11月18日,區塊鏈投資基金Dragonfly Capital研究員Ivan Bogatyy發文稱,Mimblewimble協議的隱私性,從根本上存在缺陷,只需每周支付60美元的AWS費用,就能即時發現96%的Grin交易發起者和收款者的確切地址。
Ivan Bogatyy表示,該問題是Mimblewimble固有的,他認為沒有辦法予以修補,這意味著在隱私方面,Mimblewimble不應再被視為Zcash或Monero的可行替代方案。該文章展示了對Mimblewimble協議執行攻擊的精確方法,在對Grin的真實測試中,揭開交易流資訊的成功率達到96%。
此後不久,Mimblewimble的重要實施之一,Grin項目的核心開發者Daniel Lehnberg聯合其他相關人士發文進行了反駁,指出Mimblewimble協議的隱私性並不存在「根本性的缺陷」,Ivan Bogatyy在文章中描述,對Mimblewimble / Grin的攻擊,是對已知限制的誤解。
以下是Grin開發者的回應全文:
編者按:Mimblewimble協議的隱私性不存在「根本性缺陷」。 此前在Mimblewimble / Grin上描述的「攻擊」是對已知的一種限制的誤解。儘管那篇文章提供了一些有關網路分析的有趣數字,但給出的結果實際上並不構成攻擊,也不能支持該文章提出的聳人聽聞的主張。
今天,區塊鏈投資基金Dragonfly Capital研究員Ivan Bogatyy發表了一篇名為《打破Mimblewimble的隱私模型》的文章,作者斷言他們以某種方式「打破了」 Mimblewimble和Grin的隱私模型。
作者聲稱做出的「攻擊」是經過充分記錄的,並且討論了交易圖輸入輸出連結性問題。對於Grin團隊中的任何人或研究過Mimblewimble協議的任何人來說,這都不陌生。 Grin在主網啟動之前於2018年11月在其公共Wiki上發布的Privacy Primer中,承認了能夠在鏈上連結輸出的功能。該問題包括Ian Mier提出的「手電筒攻擊」,我們當時就將其列為開放研究問題之一。
實際上,包括這篇文章的標題在內的許多說法都不準確。從較高的角度看,這篇文章讀起來並不那麼含蓄,似乎是為了引人注目。但是,本文的結論包含許多邏輯上的飛躍,而這些邏輯飛躍並未通過所描述的網路分析練習得到證實。
Grin團隊一直承認,Grin的隱私性遠非完美。作為我們不斷改進的隱私保護目標的一部分,交易可連結性是我們一直希望減輕的限制,但這並不能「打破」 Mimblewimble,更不是能夠導致Grin的隱私保護功能失效的「根本性缺陷」。
除了要逐篇反駁這篇文章外,我們還要指出這個研究及其結論中存在的主要問題。
1)Mimblewimble沒有地址
Mimblewimble的最根本的隱私好處,是該研究和相關文章存在最根本的問題:Mimblewimble沒有諸如可能連結到特定比特幣錢包的地址。 參與者透過將一筆一次性的輸出添加到交易中,來實現價值交換,任何時候都不會呈現給區塊鏈網路或區塊鏈數據的可識別「地址」。
2)無法連結到不存在的地址
對於這一點,這篇文章的研究人員似乎採取了不一致的方法。文章隨附的github儲存庫指出:「沒有地址,只有作為Pedersen comitment隱藏的UTXO。」
隨後,文章繪制以下方案:「例如我是執法人員,我知道一個地址屬於暗網市場上的供應商。當您將Grin幣發送到Coinbase交易所時,Coinbase會將您的地址與您的姓名聯繫起來。」
文章繼續:「或者說,某個專制政府知道某個地址屬於政見不同人士。您向異議人士發送一小筆捐款。」
目前尚不清楚執法人員如何知道一個根本不存在的地址,或者Coinbase如何將不存在的地址連結到所有者的名字。或就此而言,霸權政府將如何能夠將一個不存在的地址,與某個政見不同人士聯繫起來。
我們必須假設作者簡單地將事務輸出(TXO)與地址混淆了,但是二者並不是一回事。而且,正如我們已經詳細介紹的那樣,可以連結TXO並不是什麼新聞。
3)數字95.5%接近100%。 但這也沒有太大意義
文章中有關這個實際實驗的詳細資訊被稱為「攻擊」。 所謂的「嗅探器節點(sniffer nodes)」收集從節點廣播的交易,這是蒲公英(Dandelion)協議中莖(stem)和絨毛(fluff)階段的一部分。 作者能夠在特定時間段內,收集網路上95.5%的交易。 除了能夠知道「 Output A花費在Output B上」之外,目前尚不清楚在此確切地確定了什麼,或者作者還可以利用這些資訊來完成什麼。
4)僅交易圖並不能顯示有關交易方的資訊…
儘管在交易過程中最好能夠避免洩漏交易圖,但僅憑該圖並不一定能揭示發送方和接收方的輸出。 沒有金額,就很難區分變更輸出(output)和接收人輸出(output)。 即使本文並未嘗試實際執行此操作,這會是未來研究的一個有趣領域。
5)…作者似乎並沒有意識到這一點
文章中提供的Github儲存庫寫到:「我們發現的是交易圖:誰向誰付款的記錄」
但實際並不是這樣的。
讓我們舉一個具體的例子。 愛麗絲與Bob建立了交易(可能通過TOR,grinbox或直接文件交換)。 然後,她透過託管節點(例如使用wallet713)將此交易廣播到網路。
在此示例中,監視網路的「嗅探器節點」將不會發現有關愛麗絲的任何資訊,當然也不會發現誰向誰付款的記錄。 「手電筒攻擊」是一種主動攻擊,其中對手正在參與交易構建過程。 那篇文章中的網路分析活動是被動的,這並成立。
6)文章標題具有誤導性,並沒有任何東西被「打破」
文章的標題是「打破Mimblewimble的隱私模型」。Mimblewimble的隱私權模型,並未涵蓋阻止交易輸出被監視節點連結的問題。
結論
您所獲得的隱私性,永遠不會超過匿名集的大小。
Grin是一種最小化的加密貨幣,旨在保護隱私,可擴展且公平。 它遠非完美,但它實現了與比特幣同等的安全模型,默認情況下啟用了更好的隱私性,需要保留的數據更少。 在無需受信任的設置,沒有ICO或預挖的情況下,它可完成所有這些工作。
但是,Grin仍很年輕,還沒有發揮出全部潛力。 主網上線11個月以來,網路使用率仍然較低。在最近的1000個區塊中,有22%僅包含一個交易(而30%不包含交易),這意味著它們的輸入(input)和輸出(output)是輕微可連結的。 在網路使用率提高之前,這種情況不會改變,但這仍然並不意味著發送方和接收方的身份會被洩露。
團隊協作可為隱私研究提供幫助
作為Grin的貢獻者,我們很高興看到對該項目產生了興趣。我們社群歡迎對Grin的協議和代碼庫進行科學分析和審查,但同時也希望具有一定的嚴格性。實際上,如果我們被請求,我們甚至可以提供相關幫助。
Dragonfly Capital研究員發表的文章,要求Haseeb、Oleg、Elena、Mohammed和Nader審查了他們的工作,但是不幸的是,他們沒有要求Grin社群中的任何人參與,或者度他們要發布的東西提供(友好的)回饋。如果他們這樣做了,我們可能就不會進行這次回應了,並且只會提高工作質量。在一條推文中,那篇文章的作者寫道:「重要的是,我非常尊重Grin社群和核心開發人員,他們在回答我的問題方面都提供了極大的幫助。」
聽起來好像是他們在發布那篇文章時與我們聯繫了,但是在我們的Gitter頻道或Keybase中,我們都沒有看到任何有關該作者的東西。雙方錯過了進行高質量研究的機會。
更新:
同樣採用Mimblewimble隱私技術的萊特幣項目的創辦人李啓威,對此在推特上回應稱,MimbleWimble協議的這種限制是眾所周知的。MW基本上屬於隱密交易,具有擴展優勢和一定程度的不可連結性。為了獲得更好的隱私,用戶仍然可以在廣播之前使用CoinJoin(CJ),並且由於CT(Confidential Transactions)和聚合的原因,CJ與MW運行的也很好。與BTC / LTC相比,MW上的CJ更加簡單易用。
1. MW具有CT,因此所有數量都被隱藏,因此無需決定統一的輸出大小;
2. 使用MW中的聚合,無需簽署最終的CJ交易。因此,不能透過不簽名來拒絕服務。
截至目前,Ivan Bogatyy發出更正文章稱,Mimblewimble協議的隱私性不是根本性缺陷。
本文為巴比特資訊授權刊登,原文標題為「Grin核心開發者解析Mimblewimble「漏洞」:非根本性缺陷,Grin很安全」