ミンブルウィンブルのプライバシーモデルは破られる可能性がある、とドラゴンフライ・キャピタルの研究者が語る

、著者: Ivan Bogatyy、Odaily の許可を得て転載。

編纂者: ザン・ファン

「AWS に 1 週​​間あたり 60 ドルを支払えば、Grin トランザクションの 96% の正確なアドレスを発見できます。明らかに、Mimblewimble だけでは、堅牢なプライバシー保護を提供できるほど強力ではありません。」

執筆者: Ivan Bogatyy、ブロックチェーン投資ファンドである Dragonfly Capital の研究員、以前はブロックチェーン投資ファンドである MetaStable Capital のゼネラルパートナーを務めていた

編纂者: ザン・ファン

Mimblewimble のプライバシー機能には根本的な欠陥があります。 AWS を週にわずか 60 ドルで利用することで、Grin トランザクションの 96% の正確な発信者アドレスと受信者アドレスをリアルタイムで発見することができました。

過去 2 年間にわたって、Mimblewimble は新興の軽量プライバシー プロトコルとして人気が高まりました。 Mimblewimble は、Tom Elvis Jedusor という仮名を持つハッカーによって 2016 年に発明されました。彼はプロトコルの説明文を IRC チャットに投げ込み、その後姿を消しました。それ以来、Mimblewimble の最も有名なアプリケーションには、いわゆる「フェアリリース」プライバシー コイン Grin、VC が支援する Tari および BEAM プロジェクトが含まれており、これをライトコインに統合することを検討する人もいます。

数人の研究者が、ミンブルウィンブルの潜在的なプライバシーの弱点について仮説を立てています。私の貢献は、攻撃を実行する正確な方法を実証し、ライブネットワーク上での実行可能性を証明し、その有効性を測定することです。 Grin での実際のテストでは、トランザクション フロー情報を明らかにする成功率が 96% であることがわかりました。したがって、ミンブルウィンブルには堅牢なプライバシー保護を期待できないことが明らかになりました。

ここでは、オープン ソース コード、再現可能なデータ、技術的な FAQ など、Mimblewimble 実装攻撃について技術的に詳しく説明します。以下では、リンク可能性、それがどのように攻撃される可能性があるか、そしてそれがプライバシー技術にとって何を意味するかについて、高レベルで直感的に説明します。

副題

リンク可能性とは何ですか?

この攻撃が何を意味し、何を意味しないのかを理解することが非常に重要です。

この攻撃では、人々が支払われている正確な金額を把握することはできませんでした。 Mimblewimble は、単純な楕円曲線暗号 (Pedersen Commitment) を使用して支払い金額を難読化することに成功しています。しかし、この攻撃により、誰が誰にお金を払っているのかを知ることができます。つまり、取引を連携させたり、支払いの流れを確認したりすることができます。

なぜこれが大きな問題なのでしょうか?説明が必要かもしれません。

Coinbase は、アドレスがダニエルという名前のベネズエラ人のものであることを知っており、米国のユーザーであるあなたが Coinbase で現金を交換したいとします。しかし、難読化されたトランザクショングラフを明らかにした後、Coinbaseは、あなたがいくら受け取ったかは知りませんが、あなたがダニエルからお金を受け取ったことを知りました。ベネズエラに関するOFAC（外国資産管理局）のポリシーに基づき、Coinbaseはあなたのアカウントを閉鎖します。

取引所は、仮想通貨を法定通貨と交換するユーザーの KYC 情報を持っているため、取引グラフについてはもちろんよく知っています。

別の例として、権威主義政府が、特定の住所が政治的反体制派のものであることを知っていると仮定します。あなたはこの反体制派に少額のお金を寄付しました。その後、Mimblewimble プロトコルを使用してローカル取引所に送金すると、その取引所は取引データを政府と共有します。政府は取引の全体像を把握できるため、あなたが政治的反体制派を支持していたことを知ることができます。

このタイプの攻撃は Zcash では不可能です。 Zcash は「リンク不可能」であるため、言い換えれば、すべての Zcash トランザクションには巨大な匿名性が設定されています。匿名セットは本質的に、トランザクションを識別できないトランザクションのセットです。これは群衆に混ざることと同じだと考えてください。匿名性セットが大きくなるほど、トランザクションが混ざる「群衆」も大きくなります。

Zcash では、各トランザクションに設定された匿名性には、シールドされているすべてのコインが含まれます。情報理論の観点から見ると、これは可能な限り最大の匿名性です。

Monero では、各トランザクションに設定される匿名性は、すべての (信頼できる) おとりトランザクションのセットです。 Monero クライアントではおとりセットのサイズを指定できますが、現在のデフォルトは 11 です。 Monero にはセキュリティ サンプリングのおとりに関する独自の問題がありますが、トレードオフにもよりますが、ほとんどの場合実行可能だと思います。

誤解のないように言っておきますが、私はグリンを非難するつもりはありません。私は、私の質問に耳を傾けて非常に協力してくれた Grin コミュニティとコア開発者をとても尊敬しています。

では、Mimblewimble では、トランザクション グラフの「匿名化を解除」するにはどうすればよいでしょうか?

支払い金額を暗号化しているにもかかわらず、Mimblewimble はリンク可能なトランザクション グラフを残していることに気付きました。しかし、プロトコル設計者はこれを認識しているため、Mimblewimble はリンク可能性と戦うために 2 つの主要な手法を使用します。1 つ目はフルブロック カットスルー アグリゲーションで、2 つ目は Dandelion です。

大丈夫ですよね？問題が 1 つだけあります。この CoinJoin は一度に 1 つのトランザクションを構築する必要があります。トランザクションは常に作成され、さまざまな場所からブロードキャストされるため、パススルー集約が完了する前にスニファー ノードを実行してすべてのトランザクションをフェッチすれば、CoinJoins を解明するのは簡単です。どのスニファ ノードでもネットワークを検出し、各トランザクションが集約される前に元のトランザクションを記録できます。実際、P2P ネットワークで検出したすべてのメッセージをアーカイブするのは非常に簡単です。

待って、本当に？それでおしまい？

実際、Grin チームは別の防衛線、Dandelion Protocol を提案しました。 Dandelion は、CMU (カーネギー メロン大学) の研究者によって開発された、トランザクションの発信者を難読化することを目的としたネットワーク テクノロジーです。

通常、ビットコインのような暗号通貨では、トランザクションの開始者が自分のトランザクションをすべてのピアに大声でアナウンスするだけで、その後、P2P ネットワークを通じて急速に広がります。しかし、Dandelion Protocol では、あらゆるトランザクションのブロードキャストは秘密の電話ゲームから始まります。イニシエーターはトランザクションを 1 つのピアにのみ静かに公開し、このピアはそれを別のピアに静かに公開するため、チェーンが送信されます。いくつかのランダムなホップの後、最後のピアはビットコインと同様にトランザクションをアナウンスします。しかし、このピアは発信者から遠く離れているため、誰がチェーンの始まりであるかを観察者が見分けることは不可能です。

これは、トレーダーの IP を難読化するのに非常に役立ちます。しかし、Dandelion プロトコルには Grin の 2 番目の機能もあります。それは、スニッファー アーカイブ ノードを偶然に破ることです。各トランザクションは Dandelion チェーンから開始されるため、2 つのトランザクションが Dandelion チェーン内で交差する限り、それらはより早く集約されます。これが発生した場合、トランザクションがすべてのオブザーバーにブロードキャストされるまでに、スニファー ノードはすでにトランザクションを逆アセンブルできなくなります。それらは混合 (CoinJoined) されています。

デフォルトでは、各 Grin ノードは他の 8 つのピアに接続します。しかし、ピアの数を急増させることで、スニファー ノードをネットワーク内の他のすべてのノードに接続できるようになります。私が十分に長くオンラインであると仮定すると、最終的にはほぼすべてのノードが私に接続し、私はスーパーノードになります。

私がスーパーノードになると、あらゆるトランザクションのタンポポの経路が私を通過する可能性が非常に高くなります。基本的に、トランザクションが集約される前にそれをキャッチできます。唯一不可能なケースは、2 つのトランザクションがタンポポのパス上で、私が見る前にすでに交差している場合です。集計される前にこれらのトランザクションの 1 つが表示された場合は、簡単な代数を使用してそれらを解凍できます。

私が開始した攻撃では、トランザクションの 96% に接続できましたが、Grin ネットワークの合計 3,000 ノードのうち、接続できたのは 200 ノードだけでした。もう少しお金をかければ、簡単に 3,000 のノードに接続して、ほぼすべてのトランザクションを分割できます。また、これを行うために単一のスーパーノードである必要はありません。同じ攻撃は、それぞれが 1 つのピアのみに接続されている、一意の IP を持つ 3,000 個のノードをスピンアップすることで達成できます。すべてのトランザクション データを盗聴し、中央のマスター データベースにダンプする限り、この攻撃は同様に効果的です。

副題

それでミンブルウィンブルはまだ生きているのでしょうか？

場合によります。現在考えられているように、Grin にはリンク解除への明確な道筋はないと私は考えています。この技術記事で説明しているように、タンポポ係数を増やすだけでは、野心的な攻撃者を倒すには十分ではありません。

しかし、リンク性以外にも、Mimblewimble には依然として独自の価値があります。フルノードの効率的な圧縮技術であるパススルー集約をサポートし、トランザクションの量を効果的に隠します。より高度なプライバシーが必要な場合は、Mimblewimble をトランザクション グラフを難読化する他のプロトコルと組み合わせることができます。たとえば、Ethereum 9¾ では、Mimblewimble と Zerocash スタイルのコミットメント無効化スキームを組み合わせています。

しかし、ミンブルウィンブル自体が強力なプライバシー保護を提供できるほど強力ではないことは明らかです。