Payjoin

Le Payjoin est une structure spécifique de transaction Bitcoin qui permet d'améliorer la confidentialité des utilisateurs lors d'une dépense en collaborant avec le destinataire du paiement.

C'est en 2015 que LaurentMT évoquait pour la première fois cette méthode sous l'appellation de « steganographic transactions », selon un document accessible ici. Cette technique fut ensuite adoptée par le portefeuille Samourai Wallet, qui en 2018, fut le premier client à l'implémenter avec l'outil Stowaway. On retrouve également le concept du Payjoin dans le BIP79 et le BIP78. Plusieurs termes sont ainsi utilisés pour désigner un Payjoin :

La particularité du Payjoin réside dans sa capacité à générer une transaction qui paraît ordinaire à première vue, mais qui est en réalité un mini Coinjoin entre deux personnes. Pour cela, la structure de la transaction fait intervenir le destinataire du paiement dans les entrées aux côtés de l'expéditeur réel. Le destinataire inclut donc un paiement vers lui-même au milieu de la transaction, qui permet de le payer.

Prenons un exemple concret : si vous achetez une baguette pour 4000 sats à l'aide d'un UTXO de 10 000 sats, et que vous optez pour un Payjoin, votre boulanger ajoutera un UTXO de 15 000 sats lui appartenant en entrée, qu'il récupèrera en intégralité en sortie, en plus de vos 4000 sats :

Dans cet exemple, le boulanger introduit 15 000 sats en entrée et ressort avec 19 000 sats, la différence est exactement de 4 000 sats, c'est-à-dire le prix de la baguette. De votre côté, vous entrez avec 10 000 sats et vous vous retrouvez avec 6 000 sats à la sortie, ce qui représente bien un solde de -4 000 sats, c'est-à-dire le prix de la baguette. Pour simplifier l'exemple, j'ai délibérément omis les frais de minage dans cette transaction.

La transaction Payjoin remplit deux objectifs qui permettent aux utilisateurs d'améliorer la confidentialité de leur paiement.

Tout d'abord, le Payjoin vise à induire en erreur un observateur extérieur en créant un leurre dans l'analyse de chaîne. Ceci est rendu possible grâce à l'heuristique de propriété commune des entrées d'une transaction, également connue sous l'acronyme CIOH (Common Input Ownership Heuristic). Habituellement, lorsqu'une transaction sur la blockchain présente plusieurs entrées, on suppose que toutes ces entrées appartiennent vraisemblablement à une même entité ou à un même utilisateur. Ainsi, lorsqu'un analyste examine une transaction Payjoin, il est amené à croire que toutes les entrées proviennent d'une même personne. Toutefois, cette perception est erronée, car le destinataire du paiement contribue également aux entrées aux côtés du payeur réel. L'analyse de chaîne est donc déviée vers une interprétation qui se révèle être fausse.

Ensuite, le Payjoin permet également de tromper un observateur extérieur sur le montant réel du paiement qui a été opéré. En examinant la structure de la transaction, l'analyste pourrait croire que le paiement est équivalent au montant d'une des sorties. Or, en réalité, le montant du paiement ne correspond à aucun des outputs. Il est en fait la différence entre l'UTXO du destinataire en sortie et l'UTXO du destinataire en entrée. En ça, la transaction Payjoin rentre dans le domaine de la stéganographie. Elle permet de cacher le montant réel d’une transaction au sein d’une fausse transaction qui agit comme un leurre.

Reprenons notre exemple de transaction Payjoin pour le paiement d'une baguette. En voyant cette transaction sur la blockchain, un observateur extérieur qui suit les heuristiques habituelles de l'analyse de chaîne en fera l'interprétation suivante : « Alice a fusionné 2 UTXO en entrée de la transaction afin de payer 19 000 sats à Bob ». Cette interprétation est évidemment incorrecte, car comme vous le savez déjà, les deux UTXO en entrée n'appartiennent pas à la même personne. De plus, la valeur réelle du paiement n'est pas de 19 000 sats, mais bien de 4 000 sats. L'analyse de l'observateur externe est ainsi dirigée vers une conclusion erronée, ce qui garantit la préservation de la confidentialité des parties prenantes. Si vous souhaitez analyser une véritable transaction Payjoin, en voici une que j'ai réalisée sur le testnet : 8dba6657ab9bb44824b3317c8cc3f333c2f465d3668c678691a091cdd6e5984c