Monero 搅拌（churning）指南：2026 年最佳实践

如果你上周刚从一家中心化交易所提取了 XMR，那家交易所清楚地知道它到底把哪一笔输出（output）发给了你——日后任何能调取它记录的机构同样知道。搅拌（churning）指的是把 Monero 一次或多次转回给自己，用一圈又一圈全新的诱饵把那笔"已知输出"埋起来，从而切断"这家交易所付给了这个地址"与"这个地址后来付给了某个商家"之间那条干净的连线。它不是魔法，而且操作得马虎反而会让你更容易被追踪。

这篇指南讲清楚 2026 年的搅拌究竟如何运作、现实中你到底应该搅拌几次、哪些时间和金额上的失误会泄露元数据，以及即将到来的 FCMP++ 升级为什么会彻底改变这套算计。全文我们都假设你自己掌握钱包私钥——如果你的 XMR 是通过 MoneroSwapper 这类免 KYC 服务买来的，那么最严重的可链接性问题你其实已经绕开了；但只要币开始流动，链上卫生依然重要。

搅拌到底在做什么

每一笔 Monero 交易都用 CLSAG 环签名把真实花费的那笔输出藏进一个由 16 笔输出组成的环里（1 笔真实、15 笔诱饵），用 RingCT 和 Bulletproofs+ 隐藏金额，并把资金发往一个一次性的隐蔽地址（stealth address）。被动观察者无法判断环里哪一个成员才是真正被花掉的——但他们能构建一张概率图，而已知的起点（比如一次交易所提币）会把这张图锚定住。

搅拌就是把币从你的钱包转回你自己的钱包。每一次自我转账都会生成一笔全新的输出、配上一个全新的环，于是通往你最初那笔"被污染"输出的链接，现在必须先熬过"16 选 1"，再熬过一次"16 选 1"，如此层层叠加。其核心目的，是让那些最具杀伤力的启发式分析尽可能陷入不确定。

• 挫败 EAE 攻击：所谓"交易所—地址—交易所"模式，是分析者把 A 交易所的一次提币与之后在 B 交易所的一次充值关联起来；当中间夹着几次自我转账时，这种关联会大幅削弱。
• 随时间扩大你的匿名集：名义上每搅拌一次都会把候选集乘以 16，所以两次搅拌就能让你那笔真实输出藏在大约 256 条貌似合理的历史路径之中——这还没算时间分析。
• 稀释被投毒或灰尘输出：如果有人给你发来一笔极小的追踪用输出，把它和其他资金一起搅拌，会让对方很难标记它最终落到哪里。
• 干净地重置花费计时：新生成的输出会正常老化，并被其他用户选作诱饵，这对整个网络的可替代性（fungibility）有好处——对你也有好处。

诱饵到底是怎么被挑出来的

要理解搅拌为什么有效、又为什么收益会递减，得先看清诱饵选择这件事。Monero 钱包在构造一笔交易时，并不是从全链历史里随机平均地抽 15 笔输出——那样会立刻暴露真实输出，因为真实输出往往比较"新"，而平均抽样抽出的诱饵会偏老。

为了让真实输出混进诱饵里看不出来，钱包采用一个偏向近期输出的伽马分布来挑诱饵。现实中的花费行为是"刚收到的币很快被花掉"占多数、"放很久才动"占少数，这条曲线刚好近似一条衰减分布。钱包据此让大部分诱饵落在近期、少部分落在较早的时间段，从而模仿真实的花费习惯。

这件事对搅拌有两个直接的含义。第一，刚解锁就立刻花费的输出，确实更符合"近期被花"的统计常态，所以不算反常；但如果你每一跳都卡在解锁后的同一时刻，规律性本身就成了问题。第二，把一笔输出晾上几天再花，能让它落进诱饵选择器偏好的那段区间，使它既更可能被别人选作诱饵、又让自己的花费显得更自然——这正是"等待随机间隔"这一步在数学上的依据，而不是什么玄学。

到底应该搅拌几次

诚实的答案是：比论坛上暗示的次数要少。这里存在明显的收益递减，因为诱饵选择算法本身已经完成了大部分隐私工作，而每多跳一次，都会新增一份时间元数据和一笔手续费。

收益递减背后的算术

在环大小为 16 的前提下，搅拌一次就已经让真实链接对一个粗心的观察者来说处于大约"16 选 1"的概率。第二次搅拌把它压向"256 选 1"，第三次把名义上的不确定性推过"4000 选 1"。超过两到三跳之后，匿名性的边际增益微乎其微，而你引入某种可识别模式的概率却在持续上升。对绝大多数用户来说，两次搅拌是甜蜜点，三次是现实中的上限。

黑弹珠攻击的警示

"16、256、4096"这些漂亮数字，前提是你的 15 笔诱饵全都是无辜的陌生人。黑弹珠攻击（black-marble，又称"洪泛"攻击）——在 2024 和 2025 年被反复讨论——描述的是这样一个对手：他自己制造出近期输出中相当大的一部分。他能用统计手段把自己已知的诱饵减掉，从而缩小你的有效环。多搅拌几次解决不了这个问题；如果非要说有什么影响，更多的跳数反而给资源雄厚的洪泛者提供了更多可分析的交汇点。时机的质量胜过跳数的数量。

10 个区块的锁定期

新收到的输出会被锁定 10 个确认——按 Monero 两分钟的出块目标计算约为 20 分钟——之后才能再次花费。这给你能多快搅拌设了一道硬性下限，同时也是不要在每笔刚一解锁就立刻接连搅拌的理由：那种"每次都恰好 20 分钟后再花"的节奏，本身就是一枚指纹。

搅拌策略对比

不是每种情况都该用同一套打法。下面这张表把常见场景映射到合理的搅拌次数，以及需要重点防范的主要风险。

注意这里的规律：搅拌是用于被污染或即将花费的币的一种工具，而不是你对每一笔币都要例行的仪式。静静躺在钱包里的闲置 XMR 在链上什么都不暴露，所以多生成交易只会烧掉手续费、徒增时间数据点，毫无收益。

搅拌、混币器与 CoinJoin：别搞混了

很多从比特币世界过来的人，会下意识地把搅拌等同于"混币"。这是个值得澄清的误解，因为两者的信任模型截然不同。

比特币上的中心化混币器，是把你的币和别人的币交给一个第三方打乱再发还。这意味着那个混币服务在某个时刻同时掌握了你的输入和输出——它既能卷款跑路，也能记录关联关系，甚至本身就可能是执法机构设的蜜罐。CoinJoin 之类的协作交易去掉了对单一托管方的信任，但仍然需要凑齐若干参与者、共享某些信息，并且交易在链上往往有可识别的结构特征。

Monero 的搅拌则完全不依赖任何第三方：你只是把币从自己的钱包转回自己的钱包，隐私来自协议层默认强制的 RingCT、环签名与隐蔽地址，而不是来自某个混币方的善意。没有人保管你的币，没有人能记录你的关联，也不存在"凑人数"的等待。代价是，单笔搅拌带来的匿名集增量受限于环大小（16），不像一次大规模 CoinJoin 那样一步到位——这也正是人们会考虑多跳的原因，以及为什么 FCMP++ 把环换成全链证明后会是质的飞跃。

选对钱包：实操层面的工具

搅拌不需要任何特殊软件，任何一个完整的 Monero 钱包都能做——关键是它要让你掌控私钥、能走 Tor，并允许你管理子地址。下面几种是社区里常见、且都开源的选择。

• 官方 Monero GUI / CLI 钱包：功能最全，支持自建节点、查看具体输出、设置交易优先级。CLI 还能精细到指定要花费哪些输出，适合做归集和谨慎的搅拌。
• Feather Wallet：轻量级桌面钱包，内置 Tor 支持、coin control（输出选择）和清晰的交易细节展示，对想要可控搅拌又不想跑全节点的人很友好。
• Cake Wallet：移动端常见选择，上手简单；做搅拌时务必确认它连接的是你信任的节点，并在系统层面走 Tor（例如 Orbot）。

无论用哪一个，原则都一样：连接到你自己信任的节点，整条链路走 Tor 或 I2P，并且开启 coin control 以避免无意间把不该合并的输出凑到一起。把这些做对，比纠结"用哪个钱包"重要得多。

金额、找零与输出管理

搅拌时人们常忽略的一环是金额与找零。Monero 用 RingCT 隐藏了具体数额，但它隐藏不了"一笔交易产生了几个输出"这种结构信息，也管不住你支付了一个独特到能对号入座的金额。

做搅拌（自我转账）时，最稳妥的做法是把某个子地址的全部余额一次性扫出去（sweep），这样不会留下找零输出，交易结构也最朴素。如果你做的是归集——把许多零散小额输出并成一笔——要意识到"多进一出"本身就是一种可被指纹化的形态，所以归集应当作为一个有意为之的步骤，而不是和保护隐私的搅拌混在同一笔里随手完成。

到了真正花费的那一步，尽量避免支付精确到难以复现的奇怪小数。一个独特的金额，即便被环和 RingCT 保护着，也可能在收款方的记录里成为一个软性的对照锚点。把这些细节和随机化的时机放在一起考虑，你才算真正用好了搅拌。

如何安全地搅拌 Monero：分步操作

机制本身很简单；真正的纪律在于时机和网络层。下面是针对最常见情形的一套干净流程——在你真正花费之前，先洗掉一次交易所提币留下的元数据痕迹。

1. 让钱包走 Tor 或 I2P。能自己跑节点就自己跑，否则把钱包通过 Tor 指向一个远程节点。Dandelion++ 已经能掩盖某笔交易最先由哪个节点广播，但在连接层隐藏你的 IP，才堵上了最明显的那道口子。
2. 把全部余额转给你自己的地址。使用同一钱包里的一个全新子地址（subaddress）。这第一跳会把交易所那笔输出扫进一个带有新环的新隐蔽地址。
3. 等待一个随机化的时间间隔。让这笔输出老化到远超 10 个区块的锁定期——从几个小时到一两天都行，间隔要选得不均匀。诱饵选择算法用的是偏向近期输出的伽马分布，所以适度老化会让你的输出成为更自然的诱饵候选，也让你的花费不那么扎眼。
4. 执行第二次搅拌。再次转给你自己的钱包。两跳对几乎所有人都足够了；除非你有某个具体的威胁模型能证明第三跳的必要，否则到此为止。
5. 再等一段时间，然后才发起你真正的付款。千万别在同一分钟内搅拌完就立刻花费——这种背靠背的时机会把你花两笔交易才打断的那条链接重新接上。

搅拌最大的单一错误就是可预测的时机：一个无法攻破你环的对手，照样能认出一台节拍器。把间隔随机化，并且绝不让"提币、搅拌、搅拌、付款"挤在一个紧凑的时间窗里发生。

真实案例：清洗一次交易所提币

假设你在 2026 年 3 月于一家 KYC 交易所买了 5 个 XMR，想付给一家尊重隐私的 VPS 主机商，又不想让这笔付款被轻易地连回你已实名核验的身份。交易所的合规团队有一条记录："用户 #48213 把输出 X 提到了地址 Y。"输出 X 就是你的锚点，也是调查者在链上唯一的出发点。

你通过 Tor 把全部 5 个 XMR 转到自己钱包里的一个全新子地址。这笔输出现在被花进了一个 16 成员的环里；交易所那条记录指向的，是一笔真实目的地为十六个隐蔽地址之一的交易。第二天傍晚，你再搅拌一次。两天后——不是两个小时，也不是一个整数时刻——你才从产生的那笔输出向 VPS 主机商付款。

一名从输出 X 向前追踪的分析者，现在面对的是一棵分叉的树：第一跳 16 个候选，到第二跳变成 256 个，而且时间间隔并不构成整齐的链条。再叠加上你真实付款金额由 RingCT 隐藏这一事实，从"已核验交易所账户"到"VPS 付款"的链接，就从一条直线变成了一次统计上的猜测。这恰恰是搅拌想要强化的那种可替代性属性。倘若你当初是通过 MoneroSwapper 上的免 KYC 兑换拿到这些币，输出 X 从一开始就不会承载你的身份——这也是为什么来源比任何事后搅拌都更重要。

反过来看一个失败的版本会更有启发：假设你提币后五分钟就搅拌、再过五分钟又搅拌、然后立刻付款给 VPS 商，全程不到二十分钟、还没走 Tor。这时分析者根本不需要攻破任何一个环——四笔交易在时间上首尾相连、金额规模相当、又都从同一个 IP 冒出来，整条路径几乎可以靠时间相关性直接拼回去。同样是两次搅拌，纪律的有无让结果天差地别。技术给了你工具，真正决定成败的是你怎么用它。

中国用户面对的监管现实

对中国大陆的读者来说，还有一层绕不开的背景。中国人民银行连同其他部委早在 2021 年 9 月就明确，虚拟货币相关业务活动属于非法金融活动；境内的中心化交易所早已退出。这意味着，那种"从持牌 KYC 交易所提币"的经典剧本，对你而言往往本就不存在——你更可能是通过场外或免 KYC 渠道接触到 XMR 的。

这反而带来一个不那么直觉的结论：如果你的币从未经过一个把身份与那笔原始输出绑定的实名锚点，那么搅拌要去掩盖的东西本来就很少。把精力花在"别让币一开始就背上身份"上，回报远高于事后在链上多跳几次。与此同时，国家税务总局对个人加密资产处置的征管口径仍在演化，CARF（加密资产报告框架）这类国际信息交换标准也在推进，所以把链上隐私和合规义务这两件事分开来想，会更清醒。

换句话说，搅拌解决的是"链上可链接性"这一具体的技术问题，它既不能、也不打算替你处理法律层面的事。把它当成一把精密工具，而不是一块能洗掉一切的橡皮擦。

网络层：和搅拌同样关键的一环

把全部注意力放在"搅拌几次"上，是新手最常踩的偏。链上的环把"哪笔输出被花了"藏得很好，但如果你的交易携带着可识别的网络指纹被广播出去，再多的环也救不了你。隐私是一条链路，最弱的那一环决定了整体强度。

Monero 在协议层已经做了一件事来缓解网络层泄露：Dandelion++。它把交易先沿着一条随机路径"茎"状传播一段，再"绒毛"状扩散到全网，让观察者难以判断某笔交易最初是由哪个节点冒出来的。但 Dandelion++ 保护的是"在 P2P 网络里第一个广播你交易的节点是谁"，它并不替你隐藏你这台机器连出去时暴露的 IP。

这就是 Tor 或 I2P 的用武之地。把钱包到节点的连接整条裹进 Tor，意味着即便你连的是别人的远程节点，那个节点看到的也只是一个 Tor 出口，而不是你家的宽带 IP。条件允许的话，自己跑一个全节点更进一步：你既不必信任远程节点，也不会因为只向某个第三方节点查询自己的输出而泄露兴趣点。把"走 Tor + 尽量自建节点"当成搅拌的前置条件，而不是可选项。

FCMP++ 之后会发生什么

值得把目光放远一点，因为 2026 年前后的这次升级，会重写本文大半内容的前提。今天的隐私上限被环大小钉死在 16：无论你怎么挑诱饵，真实输出始终只是十六分之一的候选。FCMP++（全链成员证明）用一个零知识证明取代了这个环——它证明"被花的输出确实存在于链上所有合格输出之中"，却不透露是哪一个。

这意味着匿名集从 15 个诱饵，一跃变成数千万级别的全链输出。黑弹珠攻击赖以生效的前提（对手能制造并减去你环里相当一部分诱饵）随之基本失效，因为没有谁能制造出全链历史的相当一部分。诱饵质量、环大小、为扩环而多跳——这些今天反复推敲的东西，到那时大多沦为历史名词。

它不会让自我转账百分百失去意义：你仍可能为了打断时间关联、归集零散输出、或稀释一笔可疑收款而转给自己一次。但"为了把匿名集从 16 撑到 256 而反复多跳"这种典型的搅拌动机，会就此退场。换句话说，本文教你精打细算的这门手艺，正走向它自己的黄昏——这是好事。

搅拌隐藏不了什么

搅拌只在链上的环这一层级起作用，所以很容易被高估。了解它的盲区，能让你免于陷入虚假的安全感。

• 网络元数据：如果你不走 Tor 或 I2P，直接从家里的 IP 广播，那么无论交易前面排着多少个环，观察者都能把交易的来源连到你身上。
• KYC 锚点本身：搅拌掩盖的是往前走的路径，但交易所依然记录了它曾付款给你。它抬高了追踪的成本，却抹不掉那条起始记录。
• 钱包层面的关联：如果你把同一个查看密钥（view key）复用给某个第三方服务，或者暴露了自己的交易历史，那么链上再怎么搅拌，也撤销不了这种自愿的披露。
• 花费行为：支付一个独特而具识别性的金额，或者总在同一个钟点交易，都会重新引入那些环遮不住的模式。

动手前的安全检查清单

在你点下第一笔自我转账之前，花一分钟对照下面这份清单。它把全文的要点压缩成了可执行的几条。

• 这笔币真的需要搅拌吗？只有带 KYC 锚点、或来源可疑的币才值得；闲置和来源干净的币别动。
• 网络层准备好了吗？钱包整条链路走 Tor 或 I2P，能自建节点就自建，别用家里裸 IP 广播。
• 钱包的 coin control 开了吗？确认你清楚自己在花哪些输出，避免无意间把不该合并的输出凑到一起。
• 时间间隔随机吗？每跳之间从几小时到几天不等，刻意打乱，别卡在解锁后的同一时刻。
• 跳数控制住了吗？两跳足够，三跳封顶；没有具体威胁模型就别再加。
• 最后一跳和真实付款之间留足间隔了吗？绝不在同一个紧凑窗口里搅拌完就花。
• 付款金额会不会太独特？避免精确到难以复现的奇怪小数，以免成为收款方记录里的软性锚点。

关于搅拌的几个流行误区

搅拌是社区里被反复讨论、也被反复夸大的话题。下面几个流传甚广的说法，值得逐一拆穿。

误区一："搅拌的次数越多越安全。"这是最顽固的误解。收益在两到三跳之后急剧递减，而每多一跳都在新增时间元数据、并给黑弹珠类对手多一个交汇点。安全来自纪律和随机化，而不是次数堆叠。

误区二："只要搅拌过，交易所那条记录就被抹掉了。"并没有。搅拌掩盖的是币往前流动的路径，它抬高了向前追踪的成本，却动不了"交易所曾付款给你"这条起点记录。锚点本身依然存在。

误区三："Monero 既然默认匿名，那搅拌就是多此一举。"对绝大多数闲置或来源干净的币，这话其实对：协议默认的 RingCT、环签名和隐蔽地址已经够用。搅拌的价值只在特定情形下凸显——带着 KYC 锚点的币、可疑的收到输出——把它当成针对性工具，而非可有可无的装饰。

误区四："搅拌完马上花掉没关系，反正环已经换过了。"恰恰相反。背靠背的时机会把你刚花两笔交易打断的链接重新接上，因为时间上的紧邻本身就是一条强关联线索。环换了，节奏却出卖了你。

常见问题

搅拌的手续费很贵吗？

不贵。Monero 的手续费是动态的，但极其低廉——得益于 Bulletproofs+ 把交易体积和验证成本压得很低，即便按普通优先级，每笔通常也就几分之一美分。按 2026 年的行情，两次搅拌花掉的费用远不到一美分，所以手续费基本上从来不是限制因素。

FCMP++ 会让搅拌变得多余吗？

就匿名集这个用途而言，基本上是的。全链成员证明（Full-Chain Membership Proofs，FCMP++）用一个针对链上所有合格输出的零知识证明，取代了 16 成员的环——匿名集从十五个诱饵变成数千万级别。一旦它在主网激活——预计 2026 年前后，与 Carrot/Jamtis 寻址工作同步推进——黑弹珠攻击和诱饵质量方面的顾虑大多就烟消云散了，为扩展环而做的例行多跳搅拌也不再必要。用自我转账来打断时间关联或归集输出，可能仍有一些小众价值。

搅拌会不会反而让我的隐私更差？

有可能。过多的跳数、完美规律的时机、或者搅拌完在同一个短窗口里就花费，都会制造出分析者可以抓住的模式。此外还有黑弹珠风险，即更多的交汇点会给一个洪泛链条的对手提供更多可下手的素材。交易更多并不自动等于更私密——有纪律、随机化、最少量的搅拌，胜过强迫症式的反复搅拌。

用免 KYC 买来的币需要搅拌吗？

通常不需要。如果你的原始输出上根本没有与身份绑定的锚点——比如你是通过免 KYC 兑换拿到的 XMR——那搅拌就没多少东西可掩盖。这种情况下，只在你有具体理由时才搅拌，比如归集大量零散输出，或者稀释一笔可疑的收到输出。

两次搅拌之间该等多久？

最少要过 10 个区块的锁定期（约 20 分钟），但实际操作中你会想等上几个小时到几天，而且间隔要不规律。目标是避免统一的节奏，并让输出老化进基于伽马分布的诱饵选择器所偏好的区间。整数、重复的间隔是一枚指纹；参差不齐的间隔不是。

搅拌和比特币的混币器是一回事吗？

不是。比特币混币器要么需要你把币托管给第三方，要么需要凑齐若干协作参与者，并且常在链上留下可识别的结构。Monero 的搅拌纯粹是你转给你自己，隐私来自协议默认强制的 RingCT、环签名和隐蔽地址，不依赖任何中间人，也没有人能同时看到你的输入和输出。

搅拌会被交易所或区块浏览器看出来吗？

从链上看，一次搅拌和任何一笔普通 Monero 交易没有结构上的区别——都是隐蔽地址收款、金额被 RingCT 隐藏、真实输入藏在 16 成员的环里。真正会出卖你的不是"搅拌这件事被看见"，而是规律的时机、独特的金额，以及不走 Tor 时暴露的 IP。把这些控制住，搅拌就只是链上无数笔自我转账中再普通不过的一笔。

如果我搞错了节奏，需要重新搅拌补救吗？

多数情况下不必，而且补救式地猛搅拌往往帮倒忙——又多了一次时间数据点，还可能给黑弹珠类对手添交汇点。如果你担心某次时机太规律，更好的做法是把那笔输出晾久一点、用不规律的间隔再动它，而不是连着补几跳。记住：有纪律的少量搅拌，永远优于慌乱中的过度搅拌。

长期冷存储的币需要定期搅拌吗？

不需要。静静躺着、没有花费计划的输出在链上什么都不暴露，定期搅拌反而是在凭空制造活动、留下时间数据点、并烧掉手续费。只在你准备动用这笔币、且它带有需要掩盖的锚点时，才考虑搅拌。把搅拌留到"即将花费"的那一刻，而不是当成日常保养。

结语

搅拌是一把精密工具，不是一套净化仪式。用在真正被污染的币上——一笔交易所提币、一个可疑的灰尘输出——通过 Tor 做两次掐准时机的自我转账，就能切实打断那些把你的资金锚定到已知身份上的启发式分析。强迫症似地对每一笔币都搅拌、还用节拍器般的时机，则只会浪费手续费、把额外的元数据双手奉给分析者。而随着 FCMP++ 渐行渐近，这整套技术眼看就要从日常苦差变成一条脚注。在那一天到来之前，把本文这套"按需、随机、克制"的原则记牢，就已经胜过论坛上九成的玄学操作了。

最可靠的隐私收益，依旧出现在流程更靠前的环节：从一开始就别让你的币背上身份。通过 MoneroSwapper 上的免 KYC 兑换获取 XMR，等于直接拿掉了搅拌存在的意义所要去埋葬的那个锚点——而这，远比在链上跳多少次都更省成本的一道防线。

关键术语速查

• 搅拌（churning）：把 Monero 一次或多次转回自己的钱包，用新的环和隐蔽地址埋掉某笔已知"被污染"的输出。
• 输出（output）：一笔交易付给某个地址的、可被后续花费的金额单位，类似 UTXO。
• 环签名与环大小：把真实被花的输出藏进一组诱饵之中的签名机制；当前环大小为 16（1 真 15 假）。
• 诱饵（decoy）：环里那些并非真实被花、用来制造不确定性的历史输出。
• RingCT：隐藏交易金额的机密交易方案，配合 Bulletproofs+ 压缩证明体积。
• 隐蔽地址（stealth address）：每笔收款都生成的一次性地址，使链上观察者无法把多笔收款归到同一个公开地址。
• EAE 攻击："交易所—地址—交易所"关联，把一次提币和之后另一次充值连起来的启发式分析。
• 黑弹珠攻击：对手大量制造近期输出、再统计性地减去自己已知诱饵，从而缩小你有效环的洪泛式攻击。
• FCMP++：全链成员证明，用零知识证明把匿名集从 16 扩展到全链所有合格输出。
• 可替代性（fungibility）：每一枚币都彼此等价、无法被区别对待的属性，是 Monero 隐私设计的终极目标。
• Dandelion++：交易在 P2P 网络中先沿随机路径"茎"状传播、再扩散的广播机制，用来掩盖交易最初源自哪个节点。
• 子地址（subaddress）：由同一钱包派生、彼此在链上无法关联的收款地址，搅拌时常用一个全新子地址作为目的地。