Grin的Mimblewimble隐私模型被指控闯入后受到威胁

 
11月18日，加密研究员Ivan Bogatyy在Medium上发表了一篇文章，声称他发现了一种绕过Grin的Mimblewimble隐私协议的极其简单的方法。作为工作的一部分，Bogatyy表示，他能够实时跟踪所有与Grin相关的交易的96%以上，包括发件人以及与这些交易集相关的收件人的地址。
更令人惊讶的是，Bogatyy声称他能够通过每周仅花费60美元购买Amazon Web Services计算能力来实现所有这些目标，这有助于将他连接到Grin的本地区块链节点。
不仅如此，谷歌AI研究的校友还声称，如果他决定连接到系统的所有3,000个节点，那么他可以很容易地暴露“几乎所有” Grin用户的地址。在这方面，Bogatyy写道：“ Grin仍提供比比特币或其他非隐私硬币更强大的隐私模型，因为金额已安全加密。但是Mimblewimble提供的隐私模型比Zcash或Monero严格严格。这使得它不足以满足许多现实世界中的隐私用例。”
不出所料，这些发展一经发现，全球各地的人们便立即质疑Mimblewimble的未来，他们开始说隐私协议不再受信任，因为它显然不够安全。
但是，在初次报告发布几天后，Grin核心开发团队成员Daniel Lehnberg发表了一篇博客，认为“被指控的”入侵行为主要限于该协议已经公认的隐私限制。他还补充说，攻击是通过使用无能矢量来进行的，该无能矢量无法获取任何可操作的数据。
最后，格林(Grin)利用称为“患者蒲公英”的技术，该技术基本上是对BIP0156中概述的比特币“蒲公英+ +”提案的修改版本。该协议通常用于屏蔽与任何给定事务链接的IP地址，因为它增加了额外的主干跳以及每个节点连接处的其他延迟。但是，自从Grin最新的隐私丑闻曝光以来，许多专家现在也对Dandelion的整体运营效力提出了质疑。
仔细研究Grin及其隐私框架
从最基本的意义上讲，可以将Grin视为Mimblewimble协议(MW)协议的实现，其隐私权来自两个关键方面：
该协议采用保密交易来混淆交易金额。
该协议利用聚合的事务来防止本机事务输入和输出的链接。
此外，兆瓦交易格式与类似比特币的加密货币有很大不同，因为它允许将多个交易聚合为一个较大的交易。
这种聚合过程是“有损的”，从本质上讲，该协议隐藏了参与方之间发生的资产转移的规模，从而提高了网络的总体可扩展性。使用Mimblewimble挖掘区块的过程将所有关联的交易汇总到一个区块中，从而使不良行为者或任何第三方实体在查看历史链时都很难链接输入和输出。
Bogatyy的主张有效吗?
关于最近发生的Mimblewimble安全漏洞，互联网上目前有这么多相互冲突的细节，Cointelegraph接触了Decred的联合创始人兼项目负责人Jake Yocom-Piatt，该社区是由社区驱动的数字货币，使用混合的证明工作和权益证明共识模型。当被问及Bogatyy的主张以及他的主张是否正确时，Yocom-Piatt指出：“尽管格林(Grin)的丹尼尔·莱恩伯格(Daniel Lehnberg)做出了积极反应，但我认为伊万的袭击是有效的。攻击将输入和输出链接到大多数MW事务，并且它通过监视Grin网络来实现此目的，该网络可以记录事务，然后再通过蒲公英或在一个大块中对其进行汇总。”
然后他补充说，几个月前，他发表了一篇文章，他也强调了Bogatyy能够利用的完全相同的弱点-也就是说，一旦Grin的原生区块被开采，参与的矿工和关联节点就具有了能力监视在汇总之前已发布的单个事务。
这基本上允许第三方实体(可能正在密切监视网络上正在发布的交易)潜在地利用数据来链接交易，否则通过查看与其他开采区块相关的信息就无法实现交易。 Yocom-Piatt然后添加：“伊万完全执行了我描述的攻击。尽管Daniel出于各种与术语相关的技术原因而拒绝了Ivan的职位，但投入和产出之间的联系却很难被反对。”
Lehnberg最近的博客文章只是控制损失吗?
许多加密爱好者坚信Lehnberg的最新职位是防御策略。有了足够的技术知识，黑客或其他第三方实体就可以轻松地检索有关大多数所涉及实体的大量输入/输出数据，只要在汇总基于兆瓦的本机交易之前就可以对其进行可靠的调查。
话虽这么说，面向安全的加密货币交易所Nash的联合创始人伊桑·法斯特(Ethan Fast)认为，由于Bogatyy对Mimblewimble协议的工作方式存在误解，因此他的发现是不正确的。关于这个话题，法斯特告诉《信德报》：“他(Bogatyy)能够证明对手可以在网络上构造交易图，从某种意义上说，输入A变成了输出B。但是由于协议的工作原理，这不像在比特币上标识输出地址。仅仅知道A => B并不意味着您知道谁从任何有用的意义上接受了这笔资金。因此，我的解释是，伊凡(Ivan)发现的东西已经广为人知，他在他发表的文章中误解了其含义。”
很快，Fast指出，误解的很大一部分似乎是由于围绕Grin生态系统中的“地址”实际代表什么所造成的困惑。为了进一步巩固他的立场，Fast向Cointelegraph强调了许多其他案例，这些案例表明Grin的本机运营框架存在类似问题。他进一步补充说：“格林没有像比特币地址这样的东西。实际上，每次您要向某人发送资产时，都需要在实时计算中与他们互动，共同创建交易。鉴于这一事实，我的理解是，能够在Grin上构造交易图不是主要的安全问题，因为交易没有像公共地址这样的东西将它们联系在一起。”
对话继续
尽管在上周Bogatyy提出的指控开始在互联网上引起广泛关注之后，Grin的声誉受到质疑，但该平台的核心支持者(以及社区成员)继续声称Bogatyy提出的主张是本质上是错误的，在他的发现中存在许多事实上的错误-确切地说是六个。
同样，很明显，由于这整个事件，格林(Grin)的财务价值受到了极大的打击。在过去七天中，该货币从1.52美元跌至1美元以下。