研究质疑使用MimbleWimble协议的加密的隐私

关键事实：

• 关于该协议面临的隐私挑战，引发了激烈的辩论。
• 根据专家的说法，仅MimbleWimble不足以保证机密性。

区块链生态系统研究公司Dragonfly Research的专家Ivan Bogatty于11月18日发布了一种针对Grin和Beam的攻击模型，这两种使用关注隐私的协议MimbleWimble的主要加密货币（兆瓦）该流程每周只需花费60美元即可支付Amazon网络服务费用。

Bogatyy在其在Medium上的出版物中解释说，他测试了一种能够破坏MimbleWimble所基于的部分匿名性的计算机攻击，该攻击可以实时跟踪发件人和接收者在交易中所进行的96％的交易。 Grin加密货币区块链这可以在“间谍节点”的帮助下完成，该“间谍节点”从其他用户那里转移操作。研究人员补充说，该问题没有解决方案，并且在隐私方面，MW不能被视为与Zcash或Monero相当的计划。

根据Bogatty的说法，其验证无法确定确切的交易金额，因为MimbleWimble通过基于椭圆曲线的密码术隐藏了这些金额。但是，这些测试可以识别付款的发送者和接收者，在操作链中找到关系，并恢复信用额度。

“比方说，Coinbase知道某个地址属于委内瑞拉人Daniel。您（美国用户）尝试在Coinbase收费。但是在解散交易K线走势图后，Coinbase确定他从Daniel收到了钱，尽管他们不知道他收到了多少。由于委内瑞拉的OFAC限制，Coinbase关闭了帐户。 （自然，交易所将对交易K线走势图了解很多，因为它们从KYC那里获得了有关使用现金付款的用户的信息。）”

IvánBogatty，蜻蜓研究中心研究员。

MW协议通常使用两种主要技术来避免链接事务：完全块划分聚合和Dandelion。为了绕过这两个保护措施中的第一个，并成功跟踪96％的操作的链接，Bogatyy解释说，他首先在Grin网络中创建了一个超级节点，以连接到当前拥有3000个保护节点的3000个节点中的另外200个节点。网路这就是他如何通过他的“陷阱节点”关联大多数交易的方式，该陷阱节点甚至在根据基于MimbleWimble的加密货币协议的规则混合交易之前就拦截了交易，并且可以识别零件，然后跟随它们。

研究人员补充说，问题没有解决方案，同时认为在隐私方面，MW不能被视为与Zcash和Monero加密货币相当的倡议，因为它们使用不同的匿名模型。例如，Zcash提供最高级别，包括匿名匿名交易中的所有交易。就其本身而言，Monero使用错误的操作，用户选择的诱饵数量在10到25之间。因此，根据专家的说法，仅MimbleWimble协议不足以保证机密性以及使用技术互补是必要的。

辩论中的隐私

尽管报告的内容可能引起关注，但是Grin开发团队实际上对Bogartty的警告做出了反应，并指出这是他们所知道的。甚至Litecoin的创建者Charlie Lee也提供了可能的解决方案。 Lee去年2月宣布与Mimblewimble合作，因为Litecoin一直致力于隐私保护，因此一直在Twitter上为自己的伴侣辩护。

“ MimbleWimble协议的这种局限性众所周知。 MW基本上是机密交易，具有规模收益和轻微脱钩的优势。为了获得更好的隐私，您仍然可以在传输之前使用CoinJoin，并且由于CT和聚合功能，CJ在MW上可以很好地工作。”

Litecoin的创建者Charlie Lee。

MimbleWimble协议的这种限制是众所周知的。 MW基本上是机密事务，具有扩展优势和轻微的不可链接性。为了获得更好的隐私，您仍然可以在广播之前使用CoinJoin，并且由于CT和聚合的原因，CJ与MW配合得很好。 https://t.co/M5sx92nzlZ

-Charlie Lee（LTC⚡）（@SatoshiLite）2019年11月18日

Bogartty的出版物引发了关于加密货币开发人员在努力改变现有模型或实施新技术以克服旧项目时面临的挑战的激烈辩论。

Grin的主要开发人员Quentin Le Sceller感谢Bogartty的发布，他承认团队意识到了漏洞并链接了问题陈述被正式确定并开始调查过程的存储库。

感谢您的文章老实说，自Grin https://t.co/IoJROucqwK诞生以来，我们就知道这个“新”漏洞。最近正式确定为开放研究问题https://t.co/yKJ8h3CX1x。我们正在努力。

-Quentin Le Sceller（@qlesceller）2019年11月18日

尽管WM团队做出了中立的反应，但创建了Ava去中心化服务平台的Ava Labs首席执行官EminGünSirer仍将Bogartty的报告描述为出色的贡献：“随着Ivan，Grin和Beam的发现不再它们是隐私硬币。与非私有货币（如比特币）相比，它们还具有其他缺点（例如，必须在线才能接收付款，高通胀）。”

对MimbleWimble协议的出色攻击。 https://t.co/xaw9s84g6R

-EminGünSirer（@ el33th4xor）2019年11月18日

就其本身而言，比特币开发商Udi Wertheimer对基于Mimblewimble协议的加密货币设备的反应进行了观察：“当然。他说：“知道易动性的人都非常了解易动性，并提到了很多。” “但是，仍然没有人执行它来凭经验证明它的有效性，这意味着大多数人仍然不知道它。 （…）事实上，大多数人仍然认为它提供了独特的隐私属性。”

如果您关心移动安全，那么即使不是严格创新，这样的研究也可以帮助人们更好地理解它，对此我们应该感到高兴。

不同的人需要不同类型的解释来“获得”东西。

-UDI WERTHEIMER（@UDIWERTHEIMER）2019年11月18日

以太坊的联合创始人Vitalik Buterin参加了讨论，通过一种称为“非交互式零知识测试”的方法来支持鲁棒安全性的想法，该方法用于ZCash等加密货币中。

“如果您的隐私模型具有一组平均匿名性，那么它实际上只有一小部分匿名性。如果您的隐私模型具有少量的匿名性，则您具有的匿名性为1。只有全局性的匿名性集合（例如，与ZK-SNARK一样）才是真正安全的。”

以太坊联合创始人Vitalik Buterin。

梁显示自己无敌

Beam的团队退出了Bogatyy的职位，他说这带来了一个他们已经设法缓解的问题。他们补充说，研究人员介绍的系统并没有建立交易K线走势图，但是表明有可能建立交易K线走势图。但是，他们认为从搜索链接的输入和输出到构建实际交易图以建立特定对之间的链接还有很长的路要走。他们还指出，攻击也不会泄露任何用户身份，例如IP地址或协商的金额。

Beam团队的帖子解释说，Bogatyy的方法与Grin一起工作是因为该网络尚未饱和，并且没有足够的事务可合并到Dandelion协议的根阶段。他补充说，随着网络使用的增长，匿名性将会提高。

Beam的团队指出，虽然加密货币基于相同的Mimblewimble协议，但Danamion的实现已改善了Grin的隐私。

“ Valdo早在2018年9月就发布了有关交易链接以及Beam如何解决该问题的技术文件。该文档描述了诱饵（也称为虚拟）UTXO的概念。请注意，该功能是在主网启动之前在Beam中实现的，并且与决定不实现它的Grin开发人员讨论了该机制。”

梁队。

如该出版物所述，Beam节点验证在Dandelion模型下合并的事务是否至少具有5个输出，否则，添加诱饵以确保输出数量至少为5。此外，每个Beam块具有至少2个内核（即，具有至少一个不只是基于币种的交易的区块）具有至少7个输出（币种，费率，受益人，4个虚拟对象）。每个虚拟出口的值为零，但与常规出口完全没有区别：所有出口看起来都是随机数。

在稍后阶段（每个出口随机选择的区块高度），节点将虚拟UTXO作为条目添加到随机交易中，该交易可能属于另一个用户，花费并将其从区块链中删除，还创建了关系实际上并不相关的用户之间。因此，名称为“诱饵”。这样，由于存在虚假退出，如注释中所述，此类单核交易对于发现交易K线走势图将无用。