Nhà nghiên cứu của Dragonfly Capital cho biết mô hình quyền riêng tư của Mimblewimble có thể bị phá vỡ

, Tác giả: Ivan Bogatyy, được Odaily tái bản với sự cho phép.

Trình biên dịch: Zhan Juan

"$60 mỗi tuần trong AWS có thể khám phá địa chỉ chính xác của 96% giao dịch Grin. Rõ ràng, bản thân Mimblewimble không đủ mạnh để cung cấp khả năng bảo vệ quyền riêng tư mạnh mẽ."

Viết bởi: Ivan Bogatyy, nhà nghiên cứu tại Dragonfly Capital, một quỹ đầu tư blockchain, trước đây từng là đối tác chung tại MetaStable Capital, một quỹ đầu tư blockchain

Trình biên dịch: Zhan Juan

Các tính năng bảo mật của Mimblewimble về cơ bản là thiếu sót. Chỉ với 60 đô la một tuần trên AWS, tôi đã có thể khám phá địa chỉ người gửi và người nhận chính xác của 96% giao dịch Grin trong thời gian thực.

Trong hai năm qua, Mimblewimble đã trở nên phổ biến như một giao thức bảo mật nhẹ mới nổi. Mimblewimble được phát minh vào năm 2016 bởi một tin tặc có bút danh Tom Elvis Jedusor, người đã đưa ra một mô tả văn bản về giao thức trong một cuộc trò chuyện IRC và sau đó biến mất. Kể từ đó, một số ứng dụng nổi tiếng nhất của Mimblewimble bao gồm cái gọi là đồng tiền riêng tư "phát hành công bằng" Grin, các dự án Tari và BEAM do VC hậu thuẫn, và một số người thậm chí còn cân nhắc tích hợp nó vào Litecoin.

Một số nhà nghiên cứu đã đưa ra giả thuyết về các điểm yếu có thể có về quyền riêng tư trong Mimblewimble. Đóng góp của tôi là chứng minh phương pháp chính xác để thực hiện cuộc tấn công, chứng minh tính khả thi của nó trên mạng trực tiếp và đo lường hiệu quả của nó. Trong các thử nghiệm thực tế trên Grin, tôi nhận thấy tỷ lệ thành công trong việc khám phá thông tin về luồng giao dịch là 96%. Do đó, rõ ràng là Mimblewimble không thể được kỳ vọng sẽ cung cấp khả năng bảo vệ quyền riêng tư mạnh mẽ.

Dưới đây là cái nhìn chuyên sâu về kỹ thuật về các cuộc tấn công triển khai Mimblewimble, bao gồm mã nguồn mở, dữ liệu có thể tái tạo và Câu hỏi thường gặp về kỹ thuật. Trong phần tiếp theo, tôi sẽ cung cấp giải thích trực quan cấp cao về khả năng liên kết, cách nó có thể bị tấn công và ý nghĩa của nó đối với các kỹ thuật bảo mật.

tiêu đề phụ

Khả năng liên kết là gì?

Điều rất quan trọng là phải hiểu cuộc tấn công này có ý nghĩa gì và không có ý nghĩa gì.

Cuộc tấn công này không cho chúng tôi biết chính xác số tiền mà mọi người được trả. Mimblewimble làm xáo trộn thành công số tiền thanh toán bằng cách sử dụng mật mã đường cong elip đơn giản (Cam kết Pedersen). Nhưng cuộc tấn công này cho phép chúng tôi tìm ra ai đang trả tiền cho ai. Nói cách khác, nó cho phép chúng tôi liên kết các giao dịch và xác nhận luồng thanh toán.

Tại sao đây là một vấn đề lớn? Có thể cần một lời giải thích.

Giả sử Coinbase biết rằng một địa chỉ thuộc về một người Venezuela tên là Daniel và bạn, một người dùng ở Hoa Kỳ, muốn đổi tiền mặt trên Coinbase. Nhưng sau khi phát hiện ra biểu đồ giao dịch bị xáo trộn, Coinbase biết rằng bạn đã nhận tiền từ Daniel, mặc dù họ không biết bạn đã nhận được bao nhiêu. Dựa trên chính sách OFAC (Văn phòng kiểm soát tài sản nước ngoài) liên quan đến Venezuela, Coinbase sẽ đóng tài khoản của bạn.

Tất nhiên, các sàn giao dịch biết rất nhiều về biểu đồ giao dịch, vì họ có thông tin KYC của những người dùng đang đổi tiền điện tử lấy tiền pháp định.

Một ví dụ khác, giả sử một chính phủ độc tài biết rằng một địa chỉ cụ thể thuộc về một nhà bất đồng chính kiến. Bạn đã tặng một khoản tiền nhỏ cho người bất đồng chính kiến ​​này. Sau đó, khi bạn gửi tiền đến sàn giao dịch địa phương của mình bằng giao thức Mimblewimble, sàn giao dịch đó sẽ chia sẻ dữ liệu giao dịch của bạn với chính phủ. Bởi vì chính phủ có thể nhìn thấy bức tranh toàn cảnh của thỏa thuận, giờ đây họ biết rằng bạn đã ủng hộ một nhà bất đồng chính kiến.

Kiểu tấn công này là không thể trong Zcash. Bởi vì Zcash là "không thể liên kết", hay nói cách khác, mọi giao dịch Zcash đều có một tập hợp ẩn danh rất lớn. Tập hợp ẩn danh về cơ bản là tập hợp các giao dịch mà giao dịch của bạn không thể được phân biệt. Hãy coi nó giống như hòa vào đám đông: tập hợp ẩn danh càng lớn thì "đám đông" các giao dịch của bạn sẽ bị trộn vào càng lớn.

Trong Zcash, tính ẩn danh được đặt cho mỗi giao dịch bao gồm tất cả các đồng tiền được bảo vệ. Từ quan điểm lý thuyết thông tin, đây là sự ẩn danh lớn nhất có thể.

Trong Monero, ẩn danh được đặt cho mỗi giao dịch là tập hợp tất cả các giao dịch mồi nhử (đáng tin cậy). Mặc dù ứng dụng khách Monero cho phép bạn chỉ định kích thước của bộ mồi nhử, mặc định hiện tại là 11. Monero có các vấn đề riêng với mồi nhử lấy mẫu bảo mật, nhưng tôi nghĩ điều đó hầu như có thể thực hiện được, tùy thuộc vào sự đánh đổi.

Để rõ ràng, tôi không có ý buộc tội Grin. Tôi rất tôn trọng cộng đồng Grin và các nhà phát triển cốt lõi, những người đã rất nhiệt tình lắng nghe các câu hỏi của tôi.

Vì vậy, trong Mimblewimble, làm cách nào để "khử ẩn danh" biểu đồ giao dịch?

Tôi nhận thấy rằng mặc dù đã mã hóa số tiền thanh toán, nhưng Mimblewimble vẫn để lại một biểu đồ giao dịch có thể liên kết. Nhưng các nhà thiết kế giao thức nhận thức được điều này, vì vậy Mimblewimble sử dụng hai kỹ thuật chính để chống lại khả năng liên kết: kỹ thuật đầu tiên là tổng hợp xuyên suốt toàn khối và kỹ thuật thứ hai là Dandelion ).

Nghe có vẻ ổn, phải không? Chỉ có một vấn đề: CoinJoin này phải được xây dựng cho một giao dịch tại một thời điểm. Vì các giao dịch liên tục được tạo và phát từ nhiều nơi khác nhau, nên việc làm sáng tỏ CoinJoins là chuyện nhỏ nếu bạn chạy một nút nghe lén để tìm nạp tất cả các giao dịch trước khi quá trình tổng hợp thông qua hoàn tất. Bất kỳ nút nghe lén nào cũng có thể phát hiện mạng và ghi lại giao dịch ban đầu trước khi mỗi giao dịch được tổng hợp. Thực sự rất dễ dàng để lưu trữ tất cả các tin nhắn mà bạn phát hiện được trong mạng P2P.

chờ đợi, thực sự? đó là nó?

Nhóm Grin thực sự đã đề xuất một tuyến phòng thủ khác: Giao thức Dandelion. Dandelion là một công nghệ mạng được phát triển bởi các nhà nghiên cứu tại CMU (Đại học Carnegie Mellon) nhằm cố gắng làm xáo trộn người khởi tạo giao dịch.

Thông thường, trong các loại tiền điện tử như Bitcoin, người khởi tạo giao dịch chỉ cần thông báo lớn về giao dịch của họ cho tất cả các đồng nghiệp, sau đó lan truyền nhanh chóng qua mạng P2P. Nhưng trong Giao thức Dandelion, việc phát sóng mọi giao dịch bắt đầu bằng một trò chơi điện thoại bí mật. Người khởi xướng chỉ lặng lẽ xuất bản giao dịch cho một đồng nghiệp và đồng nghiệp lặng lẽ xuất bản nó cho một đồng nghiệp khác, v.v. Sau một vài bước nhảy ngẫu nhiên, người ngang hàng cuối cùng thông báo giao dịch như bằng Bitcoin. Nhưng đồng đẳng này ở quá xa so với người khởi tạo nên bất kỳ người quan sát nào cũng không thể biết ai là người bắt đầu chuỗi.

Điều này rất hữu ích để làm xáo trộn IP của nhà giao dịch. Nhưng Giao thức Dandelion cũng có một chức năng thứ hai trong Grin: nó tình cờ đánh bại các nút lưu trữ của trình thám thính. Bởi vì mỗi giao dịch bắt đầu từ một chuỗi Dandelion, miễn là hai giao dịch giao nhau trong chuỗi Dandelion của nó, chúng sẽ được tổng hợp sớm hơn. Nếu điều này xảy ra, vào thời điểm các giao dịch được phát cho tất cả người quan sát, các nút nghe trộm sẽ không thể phân tách chúng. Chúng đã được trộn lẫn (CoinJoined).

Theo mặc định, mỗi nút Grin kết nối với 8 nút ngang hàng khác. Nhưng bằng cách tăng vọt số lượng ngang hàng, tôi có thể kết nối nút nghe trộm của mình với mọi nút khác trong mạng. Giả sử tôi trực tuyến đủ lâu, cuối cùng gần như mọi nút sẽ kết nối với tôi, khiến tôi trở thành siêu nút.

Khi tôi trở thành một siêu nút, rất có thể con đường bồ công anh của bất kỳ giao dịch nào cũng sẽ đi qua tôi. Về cơ bản, tôi có thể bắt được nó trước khi giao dịch tổng hợp: trường hợp bất khả thi duy nhất là hai giao dịch đã giao nhau trên đường bồ công anh trước khi tôi nhìn thấy chúng. Nếu tôi thấy một trong những giao dịch này trước khi chúng được tổng hợp, tôi có thể sử dụng một số phép tính đại số đơn giản để giải nén chúng.

Trong cuộc tấn công do tôi thực hiện, tôi đã có thể kết nối 96% giao dịch và tôi chỉ kết nối được 200 nút trong tổng số 3.000 nút trong mạng Grin. Nếu tôi chi thêm một ít tiền, tôi có thể dễ dàng kết nối với 3.000 nút để phân chia hầu hết mọi giao dịch. Tôi cũng không cần phải là một siêu nút duy nhất để làm điều này; cuộc tấn công tương tự có thể đạt được bằng cách tạo ra 3.000 nút với các IP duy nhất, mỗi nút được kết nối với chỉ một nút ngang hàng. Cuộc tấn công có hiệu quả như nhau miễn là tôi đánh hơi được tất cả dữ liệu giao dịch và đổ nó vào cơ sở dữ liệu chính trung tâm.

tiêu đề phụ

Vậy Mimblewimble có còn sống không?

Nó phụ thuộc. Tôi tin rằng Grin không có con đường rõ ràng dẫn đến khả năng hủy liên kết như hình dung hiện tại. Chỉ tăng yếu tố bồ công anh, như tôi thảo luận trong bài viết kỹ thuật này, là không đủ để đánh bại một kẻ tấn công đầy tham vọng.

Nhưng bên cạnh khả năng liên kết, Mimblewimble vẫn có giá trị độc nhất! Nó hỗ trợ tổng hợp chuyển tiếp, một kỹ thuật nén hiệu quả cho các nút đầy đủ và ẩn số lượng giao dịch một cách hiệu quả. Nếu bạn cần quyền riêng tư cao hơn, bạn có thể kết hợp Mimblewimble với các giao thức khác làm xáo trộn biểu đồ giao dịch, ví dụ như trong Ethereum 9¾, giao thức này kết hợp Mimblewimble với sơ đồ vô hiệu hóa cam kết kiểu Zerocash.

Nhưng rõ ràng là bản thân Mimblewimble không đủ mạnh để cung cấp khả năng bảo vệ quyền riêng tư mạnh mẽ.