero de libertad al mismo tiempo. Tampoco se puede tener privacidad financiera y monitoreo universal de transacciones. La infraestructura que se está construyendo actualmente determinará en qué mundo viviremos.&lt;/p&gt;
&lt;p&gt;Elegir proteger tus transacciones no es solo una decisión financiera personal, sino también un voto por el tipo de futuro que queremos construir. Tus decisiones revelan tus preferencias, ya que cada transacción en el pool protegido fortalece la red, y cada usuario que adopta dinero privado lo vuelve más viable. La tecnología ya existe; ahora debemos decidir usarla.&lt;/p&gt;
&lt;p&gt;El dinero de vigilancia conduce a un futuro donde la libertad económica es un permiso concedido por quienes tienen el poder. El dinero de libertad conduce a un mundo donde la libertad económica es fundamental y está garantizada por las matemáticas. ¿Cuál escoger?&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/northern-rock.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Colas de depositantes frente a Northern Rock, septiembre de 2007. La primera retirada masiva de depósitos en un banco británico en 150 años..&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="6-evolución-y-economía"&gt;6. Evolución y Economía&lt;/h2&gt;
&lt;h3 id="61-generaciones-del-protocolo"&gt;6.1 Generaciones del Protocolo&lt;/h3&gt;
&lt;p&gt;Zcash ha actualizado su criptografía central dos veces desde su lanzamiento, y con cada generación llegaron mejor rendimiento, mayor seguridad y menos supuestos de confianza. El protocolo actual es sustancialmente mejor que el de 2016.&lt;/p&gt;
&lt;h4 id="sprout-2016"&gt;Sprout (2016)&lt;/h4&gt;
&lt;p&gt;El primer pool protegido demostró que una criptomoneda privada era posible, ya que por primera vez una red en producción ofrecía privacidad criptográfica respaldada por pruebas de conocimiento cero.&lt;/p&gt;
&lt;p&gt;Sprout era básicamente un prototipo presentado como si fuera un sistema de producción. Crear una transacción protegida requería aproximadamente 40 segundos de cálculo y varios gigabytes de RAM. Sprout no podía usarse en teléfonos y apenas era usable en laptops. Por esta razón, la mayoría de las transacciones seguían siendo transparentes, simplemente porque protegerlas era demasiado costoso.&lt;/p&gt;
&lt;p&gt;Sprout también requería una ceremonia de configuración de confianza, en la que seis participantes generaban los parámetros iniciales, cada uno tomando precauciones elaboradas para destruir sus contribuciones secretas. La ceremonia funcionó, pero dejó una pregunta incómoda: ¿Qué pasaría si alguien hubiera conservado en secreto los desechos tóxicos?&lt;/p&gt;
&lt;h4 id="sapling-2018"&gt;Sapling (2018)&lt;/h4&gt;
&lt;p&gt;Dos años después, Sapling reemplazó la criptografía de Sprout por una mucho más eficiente. El tiempo necesario para generar las pruebas se redujo de cuarenta segundos a solo unos pocos segundos. Los requisitos de memoria bajaron a unas pocas decenas de megabytes, y las transacciones protegidas se volvieron prácticas en dispositivos móviles por primera vez.&lt;/p&gt;
&lt;p&gt;Sapling también introdujo funciones que hicieron la privacidad más usable. Por ejemplo, las claves de visualización permiten a los usuarios compartir acceso de lectura a su historial de transacciones sin revelar la autoridad para gastar los fondos. Además, las direcciones diversificadas permiten que una sola billetera genere miles de millones de direcciones de recepción no vinculables entre sí.&lt;/p&gt;
&lt;p&gt;Es importante destacar que la configuración de confianza se mantuvo. Se realizó una nueva ceremonia llamada Powers of Tau, en la que participaron cientos de personas durante varios meses, seguida de una fase específica para Sapling. La ceremonia más grande aumentó la confianza en el proceso, pero el modelo de confianza seguía siendo el mismo: creer que al menos uno de los participantes fue honesto.&lt;/p&gt;
&lt;h4 id="orchard-2022"&gt;Orchard (2022)&lt;/h4&gt;
&lt;p&gt;Orchard reemplazó todo el sistema de pruebas. Está construido sobre el sistema de pruebas Halo 2, y no requiere una configuración de confianza ni una ceremonia de generación de parámetros. Por lo tanto, no existen desechos tóxicos ni supuestos de confianza sobre eventos que ocurrieron años atrás.&lt;/p&gt;
&lt;p&gt;El rendimiento de Orchard es comparable al de Sapling, aunque con pruebas ligeramente más grandes y sin requisitos de configuración inicial. La criptografía también está estructurada de manera diferente, utilizando un nuevo ciclo de curvas (Pallas y Vesta) diseñado específicamente para pruebas recursivas.&lt;/p&gt;
&lt;p&gt;Orchard es el conjunto protegido que Zcash siempre estuvo destinado a tener. Las generaciones anteriores representaban la mejor tecnología disponible en su momento; Orchard es lo que se volvió posible cuando la investigación finalmente alcanzó la visión.&lt;/p&gt;
&lt;h4 id="hoy-en-día"&gt;Hoy en día&lt;/h4&gt;
&lt;p&gt;Orchard es el estándar por defecto para las nuevas transacciones protegidas. Algunas billeteras, como Zashi, dirigen automáticamente a los usuarios hacia Orchard y protegen automáticamente los fondos transparentes antes de gastarlos.&lt;/p&gt;
&lt;p&gt;Sapling sigue recibiendo soporte, pero se está descartando progresivamente. Cumplió su función como puente entre el prototipo y un sistema listo para producción, pero Orchard es el destino final.&lt;/p&gt;
&lt;p&gt;Sprout ya ha sido descontinuado. Aunque el conjunto aún existe en la blockchain, las billeteras ya no crean nuevas transacciones Sprout, y se recomienda a los aquellos usuarios con fondos allí, que los migren.&lt;/p&gt;
&lt;h3 id="62-torniquetes"&gt;6.2 Torniquetes&lt;/h3&gt;
&lt;p&gt;La privacidad crea un problema de auditoría. En una blockchain transparente, puedes contar cada moneda. La oferta total es simplemente la suma de todos los saldos, y cualquiera puede verla. Si un error permitiera crear monedas de la nada, el aumento del total sería visible.&lt;/p&gt;
&lt;p&gt;Los pools protegidos ocultan los saldos. No puedes sumar lo que todos poseen, porque no puedes ver lo que posee nadie. Entonces, si monedas falsificadas entraran en un pool protegido, ¿cómo se sabría?&lt;/p&gt;
&lt;p&gt;La respuesta es: los torniquetes.&lt;/p&gt;
&lt;h4 id="el-mecanismo"&gt;El Mecanismo&lt;/h4&gt;
&lt;p&gt;Cada pool protegido tiene su propio torniquete, es decir, un registro acumulado del ZEC que ha entrado y salido del pool. Cuando las monedas se mueven del pool transparente a uno protegido, el torniquete registra el depósito. Cuando las monedas salen nuevamente hacia el conjunto transparente, el torniquete registra el retiro.&lt;/p&gt;
&lt;p&gt;La lógica es simple. Si el torniquete muestra que 1 millón de ZEC han entrado en el conjunto y 800 000 ZEC han salido, entonces como máximo quedan 200 000 ZEC dentro. Si alguien intenta retirar 300 000 ZEC, algo está mal, la criptografía falló o alguien está intentando cometer fraude.&lt;/p&gt;
&lt;p&gt;Los torniquetes no evitan la falsificación, sino que la detectan. Más precisamente, detectan cualquier intento de retirar monedas falsificadas. Es posible crear ZEC falsos dentro de un pool protegido (si alguien lograra romper la compleja criptografía), pero no podría gastar esas monedas en el pool transparente sin que se detecte la discrepancia.&lt;/p&gt;
&lt;h4 id="el-error-de-sprout"&gt;El Error de Sprout&lt;/h4&gt;
&lt;p&gt;En 2018, se descubrió una vulnerabilidad en la criptografía de Sprout. Se trataba de un fallo en el sistema de pruebas que podría haber permitido a un atacante crear monedas dentro del pool protegido sin ser detectado.&lt;/p&gt;
&lt;p&gt;El error fue descubierto por el equipo de Zcash durante una auditoría de seguridad y corregido antes de que ocurriera cualquier explotación. Sin embargo, este episodio demostró la importancia de los torniquetes.&lt;/p&gt;
&lt;p&gt;Si un atacante hubiera explotado el error, habría podido crear cantidades arbitrarias de ZEC dentro de Sprout, pero no habría podido extraer esas monedas de forma silenciosa. En el momento en que intentara mover ZEC falsificados hacia el pool transparente o hacia otro pool protegido, las cuentas del torniquete dejarían de cuadrar, y los auditores verían que habían salido más ZEC de Sprout de los que habían entrado.&lt;/p&gt;
&lt;p&gt;Los torniquetes limitarían eficazmente el alcance del daño en caso de ataque, ya que incluso un fallo criptográfico catastrófico no produciría inflación indetectable. El daño estaría limitado por la capacidad del pool, y cualquier intento de convertir ese valor falsificado en monedas utilizables activaría las alarmas.&lt;/p&gt;
&lt;h3 id="63-financiamiento-del-desarrollo"&gt;6.3 Financiamiento del Desarrollo&lt;/h3&gt;
&lt;p&gt;Cuando Zcash se lanzó, tomó una decisión controversial: financiar el desarrollo directamente a nivel del protocolo. En lugar de depender de donaciones o del patrocinio de empresas, una parte de cada recompensa de bloque se destina directamente a organizaciones de desarrollo.&lt;/p&gt;
&lt;h4 id="recompensa-de-los-fundadores-20162020"&gt;Recompensa de los Fundadores (2016–2020)&lt;/h4&gt;
&lt;p&gt;Durante los primeros cuatro años, el 20 % de todas las recompensas de bloque se destinó a los fundadores, inversionistas iniciales, empleados y a la Fundación Zcash, mediante lo que se llamó la Recompensa de los Fundadores.&lt;/p&gt;
&lt;p&gt;Esta decisión siguió siendo controversial, a pesar de que el acuerdo fue divulgado antes del lanzamiento, y de que cualquier persona que minara o comprara ZEC conocía los términos. Por un lado, los críticos lo veían como un impuesto a los mineros y una ganancia extraordinaria para personas con información privilegiada. Por otro lado, los partidarios lo consideraban una financiación necesaria para un proyecto que requería años de investigación criptográfica continua.&lt;/p&gt;
&lt;p&gt;La Recompensa de los Fundadores terminó con el primer halving en noviembre de 2020, y cada beneficiario recibió exactamente lo que se había prometido. Actualmente, los fundadores ya no reciben recompensas del protocolo.&lt;/p&gt;
&lt;h4 id="fondo-de-desarrollo-2020-2024"&gt;Fondo de Desarrollo (2020-2024)&lt;/h4&gt;
&lt;p&gt;Antes de que la Recompensa de los Fundadores expirara, la comunidad debatió qué debía venir después. El resultado fue el Fondo de Desarrollo, una continuación de la asignación del 20 %, pero con una estructura diferente.&lt;/p&gt;
&lt;p&gt;La nueva distribución dirigía: 7 % de las recompensas de bloque a Electric Coin Company (el equipo principal de desarrollo), 5 % a la Zcash Foundation (infraestructura y gobernanza), 8 % a subvenciones comunitarias administradas por un comité independiente. Los fundadores y los inversionistas iniciales fueron eliminados de este flujo de financiamiento.&lt;/p&gt;
&lt;p&gt;El Fondo de Desarrollo funcionó entre el primer halving y el segundo halving, en noviembre de 2024.&lt;/p&gt;
&lt;h4 id="fondo-de-desarrollo-extendido-2024-2025"&gt;Fondo de Desarrollo Extendido (2024-2025)&lt;/h4&gt;
&lt;p&gt;A medida que se acercaba el segundo halving, la comunidad volvió a votar sobre la asignación y decidió extender el Fondo de Desarrollo con algunas modificaciones.&lt;/p&gt;
&lt;p&gt;El financiamiento para el desarrollo continúa siendo del 20 % de las recompensas de bloque, pero ahora una parte se dirige a una &amp;ldquo;caja fuerte&amp;rdquo; controlada por mecanismos de gobernanza futuros, en lugar de organizaciones existentes. La intención es descentralizar gradualmente las decisiones de financiamiento, permitiendo que los poseedores de tokens tengan una influencia más directa sobre cómo se gasta el dinero destinado al desarrollo.&lt;/p&gt;
&lt;h3 id="64-gobernanza-descentralizada"&gt;6.4 Gobernanza Descentralizada&lt;/h3&gt;
&lt;p&gt;Ninguna entidad controla Zcash de manera absoluta. El desarrollo, la infraestructura y la gobernanza están distribuidos entre organizaciones independientes con diferentes jurisdicciones, fuentes de financiamiento y mandatos.&lt;/p&gt;
&lt;h4 id="las-organizaciones"&gt;Las Organizaciones&lt;/h4&gt;
&lt;p&gt;Electric Coin Company (ECC)
es el equipo principal de desarrollo del protocolo. Mantiene la implementación del nodo de referencia, desarrolla la billetera Zashi y lidera la investigación central. ECC es una subsidiaria del Bootstrap Project, una organización sin fines de lucro 501(c)(3) con sede en Estados Unidos.&lt;/p&gt;
&lt;p&gt;Zcash Foundation maneja infraestructura, programas comunitarios y subvenciones. El equipo de la fundación desarrolló Zebra, una implementación independiente del nodo escrita en Rust, garantizando que la red no dependa de un solo código base. Es también una organización sin fines de lucro 501(c)(3) en EE. UU., operativamente independiente de ECC.&lt;/p&gt;
&lt;p&gt;Shielded Labs se centra en investigación a largo plazo y desarrollo del ecosistema. Con sede en Suiza y financiada mediante donaciones, en lugar de recompensas del protocolo, aporta diversidad geográfica y estructural a la base de contribuyentes.&lt;/p&gt;
&lt;p&gt;Tachyon: Liderado por el criptógrafo Sean Bowe, está construyendo la infraestructura para escalar Zcash. Bowe fue el arquitecto de Halo 2 y gran parte de la criptografía central de Zcash. Tachyon busca habilitar transacciones privadas globales mediante innovaciones en cómo las carteras sincronizan con la red sin filtrar información a los servidores.&lt;/p&gt;
&lt;p&gt;Estas cuatro organizaciones colaboran pero no están obligadas a rendir cuentas entre sí. Pueden discrepar, y a veces lo hacen. La diversidad de objetivos y perspectivas es una característica clave que previene la captura y asegura que múltiples perspectivas informen las decisiones del protocolo.&lt;/p&gt;
&lt;h4 id="el-proceso-zip"&gt;El Proceso ZIP&lt;/h4&gt;
&lt;p&gt;Los cambios en el protocolo siguen el proceso de Zcash Proceso Mejorado (ZIP), lo que significa que cualquier persona puede proponer un cambio. Las propuestas se debatieron públicamente, se refinan mediante retroalimentación de la comunidad, y se aceptan o rechazan en función del mérito técnico y del consenso comunitario.&lt;/p&gt;
&lt;p&gt;Las decisiones más importantes omiten el proceso ZIP y se resuelven mediante votaciones a nivel comunitario. Por ejemplo, las extensiones del Fondo de Desarrollo en 2020 y 2024 involucraron amplias deliberaciones públicas y recopilación de opiniones antes de su implementación. Se tomaron en cuenta las opiniones de poseedores de tokens, mineros y miembros de la comunidad.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/enigma.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;La máquina Enigma, utilizada por la Alemania nazi para encriptar las comunicaciones militares durante la Segunda Guerra Mundial. Los operadores cambiaban la configuración diariamente, produciendo mensajes que parecían un conjunto aleatorio de caracteres sin sentido para los interceptores.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="7-zcash-vs-"&gt;7. Zcash vs. …&lt;/h2&gt;
&lt;p&gt;La privacidad proviene del valor en reposo, no del valor en movimiento.&lt;/p&gt;
&lt;p&gt;Este principio explica por qué la mayoría de las soluciones de privacidad fallan y por qué la encriptación en la capa base es la única arquitectura que realmente funciona. Una vez que se entiende esto, el panorama de las tecnologías de privacidad se vuelve mucho más claro.&lt;/p&gt;
&lt;h3 id="71-tornado-cash-y-mixers"&gt;7.1 Tornado Cash y Mixers&lt;/h3&gt;
&lt;p&gt;Consideremos lo que ocurre cuando se usa un mixer. Depositas fondos, esperas un cierto tiempo y luego los retiras a una dirección nueva. El objetivo es romper el vínculo entre la entrada y la salida, pero tanto el depósito como el retiro siguen siendo visibles. Un observador puede ver cuándo los fondos entran y cuándo salen. El mixer intenta ocultar qué entrada corresponde a qué salida, pero eso no garantiza privacidad.&lt;/p&gt;
&lt;p&gt;En realidad, lo que hace es añadir privacidad al valor en movimiento, lo cual falla por una razón fundamental: los puntos de entrada y salida filtran información.&lt;/p&gt;
&lt;p&gt;El depósito revela el momento y la cantidad. El retiro también revela el momento y la cantidad. Si esos datos se correlacionan, la privacidad se rompe. Por ejemplo: Si depositas 1.5 ETH y alguien retira 1.5 ETH una hora después la conexión puede volverse evidente. Los mixers intentan resolver esto utilizando denominaciones fijas y retrasos, pero la filtración de información sigue existiendo. Con suficiente información y análisis sofisticado, las correlaciones inevitablemente aparecen.&lt;/p&gt;
&lt;p&gt;La IA empeora estos riesgos. El reconocimiento de patrones que antes era impráctico ahora puede resolverse fácilmente mediante: análisis de tiempo, agrupación por montos, patrones de comportamiento. Cada mixer se convierte así en un rompecabezas esperando a que los algoritmos encuentren la forma de resolverlo.&lt;/p&gt;
&lt;p&gt;La única forma de separar realmente las transacciones entrantes y salientes es separarlas tanto en el tiempo como en el valor. La transacción entrante no debe causar la transacción saliente. Los montos y el momento de las transacciones deben estar no relacionados.&lt;/p&gt;
&lt;p&gt;Por lo tanto, un sistema privado funciona como un verdadero depósito de valor. El dinero entra, permanece allí, pasa el tiempo, la vida continúa, hasta que finalmente salen montos no relacionados por razones no relacionadas. El depósito y el retiro no son dos partes de una misma operación, sino eventos independientes separados por meses o años de almacenamiento real.&lt;/p&gt;
&lt;p&gt;En teoría, podrías hacer esto con un mixer como Tornado Cash y dejar los fondos en el pool indefinidamente, pero esto es poco práctico porque no puedes hacer nada con esos fondos mientras permanecen allí.&lt;/p&gt;
&lt;p&gt;Además, Tornado tiene pools de denominaciones fijas, por lo que no puedes enviar cantidades arbitrarias dentro del pool, no puedes transferir de una posición de Tornado a otra, ni usarlo para pagar a alguien o interactuar con alguna aplicación. Para utilizar tus fondos en cualquier cosa, debes retirarlos a una dirección transparente de Ethereum, exponiéndote nuevamente a la capa de vigilancia.&lt;/p&gt;
&lt;p&gt;Zcash es diferente. Las transferencias protegidas entre direcciones protegidas son nativas, por lo que puedes recibir fondos, conservarlos, gastar cantidades arbitrarias, recibir cambio y volver a transaccionar, todo sin tocar nunca la capa transparente. Incluso es posible conectar desde el pool protegido a otras cadenas mediante Near Intents, pagando en ZEC protegido mientras el destinatario recibe el activo que desee. El pool protegido no es una sala de espera, es un sistema monetario completamente funcional.&lt;/p&gt;
&lt;p&gt;Esta es la distinción arquitectónica que realmente importa. Los mixers son vías de escape de sistemas transparentes: los visitas, esperas y te vas.
El pool protegido de Zcash es un destino: puedes vivir allí.&lt;/p&gt;
&lt;h3 id="72-monero"&gt;7.2 Monero&lt;/h3&gt;
&lt;p&gt;Monero es la criptomoneda de privacidad más utilizada después de Zcash. Representa un enfoque fundamentalmente diferente para el problema de la filtración de información, y al entender por qué su enfoque falla, podemos aclarar por qué el enfoque de Zcash funciona.&lt;/p&gt;
&lt;p&gt;El enfoque de Monero consiste en utilizar firmas de anillo. Cuando gastas fondos, tu transacción incluye tu entrada real más 15 señuelos tomados de la blockchain. Un observador ve 16 posibles remitentes y no puede determinar cuál es el real.&lt;/p&gt;
&lt;p&gt;Esto suena convincente: dieciséis posibilidades por transacción. El gasto real queda oculto entre muchos falsos. En realidad, esto significa que la privacidad es probabilística, no criptográfica.&lt;/p&gt;
&lt;p&gt;Las agencias de aplicación de la ley han logrado rastrear transacciones de Monero. Incluso existe &lt;a href="https://cointelegraph.com/news/monero-transactions-japanese-authorities-arrest-18-scammers"&gt;un caso documentado en el que la policía japonesa analizó transacciones de Monero&lt;/a&gt; para identificar y arrestar a dieciocho presuntos estafadores.&lt;/p&gt;
&lt;p&gt;El problema fundamental es el conjunto de anonimato. Cada transacción de Monero se oculta entre 16 salidas, mientras que cada transacción protegida de Zcash se oculta entre todas las notas que alguna vez se han creado en el pool. Existen millones de estas notas, por lo que la privacidad que ofrece Zcash no es solo ligeramente superior, sino categóricamente superior.&lt;/p&gt;
&lt;p&gt;Dieciséis es un número pequeño, definitivamente lo suficientemente pequeño como para ser atacado probabilísticamente, especialmente ahora que el análisis de tiempo, los patrones de montos y las heurísticas de comportamiento pueden reducir el conjunto de candidatos. Es decir, dieciséis es lo suficientemente pequeño como para que, con suficiente capacidad de cómputo y datos, eventualmente pueda ser descifrado.&lt;/p&gt;
&lt;p&gt;No existe ningún ataque probabilístico que funcione contra un conjunto de privacidad compuesto por millones de notas. Es imposible reducir los candidatos mediante eliminación, porque no se elimina nada. La nota que gastaste permanece indistinguible de millones de otras para siempre.&lt;/p&gt;
&lt;p&gt;Los desarrolladores de Monero comprenden esta limitación, y existe investigación activa para reemplazar las firmas de anillo con pruebas de conocimiento cero. En la práctica, esto significa que planean adoptar el enfoque de Zcash, lo cual es un reconocimiento implícito de que la privacidad basada en señuelos tiene un límite.&lt;/p&gt;
&lt;p&gt;La diferencia es simple: Monero ofusca, Zcash encripta. La ofuscación se degrada con el tiempo a medida que mejoran las técnicas de análisis, mientras que la encriptación no.&lt;/p&gt;
&lt;p&gt;Además de sus debilidades técnicas, Monero también carga con un peso cultural. La comunidad ha aceptado una asociación con usos ilícitos, lo que hace que su adopción institucional sea casi imposible. Esta es parte de la razón por la cual Monero ha sido retirado de prácticamente todos los grandes intercambios, mientras que Zcash sigue disponible en plataformas como Coinbase, Gemini y otras. La tecnología de privacidad necesita un camino hacia la legitimidad, y Monero ha hecho ese camino más difícil de lo necesario.&lt;/p&gt;
&lt;h3 id="73-pools-de-privacidad"&gt;7.3 Pools de privacidad&lt;/h3&gt;
&lt;p&gt;Los pools de privacidad presentan un enfoque diferente para las soluciones de privacidad. En lugar de ocultarse entre señuelos aleatorios o encriptar todo, permiten que los usuarios demuestren que no están asociados con actores maliciosos conocidos. Puedes retirar fondos de un pool demostrando que no provienen de direcciones sancionadas ni de transacciones marcadas.&lt;/p&gt;
&lt;p&gt;El diseño es ingenioso. Los conjuntos de asociación te permiten definir con quién estás dispuesto a ser agrupado. De esta manera, pruebas que perteneces a un conjunto “limpio” sin revelar qué depósito específico es el tuyo. Así, los reguladores reciben la garantía de que los fondos no están contaminados, y los usuarios conservan cierto nivel de privacidad. En apariencia, todos quedan satisfechos.&lt;/p&gt;
&lt;p&gt;Excepto que esto invierte el principio del debido proceso.&lt;/p&gt;
&lt;p&gt;La premisa de los pools de privacidad es que debes demostrar tu inocencia. Es tu responsabilidad probar que tus fondos no están asociados con criminales, elegir un conjunto de usuarios “buenos” y proporcionar evidencia criptográfica de que perteneces a ese grupo. La suposición por defecto es la sospecha, y la carga de la prueba recae sobre ti.&lt;/p&gt;
&lt;p&gt;En los sistemas legales funcionales, no tienes que demostrar que no eres un criminal: la acusación debe demostrar que lo eres. Los pools de privacidad normalizan lo contrario: que eres culpable hasta que demuestres tu inocencia mediante los conjuntos de asociación aprobados.&lt;/p&gt;
&lt;p&gt;Las implicaciones son numerosas, ya que tu privacidad depende de lo que otros decidan revelar. Si los miembros de tu conjunto de asociación comienzan a demostrar su exclusión de ciertas actividades para limpiar sus propios nombres, los miembros restantes se vuelven más sospechosos. Existe una presión constante para demostrar más, revelar más y reducir aún más tu conjunto. El sistema genera efectos disuasorios por diseño.&lt;/p&gt;
&lt;p&gt;No existe &amp;ldquo;encriptación conforme&amp;rdquo; para la mensajería. Signal no te pide demostrar que no estás conversando con terroristas; simplemente acepta que la privacidad en las comunicaciones es un derecho, incluso si eso implica que también pueda beneficiar a criminales.&lt;/p&gt;
&lt;p&gt;No hay razón para que las finanzas deban ser diferentes. El argumento de que el dinero es algo especial o de que la privacidad financiera facilita de manera única el daño no resiste un análisis serio. Los criminales utilizan autos, teléfonos e internet, y aun así no exigimos pruebas de inocencia para conducir, llamar o navegar.&lt;/p&gt;
&lt;p&gt;Los pools de privacidad intentan encontrar un punto intermedio entre la vigilancia y la libertad. Ofrecen una privacidad condicionada al cumplimiento, que requiere demostrar que la mereces y que puede retirarse si no logras convencer a otros de tu inocencia.&lt;/p&gt;
&lt;p&gt;En esencia, es finanzas con permisos, pero con pasos adicionales.&lt;/p&gt;
&lt;h3 id="74-aztec-y-las-l2-privadas"&gt;7.4 Aztec y las L2 privadas&lt;/h3&gt;
&lt;p&gt;Las Capas 2 de Ethereum, cuando se complementan con funciones de privacidad, representan un trabajo de ingeniería serio. Proyectos como Aztec están construyendo rollups encriptados con criptografía sofisticada. La tecnología es sólida y el equipo es talentoso; esto no es una crítica a sus capacidades técnicas.&lt;/p&gt;
&lt;p&gt;Fundamentalmente, Aztec y Zcash están resolviendo problemas diferentes.&lt;/p&gt;
&lt;p&gt;Aztec es una plataforma de contratos inteligentes. Su propuesta de valor es la programabilidad privada: DeFi encriptado, cómputo confidencial y aplicaciones privadas. Esto es valioso porque permite casos de uso que Zcash no aborda. Si quieres interactuar con protocolos financieros complejos sin exponer tus posiciones, puedes usar una cadena de contratos inteligentes encriptada.&lt;/p&gt;
&lt;p&gt;Zcash es dinero. Su propuesta de valor es ser un depósito de valor privado y un medio de intercambio. La idea es clara: es esencialmente Bitcoin encriptado. Un lugar donde guardar riqueza de forma privada durante años o décadas, con la confianza de que el sistema seguirá existiendo y funcionando.&lt;/p&gt;
&lt;p&gt;Estos no son el mismo caso de uso, por lo que sus requisitos también son diferentes.&lt;/p&gt;
&lt;p&gt;Un depósito de valor necesita ser Lindy. Debe sostener años de operación bajo condiciones adversas, sobrevivir a ciclos de mercado, presión regulatoria y desafíos técnicos sin colapsar. Zcash ya ha construido casi una década de este historial. Aztec es nuevo, y aunque su criptografía pueda ser perfecta, el sistema aún no ha sido probado a lo largo del tiempo. Esto puede ser aceptable para aplicaciones experimentales, pero no para la seguridad de grandes reservas de riqueza.&lt;/p&gt;
&lt;p&gt;Un depósito de valor también necesita fuerza memética. Bitcoin tuvo éxito en parte porque &amp;ldquo;oro digital&amp;rdquo; es una narrativa poderosa que la gente entiende y cree. La idea de &amp;ldquo;Bitcoin encriptado&amp;rdquo; le da a Zcash un ancla similar, heredando las propiedades monetarias de Bitcoin mientras añade la privacidad que Bitcoin no tiene. Aztec no posee esa narrativa. Es simplemente una capa de infraestructura de privacidad, no una red monetaria.&lt;/p&gt;
&lt;p&gt;Más allá del diseño técnico, también existe una capa social. La comunidad de Zcash se formó alrededor de un compromiso compartido con la privacidad como principio no negociable, y durante casi una década ha resistido presiones legales, políticas y reputacionales para debilitar ese compromiso. En contraste, un sistema de Capa-2 hereda en última instancia las normas y limitaciones de gobernanza de su Capa-1. En el caso de Ethereum, no está claro si la comunidad en general defendería de manera consistente la encriptación fuerte y la privacidad de las transacciones frente a presiones regulatorias. Para un activo destinado a funcionar como depósito de valor a largo plazo, esa incertidumbre en sí misma constituye un riesgo.&lt;/p&gt;
&lt;p&gt;Es probable que Aztec y proyectos similares encuentren una demanda significativa para aplicaciones privadas, pero para el caso de uso central del dinero privado, un lugar donde la riqueza pueda descansar indefinidamente, cumplen un propósito diferente al de Zcash.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/samizdat.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Samizdat — ciudadanos soviéticos copiando y distribuyendo literatura prohibida a mano para evadir la censura estatal. Su posesión podía significar prisión.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="8-conceptos-erróneos"&gt;8. Conceptos erróneos&lt;/h2&gt;
&lt;h3 id="81-zcash-no-es-privado-por-defecto"&gt;8.1 &amp;ldquo;Zcash No Es Privado Por Defecto&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo confunde lo que históricamente ha sido el comportamiento predeterminado de las billeteras digitales con el diseño del protocolo.&lt;/p&gt;
&lt;p&gt;La idea errónea de que la privacidad no era el valor predeterminado surgió porque las primeras billeteras digitales utilizaban direcciones transparentes por defecto, principalmente por razones prácticas. En Sprout y Sapling, las transacciones protegidas eran computacionalmente costosas, y además los intercambios exigían depósitos transparentes. Por ello, el camino de menor resistencia solía ser utilizar direcciones transparentes.&lt;/p&gt;
&lt;p&gt;Ahora Orchard ha hecho que las transacciones protegidas sean mucho más eficientes, y billeteras digitales como Zashi aplican el blindaje por defecto, moviendo automáticamente cualquier fondo transparente al pool protegido antes de permitir que se gaste. De esta manera, la experiencia de usuario se ha vuelto centrada en la privacidad.&lt;/p&gt;
&lt;p&gt;La opción transparente sigue existiendo para casos de uso específicos, como: compatibilidad con intercambios, cumplimiento regulatorio, elección del usuario. Sin embargo, el camino predeterminado en el Zcash moderno es protegido de principio a fin.&lt;/p&gt;
&lt;h3 id="82-el-conjunto-de-anonimato-es-pequeño"&gt;8.2 &amp;ldquo;El Conjunto De Anonimato Es Pequeño&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo surge de confundir Zcash con sistemas basados en señuelos.&lt;/p&gt;
&lt;p&gt;Como vimos anteriormente, en Monero tu transacción se oculta entre un número fijo de señuelos. Si hay 16 posibles remitentes, entonces tu conjunto de anonimato es 16. Por ello, muchos críticos asumen que Zcash funciona de forma similar: si pocas personas utilizan el pool protegido, entonces tu transacción se ocultaría entre unas pocas más.&lt;/p&gt;
&lt;p&gt;Sin embargo, esto es incorrecto. Zcash no utiliza señuelos, sino pruebas de pertenencia a un árbol de Merkle.&lt;/p&gt;
&lt;p&gt;Cuando gastas una nota protegida, demuestras que existe en algún lugar del árbol de compromisos, el cual contiene todas las notas que se han creado, sin revelar cuál de ellas es. El verificador solo aprende que tu nota es una entre millones, no entre cientos o miles, dentro del árbol.&lt;/p&gt;
&lt;p&gt;El pool Orchard contiene millones de notas, y ese es el conjunto de anonimato para cada transacción protegida. Este conjunto crece con cada transacción y nunca se reduce.&lt;/p&gt;
&lt;p&gt;El tamaño del pool transparente es irrelevante. Incluso si el 99 % de los ZEC estuviera en direcciones transparentes, el 1 % protegido seguiría teniendo un conjunto de anonimato compuesto por todas las notas protegidas que se hayan creado. Los dos pools son matemáticamente independientes.&lt;/p&gt;
&lt;h3 id="83-la-transparencia-opcional-debilita-la-privacidad"&gt;8.3 &amp;ldquo;La Transparencia Opcional Debilita La Privacidad&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo asume que el pool transparente de alguna manera contamina el pool protegido.&lt;/p&gt;
&lt;p&gt;En realidad, son dos sistemas independientes. El ZEC transparente y el ZEC protegido funcionan en paralelo. Las transacciones en el lado transparente no revelan nada sobre el lado protegido. Las garantías criptográficas de las transacciones protegidas no dependen de cuánto ZEC esté en direcciones transparentes.&lt;/p&gt;
&lt;p&gt;Puede pensarse como dos libros contables separados que comparten la misma moneda: la actividad en uno no afecta las propiedades de privacidad del otro.&lt;/p&gt;
&lt;p&gt;La opción transparente existe porque aporta valor real. Los intercambios pueden usar direcciones transparentes para depósitos y retiros, cumpliendo requisitos de cumplimiento regulatorio, mientras siguen listando ZEC. Esto permite que usuarios que necesitan auditabilidad puedan elegirlo, y que aplicaciones que requieren transparencia puedan construirse sobre él.&lt;/p&gt;
&lt;p&gt;La transparencia opcional no compromete la privacidad del pool protegido; simplemente aumenta la capacidad de adopción de Zcash, algo que las cadenas completamente privadas por defecto no tienen. Un ejemplo claro de esto es que Monero ha sido retirado de los principales intercambios, mientras que Zcash sigue disponible en Coinbase y Gemini.&lt;/p&gt;
&lt;h3 id="84-zcash-usa-una-configuración-de-confianza"&gt;8.4 &amp;ldquo;Zcash Usa Una Configuración De Confianza&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo proviene de información que antes era cierta, pero que ya no lo es.&lt;/p&gt;
&lt;p&gt;Sprout y Sapling requerían ceremonias de configuración de confianza, en las que los participantes generaban parámetros criptográficos y luego destruían los valores secretos utilizados para crearlos. Si alguien hubiera conservado esos secretos, podría haber falsificado pruebas y acuñar ZEC falsos.&lt;/p&gt;
&lt;p&gt;Como se mencionó anteriormente, las ceremonias fueron muy elaboradas, con múltiples participantes, computadoras aisladas de internet, e incluso hardware que posteriormente fue destruido. A pesar de estas fuertes precauciones, el modelo de confianza introducía cierto grado de duda.&lt;/p&gt;
&lt;p&gt;Orchard resolvió este problema utilizando Halo 2, un sistema de pruebas que no requiere configuración de confianza. Esto significa que: no hubo ceremonia, no existe residuos tóxicos, no hay riesgo de que alguien haya conservado secretos. Ahora, los parámetros provienen de datos públicos y verificables.&lt;/p&gt;
&lt;p&gt;El pool protegido de Zcash ahora es sin necesidad de confianza, al igual que Bitcoin, y su seguridad está garantizada por las matemáticas criptográficas, no por la confianza en los participantes de una ceremonia.&lt;/p&gt;
&lt;h3 id="85-hubo-un-preminado"&gt;8.5 &amp;ldquo;Hubo Un Preminado&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo es fundamentalmente incorrecto. No existían monedas antes del bloque génesis, por lo que no hubo ningún preminado.&lt;/p&gt;
&lt;p&gt;La confusión surge por la Recompensa de los Fundadores, ya que durante los primeros cuatro años de Zcash, el 20 % de las recompensas de bloque se destinó a fundadores, inversionistas, empleados y a la Fundación Zcash. Sin embargo, esto no fue un preminado; simplemente era una porción de la emisión continua, creada mediante minería, igual que todas las demás monedas.&lt;/p&gt;
&lt;p&gt;Esta distinción es importante. Un preminado habría creado monedas antes de que cualquiera pudiera participar, mientras que la Recompensa de los Fundadores generaba monedas al mismo ritmo que las recompensas para los mineros, pero las distribuía de forma diferente. Los mineros recibían el 80 % de cada bloque, y los fundadores el 20 % restante. Lo importante es que ambos provenían del mismo calendario de emisión.&lt;/p&gt;
&lt;p&gt;Las condiciones de la Recompensa de los Fundadores fueron completamente divulgadas antes del lanzamiento. Tanto el documento técnico como el sitio web explicaban su propósito y su funcionamiento. Por lo tanto, cualquier persona que minara o comprara ZEC en 2016 sabía exactamente cómo funcionaba su distribución, y no existía ninguna asignación oculta, reserva secreta ni monedas que aparecieran de la nada.&lt;/p&gt;
&lt;p&gt;La Recompensa de los Fundadores terminó con el primer halving en noviembre de 2020. En ese momento, cada beneficiario había recibido exactamente lo que se había prometido públicamente, y nada más.&lt;/p&gt;
&lt;h3 id="86-los-desarrolladores-reciben-el-20--de-las-recompensas-de-minería"&gt;8.6 &amp;ldquo;Los Desarrolladores Reciben el 20 % de las Recompensas de Minería&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo confunde dos programas distintos y a sus respectivos beneficiarios.&lt;/p&gt;
&lt;p&gt;La Recompensa de los Fundadores funcionó de 2016 a 2020, destinando el 20 % de las recompensas de bloque a fundadores, inversionistas tempranos, empleados y a la Zcash Foundation, y terminó con el primer halving. Por lo tanto, los fundadores no han recibido recompensas del protocolo desde 2020.&lt;/p&gt;
&lt;p&gt;El Fondo de Desarrollo reemplazó a la Recompensa de los Fundadores y funcionó de 2020 a 2024. Este fondo también asigna el 20 % de las recompensas de bloque, pero a diferentes destinatarios: ECC recibe 7 % para el desarrollo del protocolo, Fundación Zcash recibe 5 % para infraestructura y subvenciones, subvenciones comunitarias, reciben 8 %, administrado por una comunidad independiente para financiar proyectos del ecosistema.&lt;/p&gt;
&lt;p&gt;Contrario a algunos malentendidos, el Fondo de Desarrollo no existe para el enriquecimiento personal. Su objetivo es financiar organizaciones que emplean desarrolladores, mantienen infraestructura y otorgan subvenciones a proyectos del ecosistema. En otras palabras, el fondo paga por la mejora continua de Zcash.&lt;/p&gt;
&lt;p&gt;La alternativa sería el modelo de Bitcoin, que depende principalmente de donaciones y patrocinio corporativo, un enfoque que también tiene sus propios compromisos. Zcash, en cambio, adoptó financiamiento a nivel de protocolo para apoyar un desarrollo sostenible, y casi nueve años de mejoras continuas sugieren que esta decisión ha sido justificada.&lt;/p&gt;
&lt;h3 id="87-la-fundación-zcash-controla-zcash"&gt;8.7 &amp;ldquo;La Fundación Zcash Controla Zcash&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo parte de la idea equivocada de que una sola entidad controla Zcash, lo cual no es cierto.&lt;/p&gt;
&lt;p&gt;En realidad, cuatro organizaciones independientes contribuyen al protocolo: Electric Coin Company (ECC) desarrolla la implementación de referencia y la billetera digital Zashi. Fundación Zcash mantiene Zebra, una implementación independiente de nodo, y administra subvenciones. Shielded Labs realiza investigación desde Suiza. El equipo Tachyon, liderado por Sean Bowe, desarrolla infraestructura de escalabilidad.&lt;/p&gt;
&lt;p&gt;Estas organizaciones operan en distintas jurisdicciones, con diferentes fuentes de financiamiento y mandatos distintos. Aunque colaboran en el desarrollo del protocolo, pueden discrepar entre sí y no responden a una autoridad común.&lt;/p&gt;
&lt;p&gt;Esta separación fue diseñada deliberadamente. Si alguna organización fuera presionada, capturada o comprometida, las otras podrían seguir funcionando y mantener el sistema. El protocolo no depende de un solo equipo, y la existencia de dos implementaciones independientes de nodos significa que no hay una única base de código autoritativa.&lt;/p&gt;
&lt;p&gt;En términos de gobernanza, Zcash está más descentralizado que muchos proyectos de criptomonedas. Incluso podría argumentarse que es más descentralizado que Bitcoin, ya que este último está dominado por una sola implementación de mecanismo y un pequeño grupo de administradores que deciden qué cambios se integran al código.&lt;/p&gt;
&lt;h3 id="88-el-mossad-está-detrás-de-zcash"&gt;8.8 &amp;ldquo;El Mossad está detrás de Zcash&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Esta idea errónea no es más que una teoría conspirativa, sin pruebas que la respalden.&lt;/p&gt;
&lt;p&gt;La conspiración apunta al hecho de que algunos fundadores tienen conexiones con Israel o al hecho de que hay criptógrafos académicos involucrados en el proyecto. Según esta lógica, cualquier tecnología desarrollada en parte por personas vinculadas a cualquier país está controlada por los servicios de inteligencia de ese país.&lt;/p&gt;
&lt;p&gt;Zcash es de código abierto, literalmente cada línea de código es pública y auditable; su criptografía es matemática publicada, revisada por pares y escrutada por investigadores de todo el mundo. Si hubiera una puerta trasera, sería visible en el código y en las pruebas.&lt;/p&gt;
&lt;p&gt;Además, cuatro organizaciones independientes, con sede en varios países, contribuyen al protocolo. La comunidad incluye desarrolladores, investigadores y usuarios de todos los continentes. Es simplemente irracional creer que una agencia de inteligencia controla un proyecto de código abierto distribuido a nivel mundial debido al origen de cualquiera de los primeros colaboradores.&lt;/p&gt;
&lt;p&gt;El mismo pensamiento conspirativo podría utilizarse para atacar cualquier tecnología. Signal se desarrolló en parte gracias a subvenciones del Gobierno de los Estados Unidos, ¿significa eso que la CIA está detrás de Signal? Linux cuenta con colaboradores de todos los principales gobiernos y empresas, ¿significa eso que varios gobiernos lo han comprometido?&lt;/p&gt;
&lt;p&gt;El código es de código abierto y las matemáticas son públicas, lo que invalida la conspiración.&lt;/p&gt;
&lt;h3 id="89-los-delincuentes-utilizan-monero-por-una-razón"&gt;8.9 &amp;ldquo;Los delincuentes utilizan Monero por una razón&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Esta idea errónea implica que los delincuentes habrían identificado necesariamente la tecnología de privacidad más sólida para ocultar sus delitos, pero esto les da demasiado crédito.&lt;/p&gt;
&lt;p&gt;Los delincuentes no son criptógrafos. No evalúan las implementaciones de curvas elípticas ni comparan las construcciones de conjuntos de anonimato. En cambio, utilizan lo que les resulta familiar y lo que ya tiene reputación en sus comunidades.&lt;/p&gt;
&lt;p&gt;Monero construyó su marca en torno a ser la &amp;ldquo;moneda del crimen&amp;rdquo; y, por lo tanto, atrajo a los delincuentes. Esto demuestra un patrón de refuerzo entre la marca Monero y el uso de Monero por parte de los delincuentes, no la superioridad técnica de Monero.&lt;/p&gt;
&lt;p&gt;La comparación de las capacidades de privacidad de Monero y Zcash favorece a Zcash. Monero oculta las transacciones entre 16 señuelos, mientras que Zcash oculta las notas entre más de millones de otras. Los señuelos de Monero pueden eliminarse mediante el análisis de la cadena con el tiempo, mientras que la indistinguibilidad criptográfica de Zcash hace imposible el descifrado de dicho análisis de la cadena. Monero no puede ser la elección de los delincuentes por razones de privacidad cuando las fuerzas del orden han logrado rastrear las transacciones de Monero, como lo demuestra el caso japonés mencionado anteriormente.&lt;/p&gt;
&lt;p&gt;Los delincuentes también utilizan dinero en efectivo, teléfonos prepagos e incluso el correo electrónico estándar en sus negocios, pero nadie sostiene que se utilicen porque sean las opciones más seguras disponibles. Más bien, estos medios se utilizan porque son las opciones más accesibles y familiares.&lt;/p&gt;
&lt;p&gt;Las elecciones de los delincuentes revelan decisiones basadas en el marketing y los efectos de red, no decisiones razonadas basadas en la solidez criptográfica.&lt;/p&gt;
&lt;h3 id="810-monero-es-más-privado-porque-todas-las-transacciones-son-privadas"&gt;8.10 &amp;ldquo;Monero es más privado porque todas las transacciones son privadas&amp;rdquo;&lt;/h3&gt;
&lt;p&gt;Este concepto erróneo sostiene que la privacidad obligatoria de Monero significa de alguna manera que es más seguro que el modelo de privacidad opcional de Zcash. La confusión surge al no distinguir entre los valores predeterminados del diseño y la solidez criptográfica.&lt;/p&gt;
&lt;p&gt;Como se ha mencionado anteriormente, Zcash también es privado por defecto, ya que las billeteras digitales modernas aplican el blindaje. La ruta predeterminada está totalmente encriptada.&lt;/p&gt;
&lt;p&gt;Incluso si las rutas predeterminadas de Monero y Zcash fueran diferentes, la distinción no determinaría su nivel de privacidad.&lt;/p&gt;
&lt;p&gt;El mecanismo es más importante que la configuración.&lt;/p&gt;
&lt;p&gt;Mecanismo de Monero: firmas en anillo con 16 señuelos, que ocultan su transacción entre 16 posibles remitentes. Dado que los señuelos pueden eliminarse con el tiempo mediante el análisis de la cadena, el conjunto de anonimato se reduce de forma retroactiva y se puede rastrear la conexión.&lt;/p&gt;
&lt;p&gt;Mecanismo de Zcash: pruebas de conocimiento cero sobre un árbol Merkle de más de un millón de notas. Tu transacción podría haber gastado cualquiera de las notas, y no hay ningún proceso de eliminación para rastrear el origen. El conjunto solo crece y la indistinguibilidad criptográfica es permanente.&lt;/p&gt;
&lt;p&gt;La configuración predeterminada de cerraduras débiles en todas las puertas no es preferible a la configuración predeterminada de una cerradura fuerte en las puertas que importan y la opción de añadir cerraduras a las demás. La privacidad débil obligatoria es simplemente privacidad débil, y la privacidad fuerte opcional es simplemente privacidad fuerte.&lt;/p&gt;
&lt;p&gt;La pregunta correcta no es si la privacidad es la opción predeterminada, sino si la privacidad se mantiene bajo un análisis contradictorio. La privacidad de Zcash sí lo hace, la de Monero no.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/zcash-team.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;El equipo de Zcash en sus inicios, con Zooko Wilcox-O'Hearn, cofundador de Zcash, y Jay Graber, entonces desarrollador junior del equipo de Zcash y que más tarde se convertiría en director ejecutivo de Bluesky, entre otros.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="9-el-camino-por-delante"&gt;9. El camino por delante&lt;/h2&gt;
&lt;h3 id="91-proyecto-tachyon"&gt;9.1 Proyecto Tachyon&lt;/h3&gt;
&lt;p&gt;Tachyon aborda tres cuellos de botella en la escalabilidad de Zcash: la prevención del doble gasto, el escaneo de la cadena de bloques y el tamaño de las transacciones. La prevención del doble gasto es la más difícil de las tres, y su solución revela lo que hace que Tachyon sea un auténtico avance en lugar de otra optimización incremental.&lt;/p&gt;
&lt;h4 id="el-problema-de-los-anuladores"&gt;El problema de los anuladores&lt;/h4&gt;
&lt;p&gt;Zcash evita el doble gasto mediante anuladores: cuando se gasta una nota, se revela un anulador, una cadena de caracteres aleatoria que funciona como un token de revocación. Los anuladores no pueden vincularse a las notas que revocan, pero si se intenta gastar la misma nota dos veces, se revela el mismo anulador y la red sabe que debe rechazar el duplicado.&lt;/p&gt;
&lt;p&gt;El problema de los anuladores es que cada nodo validador debe almacenar todos los anuladores revelados, para siempre. No es seguro eliminar los anuladores antiguos, ya que alguien podría decidir volver a gastar una nota antigua. A cien transacciones por segundo, esto generaría aproximadamente un gigabyte de crecimiento de estado al día. Si no estás familiarizado con el tema, se trata de una cantidad extrema en comparación con la mayoría de las cadenas de bloques, incluidas las cadenas de alto rendimiento como Solana.&lt;/p&gt;
&lt;h4 id="por-qué-fracasan-las-soluciones-simples"&gt;Por qué fracasan las soluciones simples&lt;/h4&gt;
&lt;p&gt;La comunidad criptográfica sabe desde hace años que las pruebas recursivas podrían resolver este problema. En lugar de que la red rastree los anuladores, las pruebas recursivas permitirían a los usuarios demostrar que no han gastado dos veces. Se adjunta la prueba a la transacción y los validadores verifican la prueba y luego eliminan los anuladores antiguos.&lt;/p&gt;
&lt;p&gt;El problema está en los detalles.&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Enfoque 1:&lt;/strong&gt; Descargar el historial completo de la cadena a su billetera digital y construir la prueba localmente. Esto funciona criptográficamente, pero falla en la práctica, ya que su billetera digital soporta el ancho de banda y el costo computacional de cada transacción que realizan los demás, y los teléfonos no pueden hacer esto.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Enfoque 2:&lt;/strong&gt; Añadir un servicio intermediario. Envíe su transacción al servicio, deje que construya la prueba utilizando el historial completo de la cadena y, a continuación, difúndala. Esto funciona, pero introduce una latencia masiva. El servicio debe procesar toda la cadena para cada transacción y requiere que usted confíe en el servicio con sus datos de transacción.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Enfoque 3:&lt;/strong&gt; Envíe sus anuladores al servicio por adelantado, reciba las pruebas y, más tarde, adjunte esas pruebas a sus transacciones y las transmita. Esto puede parecer inteligente, pero tiene un defecto fatal: el servicio puede observar qué anuladores está preparando para gastar y, por lo tanto, puede vincular sus transacciones entre sí, revelando su primacía al intermediario.&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="sincronización-inconsciente"&gt;Sincronización inconsciente&lt;/h4&gt;
&lt;p&gt;Esta es la solución de Tachyon: un servicio que demuestra que no ha realizado un doble gasto realizando el cálculo, sin ver lo que aparece en la transacción final y sin saber qué anuladores está gastando. El servicio no puede distinguir sus transacciones de las de cualquier otra persona.&lt;/p&gt;
&lt;p&gt;Técnicamente, esto se define como un servicio &amp;ldquo;desconocido&amp;rdquo;. El servicio es ciego a los datos reales que procesa en su nombre, por lo que usted obtiene la ayuda computacional sin confiar en el ayudante.&lt;/p&gt;
&lt;p&gt;El resultado son validadores que no almacenan el historial completo de anuladores. Por lo tanto, los usuarios no están expuestos a costes que varían en función de la actividad total de la red, y la indistinguibilidad del libro mayor, la propiedad de privacidad fundamental de Zcash, permanece intacta.&lt;/p&gt;
&lt;h4 id="los-otros-cuellos-de-botella-blockchain"&gt;Los otros cuellos de botella Blockchain&lt;/h4&gt;
&lt;p&gt;El escaneo, el proceso de identificar qué transacciones le pertenecen, se resuelve mediante cambios en el diseño del protocolo en lugar de una nueva criptografía. El requisito actual de descifrar cada transacción se sustituye por un protocolo de pago más eficiente.&lt;/p&gt;
&lt;p&gt;El tamaño de la transacción y el tiempo de verificación utilizan las mismas técnicas de prueba recursiva. El tamaño marginal de la transacción y el tiempo de verificación se reducen aproximadamente a la escala de Bitcoin. Por lo tanto, una transacción Zcash totalmente privada acaba teniendo aproximadamente el mismo tamaño y velocidad que una transacción Bitcoin transparente.&lt;/p&gt;
&lt;h4 id="qué-permite-esto"&gt;Qué permite esto&lt;/h4&gt;
&lt;p&gt;Una vez implementado Tachyon, las limitaciones de escalabilidad de Zcash serán las mismas que las de otras blockchains: ancho de banda y latencia. La sobrecarga criptográfica que encarecía la privacidad desaparece e incluso un teléfono puede realizar transacciones privadas sin procesar toda la cadena. Un nodo puede validar sin almacenar gigabytes de estado anulador.&lt;/p&gt;
&lt;p&gt;La disyuntiva entre privacidad y escalabilidad, que durante mucho tiempo se ha considerado fundamental para el dinero encriptado, resulta ser un problema de ingeniería con una solución criptográfica.&lt;/p&gt;
&lt;h3 id="92-mecanismo-de-sostenibilidad-de-la-red-nsm"&gt;9.2 Mecanismo de sostenibilidad de la red (NSM)&lt;/h3&gt;
&lt;p&gt;Bitcoin se enfrenta a un problema inminente: a medida que las recompensas por bloque se reducen a la mitad hasta llegar a cero, las comisiones por transacción deben compensar a los mineros por mantener la seguridad de la red. Si las comisiones serán suficientes sigue siendo una pregunta sin respuesta, pero las alternativas previstas, como las emisiones residuales, van a romper el límite de 21 millones.&lt;/p&gt;
&lt;p&gt;Zcash hereda este problema, pero &lt;a href="https://shieldedlabs.net/nsm/"&gt;el Mecanismo de Sostenibilidad de la Red&lt;/a&gt; lo resuelve sin romper el límite.&lt;/p&gt;
&lt;h4 id="el-mecanismo-1"&gt;El mecanismo&lt;/h4&gt;
&lt;p&gt;El NSM permite quemar ZEC del suministro circulante y reintroducirlos como futuras recompensas por bloque. Quemar 1 ZEC ahora provoca que se emitan 0,5 ZEC adicionales durante los próximos cuatro años, 0,25 durante los cuatro años siguientes, y así sucesivamente. La emisión sigue un modelo de decaimiento exponencial que se aproxima al calendario de reducción a la mitad de cuatro años existente.&lt;/p&gt;
&lt;p&gt;A corto plazo, esto se traduce en una reducción del suministro circulante y un aumento de la escasez. A largo plazo, habrá más ZEC disponibles para las recompensas por bloque más adelante en la curva de emisión, lo que mantendrá los incentivos para los mineros sin superar el límite de 21 millones.&lt;/p&gt;
&lt;h4 id="tres-zip"&gt;Tres ZIP&lt;/h4&gt;
&lt;p&gt;&lt;a href="https://zips.z.cash/zip-0233"&gt;ZIP 233&lt;/a&gt; establece la quema voluntaria, lo que significa que los usuarios pueden donar directamente a la red Zcash en lugar de a organizaciones o individuos. Las billeteras digitales podrían ofrecer la opción de quemar ZEC al realizar transacciones. Las quemas verificables permiten crear comunidades con acceso restringido por tokens o insignias de identidad que demuestran la contribución a la sostenibilidad de la red.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://zips.z.cash/zip-0234"&gt;ZIP 234&lt;/a&gt; suaviza la curva de emisión, de modo que, en lugar de reducciones abruptas a la mitad, las emisiones disminuyen de forma continua. Esto proporciona un mecanismo predecible para reintroducir las monedas quemadas sin shocks repentinos en el suministro.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://zips.z.cash/zip-0235"&gt;ZIP 235&lt;/a&gt; quema el 60 % de las comisiones por transacción. Actualmente, esto supone aproximadamente 210 ZEC al año, lo que es una cantidad insignificante. El objetivo es establecer el mecanismo mientras las comisiones son bajas y los mineros no tienen ningún incentivo económico para oponerse a él. Las futuras estructuras de comisiones seguirán siendo una decisión de la comunidad que se tomará una vez que el NSM esté operativo.&lt;/p&gt;
&lt;h4 id="aplicaciones-futuras"&gt;Aplicaciones futuras&lt;/h4&gt;
&lt;p&gt;El NSM crea una infraestructura para los casos de uso que la comunidad encontrará en el futuro:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Comisiones ZSA:&lt;/strong&gt; la acuñación, la transacción o el puenteo de activos protegidos de Zcash podrían quemar una parte para compensar a los titulares de ZEC.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Comisiones de soporte heredadas:&lt;/strong&gt; los usuarios que almacenan fondos en pools más antiguos podrían pagar comisiones, lo que incentivaría la migración a pools más nuevos y seguros.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Tarifas de incentivo a la privacidad:&lt;/strong&gt; el uso transparente de direcciones podría incurrir en tarifas para compensar la reducción del conjunto de anonimato.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Tarifas dinámicas:&lt;/strong&gt; Shielded Labs está desarrollando un sistema de &lt;a href="https://fees.shieldedinfra.net/"&gt;tarifas basado en el mercado&lt;/a&gt; que sustituye la tarifa fija de 10 000 zatoshi por acción. El mecanismo calcula una tarifa marginal basada en la mediana de los 50 bloques anteriores, redondea a potencias de diez para preservar la privacidad y ofrece un carril prioritario 10 veces más rápido durante la congestión.&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="por-qué-ahora"&gt;¿Por qué ahora?&lt;/h4&gt;
&lt;p&gt;Actualmente, las tarifas de transacción son mínimas, por lo que implementar el mecanismo de quema ahora evita la dificultad política a la que se enfrentó Ethereum con EIP-1559, donde los mineros tenían fuertes incentivos para oponerse a la quema de tarifas. Si se implementa ahora, el precedente existirá para cuando las tarifas de Zcash se vuelvan significativas.&lt;/p&gt;
&lt;p&gt;El NSM puede continuar la tradición de Zcash de mejorar el diseño de Bitcoin. La privacidad y el Fondo de Desarrollo ya diferencian a Zcash, y esta actualización añadiría una tercera diferenciación: un mecanismo para la sostenibilidad a largo plazo de la red que no está presente en Bitcoin.&lt;/p&gt;
&lt;h3 id="93-resistencia-cuántica"&gt;9.3 Resistencia cuántica&lt;/h3&gt;
&lt;p&gt;La relación de Zcash con la computación cuántica es más matizada que la de la mayoría de las demás criptomonedas. El protocolo ya proporciona importantes protecciones de privacidad poscuánticas en escenarios comunes, como resultado de decisiones de diseño deliberadas tomadas desde el inicio del proyecto.&lt;/p&gt;
&lt;h4 id="lo-que-ya-está-protegido"&gt;Lo que ya está protegido&lt;/h4&gt;
&lt;p&gt;Los adversarios cuánticos no pueden comprometer el anonimato en cadena. Los anuladores de Zcash, el mecanismo que evita el doble gasto, utilizan funciones pseudoaleatorias con clave basadas en criptografía simétrica, y estas primitivas siguen siendo seguras frente a los ataques cuánticos. Por lo tanto, los esquemas de compromiso están perfectamente ocultos, y el encriptado simétrico utiliza tamaños de clave diseñados para la seguridad poscuántica.&lt;/p&gt;
&lt;p&gt;Esto contrasta fuertemente con otras criptomonedas privadas. Las imágenes clave de Monero, equivalentes a los anuladores, se volverían transparentes para un adversario cuántico, y el gráfico de transacciones quedaría al descubierto. La estructura de Zcash evita por completo esta vulnerabilidad.&lt;/p&gt;
&lt;h4 id="las-dos-amenazas"&gt;Las dos amenazas&lt;/h4&gt;
&lt;p&gt;Las computadoras cuánticas amenazan dos propiedades distintas: la privacidad y la solidez.&lt;/p&gt;
&lt;p&gt;Las preocupaciones sobre la privacidad se centran en los ataques del tipo &amp;ldquo;recoger ahora, descifrar después&amp;rdquo;. Un adversario podría recopilar datos de transacciones encriptados hoy y descifrarlos más tarde, una vez que lleguen los ordenadores cuánticos. Esto afecta principalmente a la distribución secreta en banda, el mecanismo para transmitir los detalles de las transacciones a los destinatarios. El diseño de Tachyon elimina por completo la distribución secreta en banda, protegiendo contra esta amenaza futura.&lt;/p&gt;
&lt;p&gt;Las preocupaciones sobre la solidez se centran en la criptografía de curva elíptica, que podría ser descifrada por los computadores cuánticos. Aunque esto permitiría la falsificación o el robo, no comprometería la privacidad. Por lo tanto, las amenazas difieren en su urgencia, ya que las violaciones de la privacidad son retroactivas (las transacciones pasadas se vuelven vulnerables), mientras que las violaciones de la solidez a menudo no lo son (se puede reaccionar cuando aparecen los ordenadores cuánticos).&lt;/p&gt;
&lt;h4 id="recuperabilidad-cuántica"&gt;Recuperabilidad cuántica&lt;/h4&gt;
&lt;p&gt;ECC ha desarrollado técnicas para la &amp;ldquo;recuperabilidad cuántica&amp;rdquo; en Orchard.
Tras los próximos cambios en las billeteras digitales, y suponiendo que aparezcan las computadoras cuánticas, los usuarios podrán recuperar sus fondos a través de un mecanismo especial que impide que los adversarios cuánticos los roben, un mecanismo que también protege la privacidad.&lt;/p&gt;
&lt;p&gt;El plazo para la integración de las billeteras digitales es que se lancen en 2026, por lo que los usuarios que protejan sus monedas y esperen estas mejoras estarán protegidos.&lt;/p&gt;
&lt;h4 id="mejores-prácticas-actuales"&gt;Mejores prácticas actuales&lt;/h4&gt;
&lt;p&gt;Proteja sus monedas. El diseño del pool protegido ya proporciona una resistencia cuántica sustancial para la privacidad en cadena. Trate las direcciones como secretos siempre que sea posible. Los torniquetes siguen siendo la última defensa: incluso si se produjera una falsificación, esta acabaría siendo detectable cuando los fondos salieran de los pools protegidos.&lt;/p&gt;
&lt;p&gt;Los criptógrafos de Zcash seguirán estando a la vanguardia de los avances, ya que el diseño modular del protocolo, que aísla los primitivos vulnerables, permite futuras actualizaciones sin necesidad de revisiones.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/tank-man.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;"El hombre del tanque" frente a una columna de tanques cerca de la plaza de Tiananmen en Pekín, el 5 de junio de 1989.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="10-conclusión"&gt;10. Conclusión&lt;/h2&gt;
&lt;p&gt;En conclusión, este artículo comenzó con una simple observación: a menos que utilices dinero en efectivo, todas tus compras se registran y almacenan indefinidamente. Bitcoin podría haber solucionado esto, pero no lo hizo. El blockchain que se suponía que nos liberaría de la vigilancia financiera se convirtió en la herramienta de vigilancia más completa jamás implementada.&lt;/p&gt;
&lt;p&gt;Zcash tomó un camino diferente. En lugar de la transparencia por defecto, con la privacidad añadida como una idea de último momento, primero resolvió el problema más difícil: ¿cómo se verifican las transacciones sin verlas?&lt;/p&gt;
&lt;p&gt;La respuesta requería pruebas de conocimiento cero, compromisos que ocultaran los importes, anuladores que impidieran el doble gasto sin vincular las transacciones y un modelo de notas que rompiera por completo el gráfico de transacciones. Siguieron nueve años de evolución del protocolo: Sprout demostró que la privacidad era posible, Sapling la hizo práctica y ahora Orchard la ha convertido en fiable.&lt;/p&gt;
&lt;p&gt;El resultado de esta evolución es la imposibilidad de distinguir los registros. Dos transacciones protegidas no pueden diferenciarse, ni por observadores, ni por validadores, ni por estados nacionales con recursos ilimitados. Los datos no solo se ocultan o se mezclan con señuelos, sino que se cifran. Lo que ve la red es matemáticamente indistinguible del ruido aleatorio. Una auténtica caja fuerte suiza.&lt;/p&gt;
&lt;p&gt;El camino por delante sigue siendo exigente. Tachyon elimina los cuellos de botella que limitan la escala. El NSM crea una economía sostenible. La resistencia cuántica es un problema solucionable en el que ya se está trabajando. Los cimientos están construidos. La criptografía funciona. La privacidad es real.&lt;/p&gt;
&lt;p&gt;Ante nosotros se presentan dos futuros: uno en el que todas las transacciones son visibles, controlables y reversibles por quienquiera que tenga el poder, y otro en el que el dinero es tan privado como los pensamientos.&lt;/p&gt;
&lt;p&gt;Zcash es la forma en que el dinero sigue siendo libre.&lt;/p&gt;
&lt;div class="further-reading-section"&gt;
&lt;hr&gt;
&lt;aside class="further-reading"&gt;
&lt;h4&gt;Further Reading&lt;/h4&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="https://example.com"&gt;El Individuo Soberano (The Sovereign Individual)&lt;/a&gt; de James Dale Davidson&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/zec-bag"&gt;Mi Tesis de inversion en Zcash (My Zcash Investment Thesis)&lt;/a&gt; de Frank Braun&lt;/li&gt;
&lt;li&gt;&lt;a href="https://zips.z.cash/protocol/protocol.pdf"&gt;Especificación del protocolo Zcash&lt;/a&gt; de Daira-Emma Hopwood et al.&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/zcash"&gt;Zcash: Guía para pasar de cero a héroe (Zcash: A Zero to Hero’s Guide)&lt;/a&gt; de Arjun Khemani&lt;/li&gt;
&lt;li&gt;&lt;a href="https://messari.io/report/understanding-zcash-a-comprehensive-overview"&gt;Entendiendo Zcash: Visión general completa (Understanding Zcash: A Comprehensive Overview)&lt;/a&gt; de Youssef Haidar&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.coindesk.com/research/inside-zcash-encrypted-money-at-planetary-scale"&gt;Dentro de Zcash: dinero encriptado a escala planetaria (Inside Zcash: Encrypted Money at Plane-tary Scale)&lt;/a&gt; de CoinDesk Research&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/zec-thesis"&gt;Argumentos a favor de una pequeña asignación a ZEC (The Case for a Small Allocation to ZEC)&lt;/a&gt; de Sacha&lt;/li&gt;
&lt;li&gt;&lt;a href="https://www.scifi.money/freedom-money"&gt;Dinero Libre&lt;/a&gt; de Arjun Khemani&lt;/li&gt;
&lt;li&gt;&lt;a href="https://bitcoin.org/files/bitcoin-paper/bitcoin_es.pdf"&gt;Libro blanco de Bitcoin (Bitcoin Whitepaper)&lt;/a&gt; de Satoshi Nakamoto&lt;/li&gt;
&lt;/ul&gt;
&lt;/aside&gt;
&lt;/div&gt;</description></item><item><title>Taking Schrödinger Seriously</title><link>https://maxdesalle.com/courses/taking-schr%C3%B6dinger-seriously/</link><pubDate>Sat, 10 Jan 2026 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/courses/taking-schr%C3%B6dinger-seriously/</guid><description>A first-principles course on quantum mechanics.</description></item><item><title>Understanding Many-Worlds</title><link>https://maxdesalle.com/understanding-many-worlds/</link><pubDate>Tue, 23 Sep 2025 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/understanding-many-worlds/</guid><description>&lt;figure&gt;
&lt;img src="https://maxdesalle.com/solvay-conference.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;The 1927 Solvay conference, lauded by Heisenberg as, “officially, the completion of the quantum theory,” while Langevin remarked it was, “where the confusion of ideas reached its peak.”&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;With gratitude to Giulia Mouland, and to Logan Chipkin, Sam Kuypers and
Charles Alexandre Bédard, all three from the &lt;a href="https://www.conjectureinstitute.com/"&gt;Conjecture
Institute&lt;/a&gt;, for their
feedback and editorial review.&lt;/em&gt;&lt;/p&gt;
&lt;hr&gt;
&lt;aside id="toc"&gt;
&lt;h4&gt;Table of Contents&lt;/h4&gt;
&lt;nav id="TableOfContents"&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#1-introduction"&gt;&lt;strong&gt;1. Introduction&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#11-what-if-all-fiction-were-reality"&gt;&lt;strong&gt;1.1 What If All Fiction Were Reality?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#12-quantum-nonsense"&gt;&lt;strong&gt;1.2 Quantum Nonsense&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#13-a-better-explanation"&gt;&lt;strong&gt;1.3 A Better Explanation&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#14-who-this-is-for"&gt;&lt;strong&gt;1.4 Who This Is For&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#2-a-history-of-quantum-mechanics"&gt;&lt;strong&gt;2. A History of Quantum Mechanics&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#21-physics-before-quantum-mechanics"&gt;&lt;strong&gt;2.1 Physics Before Quantum Mechanics&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#22-the-birth-of-quantum-mechanics"&gt;&lt;strong&gt;2.2 The Birth of Quantum Mechanics&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#3-a-primer-on-quantum-mechanics"&gt;&lt;strong&gt;3. A Primer on Quantum Mechanics&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#31-the-wave-function"&gt;&lt;strong&gt;3.1 The Wave Function&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#32-hilbert-space"&gt;&lt;strong&gt;3.2 Hilbert Space&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#33-the-schrödinger-equation"&gt;&lt;strong&gt;3.3 The Schrödinger Equation&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#34-the-born-rule"&gt;&lt;strong&gt;3.4 The Born Rule&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#35-superposition"&gt;&lt;strong&gt;3.5 Superposition&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#4-why-the-collapse-interpretation-is-wrong"&gt;&lt;strong&gt;4. Why the Collapse Interpretation is Wrong&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#41-what-the-collapse-interpretation-claims"&gt;&lt;strong&gt;4.1 What the Collapse Interpretation Claims&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#42-the-observer-as-a-magical-boundary"&gt;&lt;strong&gt;4.2 The Observer as a Magical Boundary&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#43-mathematically-ill-defined"&gt;&lt;strong&gt;4.3 Mathematically Ill-Defined&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#44-the-logic-of-scientific-inertia"&gt;&lt;strong&gt;4.4 The Logic of Scientific Inertia&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#5-the-theory-of-the-universal-wave-function"&gt;&lt;strong&gt;5. The Theory of the Universal Wave Function&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#51-everett"&gt;&lt;strong&gt;5.1 Everett’s Insight&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#52-measurement-without-collapse"&gt;&lt;strong&gt;5.2 Measurement Without Collapse&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#53-interference"&gt;&lt;strong&gt;5.3 Interference&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#54-what-is-a"&gt;&lt;strong&gt;5.4 What Is a “World” in Many-Worlds?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#55-re-interference"&gt;&lt;strong&gt;5.5 Re-interference&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#6-myths-and-misconceptions-about-many-worlds"&gt;&lt;strong&gt;6. Myths and Misconceptions About Many-Worlds&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#61-do-the-worlds-exist-in-other-dimensions"&gt;&lt;strong&gt;6.1 Do the Worlds Exist in Other Dimensions?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#62-why-don"&gt;&lt;strong&gt;6.2 Why Don’t I Notice the Split?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#63-is-energy-conserved-if-worlds-multiply"&gt;&lt;strong&gt;6.3 Is Energy Conserved If Worlds Multiply?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#64-at-what-speed-do-worlds-split"&gt;&lt;strong&gt;6.4 At What Speed Do Worlds Split?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#65-is-there-a-finite-or-countable-number-of-worlds"&gt;&lt;strong&gt;6.5 Is There a Finite or Countable Number of Worlds?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#66-can-we-interact-with-other-worlds"&gt;&lt;strong&gt;6.6 Can We Interact with Other Worlds?&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#7-can-many-worlds-be-tested"&gt;&lt;strong&gt;7. Can Many-Worlds Be Tested?&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#71-misunderstanding-what"&gt;&lt;strong&gt;7.1 Misunderstanding What “Proof” Means&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#72-collapse-requires-extra-assumptions"&gt;&lt;strong&gt;7.2 Collapse Requires Extra Assumptions&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#8-living-in-many-worlds"&gt;&lt;strong&gt;8. Living in Many-Worlds&lt;/strong&gt;&lt;/a&gt;
&lt;ul&gt;
&lt;li&gt;&lt;a href="#81-probability-free-will-and-ethics"&gt;&lt;strong&gt;8.1 Probability, Free Will, and Ethics&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#82-fiction-and-reality"&gt;&lt;strong&gt;8.2 Fiction and Reality&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;&lt;a href="#83-a-brief-explanation-of-quantum-computing"&gt;&lt;strong&gt;8.3 A Brief Explanation of Quantum Computing&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/li&gt;
&lt;li&gt;&lt;a href="#9-conclusion"&gt;&lt;strong&gt;9. Conclusion&lt;/strong&gt;&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;
&lt;/nav&gt;
&lt;/aside&gt;
&lt;h2 id="1-introduction"&gt;&lt;strong&gt;1. Introduction&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="11-what-if-all-fiction-were-reality"&gt;&lt;strong&gt;1.1 What If All Fiction Were Reality?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;You flip a coin. Heads, you text your ex. Tails, you don&amp;rsquo;t. You flip it
and catch it. It hits tails. You go on with your life.&lt;/p&gt;
&lt;p&gt;But what if both outcomes happened? What if, somewhere, a version of you
did send the message, and is now navigating that reality, while you sit
here, relieved that you didn&amp;rsquo;t?&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;Of course, you wouldn&amp;rsquo;t suddenly start doing random things in another
version of reality—you&amp;rsquo;d still act for your own reasons. The coin is
just a simple way to picture it.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Welcome to quantum mechanics, where quantum events cause the universe to
split, creating a new, independent version of reality for each
possibility.&lt;/p&gt;
&lt;p&gt;This isn't metaphorical; it literally happens in our physical reality,
all of the time.&lt;/p&gt;
&lt;p&gt;There&amp;rsquo;s a &amp;ldquo;you&amp;rdquo; who became a concert pianist, a &amp;ldquo;you&amp;rdquo; who never met your
best friend, a &amp;ldquo;you&amp;rdquo; who died in an accident you narrowly avoided. And
all of them are real.&lt;/p&gt;
&lt;h3 id="12-quantum-nonsense"&gt;&lt;strong&gt;1.2 Quantum Nonsense&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Quantum physics is famously bizarre. You may have heard of
Schrodinger's cat: both alive and dead, until you see it. The thought
experiment posits that an outcome cannot exist until it is observed.
That&amp;rsquo;s the accepted story told in universities
and textbooks, it&amp;rsquo;s not science-fiction.&lt;/p&gt;
&lt;p&gt;But the problem is: it&amp;rsquo;s wrong.&lt;/p&gt;
&lt;p&gt;This mainstream interpretation of quantum mechanics is often called the
&lt;em&gt;Copenhagen&lt;/em&gt; interpretation.&lt;/p&gt;
&lt;p&gt;However, this name is misleading: it wasn&amp;rsquo;t a single unified theory, nor
solely the creation of Bohr and the &lt;em&gt;Copenhagen&lt;/em&gt; school after which it&amp;rsquo;s
called. Pieces of it came from different people, like Bohr&amp;rsquo;s idea of
&amp;lsquo;complementarity&amp;rsquo; (wave&amp;ndash;particle duality), Von Neumann&amp;rsquo;s collapse
postulate as a stopgap measure, and later generations who mixed them
into an official-sounding package.&lt;/p&gt;
&lt;p&gt;We will thus use &lt;em&gt;collapse interpretation&lt;/em&gt; to refer to this mix of ideas
instead of &lt;em&gt;Copenhagen interpretation&lt;/em&gt; as it&amp;rsquo;s commonly called.&lt;/p&gt;
&lt;p&gt;It&amp;rsquo;s also sometimes called the &amp;ldquo;Shut up and calculate!&amp;rdquo; interpretation,
due to its denial of the implications of quantum theory and emphasis on
the calculatory aspect of quantum theory.&lt;/p&gt;
&lt;p&gt;The collapse interpretation adds unnecessary and ad hoc assumptions to
avoid the implications of many worlds existing. It&amp;rsquo;s wrong, and we will
see why in this article.&lt;/p&gt;
&lt;h3 id="13-a-better-explanation"&gt;&lt;strong&gt;1.3 A Better Explanation&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;The good news is there&amp;rsquo;s a better explanation—a better framework—to
understand quantum mechanics. Importantly, this framework doesn&amp;rsquo;t add
any additional assumptions beyond quantum theory proper.&lt;/p&gt;
&lt;p&gt;This explanation has various names. Some call it &lt;em&gt;Many-Worlds&lt;/em&gt;, others
call it &lt;em&gt;Everettian Quantum Mechanics&lt;/em&gt;, after Hugh Everett, the
physicist who proposed it in 1957. In mainstream media it&amp;rsquo;s often called
the &lt;em&gt;Multiverse&lt;/em&gt;. Henceforth, we will refer to it as Many-Worlds.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;I have a grudge with the term &lt;em&gt;Everettian quantum mechanics&lt;/em&gt;,
because Everettian quantum mechanics is simply quantum mechanics, as
we will see later on in this article. Adding the &amp;lsquo;&lt;em&gt;Everettian&lt;/em&gt;&amp;rsquo; prefix
may convey the misconception that they are different.&lt;/p&gt;
&lt;p&gt;&lt;em&gt;Many-Worlds&lt;/em&gt; is preferred over &lt;em&gt;Multiverse&lt;/em&gt;, as this latter term has
been used in many different ways, including cosmological theories,
plots for Hollywood movies, etc., which may lead to confusion.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Many-Worlds is often grouped with other &amp;ldquo;interpretations&amp;rdquo; of quantum
mechanics. But unlike collapse-based views, it doesn&amp;rsquo;t add extra
assumptions. It simply takes the Schrödinger equation literally and
universally.&lt;/p&gt;
&lt;p&gt;For now, we&amp;rsquo;ll call it Many-Worlds. Later in this article, we&amp;rsquo;ll argue
why it&amp;rsquo;s better understood not as just one interpretation among others,
but as quantum theory itself.&lt;/p&gt;
&lt;h3 id="14-who-this-is-for"&gt;&lt;strong&gt;1.4 Who This Is For&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;The intended audience for this article is everyone, especially if you&amp;rsquo;ve
never studied physics.&lt;/p&gt;
&lt;p&gt;For the sake of comprehensiveness, we will start at the very beginning,
but you&amp;rsquo;re more than encouraged to skip parts that you&amp;rsquo;re already
familiar with or aren&amp;rsquo;t of interest.&lt;/p&gt;
&lt;p&gt;Equations will be used throughout this article. You shouldn&amp;rsquo;t shy away
from them. Whenever equations are introduced, they will be thoroughly
covered and explained so that no one is left behind.&lt;/p&gt;
&lt;p&gt;These equations may look scary, but remember, everything is hard before
it is easy. If something feels confusing at first, that&amp;rsquo;s normal—it
means you&amp;rsquo;re learning. Even geniuses struggle early on, and what
distinguishes them is not talent, but persistence. As Thomas Edison once
said: &amp;ldquo;Genius is 1% inspiration and 99% perspiration.&amp;rdquo; So, always
remember: no idea is inherently too complex to be understood.&lt;/p&gt;
&lt;p&gt;In case you get lost at some point throughout the article, don&amp;rsquo;t
hesitate to go back and re-read the previous sections. Don&amp;rsquo;t hesitate to
use tools like ChatGPT to get a better understanding of certain topics.
However, be warned that ChatGPT, like most physicists, unfortunately
tends to irrationally favor collapse interpretations, as the collapse
view is the most widely presented one on the web.&lt;/p&gt;
&lt;p&gt;Without further ado, let&amp;rsquo;s get into it.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/nobel-laureates.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Albert
Einstein and Max Planck (middle) together with three other Nobel
laureates—Walther Nernst, Robert Andrews Millikan, and Max von
Laue—captured at a dinner hosted by Laue in Berlin on 11 November 1931.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="2-a-history-of-quantum-mechanics"&gt;&lt;strong&gt;2. A History of Quantum Mechanics&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="21-physics-before-quantum-mechanics"&gt;&lt;strong&gt;2.1 Physics Before Quantum Mechanics&lt;/strong&gt;&lt;/h3&gt;
&lt;h4 id="211-newton-and-laplace"&gt;&lt;strong&gt;2.1.1 Newton and Laplace&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;In the 17th century, Isaac Newton described nature using a set of simple
mathematical laws. His laws of motion and universal gravitation
explained everything from falling apples to the orbits of planets. Time
and space were absolute and universal.&lt;/p&gt;
&lt;p&gt;His work, along with the work of many others that followed, came to be
known as &lt;em&gt;classical physics&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;Importantly, according to classical physics, everything was
deterministic: if you knew the position and velocity of every particle
in the universe at one time, you could predict the future perfectly.&lt;/p&gt;
&lt;p&gt;In the early 1800s, Pierre-Simon Laplace pushed this deterministic idea
to its logical extreme. He wrote:&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;&lt;em&gt;&amp;ldquo;We may regard the present state of the universe as the effect of its
past and the cause of its future. An intellect which at a certain moment
would know all forces that set nature in motion, and all positions of
all items of which nature is composed, if this intellect were also vast
enough to submit these data to analysis, it would embrace in a single
formula the movements of the greatest bodies of the universe and those
of the tiniest atom; for such an intellect nothing would be uncertain
and the future just like the past could be present before its eyes.&amp;rdquo;&lt;/em&gt; — Pierre-Simon Laplace&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;This hypothetical intelligence, now called Laplace&amp;rsquo;s Demon, would be
able to compute the entire future of the universe from its present
state. According to this conception, the universe was fully knowable and
completely predictable.&lt;/p&gt;
&lt;h4 id="212-the-limits-begin-to-show"&gt;&lt;strong&gt;2.1.2 The Limits Begin to Show&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;The classical worldview worked astonishingly well&amp;hellip;for a while. It
explained the motion of planets, the trajectory of projectiles, and the
behavior of pendulums and fluids. It wasn't until the beginning of the
20th century that cracks began to appear. Reality, it turned out, was
hiding something deeper and stranger.&lt;/p&gt;
&lt;p&gt;Here are three key examples where classical physics failed completely:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Blackbody Radiation:&lt;/strong&gt; Physicists tried to model the radiation
emitted by a hot object (a so-called &lt;em&gt;blackbody&lt;/em&gt;) using classical
ideas. However their equations predicted that the object would emit
infinite energy at high frequencies, which contradicted observations
and was rightly regarded as an absurdity for theoretical reasons. This
failure was known as the &lt;em&gt;ultraviolet catastrophe&lt;/em&gt;, because classical
theory predicted that blackbodies should glow with blinding
ultraviolet light.&lt;/p&gt;
&lt;p&gt;The mystery was only solved when Max Planck proposed that energy could
only be emitted or absorbed in discrete packets, or &lt;em&gt;quanta&lt;/em&gt; (plural
of &lt;em&gt;quantum&lt;/em&gt;). A quantum of light is the smallest discrete unit in
which light energy exists or is emitted/absorbed. This was the first
seed of quantum theory.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The Photoelectric Effect:&lt;/strong&gt; When light shines on a metal surface, it
can knock electrons (electrically charged particles often found inside
atoms) free, a phenomenon called the &lt;em&gt;photoelectric effect&lt;/em&gt;.&lt;/p&gt;
&lt;p&gt;Classical physics predicted that the intensity of light—its
brightness&amp;ndash;should determine whether electrons are emitted. However,
experiments showed that this wasn&amp;rsquo;t true. Frequency—which
corresponds to the color of the light—was the actual determinant of
the electrons emitted. For example, even very dim ultraviolet light
could eject electrons, while bright red light could not.&lt;/p&gt;
&lt;p&gt;Think of a frequency as the frequency a radio is tuned into. When
light is &amp;ldquo;tuned into&amp;rdquo; a certain frequency, it has a certain color,
like red or blue, if the frequency is within the range that the human
eye can detect. Infrared or ultraviolet light are examples of
frequencies that are invisible to the human eye.&lt;/p&gt;
&lt;p&gt;The photoelectric effect was completely inexplicable in classical
terms. Einstein resolved the mystery by suggesting that light itself
comes in particles, now called photons, each carrying a fixed energy
determined by its frequency. This energy is given by a beautifully
simple equation: \(E = h\nu\) where \(E\) is the photon&amp;rsquo;s energy, \(h\) is Planck&amp;rsquo;s constant, and \(\nu\)
(the Greek letter &amp;rsquo;nu&amp;rsquo;) is the frequency of the light.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Atomic Spectra:&lt;/strong&gt; When you heat a gas or pass electricity through
it, it emits light at specific frequencies. &lt;a href="https://en.wikipedia.org/wiki/Electromagnetic_spectrum#/media/File:EM_Spectrum_Properties_edit.svg"&gt;Each frequency is a line
of color, or spectral line, in a larger spectrum&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;Classical physics had no explanation for why atoms should emit only
certain frequencies of light and not others. Something was wrong with
the classical picture.&lt;/p&gt;
&lt;p&gt;The first step toward a solution came in 1913, when Niels Bohr
proposed that electrons in an atom could only occupy discrete energy
levels, and that light is emitted or absorbed when the electron&amp;rsquo;s
wavefunction changes from one level to another. This explained why
atoms give off sharp spectral lines rather than a continuous smear of
colors.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;h4 id="213-the-crisis-of-the-classical-worldview"&gt;&lt;strong&gt;2.1.3 The Crisis of the Classical Worldview&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;By the early 20th century, physicists were forced to admit that
classical physics couldn&amp;rsquo;t be the full story. At large scales, with the
exception of extreme conditions like high speed or strong gravity, it
worked beautifully, but at small scales—the microscopic level of
atoms, photons, and electrons—it wasn&amp;rsquo;t accurate.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;Atoms are tiny units of matter, while photons are particles of light.
Notably, both exhibit wave-like behavior. A wave is a repeating
pattern that spreads through space, like ripples on water.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;The new explanation of microscopic reality that emerged—quantum
mechanics—wasn&amp;rsquo;t just a better theory.&lt;/p&gt;
&lt;p&gt;It was a new way of understanding reality.&lt;/p&gt;
&lt;h3 id="22-the-birth-of-quantum-mechanics"&gt;&lt;strong&gt;2.2 The Birth of Quantum Mechanics&lt;/strong&gt;&lt;/h3&gt;
&lt;h4 id="221-planck"&gt;&lt;strong&gt;2.2.1 Planck&amp;rsquo;s Quanta&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;As previously mentioned, Max Planck tried to solve the blackbody
radiation problem, the so-called &lt;em&gt;ultraviolet catastrophe&lt;/em&gt;.&lt;/p&gt;
&lt;p&gt;Planck proposed that energy could only be emitted in multiples of a tiny
unit: \(E = h\nu\). In this equation, \(E\) is the energy, \(h\) is Planck&amp;rsquo;s
constant, and \(\nu\) is the frequency of the radiation.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;Planck&amp;rsquo;s constant is equal to
\(h = 6.626\ 070\ 15 \times 10^{- 34}\ \frac{J}{Hz}\), where \(J\) stands
for Joules, a unit of energy, and \(Hz\) stands for Hertz, a unit of
frequency.&lt;/div&gt;
&lt;/div&gt;
&lt;h4 id="222-bohr"&gt;&lt;strong&gt;2.2.2 Bohr&amp;rsquo;s Atomic Model&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;In 1913, Danish physicist Niels Bohr built on these ideas to propose a
model of the hydrogen atom that explained atomic spectra, the unique
&amp;ldquo;fingerprints&amp;rdquo; of light emitted by atoms.&lt;/p&gt;
&lt;p&gt;Bohr&amp;rsquo;s model was revolutionary:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;Electrons could only occupy specific energy levels.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Electrons didn&amp;rsquo;t spiral into the nucleus as classical theory
predicted.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;When electrons transitioned between levels, their wavefunction changed
in such a way that they emitted or absorbed a photon with energy
\(E = h\nu\).&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;This model explained the spectral lines of hydrogen with stunning
precision. Bohr&amp;rsquo;s model hinted at a radical new idea: the microscopic
world operates on rules fundamentally different from those that govern
the macroscopic world.&lt;/p&gt;
&lt;h4 id="223-something-deeper-was-needed"&gt;&lt;strong&gt;2.2.3 Something Deeper Was Needed&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;By the 1920s, physicists had a growing list of quantum &amp;ldquo;fixes&amp;rdquo;: Planck&amp;rsquo;s
energy quanta, Einstein&amp;rsquo;s photons, Bohr&amp;rsquo;s energy levels, and others.
However, these collectively amounted to a patchwork, rather than a
single, coherent theory.&lt;/p&gt;
&lt;p&gt;Such a theory would require a mathematical framework that could
encompass all of the discovered quantum phenomena in a single language.
Eventually this language was established, bringing with it a strange and
abstract equation. This equation would describe an entirely novel
concept in physics—the &lt;em&gt;wave function&lt;/em&gt;.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/dirac-heisenberg.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Paul Dirac and
Werner Heisenberg, likely in the early 1930s. Heisenberg created the
first complete formulation of quantum mechanics and Dirac unified
quantum mechanics with special relativity, among other things.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="3-a-primer-on-quantum-mechanics"&gt;&lt;strong&gt;3. A Primer on Quantum Mechanics&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="31-the-wave-function"&gt;&lt;strong&gt;3.1 The Wave Function&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;In 1926, Erwin Schrödinger introduced what would become the core
equation of quantum mechanics: the Schrödinger equation.&lt;/p&gt;
&lt;p&gt;But more importantly, he introduced a completely new object into
physics, the wave function, usually denoted by the Greek letter \(\Psi\)
(psi).&lt;/p&gt;
&lt;h4 id="311-what-is-the-wave-function"&gt;&lt;strong&gt;3.1.1 What Is the Wave Function?&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;The wave function \(\Psi\) is a mathematical object that encodes the
entire physical state of a quantum system.&lt;/p&gt;
&lt;p&gt;Given \(\Psi\), you can calculate everything you might want to know: how
likely it is to find a particle in a given location, how it will evolve
over time, or what outcomes an experiment might yield.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;A &lt;em&gt;quantum system&lt;/em&gt; can be anything—for instance, a particle in a
box. The wave function allows you to calculate the likelihood of
finding the particle in a specific location of the box.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Here is an example of a wave function (don&amp;rsquo;t be scared, it doesn&amp;rsquo;t
bite):&lt;/p&gt;
\[\Psi_{n}(x) = \sqrt{\frac{2}{L}}\sin\left( \frac{n\pi x}{L} \right),\ 0 &lt; x &lt; L\ 0,\ otherwise\ \]&lt;p&gt;Don&amp;rsquo;t worry if this looks imposing, you don&amp;rsquo;t need to understand what is
exactly happening here to understand the rest of the article.&lt;/p&gt;
&lt;h3 id="32-hilbert-space"&gt;&lt;strong&gt;3.2 Hilbert Space&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;To understand \(\Psi\), the wave function, we need to understand the kind
of space it &amp;ldquo;lives&amp;rdquo; in—the so-called &lt;em&gt;Hilbert space&lt;/em&gt;.&lt;/p&gt;
&lt;p&gt;In classical physics, a system might be described by a few numbers:
position, momentum, energy. In quantum mechanics, a system is described
by a vector in Hilbert space, written as \(|\psi\rangle\). No need to
overthink the notation, as we could have written it as \(x\) or \(john\),
but for reasons that we won&amp;rsquo;t get into here, we write it as
\(|\psi\rangle\). It&amp;rsquo;s just a name.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;A vector is just an object that holds multiple numbers at once.&lt;/p&gt;
&lt;p&gt;In everyday life, think of a vector like a shopping list. Instead of
holding just one number, it holds several: 2 apples, 3 bananas, 1 loaf
of bread (the numbers here are completely random, we could have picked
any other). It&amp;rsquo;s a single object (the list) that bundles together
multiple values.&lt;/p&gt;
&lt;p&gt;In quantum mechanics, the vector \(|\psi\rangle\) works the same way,
except the &amp;ldquo;items on the list&amp;rdquo; are possible states or outcomes of the
system (like different coin toss results, or different locations of a
particle). Each number in the vector tells you how strongly that state
is &amp;ldquo;present&amp;rdquo; in the overall mixture.&lt;/p&gt;
&lt;p&gt;So you can think of \(|\psi\rangle\) as the master list of all the ways
the system can exist, and how much weight each way carries.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;At its core, a Hilbert space is a mathematical space where each point
represents a possible quantum state of a system. It&amp;rsquo;s like the stage on
which quantum reality plays out.&lt;/p&gt;
&lt;p&gt;You can think of it as 3D space, but instead of three coordinates like
\((x,y,z)\), states in Hilbert space can have infinitely many dimensions.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;If this sounds abstract, that&amp;rsquo;s because it is. Here is a simple
analogy: Imagine a piano keyboard that extends forever in both
directions, left and right, with an infinite number of keys, each with
a unique tune. A Hilbert space is like the entire infinite keyboard
itself.&lt;/p&gt;
&lt;p&gt;Any sound you play (a chord, a song, noise) is a combination of those
infinite unique tones—this is like a vector in Hilbert space. Just
as any sound can be broken down into individual notes, any quantum
state can be decomposed into simpler building blocks, called &lt;em&gt;basis
states&lt;/em&gt;, in Hilbert space.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;h3 id="33-the-schrödinger-equation"&gt;&lt;strong&gt;3.3 The Schrödinger Equation&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;The Schrödinger equation tells us how the wave function changes over
time. In its most common form, it looks like this:&lt;/p&gt;
\[i\hslash\frac{\partial\Psi}{\partial t} = \widehat{H}\Psi\]&lt;p&gt;Let&amp;rsquo;s break it down:&lt;/p&gt;
&lt;p&gt;- \(\Psi\) is the wave function (the full quantum state).&lt;/p&gt;
&lt;p&gt;- \(i\) is the &lt;em&gt;imaginary unit&lt;/em&gt;. Its value is defined as
\(i = \sqrt{- 1}\). So \(i^{2} = - 1\). Don&amp;rsquo;t be scared of it. It&amp;rsquo;s just a
number, whose value is the square root of \(- 1\). No need to overthink
it.&lt;/p&gt;
&lt;p&gt;- \(\hslash\) is Planck&amp;rsquo;s constant divided by \(2\pi\) (meaning
\(\hslash = \frac{h}{2\pi}\)). Again, no need to overthink this, we&amp;rsquo;re
just taking Planck&amp;rsquo;s constant and dividing it by \(2\pi\).&lt;/p&gt;
&lt;p&gt;- \(\frac{\partial\Psi}{\partial t}\) is the time derivative of \(\Psi\),
the wave function, meaning its rate of change at a specific point in
time \(t\).&lt;/p&gt;
&lt;p&gt;- \(\widehat{H}\) is the Hamiltonian operator, which describes the total
energy of the quantum system. In quantum mechanics, the Hamiltonian is
an operator, meaning we apply it to the wave function (this is true of
all operators). Importantly, the Hamiltonian doesn't directly calculate
the energy of the system. Instead, it tells you which energy levels are
possible, like a rulebook listing the notes a piano can play.&lt;/p&gt;
&lt;h4 id="331-determinism-linearity-and-universality"&gt;&lt;strong&gt;3.3.1 Determinism, Linearity and Universality&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;The Schrödinger equation is linear, deterministic, and universal:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Deterministic:&lt;/strong&gt; If you know \(\Psi(t_{0})\), the state of the wave
function at a time \(t_{0}\), then you can compute \(\Psi(t)\) for any
future time \(t\).&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Linear:&lt;/strong&gt; If \(\Psi_{1}\) and \(\Psi_{2}\) are solutions to the
Schrödinger equation, then any combination \(a\Psi_{1} + b\Psi_{2}\) is
also a solution, where \(a\) and \(b\) are any real numbers.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Universal:&lt;/strong&gt; It applies to all particles or systems that can exist.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;These three features, linearity, determinism, and universality, will be
crucial later on.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;A solution to the Schrödinger equation is a specific wave function
\(\Psi\) that satisfies the equation. In other words, it&amp;rsquo;s a function
that correctly describes how a quantum system (like an electron, atom,
or a particle in a box) evolves over time according to quantum
mechanics. Once you have this solution, you can predict how the system
behaves at any moment.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;While the wave function describes the physical state of a quantum system
at a given moment, the Schrödinger equation allows us to track its
evolution over time.&lt;/p&gt;
&lt;h3 id="34-the-born-rule"&gt;&lt;strong&gt;3.4 The Born Rule&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;One of the most famous results in quantum mechanics is the Born rule,
introduced by Max Born in 1926. It tells us how to extract probability
density from the wave function:&lt;/p&gt;
\[p(x) = |\Psi(x)|^{2}\]&lt;p&gt;The difference between probability and probability density is as
follows: the probability of something is the likelihood of it happening,
but the probability density describes the concentration of that
likelihood among different values, sort of like a map showing where
outcomes are more or less likely.&lt;/p&gt;
&lt;p&gt;This means the probability density of finding a particle near position
\(x\) is the square of the absolute value of the wave function at that
position.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;The absolute value of the wave function just means how strong or how
big the wave function is at a certain point, its magnitude, without
regard to direction or sign.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;For example, if you want to calculate the probability density of finding
the particle near position \(x = 2\), and \(\Psi(2) = 0.8\), for instance,
then the density is \(p(2) = |\Psi(2)|^{2} = {0.8}^{2} = 0.64\).&lt;/p&gt;
&lt;h3 id="35-superposition"&gt;&lt;strong&gt;3.5 Superposition&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;In classical physics, a system is always in one definite state. A coin
is either heads or tails. A particle has a specific position and
velocity. Reality is singular.&lt;/p&gt;
&lt;p&gt;Quantum mechanics, as described by the wave function \(\Psi\), is
different. A system can exist in a superposition, a single physical
state that encodes multiple and simultaneous realities.&lt;/p&gt;
&lt;p&gt;This isn&amp;rsquo;t a statement about our ignorance or uncertainty. It&amp;rsquo;s a
statement about what is, superpositions are entirely real, evolve
deterministically, and follow the Schrödinger equation at all times.&lt;/p&gt;
&lt;h4 id="351-what-is-a-superposition"&gt;&lt;strong&gt;3.5.1 What Is a Superposition?&lt;/strong&gt;&lt;/h4&gt;
&lt;p&gt;A quantum system can be described as (again, don&amp;rsquo;t worry about the weird
notation):&lt;/p&gt;
\[|\psi\rangle = a|A\rangle + b|B\rangle\]&lt;p&gt;The above equation is an example of a superposition. \(|A\rangle\) is one
outcome, \(|B\rangle\) is another outcome, and both outcomes are equally
real.&lt;/p&gt;
&lt;p&gt;Imagine having a coin where neither face is just heads or just tails,
but instead, both at once, not because the state of the coin's face is
unknown, but because the outcomes exist in a blended state.&lt;/p&gt;
&lt;p&gt;Let&amp;rsquo;s say that \(|A\rangle\) is heads and \(|B\rangle\) is tails. The numbers
\(a\) and \(b\), called &lt;em&gt;amplitudes&lt;/em&gt;, tell us how much of \(|A\rangle\) and
\(|B\rangle\) are in the mix relative to each other. The amplitudes are
like proportions of ingredients in a recipe, and indicate how much of
each outcome (ingredient) the system has.&lt;/p&gt;
&lt;p&gt;However, we don&amp;rsquo;t see both outcomes when we look. We&amp;rsquo;ll come to that
later.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/schrodinger.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Portrait of Erwin Schrödinger.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="4-why-the-collapse-interpretation-is-wrong"&gt;&lt;strong&gt;4. Why the Collapse Interpretation is Wrong&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="41-what-the-collapse-interpretation-claims"&gt;&lt;strong&gt;4.1 What the Collapse Interpretation Claims&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Before we can dismantle the collapse interpretation of quantum
mechanics, we need to understand what it actually claims.&lt;/p&gt;
&lt;p&gt;To be clear: this section is &lt;em&gt;not&lt;/em&gt; an endorsement. These ideas will soon
be shown to be inconsistent, unnecessary, and in direct conflict with
the literal meaning of quantum theory. But it&amp;rsquo;s important to accurately
state what the collapse interpretation view says, and what generations
of physicists have been taught to accept without question.&lt;/p&gt;
&lt;p&gt;The collapse interpretation asserts that the wave function \(\Psi\), while
useful for predicting probabilities, is not real. According to this
view, \(\Psi\) is a tool for calculating the probability density of
various outcomes (using the Born rule), but not a description of the
system itself.&lt;/p&gt;
&lt;p&gt;The defining feature of the collapse interpretation is of course the
collapse postulate: &lt;em&gt;the wave function evolves smoothly and
deterministically only until a measurement is made. Then, randomly
collapses into one of its outcomes, and all other outcomes are
destroyed.&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;This collapse is instantaneous and non-deterministic. Before collapse, a
system might be in a superposition, like the example from earlier:&lt;/p&gt;
\[|\psi\rangle = a|A\rangle + b|B\rangle\]&lt;p&gt;After a measurement, one of the outcomes, say, heads, remains:&lt;/p&gt;
\[|\psi\rangle = |A\rangle\]&lt;p&gt;The other possibility, tails, is considered to have &amp;ldquo;disappeared.&amp;rdquo; The
wave function no longer describes both outcomes, only one is real. This
abrupt change is not derived from the Schrödinger equation, it's an
addition. To be clear, this is not a minor technical point, it requires
introducing a separate rule for quantum systems once observed:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;Deterministic Schrödinger equation when unobserved.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Random collapse when observed.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;In other words, according to the collapse interpretation view, the
Schrödinger equation applies everywhere and at any point in time,
&lt;em&gt;except&lt;/em&gt; when an observation is made.&lt;/p&gt;
&lt;h3 id="42-the-observer-as-a-magical-boundary"&gt;&lt;strong&gt;4.2 The Observer as a Magical Boundary&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;According to the collapse interpretation, collapse occurs when an
&amp;ldquo;observation&amp;rdquo; is made, but what qualifies as an observation, and who, or
what, counts as an observer?&amp;quot;&lt;/p&gt;
&lt;p&gt;It's here that things get suspicious. The collapse interpretation never
provides a clear, physical definition of a measurement or an observer.
The theory assumes this boundary but refuses to say where it lies. Is it
the eye? The brain? A camera? A Geiger counter? A thermometer?
Consciousness?&lt;/p&gt;
&lt;p&gt;It gets even worse: observers themselves are made of quantum particles!&lt;/p&gt;
&lt;p&gt;The collapse interpretation avoids resolving these issues by simply
declaring that somehow collapse happens when it needs to, and that the
details don't matter.&lt;/p&gt;
&lt;p&gt;Hence why it&amp;rsquo;s called by many the &amp;ldquo;Shut up and calculate!&amp;rdquo;
interpretation. But the cost of shutting up is blocking decades of
scientific progress.&lt;/p&gt;
&lt;h3 id="43-mathematically-ill-defined"&gt;&lt;strong&gt;4.3 Mathematically Ill-Defined&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;It&amp;rsquo;s important to emphasize that collapse contradicts the core equation
of quantum mechanics, the Schrödinger equation.&lt;/p&gt;
&lt;p&gt;As seen in &lt;a href="#33-the-schr%C3%B6dinger-equation"&gt;&lt;em&gt;section 3.3&lt;/em&gt;&lt;/a&gt;, the Schrödinger equation is:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Linear:&lt;/strong&gt; superpositions evolve linearly. Their parts may interfere
or cancel, but they never collapse on their own.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Deterministic:&lt;/strong&gt; there is no randomness in the equation.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Universal:&lt;/strong&gt; the Schrödinger equation applies to all physical
systems. Planets, labs, and observers are built from atoms, and atoms
are quantum systems, so the whole remains quantum.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Collapse violates these features, as it&amp;rsquo;s:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Non-linear:&lt;/strong&gt; it destroys all but one term.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Non-deterministic:&lt;/strong&gt; it introduces randomness with respect to
measurement outcomes.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Non-universal:&lt;/strong&gt; it happens only when &amp;ldquo;observed,&amp;rdquo; but never explains
what that means physically.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Importantly, the collapse mechanism isn&amp;rsquo;t derived from anything. It&amp;rsquo;s
injected by arbitrary fiat.&lt;/p&gt;
&lt;p&gt;And as shown through the violation of linearity, determinism and
universality, it&amp;rsquo;s not just an unneeded philosophical add-on. It&amp;rsquo;s
physically incoherent and mathematically ill-defined—an extra rule
with no place in the framework of the Schrödinger equation.&lt;/p&gt;
&lt;h3 id="44-the-logic-of-scientific-inertia"&gt;&lt;strong&gt;4.4 The Logic of Scientific Inertia&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Frustratingly, the collapse interpretation answers the question, &amp;ldquo;What
happens in a quantum system?&amp;rdquo; with, &amp;ldquo;Whatever we happen to see.&amp;rdquo; It
relies on an undefined observer and a discontinuous rule that cannot be
derived from the theory&amp;rsquo;s core equation.&lt;/p&gt;
&lt;p&gt;Schrödinger himself described it as &amp;ldquo;patently absurd&amp;rdquo; that the wave
function should &amp;ldquo;be controlled in two entirely different ways, at times
by the wave equation, but occasionally by direct interference of the
observer, not controlled by the wave equation.&amp;rdquo;&lt;/p&gt;
&lt;p&gt;So, why is it still so popular if it&amp;rsquo;s so wrong?&lt;/p&gt;
&lt;p&gt;The collapse interpretation became entrenched because:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;The math works:&lt;/strong&gt; Quantum mechanics makes extremely accurate
predictions and for decades many thought collapse was necessary to
connect the equations to the Born rule.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Questioning foundational assumptions is considered philosophical:&lt;/strong&gt;
Therefore a distraction or even a threat to one&amp;rsquo;s career.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Philosophical discomfort:&lt;/strong&gt; Many-Worlds implies that all possible
outcomes happen. That there are countless versions of you. This feels
crazy.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;&lt;strong&gt;Institutional tradition:&lt;/strong&gt; The collapse interpretation was canonized
early on. Challenging it meant challenging the authority of Bohr,
Heisenberg, and generations of physicists.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;The strongest reason, by far, is that fear of ridicule for proposing
different views or engaging with the philosophical questions poisoned
the first generation of quantum physicists, and has been passed on ever
since.&lt;/p&gt;
&lt;p&gt;Academia, unfortunately, thrives on status. Talking about &amp;ldquo;many worlds&amp;rdquo;
sounds like science fiction, and credibility is vital in the academic
world. But science is not about comfort or credibility. It&amp;rsquo;s about
truth. And the truth is this: when you stop denying reality and start
taking quantum mechanics seriously, you get Many-Worlds.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/everett.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Portrait of Hugh Everett, who in 1957 released the paper "The Theory Of
The Universal Wave Function", which later became known as Many-Worlds.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="5-the-theory-of-the-universal-wave-function"&gt;&lt;strong&gt;5. The Theory of the Universal Wave Function&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="51-everett"&gt;&lt;strong&gt;5.1 Everett&amp;rsquo;s Insight&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;In 1957, a 26-year-old Princeton graduate student named Hugh Everett III
published what would become one of the most important papers in the
history of physics.&lt;/p&gt;
&lt;p&gt;Everett&amp;rsquo;s radical proposal was stunning in its simplicity: &lt;em&gt;Take the
Schrödinger equation seriously. Apply it to everything. Never collapse
the wave function.&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;Everett asked: What if we stop treating measurement as a special
exception to the rules of physics? What if we treat observers, whether
humans or instruments, as quantum systems unto themselves, obeying the
same deterministic laws as everything else?&lt;/p&gt;
&lt;p&gt;After all, as stated in &lt;a href="#33-the-schr%C3%B6dinger-equation"&gt;&lt;em&gt;section 3.3&lt;/em&gt;&lt;/a&gt;, nothing in quantum theory
indicates that the Schrödinger equation shouldn&amp;rsquo;t apply everywhere.&lt;/p&gt;
&lt;p&gt;The implications of his simple insight were extraordinary.&lt;/p&gt;
&lt;h3 id="52-measurement-without-collapse"&gt;&lt;strong&gt;5.2 Measurement Without Collapse&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;So, what actually happens when you perform a measurement, if it&amp;rsquo;s not
collapse? Everett&amp;rsquo;s answer was simple: nothing out of the ordinary.
Measurement is just another physical interaction, one quantum system
interacting with another, governed entirely by the Schrödinger equation.&lt;/p&gt;
&lt;p&gt;Suppose you have a particle \(|\psi\rangle\) in a superposition of two
outcomes \(|A\rangle\) and \(|B\rangle\):&lt;/p&gt;
\[|\psi\rangle = a|A\rangle + b|B\rangle\]&lt;p&gt;Now, let's suppose that you bring in a measurement device, such as a
detector, or even just your own eyes. That measurement device is itself
a quantum system, and so is also described by its own wave equation.
Let&amp;rsquo;s assume the device (or your eyes) to initially be in the state:&lt;/p&gt;
\[|D_{0}\rangle\]
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;Here, again, \(|D_{0}\rangle\) is just a name. We could have called it
anything else. We only chose the letter &lt;em&gt;D&lt;/em&gt; because it&amp;rsquo;s the first
letter of &lt;em&gt;device&lt;/em&gt;.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;When the particle interacts with the device, the universal Schrödinger
equation doesn&amp;rsquo;t collapse anything. Instead, it entangles the two:&lt;/p&gt;
\[|\psi\rangle = a|A\rangle|D_{A}\rangle + b|B\rangle|D_{B}\rangle\]
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;em&gt;Entanglement&lt;/em&gt; means that their outcomes are no longer described by
independent wave functions. In the above example, \(|A\rangle\) and
\(|D_{A}\rangle\) are tied together. Same for \(|B\rangle\) and
\(|D_{B}\rangle\).&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Here&amp;rsquo;s what the entanglement signifies:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;If the particle is in state \(|A\rangle\), the device registers &amp;ldquo;A&amp;rdquo;,
which is why we write it as \(|D_{A}\rangle\). It&amp;rsquo;s tied to the state
\(|A\rangle\)—it&amp;rsquo;s &lt;em&gt;entangled&lt;/em&gt; with it.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;If it&amp;rsquo;s in state \(|B\rangle\), the device registers &amp;ldquo;B&amp;rdquo;, which explains
why we write it as \(|D_{B}\rangle\).&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;There is no collapse here. Instead, there is just entanglement, and two
equally real outcomes.&lt;/p&gt;
&lt;p&gt;Further, if an observer was in the room, say initially in the state
\(|O_{0}\rangle\), they would become entangled as well:&lt;/p&gt;
\[|\psi\rangle = a|A\rangle|D_{A}\rangle|O_{A}\rangle + b|B\rangle|D_{B}\rangle|O_{B}\rangle\]&lt;p&gt;What the above equation says is: there is a &lt;em&gt;branch&lt;/em&gt; where the device
measured outcome \(|A\rangle\), and the observer subsequently became
entangled with that branch. There is another branch where the device
measured outcome \(|B\rangle\), and the observer subsequently became
entangled with that one as well.&lt;/p&gt;
&lt;p&gt;Taking things literally, without fear of the implications, this means
that there are now &lt;em&gt;two&lt;/em&gt; observers: one who observed and became
entangled with state \(|A\rangle\), and another who observed and became
entangled with state \(|B\rangle\).&lt;/p&gt;
&lt;p&gt;Both are equally real, but they can&amp;rsquo;t interact with each other (we will
see why later). Importantly, until the exact moment that the
entanglement occurred, the observer was one person, however, once the
entanglement happened, two versions of the same observer emerged.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;Think of it like a book that splits into two storylines. Up to chapter
5, there&amp;rsquo;s only one character, Bob. At chapter 6, the story splits
into two parallel plotlines: in one version Bob opens the red door, in
the other he opens the blue door. Both stories exist in the book,
written side by side, but each Bob only experiences the one inside his
storyline.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;That&amp;rsquo;s what the equation is saying: both Bobs exist, both are equally
real, each is restricted to the outcomes of their own branch, in their
own &lt;em&gt;world&lt;/em&gt;.&lt;/p&gt;
&lt;p&gt;This might seem crazy, but all we&amp;rsquo;re doing here is taking quantum
mechanics seriously and figuring out its implications. There are no
additional, ad hoc assumptions here.&lt;/p&gt;
&lt;p&gt;This is why calling Many-Worlds an &amp;lsquo;interpretation&amp;rsquo; is
misleading. It is quantum theory taken literally. Collapse
interpretations, by contrast, are extra rules pasted on top.&lt;/p&gt;
&lt;p&gt;We will cover later on in the article where each version of Bob resides,
and why they can&amp;rsquo;t communicate with each other.&lt;/p&gt;
&lt;p&gt;But first, if an observer in the room becomes entangled with each
branch, what about the rest of the world? Won&amp;rsquo;t it eventually become
entangled as well? The answer is, yes, but before that, let&amp;rsquo;s go over
what &lt;em&gt;interference&lt;/em&gt; is.&lt;/p&gt;
&lt;h3 id="53-interference"&gt;&lt;strong&gt;5.3 Interference&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Superpositions don&amp;rsquo;t just list the different possibilities. Their
amplitudes—the &amp;ldquo;weights&amp;rdquo; of each possibility—can also interact with
each other. This interaction is called interference.&lt;/p&gt;
&lt;p&gt;Think of two ripples on a pond. When the ripples meet, they can either
converge into a larger ripple, a form of &lt;em&gt;constructive&lt;/em&gt; interference, or
they can cancel each other into still water, a form of &lt;em&gt;destructive&lt;/em&gt;
interference.&lt;/p&gt;
&lt;p&gt;More formally, suppose you have a particle \(|\psi\rangle\) in a
superposition of two outcomes \(|A\rangle\) and \(|B\rangle\):&lt;/p&gt;
\[|\psi\rangle = a|A\rangle + b|B\rangle\]&lt;p&gt;Here \(a\) and \(b\) (the amplitudes) aren&amp;rsquo;t just passive numbers. How they
combine will determine whether in some situations \(|A\rangle\) and
\(|B\rangle\) constructively interfere or destructively interfere.&lt;/p&gt;
&lt;p&gt;In practice, this means that before decoherence kicks in, a phenomenon
we will shortly go over, branches have sufficient &lt;em&gt;overlap&lt;/em&gt; in order to
interfere. When decoherence kicks in, they become independent worlds and
no longer have the ability to interfere.&lt;/p&gt;
&lt;h3 id="54-what-is-a"&gt;&lt;strong&gt;5.4 What Is a &amp;ldquo;World&amp;rdquo; in Many-Worlds?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;In &lt;a href="#52-measurement-without-collapse"&gt;&lt;em&gt;section 5.2&lt;/em&gt;&lt;/a&gt; we covered an example of a device becoming entangled
with each possible state of a particle \(|\psi\rangle\), with the observer
in the room eventually becoming entangled as well. But what about the
rest of the world?&lt;/p&gt;
&lt;p&gt;Eventually, the rest of the world will become entangled as well. The
measuring device may emit heat, for example, the amount of which depends
on the device&amp;rsquo;s measurement outcome. Heat gets air molecules to be more
&amp;ldquo;excited&amp;rdquo;, and, as a result, they bump into each other more. This
results in the air molecules becoming entangled with the original
particle&amp;rsquo;s state as well.&lt;/p&gt;
&lt;p&gt;Over time, the disturbance ripples outward—molecules colliding,
photons scattering, and even the underlying fields (like the
electromagnetic field) extending—so that larger and larger parts of
the environment become correlated with the original outcome. Because
nothing is perfectly isolated, the entanglement spreads far beyond the
device.&lt;/p&gt;
&lt;p&gt;It&amp;rsquo;s not literally the entire universe all at once—what actually
happens is that ever-larger subsystems become independent bubbles of
history. Each &amp;lsquo;world&amp;rsquo; is one such bubble, expanding as more of its
surroundings get locked into its storyline.&lt;/p&gt;
&lt;p&gt;In the above example, I used the device&amp;rsquo;s heat as an initial trigger,
but it could have been anything. Photons could have become entangled
with the device, if it reflects light. The arrangement of the atoms that
make up the device could be slightly different depending on the
measurement, causing the photons to reflect slightly differently. As a
result, the rest of the environment would become entangled over time,
just like in the previous air molecule example.&lt;/p&gt;
&lt;p&gt;The important point here is that microscopic differences in the device
after the measurement, eventually ripple into large macroscopic changes,
entangling the environment with each state.&lt;/p&gt;
&lt;p&gt;Eventually, the whole world gets entangled with each branch, meaning
there are now two worlds. One world entangled with state \(|A\rangle\),
and another entangled with state \(|B\rangle\). We call this process of
growing entanglement and the separation of branches &lt;em&gt;decoherence&lt;/em&gt;.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;&lt;p&gt;Decoherence is what happens when a quantum system becomes entangled
with its environment in so many uncontrollable ways that the different
branches of its wave function can no longer interfere with each other.&lt;/p&gt;
&lt;p&gt;In plain words: it&amp;rsquo;s the process by which quantum possibilities (like
outcome \(|A\rangle\) and outcome \(|B\rangle\)) stop overlapping and
start behaving like separate, classical realities.&lt;/p&gt;
&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;It&amp;rsquo;s important to stress that splitting is local, not global. The whole
universe doesn&amp;rsquo;t branch at once. The chain starts right where the
measurement happens: a particle hits the device and entangles it to a
branch, and as photons bounce differently in each branch, the air
molecules scatter differently in each branch.&lt;/p&gt;
&lt;p&gt;The branching then propagates outward at the speed of these interactions
(though never faster than light). That&amp;rsquo;s why, in the Bob example, &amp;ldquo;two
Bobs&amp;rdquo; only exist from the moment Bob himself becomes entangled with the
device. Before that, there was still just one Bob, even though there
were already two devices (assuming the particle already hit the device).&lt;/p&gt;
&lt;h3 id="55-re-interference"&gt;&lt;strong&gt;5.5 Re-interference&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;We now know how splitting works, and how a microscopic branch split
eventually leads to completely separate and independent worlds.&lt;/p&gt;
&lt;p&gt;But if worlds split, can they ever come back together again? Could the
two Bobs merge back into one later on?&lt;/p&gt;
&lt;p&gt;The answer is, yes! The Schrödinger equation is linear, which means that
when different parts of the wavefunction evolve, they don&amp;rsquo;t erase each
other, they just separate. All the information about each branch is
still present in principle. So re-interference is possible: If you could
take every particle, photon, and atom in both branches and put them back
into exactly the same state, the two branches would interfere again,
merging back into a single branch.&lt;/p&gt;
&lt;p&gt;However, this happens &lt;em&gt;extremely&lt;/em&gt; infrequently. Recalling the example
from &lt;a href="#53-interference"&gt;&lt;em&gt;section 5.3&lt;/em&gt;&lt;/a&gt;, a microscopic difference like a trillionth of a
Celsius degree can get one air molecule to behave just slightly
differently, bumping into others slightly differently as a result,
entangling them. Then &lt;em&gt;those&lt;/em&gt; air molecules will entangle still others,
and so on.&lt;/p&gt;
&lt;p&gt;For re-interference to happen, you would have to bring every single
particle back into the original state. That&amp;rsquo;s nearly impossible in
practice, especially given the exponential nature of entanglement. You
would need to be very quick in order to stop the chain of events and
reverse the entanglement.&lt;/p&gt;
&lt;p&gt;For this reason, re-interference is possible in simple, isolated
systems, where we carefully shield the studied particles from the
environment, but for macroscopic systems, like a device, an observer,
and a room full of air, it&amp;rsquo;s beyond reach, at least at the moment.&lt;/p&gt;
&lt;p&gt;So while re-interference is never ruled out by the laws of physics,
decoherence spreads entanglement so fast and so completely that for
anything larger than a handful of particles, the worlds may as well be
permanently separate.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/einstein-bohr.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Niels
Bohr (left) with Albert Einstein (right) at Paul Ehrenfest\'s home in
Leiden, December 1925. Bohr strongly defended the collapse
interpretation, while Einstein rejected it, arguing the theory was
incomplete.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="6-myths-and-misconceptions-about-many-worlds"&gt;&lt;strong&gt;6. Myths and Misconceptions About Many-Worlds&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="61-do-the-worlds-exist-in-other-dimensions"&gt;&lt;strong&gt;6.1 Do the Worlds Exist in Other Dimensions?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;It&amp;rsquo;s a myth that Many-Worlds implies merely a collection of spatially
distant, causally separated bubble universes.&lt;/p&gt;
&lt;p&gt;All Everettian worlds, all of the constantly differentiating and
emerging branches, exist in the exact same reality we live in. They
overlap the same physical space we&amp;rsquo;re in.&lt;/p&gt;
&lt;p&gt;This obviously sounds insane—why can't we see them or interact with
them?&lt;/p&gt;
&lt;p&gt;The answer has to do with Hilbert space, which we covered in &lt;a href="#32-hilbert-space"&gt;&lt;em&gt;section 3.2&lt;/em&gt;&lt;/a&gt;. As you know by now, every quantum state resides in Hilbert space.
Mathematically, the phenomenon of branching caused by decoherence is
just quantum states in Hilbert space becoming orthogonal to each other.&lt;/p&gt;
&lt;p&gt;Those who remember high school math may think of orthogonality as a 90º
angle between two lines, making it a right angle and the lines
perpendicular to each other. This is the case here, but it also means
something more abstract and deeper: the states are completely
independent and non-overlapping.&lt;/p&gt;
&lt;p&gt;Think of two songs playing on totally different radio frequencies. They
both fill the air of the same city, but because they&amp;rsquo;re on separate
channels, your radio only ever picks up one. In this analogy, you are
the radio (not to insult you), tuned into a specific branch.&lt;/p&gt;
&lt;p&gt;In Hilbert space, orthogonal states are like those separate radio
channels. They exist together, in the same exact physical space, but
they don&amp;rsquo;t interfere with each other. Your radio is &lt;em&gt;tuned&lt;/em&gt; into a
specific frequency, just like decoherence &lt;em&gt;tunes&lt;/em&gt; the environment into
specific branches.&lt;/p&gt;
&lt;p&gt;This is all very mathematical and fine, but how is it even possible? How
is it possible that there are trillions of or infinite overlapping
worlds that exist in the same reality we are in, but that we can&amp;rsquo;t touch
them or interact with?&lt;/p&gt;
&lt;p&gt;The reason is that, as explained above, once states become orthogonal
through decoherence, all possible interference between them vanishes.
Even if you tried to &amp;ldquo;peek&amp;rdquo; into another branch, you couldn't, as your
eyes, your neurons, and the photons that reach you, are all already
entangled with your branch.&lt;/p&gt;
&lt;p&gt;The entire chain of your perception is locked into one storyline. From
the inside, you only ever experience your branch, never the others.&lt;/p&gt;
&lt;p&gt;Additionally, the issue of non-interaction comes down to practical
impossibility. In order to interact with another branch, you would need
to reverse every single entangling interaction that separates them,
every scattered photon, every vibrating atom, every air molecule
collision. At a macroscopic level, this is essentially impossible, as
explained in &lt;a href="#54-what-is-a-world-in-many-worlds"&gt;&lt;em&gt;section 5.4&lt;/em&gt;&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;So, the reason that you don&amp;rsquo;t feel molecules from other worlds hitting
you is because &amp;ldquo;those molecules&amp;rdquo; don&amp;rsquo;t even exist in your branch. They
exist in their own orthogonal state, evolving in their distinct and
independent branch.&lt;/p&gt;
&lt;p&gt;If you are having trouble visualizing this or understanding this, don&amp;rsquo;t
worry, it&amp;rsquo;s normal. Again, we made no additional assumptions here. And,
for what it&amp;rsquo;s worth, black holes, spacetime, and other phenomena in
physics are at least as counterintuitive as this.&lt;/p&gt;
&lt;h3 id="62-why-don"&gt;&lt;strong&gt;6.2 Why Don&amp;rsquo;t I Notice the Split?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;By now you might be wondering: If I split into two versions of myself
whenever a measurement happens, why don&amp;rsquo;t I feel the splitting?
Shouldn&amp;rsquo;t I feel something when a new &amp;ldquo;me&amp;rdquo; appears?&lt;/p&gt;
&lt;p&gt;The reason is simple: from the inside of a branch, there is nothing to
notice or feel. Each copy of you is perfectly continuous with your past
and is only aware of what happens in that particular branch.&lt;/p&gt;
&lt;p&gt;Going back to Bob&amp;rsquo;s example from &lt;a href="#52-measurement-without-collapse"&gt;&lt;em&gt;section 5.2&lt;/em&gt;&lt;/a&gt;: Before the
measurement, there was one Bob in state \(|O_{0}\rangle\).&lt;/p&gt;
&lt;p&gt;After the device&amp;rsquo;s measurement, the wave function branched and
subsequently entangled Bob along with it:&lt;/p&gt;
\[|\psi\rangle = a|A\rangle|D_{A}\rangle|O_{A}\rangle + b|B\rangle|D_{B}\rangle|O_{B}\rangle\]&lt;p&gt;Now there are two Bobs: Bob A and Bob B. But each one remembers being
the original Bob. Each one experienced a smooth, uninterrupted flow of
time. Neither has any sense of &amp;ldquo;splitting.&amp;rdquo;&lt;/p&gt;
&lt;p&gt;Why? Because everything that makes up &amp;ldquo;you&amp;rdquo; has already been entangled:
your eyes, neurons, memories, etc. When the split happens, each version
of you carries forward the same memories up to that moment. Within each
branch, it feels like nothing unusual happened. It just seems as though
&amp;ldquo;one outcome&amp;rdquo; occurred.&lt;/p&gt;
&lt;p&gt;So why don&amp;rsquo;t you notice the split? Because noticing requires comparison,
and you never have access to the other branch to compare it with. The
only way you could notice would be if the wavefunction actually broke
its smooth, reversible evolution—as if it really collapsed. But it
never does, so nothing appears out of the ordinary.&lt;/p&gt;
&lt;p&gt;That&amp;rsquo;s why your everyday experience feels &amp;ldquo;normal&amp;rdquo;, even though the
universal wave function is constantly branching.&lt;/p&gt;
&lt;h3 id="63-is-energy-conserved-if-worlds-multiply"&gt;&lt;strong&gt;6.3 Is Energy Conserved If Worlds Multiply?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;If there are constantly new branches being created, aren&amp;rsquo;t we creating
new energy all the time out of thin air?&lt;/p&gt;
&lt;p&gt;This is one of the most natural objections to the Many-Worlds
explanation of quantum mechanics. Its resolution is admittedly difficult
to grasp intuitively. It &lt;em&gt;feels&lt;/em&gt; like branching should mean that more
and more energy appears: two worlds, two Bobs, two devices, twice as
much matter and energy.&lt;/p&gt;
&lt;p&gt;The reality, though, is that at the level of the universal wave
function, the mathematical object that describes all branches, energy is
perfectly conserved. The Schrödinger equation that governs its evolution
guarantees that the total energy of the universe never changes.&lt;/p&gt;
&lt;p&gt;To see how this works, let&amp;rsquo;s use a very simple example. Suppose the
universal state is&lt;/p&gt;
\[|\psi\rangle = a|A\rangle + b|B\rangle\]&lt;p&gt;with two possible branches, \(|A\rangle\) and \(|B\rangle\). Remember, \(a\)
and \(b\) are called the amplitudes of the branches. They aren&amp;rsquo;t just
arbitrary numbers: their squared magnitudes, \(|a|^{2}\) and \(|b|^{2}\),
represent the &amp;ldquo;share&amp;rdquo; of the total wave function taken up by each
branch. This is another case of the Born rule, which we saw in &lt;a href="#34-the-born-rule"&gt;&lt;em&gt;section 3.4&lt;/em&gt;&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;Now, one of the most important properties of any wave function is that
it must be &lt;em&gt;normalized&lt;/em&gt;. Normalization simply means that when you add up
the shares of all possible branches, you get exactly 1:&lt;/p&gt;
\[|a|^{2} + |b|^{2} = 1\]&lt;p&gt;This ensures that the probabilities of all possible outcomes always add
up to 100%, meaning the whole state of the wave function always
represents 100% of reality, no matter how many branches it splits into.
Without it, we would assign either too little or too much total
probability, which would make no physical sense.&lt;/p&gt;
&lt;p&gt;Let&amp;rsquo;s make this concrete. Suppose the total energy of the universal
state before branching is \(10\ J,\) where \(J\) denotes &lt;em&gt;joules&lt;/em&gt;, a unit of
energy. After branching, each branch looks like a complete world from
the inside, with as much energy as its &amp;lsquo;parent&amp;rsquo; branch had had: say
\(E_{A} = 10\ J\) and \(E_{B} = 10\ J\). To Bob A and Bob B, nothing seems
to be missing, and everything is continuous. Each Bob lives in a
complete-seeming world.&lt;/p&gt;
&lt;p&gt;But when we calculate the total energy of the universal wave function,
we don&amp;rsquo;t just add \(E_{A} + E_{B}\). That would be double counting, since
the &amp;lsquo;weight&amp;rsquo; of the parent branch is equal to the sum of the &amp;lsquo;weights&amp;rsquo;
of the branches that include Bob A and Bob B. The correct calculation,
then, is the &lt;em&gt;expectation value,&lt;/em&gt; the average of all the possible
outcomes of a measurement as weighted by their likelihood:&lt;/p&gt;
\[E_{total} = |a|^{2}E_{A} + |b|^{2}E_{B}\]&lt;p&gt;If, for example, \(a = b = \frac{1}{\sqrt{2}}\), for example, then each
branch has weight:&lt;/p&gt;
\[|a|^{2} = |b|^{2} = \left| \frac{1}{\sqrt{2}} \right|^{2} = \frac{1}{2}\]&lt;p&gt;So, the total energy is:&lt;/p&gt;
\[E_{total} = \frac{1}{2} \cdot 10 + \frac{1}{2} \cdot 10 = 5 + 5 = 10\]&lt;p&gt;Energy is conserved, as promised. The &amp;ldquo;two worlds&amp;rdquo; didn&amp;rsquo;t double the
energy. Rather, the amplitudes rebalanced their contributions so that
the universal total stays constant.&lt;/p&gt;
&lt;p&gt;A common question at this point is whether energy is somehow
&amp;ldquo;transferred&amp;rdquo; from a parent branch into its child branches. If the
original world had \(10\ J\), and each child world also has \(10\ J\), then
it may seem as if something must have been duplicated and handed out.&lt;/p&gt;
&lt;p&gt;But that picture is misleading. Before branching, the state was a single
vector \(|\psi\rangle\). After branching, it is still a single vector
\(|\psi\rangle\), just written as a sum of components \(|A\rangle\) and
\(|B\rangle\). At no point is energy taken from one and given to another,
the global expectation value of energy is constant throughout.&lt;/p&gt;
&lt;h3 id="64-at-what-speed-do-worlds-split"&gt;&lt;strong&gt;6.4 At What Speed Do Worlds Split?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;When we talk about worlds branching, it might sound as if the universe
suddenly duplicates itself in an instant. But this is not how branching
works.&lt;/p&gt;
&lt;p&gt;Worlds don&amp;rsquo;t split all at once nor in every place simultaneously.
Splitting is a local and continuous process, unfolding as particles
interact with their surroundings.&lt;/p&gt;
&lt;p&gt;Each time a particle collides, or a photon interacts with something,
information about the outcome is copied into the environment, and the
corresponding branches grow more orthogonal (meaning more distinct) to
one another.&lt;/p&gt;
&lt;p&gt;The &amp;ldquo;speed&amp;rdquo; of branching is therefore just the speed of physical
interactions:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;
&lt;p&gt;Photons carry outcome information at the speed of light.&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Air molecules spread information at their thermal speeds (hundreds of
meters per second).&lt;/p&gt;
&lt;/li&gt;
&lt;li&gt;
&lt;p&gt;Vibrations in solids transmit information at the speed of sound in the
material.&lt;/p&gt;
&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Branching propagates outward at those speeds. There is no global cosmic
moment at which &amp;ldquo;the split happens.&amp;rdquo;&lt;/p&gt;
&lt;p&gt;Instead, the process ripples outward from the site of the quantum event,
like concentric waves on a pond after a stone is thrown in. But quantum
branching is not caused by just one stone—it&amp;rsquo;s caused by trillions,
scattered everywhere, making ripples all the time. Every photon, every
air molecule collision, every atomic vibration is another &amp;ldquo;stone,&amp;rdquo;
creating its own expanding ripples of branching.&lt;/p&gt;
&lt;p&gt;For macroscopic systems, this all happens incredibly fast. A dust grain
floating in air can decohere in less than a billionth of a second. To
us, that is indistinguishable from instant. This explains why everyday
reality feels so definite. Branching happens on timescales far shorter
than human perception could ever detect.&lt;/p&gt;
&lt;p&gt;Additionally, branches don&amp;rsquo;t drift through space and collide with each
other. Instead, what&amp;rsquo;s spreading is entanglement: when a quantum event
happens, information about its outcome ripples outward at the speed of
interactions (light, molecules, vibrations).&lt;/p&gt;
&lt;p&gt;If that ripple reaches you later, you don&amp;rsquo;t &amp;ldquo;merge with another branch.&amp;rdquo;
Instead, you split at that moment, becoming correlated with that earlier
event. In this way, branching is continuous and local, with new splits
layering on top of old ones.&lt;/p&gt;
&lt;h3 id="65-is-there-a-finite-or-countable-number-of-worlds"&gt;&lt;strong&gt;6.5 Is There a Finite or Countable Number of Worlds?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Many-Worlds is often pictured as a collection of a vast, even infinite,
number of parallel universes you could (in principle) list and manually
count.&lt;/p&gt;
&lt;p&gt;But that is wrong. Branches are not fundamental objects in the theory.
Those are downstream from the universal wave function, which evolves
smoothly and deterministically.&lt;/p&gt;
&lt;div class="box box-info"&gt;
&lt;div class="box-title"&gt;Info&lt;/div&gt;
&lt;div class="box-content"&gt;In fact, Hugh Everett named his revolutionary 1957 paper &amp;ldquo;The Theory
of the Universal Wave Function&amp;rdquo;, and didn&amp;rsquo;t mention the existence of
other universes even once throughout the entire paper. It is implied
by quantum mechanics, as an emergent description, but not a
fundamental part of it.&lt;/div&gt;
&lt;/div&gt;
&lt;p&gt;Branches are an emergent description we use when decoherence makes parts
of the wave function effectively independent. They are patterns in the
mathematics of the wave equation, not individually labeled &amp;ldquo;things&amp;rdquo; that
physics keeps a register of. This doesn&amp;rsquo;t mean they aren&amp;rsquo;t real—they
very much are. It just means there isn&amp;rsquo;t a database or registry
somewhere of all branches.&lt;/p&gt;
&lt;p&gt;Every possible microscopic detail of the environment defines another way
the wave function can decohere. There is no line where you can stop and
say, &amp;ldquo;Here is the exact number of worlds.&amp;rdquo; It&amp;rsquo;s effectively infinite.&lt;/p&gt;
&lt;p&gt;So while it&amp;rsquo;s fine as a shorthand to say &amp;ldquo;a world where Bob saw A&amp;rdquo; and
&amp;ldquo;a world where Bob saw B,&amp;rdquo; in reality there are infinitely many slight
variations entangled into those states, each differing by the paths of
countless photons, molecules, and atoms. Talking about a &amp;ldquo;number of
worlds&amp;rdquo; is like asking, &amp;ldquo;How many waves are in the ocean?&amp;rdquo;&lt;/p&gt;
&lt;h3 id="66-can-we-interact-with-other-worlds"&gt;&lt;strong&gt;6.6 Can We Interact with Other Worlds?&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Another common myth about Many-Worlds is that, while we can&amp;rsquo;t interact
with other branches &lt;em&gt;yet&lt;/em&gt;, perhaps some future technology might allow us
to cross over or send a message, like building a radio tuned to another
universe.&lt;/p&gt;
&lt;p&gt;The answer is no. Once branches become orthogonal through decoherence,
they no longer interfere. Orthogonality means that they occupy
completely independent directions in Hilbert space.&lt;/p&gt;
&lt;p&gt;No process allowed by quantum mechanics can cause two orthogonal states
to overlap again unless you perfectly reverse every single entangling
interaction or through some different chain of interactions that happens
to bring them back together. For a macroscopic system, that is in
practice impossible.&lt;/p&gt;
&lt;p&gt;From the inside, this means your awareness is always locked to a single
branch. Your eyes, neurons, and every photon reaching you are already
entangled with your branch&amp;rsquo;s history. There is no way to &amp;ldquo;look sideways&amp;rdquo;
into another branch, because the very act of looking is part of what
entangles you to this one.&lt;/p&gt;
&lt;p&gt;Decohered worlds are effectively like radio channels on different
frequencies. Both fill the air, but once you&amp;rsquo;re tuned into one, you
cannot hear the others.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/von-neumann.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Portrait of John Von Neumann, who gave
quantum mechanics its precise formal structure.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="7-can-many-worlds-be-tested"&gt;&lt;strong&gt;7. Can Many-Worlds Be Tested?&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="71-misunderstanding-what"&gt;&lt;strong&gt;7.1 Misunderstanding What &amp;ldquo;Proof&amp;rdquo; Means&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;When people first hear about Many-Worlds, their first reaction is often:
&lt;em&gt;&amp;ldquo;But you can&amp;rsquo;t prove it! You can&amp;rsquo;t see the other worlds, so it&amp;rsquo;s just
speculation.&amp;rdquo;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;Technically, there is a way to test it. David Deutsch, the father of
quantum computing, showed so
&lt;a href="https://boulderschool.yale.edu/sites/default/files/files/Deutsch.pdf"&gt;here&lt;/a&gt;
(see &lt;em&gt;8. A Thought Experiment&lt;/em&gt;). But it relies on technology we don&amp;rsquo;t
possess today and probably won&amp;rsquo;t possess in the near future.&lt;/p&gt;
&lt;p&gt;In any case, this objection sounds powerful, but it rests on a
fundamental misunderstanding of how science works. Science is not about
directly observing every part of reality. It&amp;rsquo;s about conjecturing
theories that explain what we &lt;em&gt;do&lt;/em&gt; observe in terms of entities that we
do &lt;em&gt;not&lt;/em&gt; observe, and then testing those theories against experiments.&lt;/p&gt;
&lt;p&gt;We never directly observe most of the entities science deals with. No
one has ever seen an electron with the naked eye. No one has touched
spacetime curvature. We infer their existence because the theories that
invoke them explain our observations better than all rival theories that
don&amp;rsquo;t.&lt;/p&gt;
&lt;p&gt;By this standard, Many-Worlds is not speculative at all. It is simply
quantum mechanics taken seriously, without ad hoc additions or fixes.
The Schrödinger equation is one of the most precisely tested laws in all
of science. It has never once failed an experimental test. As previously mentioned, Everett&amp;rsquo;s
insight was simple: don&amp;rsquo;t add collapse, just apply the equation
universally.&lt;/p&gt;
&lt;h3 id="72-collapse-requires-extra-assumptions"&gt;&lt;strong&gt;7.2 Collapse Requires Extra Assumptions&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;If you deny Many-Worlds, you will probably accept collapse as an
alternative &amp;ldquo;explanation&amp;rdquo;. But collapse is not written in the
mathematics of quantum mechanics. It is an extra rule, pasted on top.&lt;/p&gt;
&lt;p&gt;The problem is that collapse rules are vague and contradictory: When
exactly does it happen? What counts as a measurement? Why should
observers or consciousness have special powers that no other physical
system has?&lt;/p&gt;
&lt;p&gt;There are no clear, testable answers. Collapse is not just an
unnecessary assumption, it&amp;rsquo;s one that directly contradicts the linear,
deterministic, universal nature of the Schrödinger equation.&lt;/p&gt;
&lt;p&gt;This is why Many-Worlds is not a speculative add-on. It is the default
reading of the equations. If you take the Schrödinger equation and
follow it through consistently, you arrive at Many-Worlds automatically.
The burden of proof lies not on Everett, but on anyone who wants to
&lt;em&gt;change the equations&lt;/em&gt; by injecting collapse.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/dewitt.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;Bryce DeWitt with his wife Cécile DeWitt-Morette. Bryce DeWitt revived
Everett's Many-Worlds interpretation and helped gain it recognition.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="8-living-in-many-worlds"&gt;&lt;strong&gt;8. Living in Many-Worlds&lt;/strong&gt;&lt;/h2&gt;
&lt;h3 id="81-probability-free-will-and-ethics"&gt;&lt;strong&gt;8.1 Probability, Free Will, and Ethics&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;What does probability even mean if all outcomes happen? Is there free
will—do my choices and ethics still matter?&lt;/p&gt;
&lt;p&gt;First, it&amp;rsquo;s important to clarify that while there is practically an
infinity of other worlds, they each respect the laws of physics. So all
outcomes &lt;em&gt;within the laws of physics&lt;/em&gt; happen.&lt;/p&gt;
&lt;p&gt;Second, we must distinguish between two perspectives. From the outside,
looking at the universal wave function, there is no randomness at all.
The Schrödinger equation is fully deterministic: the state evolves
continuously and smoothly, splitting into branches, etc. From that
global view, nothing is uncertain.&lt;/p&gt;
&lt;p&gt;From the inside of a branch, it&amp;rsquo;s impossible to know which outcome you
will experience in advance. Before a quantum event, there are multiple
possible future versions of you, each tied to a different outcome. You
can&amp;rsquo;t predict which &amp;ldquo;you&amp;rdquo; you will become, creating uncertainty. That
subjective uncertainty corresponds to the probabilities of outcomes. The
Born rule, as seen in &lt;a href="#34-the-born-rule"&gt;&lt;em&gt;section 3.4&lt;/em&gt;&lt;/a&gt;, tells you how much &amp;ldquo;weight&amp;rdquo; each
outcome has in the universal wave function, which translates directly
into how likely you are to find yourself in that branch.&lt;/p&gt;
&lt;p&gt;Some worry that if everything happens, then nothing we do matters, as if
we&amp;rsquo;re passengers on a train of predetermined splits. But free will is
branch-relative. Inside your branch, you still make decisions, and those
decisions still cause real effects in that branch. The fact that other
versions of you are making different choices in other branches doesn&amp;rsquo;t
reduce your agency, instead, each version of you is a genuine
continuation of the original, exercising choice in their own storyline.&lt;/p&gt;
&lt;p&gt;This leads naturally to ethics. In Many-Worlds, your actions still
matter deeply. Not in some vague spiritual manner, but concretely and
practically. When you choose to help someone, you shape the future of
the branch in which you did so. There may be other branches in which you
didn&amp;rsquo;t, but that doesn&amp;rsquo;t erase the fact that, in this branch, real
people benefit from your action. The existence of other branches doesn&amp;rsquo;t
trivialize morality. In fact, it multiplies morality&amp;rsquo;s scope, as your
choices in this branch impact all future branches that claim this branch
as its ancestor.&lt;/p&gt;
&lt;p&gt;So probability, free will, and ethics all survive in Many-Worlds.
Probability is your uncertainty about which branch you will find
yourself in. Free will is your power to act within your branch. Ethics
is the recognition that, in each branch, your choices define the futures
that real people, real versions of you and everyone else, will live.&lt;/p&gt;
&lt;h3 id="82-fiction-and-reality"&gt;&lt;strong&gt;8.2 Fiction and Reality&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;One of the most unsettling implications of Many-Worlds is that, within
the laws of physics, every possible outcome actually happens somewhere.
There are deplorable worlds where the Nazis won World War II, Napoleon
triumphed at Waterloo, etc.&lt;/p&gt;
&lt;p&gt;But, again, fiction that violates the laws of physics, like
faster-than-light travel or dragons breathing fire by magic, doesn&amp;rsquo;t
happen. What does happen are all sequences of events that remain
consistent with quantum mechanics. The scope is vast beyond
comprehension, but it&amp;rsquo;s not unconstrained.&lt;/p&gt;
&lt;p&gt;This framework does lead to interesting observations. There are
universes in which what &lt;em&gt;seems&lt;/em&gt; like magic happens. There are worlds,
for example, where someone jumped from a skyscraper and successfully
flew in the air for 30 seconds due to an extraordinarily unlikely air
configuration.&lt;/p&gt;
&lt;p&gt;In each of these cases, what appears supernatural from inside those
branches, what seems like magic, is in reality just extraordinarily
unlikely coincidences. The laws of physics are never violated, and the
branches in which these events happen have an astronomically small
weight compared to the overwhelming number of &amp;ldquo;ordinary&amp;rdquo; branches in
which those events did not coincidentally align.&lt;/p&gt;
&lt;h3 id="83-a-brief-explanation-of-quantum-computing"&gt;&lt;strong&gt;8.3 A Brief Explanation of Quantum Computing&lt;/strong&gt;&lt;/h3&gt;
&lt;p&gt;Ordinary computers are made out of millions of bits, which you can think
of as tiny switches that are either on (equal to 1) or off (equal to 0).&lt;/p&gt;
&lt;p&gt;Quantum computers are fundamentally different because they don&amp;rsquo;t operate
on bits, but on qubits. Qubits are quantum states that can be in
&lt;em&gt;superpositions&lt;/em&gt; of 0 and 1, meaning not just 0 and 1, but any
combination of the states 0 and 1 (as long as their respective weights
add up to 1), as explained in &lt;a href="#35-superposition"&gt;&lt;em&gt;section 3.5&lt;/em&gt;&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;Qubits can be made out of many things, including photons, electrons,
atoms, etc. That&amp;rsquo;s why there are a lot of different approaches to
quantum computing, as different companies use different systems and
approaches.&lt;/p&gt;
&lt;p&gt;Now, people often make the mistake of saying that a quantum computer
works by &amp;ldquo;making the computations across many different parallel
universes at once.&amp;rdquo; It&amp;rsquo;s a nice metaphor, but that&amp;rsquo;s not how it works in
practice. The real source of quantum computing&amp;rsquo;s power is interference
between universes.&lt;/p&gt;
&lt;p&gt;When a quantum computer performs a computation, it creates a state of
superposition. By carefully arranging the computation, we can ensure
that in almost all branches, the wrong answers cancel out, while the
correct answer reinforces itself.&lt;/p&gt;
&lt;p&gt;You can compare quantum computing to creating waves in a pond: if you do
it badly, the ripples collide chaotically and nothing comes out of it.
However, if you do so with precision, you could get the waves to ripple
against each other in such a way that most cancel each other out and a
particular pattern, for example a circle, emerges. That&amp;rsquo;s what a quantum
algorithm is: a recipe for arranging interference across the different
branches of a superposition so that only the right answers survive.&lt;/p&gt;
&lt;p&gt;As for why many quantum computers need to be cooled at extraordinarily
low temperatures, that&amp;rsquo;s due to thermal noise. At nonzero temperature,
particles jiggle around, because heat drives movement. These random
excitations can knock a qubit out of its delicate quantum state, causing
decoherence or errors. Cooling reduces the energy available for these
unwanted excitations, making qubits more stable.&lt;/p&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/wheeler.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%; line-height:1.2; margin-top:0.25em;"&gt;John
Wheeler, legendary physicist and one of Everett's mentors.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;h2 id="9-conclusion"&gt;&lt;strong&gt;9. Conclusion&lt;/strong&gt;&lt;/h2&gt;
&lt;p&gt;Quantum mechanics is often described as the strangest theory in science.
But the real strangeness isn&amp;rsquo;t in the equations, it&amp;rsquo;s in how people have
historically resisted taking them seriously. For nearly a century,
physicists have added unnecessary collapse rules.&lt;/p&gt;
&lt;p&gt;As we've covered, following the Schrödinger equation and taking it
seriously, arrives at a breathtaking conclusion: reality is constantly
branching, splitting into worlds upon worlds. Every possibility
consistent with the laws of physics is realized somewhere. Every choice
you might make is played out in full.&lt;/p&gt;
&lt;p&gt;It means that there are countless versions of you, living out different
futures, and that miracles and tragedies, as unlikely as they seem,
happen in some branches.&lt;/p&gt;
&lt;p&gt;But it also gives us something profound. It shows us that reality is
richer than we ever could have imagined. The world we see is merely a
grain of sand in an immense structure described by quantum theory, an
endless tapestry of realities, woven by the Schrödinger equation. An
infinite, beautiful reality.&lt;/p&gt;</description></item><item><title>In Defense of Growth and Capitalism</title><link>https://maxdesalle.com/in-defense-of-growth-and-capitalism/</link><pubDate>Mon, 10 Jul 2023 00:00:00 +0000</pubDate><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/in-defense-of-growth-and-capitalism/</guid><description>&lt;figure&gt;
&lt;img src="https://maxdesalle.com/wright-first-airplane.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%"&gt;The &lt;a href="https://en.wikipedia.org/wiki/Wright_Flyer"&gt;Wright Flyer&lt;/a&gt;, which made the first airplane flight in 1903.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;blockquote&gt;
&lt;p&gt;&lt;em&gt;&amp;ldquo;Degrowth is an idea that critiques the global capitalist system which pursues growth at all costs, causing human exploitation and environmental destruction.&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;em&gt;The degrowth movement of activists and researchers advocates for societies that prioritize social and ecological well-being instead of corporate profits, over-production and excess consumption.&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;em&gt;This requires radical redistribution, reduction in the material size of the global economy, and a shift in common values towards care, solidarity and autonomy.&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;&lt;em&gt;Degrowth means transforming societies to ensure environmental justice and a good life for all within planetary boundaries.&amp;rdquo;&lt;/em&gt;&lt;/p&gt;
&lt;p&gt;— &lt;a href="https://web.archive.org/web/20240715135439/https://degrowth.info/degrowth"&gt;degrowth.info&lt;/a&gt;&lt;/p&gt;
&lt;/blockquote&gt;
&lt;hr&gt;
&lt;h2 id="introduction"&gt;Introduction&lt;/h2&gt;
&lt;p&gt;The core ideology behind Degrowth is that we should stop in our tracks, turn back the clock, and revert to a time where living conditions were depressingly poor, to somehow &amp;lsquo;fix&amp;rsquo; climate change. It&amp;rsquo;s a perspective that looks down on progress, even deems it unwelcome.&lt;/p&gt;
&lt;p&gt;This vision of society celebrates poverty as a badge of honor, and views restrictions on freedom as a positive, essential even. Within this worldview, children, who are nothing short of miracles breathing life into our world, &lt;a href="https://web.archive.org/web/20230924120151/https://foreignpolicy.com/2015/11/03/a-brutality-born-of-helplessness-china-one-child-policy-western-population-bomb-fearmongering//"&gt;are viewed as liabilities&lt;/a&gt;, exacerbating what they perceive as an overpopulation crisis.&lt;/p&gt;
&lt;p&gt;Degrowth calls for a centralized power to dictate where progress can and cannot take place, effectively deciding who receives resources and who does not. It&amp;rsquo;s a system that inherently demands compliance, strongly resembling communism.&lt;/p&gt;
&lt;p&gt;Some Degrowth advocates pretend that it&amp;rsquo;s possible to degrow the economy without centralized power and authoritarian tactics, because &amp;ldquo;everyone would willingly participate&amp;rdquo;. We will go over this argument later in this piece, but for now, the fact that I&amp;rsquo;m writing this already proves the contrary.&lt;/p&gt;
&lt;p&gt;Degrowth and authoritarianism, dictatorships, even world government, are all part of the same melody. Because if even one subset of the world&amp;rsquo;s population doesn&amp;rsquo;t participate and continues growing, that could cause sufficient pollution to keep climate change going on.&lt;/p&gt;
&lt;p&gt;Advocates of Degrowth dress up their rhetoric with appealing terms like &amp;lsquo;harmony&amp;rsquo;, &amp;lsquo;well-being&amp;rsquo;, and &amp;lsquo;sustainability&amp;rsquo;. But don&amp;rsquo;t be duped. Their intentions may be well-meaning, but the aftermath of degrowth would be catastrophic.&lt;/p&gt;
&lt;p&gt;When the pie isn&amp;rsquo;t getting larger, my share getting larger means yours is getting smaller, opening the door towards conflict. Corruption, violence, and oppression prevail in &lt;s&gt;zero-sum&lt;/s&gt; negative-sum societies – a stark contrast with &amp;ldquo;harmony&amp;rdquo;, &amp;ldquo;well-being&amp;rdquo;, and &amp;ldquo;sustainability&amp;rdquo;.&lt;/p&gt;
&lt;h2 id="no-overconsumption-or-overproduction"&gt;No overconsumption or overproduction&lt;/h2&gt;
&lt;p&gt;A common critique of Capitalism is that it leads to overconsumption and overproduction. But that is evidently wrong.&lt;/p&gt;
&lt;p&gt;Of course, there are instances where true overconsumption transpires. Like when you&amp;rsquo;re at a restaurant and you order more than you can eat, resulting in wasted food. But this form of wastage isn&amp;rsquo;t applauded by Capitalism, it’s penalized.&lt;/p&gt;
&lt;p&gt;You&amp;rsquo;ve wasted resources – you&amp;rsquo;ve lost money. If you&amp;rsquo;d been more attuned to your actual appetite, you&amp;rsquo;d have ordered wisely, saved money, and still been perfectly sated. Hence, Capitalism subtly nudges you towards precise consumption - not more, not less.&lt;/p&gt;
&lt;p&gt;The same applies to corporations. If a business overproduces, the surplus stock piles up, unsold. This is a clear cut loss, a monetary penalty, prompting them to match production to the demand. Capitalism, in essence, incentivizes companies to manufacture what the market necessitates, no more, no less.&lt;/p&gt;
&lt;p&gt;Those subscribing to the Degrowth doctrine often misinterpret the utility of products, suggesting that several commodities lack intrinsic value and, hence, shouldn&amp;rsquo;t be produced. But the notion of utility is subjective.&lt;/p&gt;
&lt;p&gt;The market responds to consumer demand. If someone is willing to pay money for a product, it is, by definition, useful to them. If the product isn&amp;rsquo;t beneficial to anyone, it won&amp;rsquo;t find a buyer, inflicting financial losses on the company, potentially pushing it to the brink of bankruptcy.&lt;/p&gt;
&lt;p&gt;In case of underproduction, meaning when a company is unable to meet the demands of the market in terms of product supply, the market directly incentivizes a competitor to emerge and offer a competing product, through the market&amp;rsquo;s unmet demand.&lt;/p&gt;
&lt;p&gt;Because of these reasons, it&amp;rsquo;s fair to conclude that Capitalism denotes &amp;lsquo;right-sized&amp;rsquo; consumption and production. Whenever there&amp;rsquo;s a misstep, a tilt towards the excess or the insufficient, the unforgiving but fair hand of the market steps in to administer a course correction.&lt;/p&gt;
&lt;hr&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/worker-empire-state-building.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%"&gt;Picture by &lt;a href="https://en.wikipedia.org/wiki/Lewis_Hine"&gt;Lewis Hine&lt;/a&gt; taken in 1931, of a worker during the construction of the Empire State Building.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;h2 id="no-one-would-willingly-participate-in-degrowth"&gt;No one would willingly participate in Degrowth&lt;/h2&gt;
&lt;p&gt;A common theme among alternatives to Capitalism is their lack of pragmatism. The critique that is often used against the argument that Degrowth requires centralized power, is that the population will somehow willingly take part in it.&lt;/p&gt;
&lt;p&gt;As if nations like China, India, and Nigeria would willingly limit their growth, and settle for poor living conditions, all because of climate change? They wouldn&amp;rsquo;t, and frankly, if we were in their shoes, we would feel exactly the same way. Our ancestors lived incredibly poorly compared to how we live now, after all.&lt;/p&gt;
&lt;p&gt;But even if they aren&amp;rsquo;t in the shoes of third-world countries, the vast majority of people continue living as they have always done. Prior to the pandemic, despite all the climate protests, the number of passengers &lt;a href="https://web.archive.org/web/20240204141326/https://www.iea.org/data-and-statistics/charts/world-air-passenger-traffic-evolution-1980-2020"&gt;flying globally&lt;/a&gt; and &lt;a href="https://web.archive.org/web/20240301064523/https://cruisemarketwatch.com/growth/"&gt;travelling on cruises&lt;/a&gt; only increased year after year.&lt;/p&gt;
&lt;p&gt;While some may vocally support Degrowth, it&amp;rsquo;s only rarely reflected in their actions. Degrowth for thee, not for me.&lt;/p&gt;
&lt;p&gt;This also applies to governments, who have been attending COP conferences to discuss climate change solutions and virtue signal about their &amp;ldquo;initiatives&amp;rdquo; since 1995, while carbon emissions &lt;a href="https://web.archive.org/web/20240503175507/https://ourworldindata.org/grapher/annual-co2-emissions-per-country?country=~OWID_WRL"&gt;have only been increasing&lt;/a&gt; since then.&lt;/p&gt;
&lt;p&gt;Interestingly, in the past ten years, they have &lt;a href="https://web.archive.org/web/20240503180641/https://ourworldindata.org/grapher/annual-co2-emissions-per-country?time=2012..latest&amp;amp;country=USA~CHN"&gt;remained stable or very slightly decreased for the USA, a capitalistic country, whereas they have increased for China, a socialist country&lt;/a&gt;. And &lt;a href="https://web.archive.org/web/20240503180805/https://www.noahpinion.blog/p/no-the-us-didnt-outsource-our-carbon"&gt;the USA didn&amp;rsquo;t just outsource its carbon emissions to China&lt;/a&gt;, like it&amp;rsquo;s commonly believed.&lt;/p&gt;
&lt;p&gt;Countries like China are not game theoretically incentivized to care about climate change. They are incentivized to grow as much as possible. We wouldn&amp;rsquo;t behave any differently if we were in their shoes, and you can protest as much as you like, China won&amp;rsquo;t stop growing.&lt;/p&gt;
&lt;h2 id="happiness-is-not-a-valid-argument"&gt;Happiness is not a valid argument&lt;/h2&gt;
&lt;p&gt;Degrowth advocates often point out that economic growth does not necessarily translate into happiness.&lt;/p&gt;
&lt;p&gt;This might seem like a valid argument at first sight, but it&amp;rsquo;s not. Economic decline doesn&amp;rsquo;t &amp;ldquo;necessarily&amp;rdquo; translate into happiness either.&lt;/p&gt;
&lt;p&gt;The truth is that there is no way to reliably know what does or does not increase happiness, given there is no way to reliably measure happiness in the first place.&lt;/p&gt;
&lt;p&gt;Self-reporting, which is often used by studies supposedly &amp;ldquo;measuring&amp;rdquo; happiness, is very much prone to cultural standards.&lt;/p&gt;
&lt;p&gt;Finland, often cited by studies supposedly measuring happiness as one of the happiest countries in the world, has anecdotally also &lt;a href="https://web.archive.org/web/20231017045526/https://www.washingtonpost.com/wp-srv/world/suiciderate.html"&gt;a relatively high suicide rate&lt;/a&gt;. One would expect happy people to not kill themselves, and yet&amp;hellip;&lt;/p&gt;
&lt;p&gt;Different cultures have different definitions of happiness, and within these cultures, definitions of happiness vary too. What happiness may mean for Degrowth proponents may not be what it means for me.&lt;/p&gt;
&lt;p&gt;A hedonist may define happiness as finding pleasure in the little things, while a Buddhist may define it as being at peace. Because the definitions for happiness vary so much, it&amp;rsquo;s incredibly hard, if not impossible, to create a system that optimizes for happiness.&lt;/p&gt;
&lt;p&gt;The conclusion is simple: happiness is not a valid argument in this debate.&lt;/p&gt;
&lt;p&gt;However, what is a valid argument, is that there is &lt;a href="https://web.archive.org/web/20240503182345/https://twitter.com/arjunkhemani/status/1786327595786875311"&gt;there is absolutely no virtue in poverty&lt;/a&gt; and that it inevitably leads to unhappiness.&lt;/p&gt;
&lt;hr&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/hoover-dam.jpeg" alt="" /&gt;
&lt;figcaption style="font-size: 75%"&gt;Picture taken during the construction of the &lt;a href="https://en.wikipedia.org/wiki/Hoover_Dam"&gt;Hoover Dam&lt;/a&gt; in the 1930s.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;h2 id="the-overpopulation-myth"&gt;The overpopulation myth&lt;/h2&gt;
&lt;p&gt;A popular meme in today&amp;rsquo;s society is that we are too many on the planet. This is apparently so-called &amp;ldquo;common sense&amp;rdquo;. The argument often used to defend this misconception is that there are supposedly not enough resources for everyone.&lt;/p&gt;
&lt;p&gt;But that misses the point. The issue isn&amp;rsquo;t a deficit of physical resources; it&amp;rsquo;s a shortage of knowledge.&lt;/p&gt;
&lt;p&gt;Consider Uranium, for instance. Before we understood its potential, it was just another raw material buried deep in the earth. The physical resource existed, but our ignorance rendered it useless.&lt;/p&gt;
&lt;p&gt;Then, science moved forward, technology evolved, and suddenly we found ourselves with a powerful source of energy. Just like that, Uranium was no longer an inert element but a real game-changer for the world.&lt;/p&gt;
&lt;p&gt;We&amp;rsquo;re not limited by what we have, we&amp;rsquo;re only limited by what we know.&lt;/p&gt;
&lt;p&gt;There&amp;rsquo;s a myriad of undiscovered methods to utilize existing resources to generate more energy, food, and other necessities. Similarly, there&amp;rsquo;s an abundance of untapped potential to enhance our present resource utilization strategies.&lt;/p&gt;
&lt;p&gt;This is where the population doom-mongers falter, assuming that our usage and efficiency of resources are static. But given the same physical resources we possess today, we can generate more food, water, energy, and so on tomorrow.&lt;/p&gt;
&lt;p&gt;In fact, a larger population would result in more demand for food, water, energy, and other basic needs, resulting in an increased incentive to invent new ways to solve these problems (or improve current ones). The market adapts itself to supply and demand in real time, one of the beautiful aspects of our capitalistic system.&lt;/p&gt;
&lt;p&gt;More people on the planet means more humans who get the chance of experiencing the beauty of life, more creative minds, more inventions, more technological breakthroughs, etc. This a net positive for the world! It&amp;rsquo;s wonderful.&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;Let&amp;rsquo;s not forget &lt;a href="https://web.archive.org/web/20240205185228/https://waitbutwhy.com/2015/03/7-3-billion-people-one-building.html"&gt;we could theoretically store the entire human population in a cube of side 1.07km&lt;/a&gt;, there is a lot of room on the planet.&lt;/p&gt;
&lt;/blockquote&gt;
&lt;h2 id="capitalism-isnt-burning-the-planet"&gt;Capitalism isn&amp;rsquo;t burning the planet&lt;/h2&gt;
&lt;p&gt;Capitalism cannot burn the planet, it&amp;rsquo;s an economic system. Nor is the planet burning, the climate is changing.&lt;/p&gt;
&lt;p&gt;The argument often used against Capitalism in this situation is the fact that it creates incentives for people to care about their benefit in the short-term, but at a long-term detriment for the climate.&lt;/p&gt;
&lt;p&gt;That may be right, but by that same argument, it should also incentivize people to build technologies that will counter climate change nowadays, as there is demand for it. That&amp;rsquo;s also what is happening. Tesla and hundreds of climate tech companies being an example of that.&lt;/p&gt;
&lt;p&gt;Too often, people also forget that Capitalism led to the creation of nuclear power plants, one of the best solutions to prevent climate change. Except the left has for decades been fully against it, citing irrational safety risks.&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;Those citing the Chernobyl and Fukushima disasters to justify the safety risks actually prove the opposite: in both cases, bad human decision making was the cause. The plant operators at Chernobyl &lt;a href="https://web.archive.org/web/20240627154011/https://world-nuclear.org/information-library/appendices/chernobyl-accident-appendix-1-sequence-of-events"&gt;violated safety protocols&lt;/a&gt;, leading to a catastrophic explosion.&lt;/p&gt;
&lt;p&gt;As for Fukushima, the plant &lt;a href="https://web.archive.org/web/20240527220923/https://carnegieendowment.org/research/2012/03/why-fukushima-was-preventable?lang=en"&gt;was built in a region at risk of tsunamis&lt;/a&gt;, making the accident entirely preventable. Also worth noting both power plants were built in the early 70s, over fifty years ago. The technology has evolved tremendously since then.&lt;/p&gt;
&lt;p&gt;As for nuclear waste, there has been a lot of exaggeration regarding how problematic it is. &lt;a href="https://web.archive.org/web/20240602064457/https://www.energy.gov/ne/articles/5-fast-facts-about-spent-nuclear-fuel"&gt;You could store all of the nuclear waste generated by the US on a yearly basis, in less than half the volume of an Olympic-sized swimming pool&lt;/a&gt;. The nuclear plants generating that waste power 70 million homes in the US.&lt;/p&gt;
&lt;p&gt;It&amp;rsquo;s objectively a reasonable tradeoff. And while we currently have no idea on how to recycle the most toxic nuclear waste, we will inevitably eventually find out how to do so. There isn&amp;rsquo;t a law of physics preventing it, after all.&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;Due to the paranoia of &amp;ldquo;environmentalists&amp;rdquo; against nuclear energy, governments made it incredibly hard to build new power plants, &lt;a href="https://web.archive.org/web/20240514052525/https://www.cnbc.com/2023/04/18/germany-shuts-down-last-nuclear-power-plants-some-scientists-aghast.html"&gt;even closing ones which functioned perfectly well&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;&lt;a href="https://web.archive.org/web/20240619051942/https://ifp.org/web/20240619051942/https://ifp.org/nuclear-power-plant-construction-costs/"&gt;It&amp;rsquo;s now so expensive to build a nuclear power plant due to all the bureaucratic processes surrounding it&lt;/a&gt;, that it&amp;rsquo;s nearly not even profitable anymore, and takes a decade or more for it to start producing energy. &amp;ldquo;Environmentalists&amp;rdquo; are at fault here, not Capitalism.&lt;/p&gt;
&lt;p&gt;The irony being that the ones who created this terrible situation (&amp;ldquo;environmentalists&amp;rdquo;) are the ones now blaming the system that brought the solution (Capitalism) for causing climate change.&lt;/p&gt;
&lt;p&gt;Instead, &amp;ldquo;environmentalists&amp;rdquo; have been pushing wind and solar energy, which only work when there is wind and sun respectively. What happens at night, when there is no wind? No electricity?&lt;/p&gt;
&lt;p&gt;Also worth mentioning that &lt;a href="https://web.archive.org/web/20240221111727/https://en.wikipedia.org/wiki/Aral_Sea#/media/File:AralSea1989_2014.jpg"&gt;communism wasn&amp;rsquo;t kind towards the environment either&lt;/a&gt;, to say the least.&lt;/p&gt;
&lt;p&gt;The point being that climate change isn&amp;rsquo;t an unsolvable problem. It&amp;rsquo;s a technological challenge, and we&amp;rsquo;re fully capable of tackling it. We already have several tools at our disposal like nuclear energy, and in the meantime, hundreds of new solutions are being developed to help prevent and counter it.&lt;/p&gt;
&lt;hr&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/first-helicopter.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%"&gt;Early prototype of the &lt;a href="https://en.wikipedia.org/wiki/Vought-Sikorsky_VS-300"&gt;Vought-Sikorsky VS-300&lt;/a&gt; in 1939, the first viable American helicopter, which pioneered the rotor configuration used by most helicopters today.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;h2 id="wealth-inequality-isnt-a-problem"&gt;Wealth inequality isn&amp;rsquo;t a problem&lt;/h2&gt;
&lt;p&gt;Another point that Degrowth proponents like to bring into light is the rising wealth inequality, which they attribute to our growth-oriented economy.&lt;/p&gt;
&lt;p&gt;However, wealth inequality is not a problem. Wealth equality is a synonym for equality of outcome, which on top of having communistic undertone to it, is simply evil. If someone works both harder and smarter than I do, creating more wealth for society, it&amp;rsquo;s only fair that they should earn more.&lt;/p&gt;
&lt;p&gt;The real problem is not wealth inequality, it&amp;rsquo;s inequality of opportunity. And that problem is independent of whether or not a society is growing or declining. Or is it?&lt;/p&gt;
&lt;p&gt;There is in fact an argument to be made that growth and technological innovation are the solution for the opportunity inequality problem.&lt;/p&gt;
&lt;p&gt;The printing press revolutionized how knowledge was disseminated, transforming it from a privilege to a right. The advent of the internet took that democratization a step further, making information ubiquitously accessible and enabling global communication. It birthed the era of remote work.&lt;/p&gt;
&lt;p&gt;The rise of crypto will equalize the playing field in the financial world, massively reducing financial inequality of opportunity. Someone in Africa can use the same crypto lending protocol to have access to cash like a hedge fund manager can in Switzerland.&lt;/p&gt;
&lt;p&gt;As for AR/VR, it is dissolving the constraints of physical location. As these developments continue, we get closer and closer to a world where an individual in India will have an equal shot at the same job opportunities as their counterpart in the US. Bit by bit, technology is breaking down barriers and creating a more equitable landscape.&lt;/p&gt;
&lt;p&gt;And the issue of wealth inequality, even if we were to accept it as a legitimate problem, has been progressively diminishing over the past several centuries.&lt;/p&gt;
&lt;p&gt;Just compare the average peasant&amp;rsquo;s life during Louis XIV&amp;rsquo;s reign, which was made out of hardship and poverty, to the opulence of the royal court at Versailles.&lt;/p&gt;
&lt;p&gt;Peasants (the majority of the population) &lt;a href="https://web.archive.org/web/20200225002946/http://www.fiatlux-day.org/euro/period_2/chapter_18/reading_18-6.html"&gt;mostly ate bread, about 40% owned little to not land&lt;/a&gt;, and they typically lived in &lt;a href="https://web.archive.org/web/20240225073756/https://sites.udel.edu/britlitwiki/social-and-family-life-in-the-late17th-early-18th-centuries/"&gt;one or two room houses&lt;/a&gt; in rural areas and their lifestyle was mostly agrarian. They sometimes shared their living space with their animals, and faced starvation in case of a poor harvest. Parents and children slept in the same room.&lt;/p&gt;
&lt;p&gt;In contrast, Louis XIV ordered the construction of the Palais de Versailles, with hundreds of luxurious rooms, magnificent gardens with fountains, and countless paintings and statues. He had jewelry, clothing made out of delicate fabrics like silk and velvet, without forgetting the wigs of course. He had access to the finest meats, fruits, vegetables, wines, etc. And he could travel anywhere he wanted across France with the most comfortable carriages and the best horses.&lt;/p&gt;
&lt;p&gt;The average peasant, meaning the vast majority of the population, had none of that. And that&amp;rsquo;s without mentioning the nearly &lt;a href="https://web.archive.org/web/20240301145339/https://ourworldindata.org/child-mortality"&gt;48% risk of infant mortality at that time&lt;/a&gt;. If you had ten children, about five would die before reaching age 15.&lt;/p&gt;
&lt;p&gt;Today, Jeff Bezos may be stratospherically wealthier than you in terms of nominal wealth, the digits showing up in your bank account. But when it comes to material wealth, the disparity isn&amp;rsquo;t so wide.&lt;/p&gt;
&lt;p&gt;You probably have a smartphone, just like Bezos has. You probably have a car, just like Bezos has. You probably have heating in your home, just like Bezos&amp;rsquo; has. You probably don&amp;rsquo;t have a yacht yet, like he has, or a private jet, but these will come in due time as the costs of these technologies go down. He will likely also get a better healthcare experience if he catches a disease, but the core treatment will probably be very similar to what you would get if you caught that disease.&lt;/p&gt;
&lt;p&gt;Some will point towards developing countries where there is still extreme poverty. But the problem in that case is extreme poverty, a form of inequality of opportunity, not wealth inequality. You could have more wealth inequality, with no extreme poverty.&lt;/p&gt;
&lt;h2 id="degrowth-is-very-dangerous-geopolitically"&gt;Degrowth is very dangerous geopolitically&lt;/h2&gt;
&lt;p&gt;Something which is rarely (never) covered by Degrowth advocates is the geopolitical risks that it brings to the table.&lt;/p&gt;
&lt;p&gt;This is where the naivety of some of the Degrowth advocates really comes into light, as they propose the idea of slowing down the economies of first-world countries to allow third-world countries to continue growing.&lt;/p&gt;
&lt;p&gt;But if a foreign power doesn&amp;rsquo;t limit its growth, while your country does, that foreign power&amp;rsquo;s military will grow stronger compared to yours, posing a risk to national security.&lt;/p&gt;
&lt;p&gt;While it&amp;rsquo;s been a while, thankfully, since the West has been at actual war (leaving the proxy wars and cold wars aside for a minute), this isn&amp;rsquo;t a fairy tale world.&lt;/p&gt;
&lt;p&gt;Forget ‘harmony’, ‘well-being’, and ‘sustainability’. The iron rule of history is the rule of violence. The only logic tyrants understand is the logic of violence, and without a strong defense, the West would get immediately invaded.&lt;/p&gt;
&lt;p&gt;Additionally, being a pacifist doesn&amp;rsquo;t mean that you shouldn&amp;rsquo;t defend yourself against the enemy, on the contrary. It&amp;rsquo;s not about being &amp;ldquo;peaceful&amp;rdquo;, it&amp;rsquo;s about protecting peace. If that requires violence because others threaten peace, then so be it.&lt;/p&gt;
&lt;p&gt;Having a strong defense also unironically acts as a war deterrent, as the enemy will be less likely to attack you. We should invest more in defense, not less.&lt;/p&gt;
&lt;hr&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/eniac-first-computer.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%"&gt;Image taken around 1950 of &lt;a href="https://en.wikipedia.org/wiki/ENIAC"&gt;ENIAC&lt;/a&gt;, the first programmable, electronic, general-purpose digital computer.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;h2 id="communist-theres-nothing-stopping-you"&gt;Communist? There&amp;rsquo;s nothing stopping you&lt;/h2&gt;
&lt;p&gt;Contrary to communism, where you are forced to conform and cannot be a Capitalist, there is nothing stopping you from being a communist in a Capitalist country.&lt;/p&gt;
&lt;p&gt;The hypocrisy of the extreme left on that front is unbearable to say the least. If you are communist, embody that ideology and live in a commune. Have some skin in the game.&lt;/p&gt;
&lt;p&gt;It&amp;rsquo;s bad ethics to criticize a system and state that it&amp;rsquo;s the root of all evil, while simulataneously profiting from it and keep participating in it. You have the choice. If Capitalism is really that bad, go live in a commune.&lt;/p&gt;
&lt;p&gt;People have done it in the past, though, and weirdly enough (please pardon my irony), they no longer do. &lt;a href="https://web.archive.org/web/20240424123045/https://en.wikipedia.org/wiki/Kibbutz"&gt;The Kibbutzim&lt;/a&gt; are an example of that. Up until the 1970s, &lt;a href="https://web.archive.org/web/20240424123045/https://en.wikipedia.org/wiki/Kibbutz#Communal_life"&gt;they were essentially communist&lt;/a&gt;.&lt;/p&gt;
&lt;p&gt;Needless to say the majority them since then have become privatized and are fully capitalistic nowadays. They had to, &lt;a href="https://web.archive.org/web/20240424123045/https://en.wikipedia.org/wiki/Kibbutz#Legal_reforms_after_privatisation"&gt;in order to prevent financial collapse&lt;/a&gt;. It turns out that ignoring economic realities is unsustainable.&lt;/p&gt;
&lt;p&gt;If your alternative to the present system is really better, try it. Capitalism grants you that liberty.&lt;/p&gt;
&lt;h2 id="the-us-isnt-proof-that-capitalism-doesnt-work"&gt;The US isn&amp;rsquo;t proof that Capitalism doesn&amp;rsquo;t work&lt;/h2&gt;
&lt;p&gt;When discussing the benefits of privatizing healthcare and education, critics often point to the issues in the US as evidence that privatization fails. However, the reality is that the US isn’t a true open market when it comes to both healthcare and education.&lt;/p&gt;
&lt;p&gt;Taking medication as an example, we&amp;rsquo;ve all heard the stories of certain drugs reaching absurd prices in the US, people having to start GoFundMe campaigns to pay for their healthcare procedures, etc.&lt;/p&gt;
&lt;p&gt;But if the market were truly open, wouldn’t a Mexican company, for example, step in to offer a similar drug at a lower price when an American company charges too much?&lt;/p&gt;
&lt;p&gt;The fact that this doesn’t happen is clear evidence that the US pharmaceutical and healthcare markets are not truly free markets. Instead, they are heavily (and badly) regulated, with big pharmaceutical companies shielded from fair competition by government policies.&lt;/p&gt;
&lt;p&gt;Regarding education, the absurdity of government tuition loans is another example. The government has always been poor at allocating capital because it lacks skin in the game.&lt;/p&gt;
&lt;p&gt;Unlike banks, which must carefully assess a student’s potential earnings after graduation and whether the student is likely to complete their studies, because the bank doesn’t want to go bankrupt, the government can lose money indefinitely.&lt;/p&gt;
&lt;p&gt;If necessary, it can simply print more money, effectively sneakily taxing the population through inflation. It’s no surprise that US universities charge outrageous tuition fees; the government will cover the costs anyway.&lt;/p&gt;
&lt;p&gt;Without government-backed tuition loans, universities would be forced to lower their prices as no one except the ultra rich would be able to afford attendance.&lt;/p&gt;
&lt;p&gt;In both cases, the inefficiencies in these markets aren’t due to Capitalism failing but rather due to government intervention.&lt;/p&gt;
&lt;hr&gt;
&lt;figure&gt;
&lt;img src="https://maxdesalle.com/shinkansen.jpg" alt="" /&gt;
&lt;figcaption style="font-size: 75%"&gt;First full-length test ride in 1964 of the &lt;a href="https://web.archive.org/web/20140904052921/https://www.nytimes.com/2014/08/29/upshot/fifty-years-ago-and-today-japan-blazes-trails-with-trains.html"&gt;Shinkansen&lt;/a&gt;, the world's first bullet train.&lt;/figcaption&gt;
&lt;/figure&gt;
&lt;hr&gt;
&lt;h2 id="conclusion"&gt;Conclusion&lt;/h2&gt;
&lt;p&gt;Climate change is real, and it&amp;rsquo;s a problem we can&amp;rsquo;t ignore. But every problem that falls within the realm of physics has a solution. Degrowth isn&amp;rsquo;t that solution, though. It&amp;rsquo;s an attempt to sidestep the issue, to throw in the towel. It&amp;rsquo;s not a solution, it&amp;rsquo;s an admission of defeat.&lt;/p&gt;
&lt;p&gt;If Degrowth isn&amp;rsquo;t the solution to climate change, then what is? Growth.&lt;/p&gt;
&lt;p&gt;Limiting our growth, or even regressing, will only slow down technological progress which will ultimately prevent us from finding solutions to address climate change. Growth is the only way out.&lt;/p&gt;
&lt;p&gt;Instead of holding placards on the streets, start a company that pioneers new aeropropulsion systems that significantly cut carbon emissions. Or perhaps, devise an effective strategy to prevent forest fires. Or invent new technologies that safeguard people from the dangers caused by natural disasters.&lt;/p&gt;
&lt;p&gt;The real solution is in the realm of building, inventing, and innovating. It&amp;rsquo;s about embracing our human capacity for creativity and exceptionalism. It&amp;rsquo;s about facing the challenge of climate change head-on and conquering it, not with regression, but with progression.&lt;/p&gt;
&lt;p&gt;For, in the grand scheme of things, we are merely at the beginning of our journey towards infinity, and will always be. There are countless new problems waiting for us, regressing now is not an option.&lt;/p&gt;</description></item><item><title>Startup ideas</title><link>https://maxdesalle.com/startup-ideas/</link><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/startup-ideas/</guid><description>A few startup ideas I have.</description></item><item><title>Resources</title><link>https://maxdesalle.com/resources/</link><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/resources/</guid><description>Great thinkers and books.</description></item><item><title>Piano</title><link>https://maxdesalle.com/piano/</link><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/piano/</guid><description>Some piano pieces, played by a beginner. I'm far from a great pianist, and only started learning a couple years ago, any feedback is more than welcome.</description></item><item><title>Photography</title><link>https://maxdesalle.com/photography/</link><author>rss@maxdesalle.com (Maxime Desalle)</author><guid>https://maxdesalle.com/photography/</guid><description>Some unedited photographs, by a beginner, using a Fujifilm X100VI. Images are compressed for faster loading speed.</description></item></channel></rss>