為什麼「攻破MimbleWimble隱私模型」不適用於BEAM

前幾天，一場關於Mimblewimble 隱私保護的辯論在推特上引起熱烈地討論。該事件源於Dragonfly Capital 研究員Ivan Bogatyy 發佈在Medium 上的一篇文章。在該文中，Ivan Bogatyy 明確表示：“Mimblewimble 的隱私保護功能從根本上是有缺陷的。”受此影響，Grin、BEAM、Sero 等隱私幣出現不小跌幅。

該譯文來自BEAM 官方針對Ivan Bogatyy 提出的問題作出回應並解釋BEAM 是如何緩解這些問題的。本文由礦視界（奇蹟摩爾）翻譯整理編輯，如需轉載，請標明出處。

全文概要：《攻破MimbleWimbl 隱私模型》一文中提到的攻擊對BEAM 來說無效，因為BEAM 的誘餌輸出使構建交易圖變得難上加難。即使是面對更加複雜的攻擊,即將上線的Lelantus-MW 功能也將讓攻擊者幾乎不可能構建交易圖。

以下是全文（查看文中鏈接需科學上網）：

礦視界譯文：為什麼《攻破MimbleWimble隱私模型》不適用於BEAM

我們想對Ivan Bogatyy 發布的文章(https://medium.com/)作出我們的回應，該文聲稱MimbleWimble毫無隱私可言。文章引起大家的關注和討論，我們也很感謝作者所做出的研究和貢獻。

但是，我們認為我們社區中的部分成員有些過於杞人憂天，因此我們想針對所提出的問題作出回應（這些問題在過去也被熟知和深入探討過），我們還將解釋BEAM 是如何緩解這些問題的。

1 攻擊實際上是怎麼進行的？

Ivan 構建的系統從連接到Grin 網絡的多個“sniffer”節點收集日誌並對其進行分析。

在進行日誌分析時，作者尋找只有一個內核的交易。在Grin 中，擁有一個內核代表著交易沒有與其他任何交易兼併，因此該筆交易的輸入與輸出相關聯。當攢足此類關聯，就有可能構建一個連接不同錢包的交易圖，使用該圖就可以推導證明兩個已知方之間的財務聯繫。

Ivan 實際上並沒有構建出交易圖，文章只是證明了交易圖構建成功是有可能的——從找到關聯輸入和輸出到構建實際交易圖，再到找出特定方之間實際聯繫，還有很長的路要走。

該攻擊也不顯示任何用戶身份，如IP地址，也不顯示交易金額。

為何GRIN 或受其害？

這種單核交易大量被廣播到網絡的原因是Grin 網絡不夠飽和，在蒲公英隱私協議的主幹階段也沒有夠量交易可兼併。

伴隨交易量增加，匿名性也會得到改善。但目前，正如Ivan 所說，匿名性很低。

為何BEAM 與眾不同？

雖然基於同樣的MimbleWimble 協議，不同於GRIN，BEAM 在應用蒲公英隱私協議時採取了重要的隱私改進。

在項目早期，我們就發現了MimbleWimble 中潛在的交易關聯性，並考慮了緩解之計。

2018 年9 月，Valdo（https://github.com/valdok）就已經發表過一篇關於交易關聯性以及BEAM 團隊如何處理該問題的技術論文

（https://github.com/BeamMW/beam/wiki/Transaction-graph-obfuscation）。

該文描述了誘餌（又稱假人）UTXOs 的概念。請注意，BEAM 在主網上線之前就已經部署該措施，機制也與GRIN 開發團隊討論

https://gitter.im/grin_community/Lobby?at=5bebf9d76b9822140d2a7b37 過，後者決定不實施它。

這些假人的運行原理是什麼？在蒲公英主幹階段的每一步，BEAM 節點都會檢查兼併交易（可能只有一筆交易）是否至少達到5 個輸出。若沒達到，誘餌輸出會被添加到兼併交易中，確保輸出數量至少為5。

你可以在這裡（https://explorer.beam.mw/）或者這裡（https://explorer.beamprivacy.community/）

查看BEAM 區塊鏈資源管理器，並看到每個至少有2 個內核的塊（意味著至少有一筆交易信息不僅僅是幣種的塊）至少有7 個輸出（幣種、交易費用、收款人和4 個假人）。

每個假人輸出值都為零，但它與常規輸出完全難以區分——所有輸出看起來都像是隨機數。

在後面階段（為每個輸出隨機選擇塊高），節點將假人UTXOs 作為輸入添加到隨機交易裡，很可能屬於不同的用戶，從而消耗假人並從區塊鏈中將其移除，但同時也在用戶之間創建事實上不相關的聯繫，因此我們也叫它誘餌。

另外需要注意的是，由於這些誘餌輸出最終會被使用，因此該機制不會在區塊鏈上造成任何永久性的混亂。

2 為什麼攻擊在BEAM 上更加難以實現？

如果在BEAM 上運行一個相似操作，研究人員可能仍會發現許多單核交易。雖然BEAM 全網處理的交易比GRIN （過去30 天平均值）多60%，但仍不足以保證兩筆或多筆真實交易在主幹階段始終“相遇”。但是，由於使用了偽輸出，這樣的單核交易對於發掘交易圖毫無參考價值。

BEAM 中的誘餌使得構建交易圖成為一項概率任務，兩個錢包之間的關聯概率隨著跳數增長呈指數衰減。

正如Ivan 在推文（https://twitter.com/IvanBogatyy/status/1196441085221855233?s=20）中解釋的那樣：

礦視界譯文：為什麼《攻破MimbleWimble隱私模型》不適用於BEAM

這對BEAM 來說並不切實——即使交易之間沒有兼併，它們仍然存在一個至少有4 個誘餌輸出的匿名集（該數字可配置）。

下一階段：Lelantus-MW

BEAM 中的誘餌輸出增加了匿名集，這令Ivan 所以描述的構建交易圖變得更加困難，但某種程度上，仍有實現的可能。部分人也例證了其他更複雜的主動攻擊，比如Ian Miers 提到的手電筒攻擊。

因此，我們決定實施（https://github.com/） Lelantus-MW，並於不久後啟動。

Lelantus MW 將顯著增加匿名集（達到100 K輸出），如果用戶時不時選擇使用Lelantus-MW 交易，構建交易圖就真的變成就幾乎不可能完成的任務了。

關於Lelantus-MW 的更多資訊也可以通過點擊這裡（https://github.com/）了解。

（https://docs.google.com/）了解。

原文鏈接：

原文鏈接：

原文鏈接：

https://medium.com/

——–END——–