一位刚接触比特币的网友在 Reddit 上提问：他打算自建一个资产追踪工具，不想把 XPUB（扩展公钥）交给第三方服务。他发现 Blockstream 的 API 可以快速查询 XPUB 对应的所有未花费交易输出（UTXO），而且无需 API 密钥。

他犹豫的是：这样直接提交 XPUB 是否安全？毕竟没有账户体系，似乎难以被追踪。

（图片：比特币钱包的地址派生示意图）

另一位网友 `_GOREHOUND_` 直接点破关键：**XPUB 是视图权限的主公钥**，能让人推导出某个派生路径下的所有地址（包括收款和找零地址），从而完整映射你的钱包活动轨迹——不仅是历史交易，连未来新地址的使用都能被预测。

虽然 XPUB 本身不能签名花钱，但它的隐私风险极高。一旦暴露，你的钱包集群就彻底透明了。

有经验的老手建议更稳妥的方案：**跑一个自己的比特币全节点**，让钱包直接连节点查询。这样既无需信任第三方，又能彻底保护地址关联性。

提问者还考虑过折中方法——只从 XPUB 派生部分地址（比如间隔 20 个）去查询，但操作繁琐。也有人提醒，自建节点虽然靠谱，但如果未来想追踪多币种资产，为每个币种都跑节点确实不现实。

这件事的反常识点在于：**很多人以为“不能花钱的密钥就是安全的”**，却忽略了公钥本身才是隐私的命门。区块链是公开账本，一旦地址被关联，所有交易历史都会暴露。

如果真需要跨链资产追踪，或许可以考虑轻量级方案，比如用本地生成的地址子集去查询公共 API，同时混合使用 Tor 或 VPN 隐藏 IP。但核心原则不变：主公钥能不交出去，就别交。

（配图建议：XPUB 派生地址的树状图 + 节点同步数据的示意图）