며칠 전 Mimblewimble의 개인 정보 보호에 대한 논쟁이 Twitter에서 열띤 토론을 불러일으켰습니다. 이 사건은 Dragonfly Capital 연구원 Ivan Bogatyy가 Medium에 게시한 기사에서 비롯되었습니다. 이 글에서 이반 보가티는 "밈블윔블의 개인정보 보호 기능은 근본적으로 결함이 있다"고 명확히 밝혔다.프라이버시 코인적지 않은 감소가 발생했습니다.
BEAM 관계자의 이 번역문은 Ivan Bogatyy가 제기한 질문에 응답하고 BEAM이 이를 완화하는 방법을 설명합니다. 이 기사는 Mine Vision(Miracle Moore)에서 번역 및 편집했습니다. 전재가 필요한 경우 출처를 표시하십시오.
전체 텍스트 요약: "Breaking MimbleWimbl's privacy model" 논문에서 언급된 공격은 BEAM에 대해 효과가 없습니다. BEAM의 미끼 출력이 트랜잭션 그래프 구성을 더 어렵게 만들기 때문입니다. 더 정교한 공격에도 불구하고 곧 출시될 Lelantus-MW 기능은 공격자가 트랜잭션 그래프를 구성하는 것을 거의 불가능하게 만듭니다.
다음은 전체 텍스트입니다(텍스트의 링크를 보려면 과학적으로 온라인에 접속해야 함).
Mine Vision 번역: MimbleWimble의 개인 정보 보호 모델을 깨는 것이 BEAM에서 작동하지 않는 이유
우리는 Ivan Bogatyy가 발행한 기사에 기여하고 싶습니다.https://medium.com/) 응답에서MimbleWimble프라이버시가 전혀 없습니다. 이 기사는 모든 사람의 관심과 토론을 불러일으켰으며, 저자의 연구와 기여에도 매우 감사합니다.
그러나 커뮤니티의 일부 구성원이 지나치게 우려하고 있다고 생각하여 제기된 문제(과거에도 잘 알려져 있고 심도 있게 논의된 문제)에 대해 답변하고 BEAM이 이러한 문제를 완화하는 방법에 대해서도 설명합니다. .
1 공격은 실제로 어떻게 이루어졌습니까?
Ivan이 구축한 시스템은 Grin 네트워크에 연결된 여러 "스니퍼" 노드에서 로그를 수집하고 분석합니다.
로그 분석을 수행할 때 작성자는 코어가 하나만 있는 트랜잭션을 찾습니다. Grin에서 커널이 있다는 것은 트랜잭션이 다른 트랜잭션과 병합되지 않았음을 의미하므로 이 트랜잭션의 입력이 출력에 연결됩니다. 이러한 연관성이 충분히 축적되면 서로 다른 지갑을 연결하는 트랜잭션 그래프를 구성할 수 있으며, 이 그래프를 사용하여 알려진 두 당사자 간의 금융 연결을 추론하고 증명할 수 있습니다.
Ivan은 실제로 트랜잭션 그래프를 구성하지 않았습니다. 이 기사는 트랜잭션 그래프를 성공적으로 구성하는 것이 가능하다는 것을 증명했습니다. 관련 입력 및 출력을 찾는 것부터 실제 트랜잭션 그래프를 구성하는 것까지, 특정 당사자 간의 실제 연결을 찾는 것까지, 더 많은 갈 길이 멀다.
이 공격은 또한 IP 주소나 거래 금액과 같은 사용자 신원을 공개하지 않습니다.
왜 GRIN하거나 고통을 받습니까?
이렇게 많은 단일 코어 트랜잭션이 네트워크에 브로드캐스팅되는 이유는 Grin 네트워크가 충분히 포화되지 않았고 Dandelion Privacy Protocol의 백본 단계에서 병합할 트랜잭션이 충분하지 않기 때문입니다.
거래량이 증가함에 따라 익명성도 증가합니다. 그러나 현재 Ivan이 말했듯이 익명 성이 낮습니다.
BEAM이 다른 이유는 무엇입니까?
동일한 MimbleWimble 프로토콜을 기반으로 하지만 GRIN과 달리 BEAM은 Dandelion 프라이버시 프로토콜을 적용하면서 중요한 프라이버시 개선 사항을 채택합니다.
프로젝트 초기에 우리는 MimbleWimble에서 잠재적인 트랜잭션 종속성을 식별하고 완화를 고려했습니다.
2018년 9월 Valdo(https://github.com/valdok)는 트랜잭션 상관관계 및 BEAM 팀이 이를 처리하는 방법에 대한 기술 문서를 게시했습니다.
(https://github.com/BeamMW/beam/wiki/Transaction-graph-obfuscation)。
이 백서에서는 미끼(일명 더미) UTXO의 개념을 설명합니다. BEAM은 메인넷 출시 전에 이 조치를 배포했으며 메커니즘도 GRIN 개발 팀과 논의됩니다.
구현하지 않기로 결정한 https://gitter.im/grin_community/Lobby?at=5bebf9d76b9822140d2a7b37
이 더미는 어떻게 작동합니까? Dandelion 트렁크 단계의 각 단계에서 BEAM 노드는 병합된 트랜잭션(하나의 트랜잭션만 가능)이 최소 5개의 출력에 도달하는지 확인합니다. 그렇지 않은 경우 미끼 출력이 병합 트랜잭션에 추가되어 출력 수가 5 이상인지 확인합니다.
여기(https://explorer.beam.mw/) 또는 여기(https://explorer.beamprivacy.community/)에서 찾을 수 있습니다.
BEAM 블록체인 탐색기를 확인하고 최소 2개의 코어가 있는 모든 블록(통화뿐만 아니라 거래 정보가 있는 최소 하나의 블록을 의미)이 최소 7개의 출력(코인, 거래 수수료, 영수증 지급인 및 4개의 더미)을 가지고 있는지 확인하십시오.
각 더미는 0 값을 출력하지만 일반 출력과 완전히 구별할 수 없습니다. 모든 출력은 난수처럼 보입니다.
나중 단계(각 출력에 대한 블록 높이를 임의로 선택)에서 노드는 더미 UTXO를 임의 트랜잭션에 대한 입력으로 추가하며, 다른 사용자에 속할 가능성이 있으므로 더미를 소비하고 블록체인에서 제거합니다. 사용자, 따라서 이름은 미끼입니다.
주목해야 할 또 다른 사항은 이러한 미끼 출력이 결국 사용되기 때문에 이 메커니즘이 블록체인에 영구적인 혼란을 일으키지 않는다는 것입니다.
2 BEAM에서 공격을 구현하기 어려운 이유는 무엇입니까?
유사한 작업이 BEAM에서 실행되는 경우 연구원은 여전히 많은 단일 코어 트랜잭션을 찾을 수 있습니다. BEAM은 GRIN보다 60% 더 많은 트랜잭션을 처리하지만(지난 30일 평균), 두 개 이상의 실제 트랜잭션이 트렁크 단계에서 항상 "만날" 것을 보장하기에는 여전히 충분하지 않습니다. 그러나 이러한 단일 코어 트랜잭션은 가짜 출력을 사용하기 때문에 트랜잭션 그래프를 마이닝하는 데 쓸모가 없습니다.
BEAM의 디코이는 트랜잭션 그래프 구축을 확률적 작업으로 만들고 두 지갑 간의 연결 확률은 홉 수에 따라 기하급수적으로 감소합니다.
Ivan이 트윗에서 설명했듯이(https://twitter.com/IvanBogatyy/status/1196441085221855233?s=20):
Mine Vision 번역: MimbleWimble의 개인 정보 보호 모델을 깨는 것이 BEAM에서 작동하지 않는 이유
이는 BEAM에 실용적이지 않습니다. 트랜잭션 간에 병합이 없더라도 여전히 최소 4개의 디코이 출력의 익명성 세트가 있습니다(이 숫자는 구성 가능).
다음 단계: Lelantus-MW
BEAM의 디코이 출력은 익명성 집합을 증가시켜 Ivan이 설명한 대로 트랜잭션 그래프를 구성하기가 더 어려워지지만 여전히 어느 정도 달성할 수 있습니다. 일부는 Ian Miers가 언급한 손전등 공격과 같이 다른 보다 정교한 능동적 공격의 예시도 있습니다.
따라서 구현하기로 결정했습니다(https://github.com/) Lelantus-MW, 그 직후 출시되었습니다.
Lelantus MW는 익명성 세트(최대 100K 출력)를 크게 증가시킬 것이며, 사용자가 때때로 Lelantus-MW 트랜잭션을 사용하기로 선택한 경우 트랜잭션 그래프를 구축하는 것은 실제로 거의 불가능한 작업이 됩니다.
Lelantus-MW에 대한 자세한 내용은 여기(https://github.com/) 또는 여기
(https://docs.google.com/)배우다.
도전으로 끝내다
원본 링크:
원본 링크:
——–END——–
IOS
Android