Das die Relays und DNS-Server/Resolver getrennte Anbeiter sind ist Grundvorraussetzung. Damit wäre bei dnscrypt die Verbindung anonymisiert & verschlüsselt. Allerdings ist dein Argument vollkommen korrekt, dass mehr Entitäten an der DNS Auflösung beteilgt sind. Vorallem muss dem Resolver vertraut werden, dass dieser eine korrekte Auflösung der DNS-Anfragen ohne Zensur oder Verfälschung (abgesehen von Domains mit DNSSEC) durchführt.
Wohingegen bei Hyperlocal Root die Verbindung unverschlüsselt und nachvollziehbar an die Root-Server gelangt. Allerdings kann bei den Root-Servern davon ausgegangen werden, dass diese die Anfrage korrekt auflösen. Durch die unverschlüsselte Verbindung zum Root-Server könnte aber durch Dritte die Anfrage verfälscht werden.
Ideal wäre eine verschlüsselte Verbindung über ein Relay zum Root-DNS (Quasi dnscrypt mit Hyperlocal Root). Das scheitert aber schon daran, dass die Root-Server keine Verschlüsselung zulassen.