CBDC 简介

基本介绍

随着数字化时代的到来，数字经济蓬勃发展，新技术加速各行各业数字化转型。货币体系也随着经济社会结构的变化而步入革新，开始走向数字化。
而法定货币的数字化就是央行数字货币（CBDC）。CBDC是由中央银行或其他行使央行货币发行职能的金融机构发行的基于主权信用的、具有主权性质和法偿能力的、以代表具体金额的密码字符串为表现形式的法定货币。
CBDC的推行是出于多方面因素考虑的，
（1） 首先是目前的支付方式已经多样化，现金的使用正在日益的减少。目前，在许多司法管辖区，现金的获取和使用都在下降，这造成了一些企业和家庭无法获得无风险央行货币的风险。CBDC可以介入填补这一空白，以确保对货币的信心，可以确保公众仍然有途径获取法定货币。
（2） 其次，相比于现金来说，CBDC具有更好的追踪性和监管性。现金的交易往往难以追踪，也没有明确的兑换记录，这为逃税漏税，洗钱和非法交易等犯罪行为提供了一定的便利。而CBDC交易记录是可以被中央银行和监管机构实时追踪和监控，这有助于防止和打击金融犯罪，维护市场秩序和公共安全。
（3） 另外，CBDC能够提升支付效率和支付安全性。使用CBDC可以实现实时清算和结算，加快交易速度和资金流动，减少支付中的中间环节和交易成本。此外，CBDC的技术基础是加密和区块链等先进技术，具有更高的安全性和防篡改性，可以有效防范支付系统遭受黑客攻击和欺诈行为。
（4） 最后，由区块链技术而诞生的一系列私人加密数字货币的竞争也是一个重要的因素。私人货币如比特币和以太坊正在逐渐崭露头角。但这些货币不是由国家信用作背书，具有不稳定性。如果让这些私人货币在支付领域造成垄断，这会对货币政策和金融稳定产生较大潜在风险。

货币体系

货币可以被描述为一种普遍接受的商品和服务交换媒介，满足三大功能（交换媒介，价值储存和记账单位）。

传统货币

就是正常使用的货币。
法定货币则是通过国家背书的方式，是以国家信用为基础的货币，由国家央行发行。
央行也有电子货币，但公众无法持有。公众只能以纸币的形式持有央行货币，而一些银行和某些金融机构则可以以央行储备的形式持有电子央行货币，也称为电子准备金，通过中央银行管理的银行间支付系统促进支付和结算。传统的中央银行不为个人开立账户，只与银行建立业务关系，这样，央行就将管理个人账户和客户关系的任务委托给了商业银行。
央行的职能

• 央行负责发行货币，调节其基准利率，制定并实施货币政策。中央银行通过收集货币发行和回笼的数据，计算货币供应量、编制中央银行资产负债表、进行发行基金管理和发行基金调拨，故发行和回笼都需要由央行接管。
• 金融监管，建立市场准入控制，市场行为监管（ 包括交易期限、资金用途、交易价格和交易数量等方面 ）。作为银行中的银行，和商业银行是上下级的关系，而我国的央行的金融监管职能是交给银监会来行使的。
  

电子支付

微信，支付宝等等
这类支付是依靠阿里，腾讯等公司的企业信用背书，代理用户的传统货币交易流程 ，类似是互联网商业银行，并不是独立的货币体系，本质上是法定货币的电子化。同时一些交易信息和货币控制不在银行手中，故会有一定的风险。

数字货币

非法定货币：主要指以比特币为代表的一系列基于区块链技术，进行分布式记账的虚拟货币，有着独立于传统法定货币的发行、流通模式，安全性由现代密码学的一些理论保证。
法定货币：CBDC

基本概念

定义

央行数字货币是由中央银行或其他行使央行货币发行职能的金融机构发行的基于主权信用的、具有主权性质和法偿能力的、以代表具体金额的密码字符串为表现形式的法定货币，是与传统准备金或结算账户余额不同的中央银行货币的数字形式。
简单来说就是法定货币的数字化。

基本要求

央行数字货币从字面上可以拆解为数字货币和央行两个部分。

• 数字货币角度：是希望能够获得比特币、以太坊等数字货币的优秀特性，在交易的去中心化、交易的速率、交易的扩展性，隐私性等方面取得突破。
• 央行角度：
  • 央行控制是央行数字货币的最重要的性质，在央行数字货币的发行、流通中，中央银行必须拥有改变激励机制的能力，即控制数字货币的发行量，从而实现如同传统货币的重要货币政策。
  • 中央银行还要实现市场准入监管和市场行为监管，这是数字货币的监管要求 。
  • 维持货币金融的稳定性。
    

期望目标

1. 不干扰或妨碍央行履行其职责
2. 与现金和稳健的私人货币共存
3. 核心性质
   1. 易用性、低成本：支付对于最终用户来说应当是非常低廉甚至没有成本的，并且用户在技术投资方面也应面临最低要求。
   2. 可兑换性：能以现金和私人货币一样以同等价值进行兑换
   3. 便携性：类似使用现金、刷卡、电子支付一样方便
   4. 即时结算、持续可用性：可在与现金相同类型的交易中使用，如零售，人人交易。也可能会涉及到一定能力的离线交易（可能由时间限制和预定的阈值），甚至达到全年无休的进行支付
   5. 弹性：系统应极其具备操作失效和中断、自然灾害、停电等问题的弹性。如果网络连接不可用，用户应能够进行离线支付
   6. 安全性：系统的基础设施和参与者都应极其抵御网络攻击和其他威胁。这还包括确保有效的防伪保护
   7. 互操作性：提供足够的与私营部门数字支付系统和安排互动的机制，实现资金在系统之间的便携流动
4. 金融监管和完整性：防止双重花费，保证账户的正确更新
5. 综合监管合规性：
   1. 余额限制：限制特定用户在特定时间内可以拥有的余额，防止银行挤兑和逃税。
   2. 接收和发送数量限制：限制特定用户在特定时间段内可以接收或发送的接收和发送资金的数量，防止洗钱和逃税。
   3. 交易价值限制和KYT（Know Your Transaction）:大额交易的时候应该披露一些额外信息，如资金来源和向上报告，符合 KYC（Know-Your-Customer，即交易时需要知道对方明确的身份）、AML（Anti-Money Laundering，反洗钱，资金的来源需要合法） 和 CFT（Combating Financing of Terrorism，资金接受者不能资助恐怖主义）等等。
   4. 可审计性：检测到可疑活动的时候应该能去隐私和追踪到相关方真实身份和交易的价值。意味着 CBDC 用户的身份需要被某个权威机构所知晓，用于验证交易合法性。但在类似用户之间的正常交易，如超市电商等场景下无需透露自己的身份。
6. 完全隐私性
   1. 身份隐私：任何交易中，发送方和接收方的身份都不能被披露（审计时除外），即，知道某个用户的身份也无法查到该用户与哪个交易有关。
   2. 交易隐私：交易中的转移价值不能被披露（审计时除外），即，知道某个转移数量，无法找到与之匹配的交易，所有账户信息对网络实体都是隐藏的。
   3. 完全不可链接性：需要保障用户不可链接和交易不可链接。
7. 责任制：任何用户都需要为自己的每一笔交易负责。
   

发展情况

拉美地区

• Sand Dollar：全球第一个法定央行数字货币，由2020年巴哈马中央银行启动。2021年4月实现钱包提供商之间的完全互操作性。
• DCash：2021年3月，由东加勒比货币联盟推出，是全球首个使用 CBDC 的货币联盟， 最先有 4 个国家使用。计划23年6月开始全面推行。
• Jam-Dex：22年6月牙买加推出
• 巴西计划24年年底全面启用CBDC，目前已经开始对各个试点银行，信贷公司等进行试点测试。

北美地区

• 加拿大央行表示，目前并不需要央行数 字货币，其发行的决定权将取决于议会和联邦政府。私营加密货币或其他国家的 CBDCs 未来也有可能在加拿大广泛使用 。
• 美国在 2022 年 3 月将 CBDC 设计和部署工作列为“最高紧急级别”，并于 2022 年 9 月发布加密货币监管框架，但不着急发布，优先对抗滞胀问题。

欧洲地区

• 英国2020年3月就开始着手布局，发布报告，成立联合工作组进行评估，目前计划在未来两年内进行设计和实验阶段。试点至少2025年才开始，预计2030年推出数字英镑。
• LBCoin：2020年 立陶宛央行发行的央行 数字货币 。
• 欧洲中央银行（ECB） 21年10月开始启动数字欧元的研究。

**俄罗斯：**23年拟定CBDC相关法案，计划24年推出数字卢布。
亚洲地区

• ** **2022 年 11 月，印度央行推出数字卢比试点。
• 日本央行于 2020 年 7 月宣布开始试验数字日元 ， 从 2021 年 4 月 5 日起开始对 CBDC 进行示范测试 ，预计可能在2026年发行数字日元。

中国：e-CNY
14年启动研究，16年成立研究所，17开始组织头部商业银行和有关机构进行研发，19年启动试点，22年上架APP。
中国版 CBDC 称为数字人民币 (e-CNY)，是由中国人民银行发行，由指定运营机构 参与运营并向公众兑换，以广义账户体系为基础，支持银行账户松耦合功能，与纸钞和 硬币等价，并具有价值特征和法偿性的可控匿名的支付工具。主要采用“一币、两库、三中心”的架构：

• “一币”指数字人民币；
• “两库”是指 CBDC 的发行库和商业银行库，前者是央行在 CBDC 私有云上存放数字货币发行基金的数据库，后者是商业银行在其本地或央行法定 CBDC 私有云上存放数字人民币的数据库；
• “三中心”即认证中心、登记中心和大数据分析中心，分别负责对身份信息、流通、清点核对等全程登记和反洗钱、监管指标分析等的集中管理。

数字人民币采取了双层运营体系。即中国人民银行不直接对公众发行和兑换央行数字货币，而是先把数字人民币兑换给指定的运营机构，包括商业银行或者其他商业机构，运 营机构需要向人民银行缴纳 100%准备金，再由这些机构兑换给公众。这种双层运营体系和纸钞发行基本一样，不会对现 有金融体系产生大的影响，也不会对实体经济或者金融稳定产生大的影响。

一些挑战和部分解决思路

账本管理
存储账本需要很大容量，通常一般用户是不满足的。

• 中心化账本
• 分布式账本

账户管理
账户由什么角色来管理的问题

• 央行直接管理：意味着央行需要进入个人账户管理的相对陌生的业务。
• PIPs （Payment interface Providers）管理：这样可以避免让央行做自己不擅长的事。而且也可以一定程度上促进 PIP 在个人服务领域进行创新，但这可能会导致账户和身份管理创新力不足。商业的 PIP 是唯利的，如果频繁的对账户安全进行改动创新，是有可能减小用户对它们的信任，利益减少，从而导致账户身份安全相关领域的创新力下降。

密钥管理
主要是密钥的丢失和盗用问题

• 授权相关机构对账户绑定的密钥进行撤销与再颁发
• 交易延迟以及撤销：交易生效具有延迟，让用户有一定时间去撤销交易。如 Paralysis proofs

身份隐私
主要是交易账户和用户之间的链接性问题，如通过交易中假名与账户之间的链接性，IP地址与交易账户的连接性。

• 去匿名化：如 zerocash
• 使用匿名网络：如tor
• 前向链接的多重签名：所有提交的块都由一个由签名受托人组成的轮流委员会集体签名，其演变 同样通过集体签名的“前向链接”得到验证。这种结构使任何客户端都可以向任何其他客户端提供交易对分类账承诺的直接加密证明，而无需对完整节点或其他第三方进行隐私敏感查询
• 可信硬件
• 不经意传输

交易隐私
对一些敏感数据进行掩盖，如交易金额，一些私人数据等。

• 零知识证明
• 多方安全计算

隐私监管
满足KYC, AML, CFT等，在遇到违规交易时要能及时溯源，然后揭示身份。
异步交易

• 安全硬件
• 可信执行环境
• 离线账本
  

相关工作

在 e-cash 领域，最先提出第一个匿名数字货币设计的是 Chaum [1]，在该系统中用户可以通过创建生成由一个独特的序列号来获得一个盲签名，然后从银行提取硬币，这保持了序列号的隐藏，确保银行看不到序列号。用户稍后会打开这个签名，这允许他们使用硬币进行支付。收到付款的商家将硬币存入银行，此时银行会检查序列号是否已经被使用。如果已经被使用，银行会拒绝付款，否则就会被接受。尽管如此，该系统强调保护发送者的匿名性，但会披露接收者的身份和转账金额。此外，还要求用户以他们拥有的硬币数量线性存储信息。这一性能优化在后续工作里得到了解决 [2,4]。
Camenisch 等人后来还提出了一个电子现金系统 [3]，该系统提供了一种监管形式，银行可以限制每个用户能够匿名消费的金额，这使得交易的发送者隐私得到保护。但是收件人的身份和支付金额依旧会被泄露，商家在存入硬币的时候还是会向银行揭示他们收到的硬币的价值。Baldimtsi 等人 [5] 在可转移电子现金的设计中解决了这个问题，他们使用了双重花费检测技术，在这种机制下，硬币可以在不与银行沟通的情况下转移给不同的用户，一旦硬币被存入，银行就会检查双重花费并识别违规方，这消除了商家需要向银行披露所收到资金的交易价值问题。但是，这也引入了一个新的问题，这种可转移的电子现金方案需要的硬币大小取决于它们使用的频率，这对零售支付来说效率十分低下，低于了其他电子现金方案，同时也影响了可链接性，不用大小的硬币是可通过频率次数来区分的。
在基于区块链的相关系统中，如 Zerocash [6]，其实例化的Zcash 目前被认为提供了相当强大的隐私抱着，该系统完全隐藏了所有的交易信息，且交易是不可链接的。接着 Garman 等人 [7] 在这种结构上讨论了如何实施监管规则，但也正如类似 Zerocash 方法系统的缺陷，客户的需求很繁重，由于交易的接收机制，用户需要解密区块链中的每一笔交易，同时需要证明知道 Merkle tree 中的交易输出路径，以确认对方是否是交易的接收者。因此，他们必须时刻维护该树的最新版本。这样的分布式账本结构使得账本扩展变得更加困难，向该树添加新的交易输出需要对所有的交易都进行一次序列化。
Danezis和Meiklejohn [10] 引入了RSCoin，这是一个围绕高效广播机制构建的中央银行货币框架。在该框架中，中央银行将验证交易的责任委托给一组称为mintettes的实体。与传统加密货币矿工不同，在他们的框架中，mintettes是已知的，最终可能会对任何不当行为负责。RSCoin专注于广播的可扩展性，而不是隐私或法规遵从性。随后，在这之上，Fastpay设计进一步提升了性能 [11]，但隐私问题仍然未能得到处理。
近期的研究中又提出了在半中心化区块链环境中提供监管的方案。PRCash [8] 提供了一种使用轻量级的零知识证明来有效地为匿名交易启用每个时间间隔的接收限制的设计。其中交易以分布式方式进行验证。PRCash 实现了隐私和一定程度的法规遵从性，但该系统不满足完全匿名，验证者可以链接不同的交易， 因为PRCash 基于一种名为 mimblewimble [9] 的设计，该设计并没有为交易提供不可链接性，监管机制要求在一个时间间隔内链接多个交易。
在并行的工作上，Androulaki 等人[12] 提出了一种保护隐私的可审计的匿名代币系统，用于面向企业网络的许可区块链，如ios。他们提出的方案在许可的区块链中使用UTXO模型，其中 UTXO 表示为Pedersen承诺 [13]。他们使用许可区块链和潜在的分布式认证者组合来授权支付。在证明支出者在每个使用的UTXO上都有签名之后，交易被提交到区块链，然后新创建的UTXO由认证者使用随机签名进行签名 [14]。此外，该方案允许一组审计员，每个审计员负责审计一组不同的参与者，并且可以访问其分配的参与者的所有信息。但遗憾的是 Androulaki 等人[12] 的工作并没有提供全面的监管合规方法。 Damgård 等人[15]在此之上解决了责任和隐私的平衡问题，尽管如此，他们的工作是在区块链系统的身份层，他们没有在交易层框架中研究CBDC系统所需的各种特征（例如，货币发行、用户之间的交易、金融和监管政策等）。并且[15] 中的跟踪机制是不够完善的，该系统发每个账户的生成，都账户持有人重新要求使用其密钥计算 PRF。他们以黑盒的方式使用PRF的安全多方计算。更重要的是，PRF 的输入仅限于一个值范围，使得跟踪继承效率低下，因为这会为该范围内的所有可能输入生成 PRF 值。
Tomescu 等人[16]的另一种并行设计称为 UTT，这是一个去中心化的支付系统，构建依赖于拜占庭容错的帧内结构，它使用了与 Androulaki 等人[12]类似的基本设计。也就是说，交易产生的UTXO（称为硬币）被表示为无形态承诺，并由银行用可随机化的信号[17]签名（可以使用阈值密码术进行分发），这些承诺将被重新随机化，然后作为输入。一个无效符（用于防止双重支出）由发送者确定地计算和显示，接着发送者证明输出硬币的总和与输入的总和相同。此外，UTT还提供每月匿名预算，限制匿名发送的金额。与Zerocash[6]类似，要接收 UTT 付款，收件人还必须扫描分类账上的所有交易，并对每笔交易进行试解密这极大的增加了用户的负担。
Gross等人的平行工作[18]建议将修改后的Zerocash[6]用于CBDC的“隐私池”。该系统是Zerocash的修改版本，用账户取代了UTXO。这种修改的协议可以通过隐藏交易方的身份来确保CBDC交易的隐私，同时保持CBDC系统的完整性。它利用Merkle树中包含的证明来验证交易。这意味着系统使用 Merkle tree 数据结构来有效地证明交易是有效的，并且其输入之前没有被花费。此外，[18]中的监管只允许硬限制（每笔交易或账户余额）。
Wüst等人[19]介绍了 Platypus，这是一个隐私保护和集中支付系统。Platypus依赖于单一机构，在监管执行方面对单点故障不具有鲁棒性，此外Platypus[19]的另一个缺点是，其监管方法、中央银行的货币发行以及解决并发和中止交易的技术细节没有在其安全模型中正式的研究。
PEReDi [20] 为法规遵从性提供支持，包括了解您的客户（KYC）、反洗钱（AML）和打击恐怖主义融资（CFT）等要求。在PEReDi中，由七个机构组成的委员会可以撤销特定用户的隐私或跟踪交易。该委员会通过解密存储在分类账中的密文来做到这一点。但两个用户都必须在线才能在PEReDi上进行交易。
PEReDi[20] 和 Platypus[19] 都是基于账户的模型，都结合不同级别的regulation-friendliness 提供了较高的隐私保护操作，但在它们的协议中，发送者和接收者都必须交互才能完成交易，这就意味着离线接收者无法访问资金。

分类

零售与批发

零售 CBDC

Retail CBDCs 属于直接提供给公众使用的数字货币形式，类似于现金。公众可以通过个人钱包或特定的数字支付系统来持有、存储和使用零售 CBDC。这种 CBDC 使个人和企业能够直接与中央银行进行交易，绕过传统的商业银行和支付机构。

批发 CBDC

Wholesale CBDCs 为金融机构和机构投资者设计的，用于促进金融市场中的资金结算和支付。批发 CBDC 可以用作跨境支付、证券交易结算等金融活动的工具。有助于简化这些机构之间的支付，实现更快的跨境交易，降低交易对手信用和流动性风险与零售 CBDC 不同，批发 CBDC 主要面向金融机构和专业市场参与者。

分布式与集中式

可以分为中心化，集中式和组合式（如，集中式分类账只能记录CBDC发行的总额，单个余额本地存储在智能手机或卡上）

集中式 CBDC

由中央银行完全控制和发行的数字货币形式，类似于传统的法定货币。集中式 CBDC 的发行和验证权力完全集中在中央银行手中，类似于传统的中央银行货币发行模式，使反欺诈和安全更容易整合。

• 中央银行控制：中心化 CBDC 的发行和验证权力完全集中在中央银行手中。中央银行负责制定政策、发行新的 CBDC、管理整个系统以及监督交易和账户操作等。
• 中介参与：中心化 CBDC 在交易和支付过程中可能需要通过中介机构，例如商业银行或 PIP。这些中介机构可以提供额外的服务，如账户管理、支付渠道和客户支持等。
• 监管便捷：中央银行对中心化 CBDC 的发行和运营拥有监管权力，以确保合规性和防止金融犯罪。中央银行可以制定相关法规和政策，并与其他监管机构合作，确保 CBDC 的合法性和安全性。
• 隐私和透明度：中心化 CBDC 的隐私和透明度可能受到监管机构的约束和控制。中央银行可能需要收集和存储与交易相关的个人数据，并确保符合隐私保护法规。同时，中央银行可能会要求特定的报告和透明度措施，以监控和防止不法活动。
• 系统稳定性较高：中心化 CBDC 的稳定性受到中央银行的直接管理和控制。中央银行可以采取措施来维护货币政策稳定、防止通货膨胀和金融风险等

目前来说完全集中式不太可能实现，一方面是让中央银行做自己不擅长的事是比较影响效率的。另一方面，系统开销会很大，且交易量很大后，不好维护，效率很低。另外，也不利于金融方面产生良好的竞争。

分布式 CBDC

基于分布式账本技术（如区块链）构建，具有去中心化的特点。分布式 CBDC 可能涉及多个参与方，如中央银行、商业银行和第三方机构，这些参与方共同参与 CBDC 的发行、验证和交易。分布式 CBDC 可以提供更强的安全性、去中介化和可追溯性，使得点对点和离线支付更容易。

• 去中心化：分布式 CBDC 不像中心化 CBDC 那样由中央银行完全控制和发行。它基于分布式账本技术，参与发行和验证的节点可以是中央银行、商业银行、第三方机构等多个参与方。这种去中心化的设计可以提高系统的安全性和抗攻击能力。
• 隐私保护：分布式 CBDC 可以采用加密技术和隐私保护机制，为用户提供更高的隐私保护。用户的身份和交易信息可以通过匿名性保护机制得到保护，同时仍然保持交易的可追溯性，以满足反洗钱和反恐怖融资等合规性要求。
• 安全性和防篡改性：分布式 CBDC 基于区块链或分布式账本技术，具有较强的安全性和防篡改性。数据存储在多个节点上，并通过共识机制确保数据的一致性和完整性，使得更难以进行篡改和欺诈。这种安全性特点可以增加系统的可信度和防范潜在的攻击风险。
• 去中介化和效率提升：分布式 CBDC 可以减少传统金融系统中的中介环节，提高交易效率和降低交易成本。它可以直接实现点对点的交易，消除传统银行或支付机构的中介角色。这有助于提高金融包容性，使更多人群能够获得金融服务。
• 技术挑战和可扩展性：分布式 CBDC 的设计和实施面临一些技术挑战，例如性能扩展、网络安全和隐私保护等方面。确保系统的可扩展性和高吞吐量是实现分布式 CBDC 成功的关键因素。

完全分布式的也是不太可能实现的，货币政策的权利需要掌握在中央银行手里，这是维持货币金融稳定的重要前提。而账户管理，交易验证和监管等工作倒是可以交给下属商业银行和金融机构，既有利于良性金融竞争，又能减缓系统压力，提升效率。
所以目前还是部分去中心化的系统比较受欢迎。

角色分类

目前部分去中心化的CBDC系统大致会分为三类角色（各个系统角色的分工可能会不一样，但大致类似）

• 中央银行：负责发行数字货币和货币政策，但不控制用户账户的状态，没有能力对交易的发送者或接收者进行去匿名化或披露与特定交易相关的转移价值，并且不负责执行支付的监管规则。
• 维护者：如商业银行和金融机构。负责验证交易和进行监管合规的各种审计操作，它们之间共享系统状态，且负责在用户发布交易时不断更新系统状态。所有的维护者的集合时公开的，只要敌手控制的维护者少于一定阈值，该系统就满足安全性。

（PEReDi中维护者还负责批准新用户的账户加入系统）

• 用户与PIPs：通过PIPs与系统进行交互，可以作为交易的发送方或接收方。
  

参考

余建健. 央行数字货币的监管方法设计[D].上海交通大学,2020.DOI:10.27307/d.cnki.gsjtu.2020.001754.
姚前.理解央行数字货币:一个系统性框架[J].中国科学:信息科学,2017,47(11):1592-1600.
马红霞.全球央行数字货币的发展现状、运行风险及趋势预测[J].湖湘论坛,2023,36(05):1-10.DOI:10.16479/j.cnki.cn43-1160/d.2023.05.002.
Ward, Orla, and Sabrina Rochemont. “Understanding central bank digital currencies (CBDC).” Institute and Faculty of Actuaries (2019): 1-52.
Allen, Sarah, et al. Design choices for central bank digital currency: Policy and technical considerations. No. w27634. National Bureau of Economic Research, 2020.
M. Kumhof and C. Noone, “Central bank digital currencies—design principlesand balance sheet implications”, Bank of England working paper No. 725,2018
David Chaum, Christian Grothoff, and Thomas Moser. 2021. How to issue a central bank digital currency. SNB Working Papers (2021).
[1] Chaum, D.: Blind signatures for untraceable payments. In: Chaum, D., Rivest, R.L., Sherman, A.T. (eds.) CRYPTO’82. pp. 199–203. Plenum Press, New York, USA (1982)
[2] Jan Camenisch, Susan Hohenberger, and Anna Lysyanskaya. 2005. Compact E-Cash. In Advances in Cryptology - EUROCRYPT 2005 (Lecture Notes in Computer Science, Vol. 3494). [13]
[3] Jan Camenisch, Susan Hohenberger, and Anna Lysyanskaya. 2006. Balancing accountability and privacy using e-cash. In International Conference on Security and Cryptography for Networks.
[4] Sébastien Canard, David Pointcheval, Olivier Sanders, and Jacques Traoré. 2015. Divisible e-cash made practical. In IACR International Workshop on Public Key Cryptography. Springer, 77–100.
[5] Foteini Baldimtsi, Melissa Chase, Georg Fuchsbauer, and Markulf Kohlweiss. 2015. Anonymous Transferable E-Cash… In Public Key Cryptography
[6] Eli Ben Sasson, Alessandro Chiesa, Christina Garman, Matthew Green, Ian Miers, Eran Tromer, and Madars Virza. 2014. Zerocash: Decentralized anonymous payments from bitcoin. In Security and Privacy (SP), 2014 IEEE Symposium on
[7] Christina Garman, Matthew Green, and Ian Miers. Accountable privacy for decentralized anonymous payments. In Jens Grossklags and Bart Preneel, editors, FC 2016, volume 9603 of LNCS, pages 81–98. Springer, Heidelberg, February 2016
[8] Karl Wüst, Kari Kostiainen, Vedran Čapkun, and Srdjan Čapkun. 2019. PRCash: Fast, private and regulated transactions for digital currencies. In International Conference on Financial Cryptography and Data Security
[9] Tom Elvis Jedusor. 2016. Mimblewimble. http://mimblewimble.org/ mimblewimble.txt.
[10] George Danezis and Sarah Meiklejohn. Centrally banked cryptocurrencies. In NDSS 2016. The Internet Society, February 2016
[11] Mathieu Baudet, George Danezis, and Alberto Sonnino. Fastpay: Highperformance byzantine fault tolerant settlement. In Proceedings of the 2nd ACM Conference on Advances in Financial Technologies, pages 163–177, 2020
[12] Elli Androulaki, Jan Camenisch, Angelo De Caro, Maria Dubovitskaya, Kaoutar Elkhiyaoui, and Björn Tackmann. Privacy-preserving auditable token payments in a permissioned blockchain system. Cryptology ePrint Archive, Report 2019/1058, 2019. https://eprint.iacr.org/2019/1058
[13] Torben Pryds Pedersen. 1992. Non-Interactive and Information-Theoretic Secure Verifiable Secret Sharing. In Advances in Cryptology — CRYPTO ’91.
[14] David Pointcheval and Olivier Sanders. 2016. Short randomizable signatures. In Cryptographers’ Track at the RSA Conference.
[15] Ivan Damgård, Chaya Ganesh, Hamidreza Khoshakhlagh, Claudio Orlandi, and Luisa Siniscalchi. Balancing privacy and accountability in blockchain identity management. In Kenneth G. Paterson, editor, CT-RSA 2021, volume 12704 of LNCS, pages 552–576. Springer, Heidelberg, May 2021.
[16] Alin Tomescu, Adithya Bhat, Benny Applebaum, Ittai Abraham, Guy Gueta, Benny Pinkas, and Avishay Yanai. 2022. UTT: Decentralized Ecash with Accountable Privacy. Cryptology ePrint Archive (2022).
[17] David Pointcheval and Olivier Sanders. 2016. Short randomizable signatures. In Cryptographers’ Track at the RSA Conference.
[18] Jonas Gross, Johannes Sedlmeir, Matthias Babel, Alexander Bechtel, and Benjamin Schellinger. 2021. Designing a central bank digital currency with support for cash-like privacy. Available at SSRN 3891121 (2021).
[19] Karl Wüst, Kari Kostiainen, and Srdjan Capkun. Platypus: A central bank digital currency with unlinkable transactions and privacy preserving regulation. Cryptology ePrint Archive, Report 2021/1443, 2021. https://eprint.iacr.org/2021/1443.
[20] A. Kiayias, M. Kohlweiss, and A. Sarencheh. Peredi: Privacy-enhanced, regulated and distributed central bank digital currencies. Cryptology ePrint Archive, 2022.
[21] N. Van Saberhagen. Cryptonote v 2.0 (2013). URL: https://cryptonote. org/whitepaper. pdf. White Paper. Accessed, pages 04–13, 2018.
[22] S. Riksbank. The riksbank’s e-krona pilot. Sveriges Riksbank, 2020
[23] U. Bank of England. Central bank digital currency. opportunities, challenges and design. URL: https://www. bankofengland. co. uk/- /media/boe/files/paper/2020/centralbank-digital-currency-opportunitieschallenges-and-design. pdf, 2020.
[24] W. Zhao. Chinese state-owned bank offers test interface for pboc central bank digital currency. CoinDesk. Accessed July, 7:2022, 2020.
[25] Bank of Canada, European Central Bank, Bank of Japan, Sveriges Riksbank, Swiss National Bank, Bank of England, Board of Governors of the Federal Reserve, and Bank for International Settlements. 2020. Central bank digital currencies: foundational principles and core features. https://www.bis.org/publ/othp33.htm

Kiayiasssssssssssssssssss, Markulf Kohlweiss, and Amirreza Sarencheh. 2022. PEReDi: