Grin核心开发者解析Mimblewimble“漏洞”：非根本性缺陷，Grin很安全

编者按：Mimblewimble协议的隐私性不存在“根本性缺陷”。 此前在Mimblewimble / Grin上描述的“攻击”是对已知的一种限制的误解。 尽管那篇文章提供了一些有关网络分析的有趣数字，但给出的结果实际上并不构成攻击，也不能支持该文章提出的耸人听闻的主张。


11月18日，区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发文称，Mimblewimble协议的隐私性从根本上存在缺陷，只需每周支付60美元的AWS费用，就能实时发现96%的Grin交易发起者和收款者的确切地址。Ivan Bogatyy表示，该问题是Mimblewimble固有的，他认为没有办法予以修补，这意味着在隐私方面，Mimblewimble不应再被视为Zcash或Monero的可行替代方案。该文章展示了对Mimblewimble协议执行攻击的精确方法，在对Grin的真实测试中，揭开交易流信息的成功率达到96%。

此后不久，Mimblewimble的重要实施之一，Grin项目的核心开发者Daniel Lehnberg联合其他相关人士发文进行了反驳，指出Mimblewimble协议的隐私性并不存在“根本性的缺陷”，Ivan Bogatyy在文章中描述的对Mimblewimble / Grin的攻击是对已知限制的误解。

以下是Grin开发者的回应全文：


今天，区块链投资基金Dragonfly Capital研究员Ivan Bogatyy发表了一篇名为《打破Mimblewimble的隐私模型》的文章，作者断言他们以某种方式“打破了” Mimblewimble和Grin的隐私模型。

作者声称做出的“攻击”是经过充分记录的，并且讨论了交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说，这都不陌生。 Grin在主网启动之前于2018年11月在其公共Wiki上发布的Privacy Primer中承认了能够在链上链接输出的功能。该问题包括Ian Mier提出的“手电筒攻击”，我们当时就将其列为开放研究问题之一。

实际上，包括这篇文章的标题在内的许多说法都不准确。从较高的角度看，这篇文章读起来并不那么含蓄，似乎是为了引人注目。但是，本文的结论包含许多逻辑上的飞跃，而这些逻辑飞跃并未通过所描述的网络分析练习得到证实。

Grin团队一直承认，Grin的隐私性远非完美。作为我们不断改进的隐私保护目标的一部分，交易可链接性是我们一直希望减轻的限制，但这并不能“打破” Mimblewimble，更不是能够导致Grin的隐私保护功能失效的“根本性缺陷”。

除了要逐篇反驳这篇文章外，我们还要指出这个研究及其结论中存在的主要问题。


1）Mimblewimble没有地址

Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题：Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换，任何时候都不会呈现给区块链网络或区块链数据的可识别“地址”。


2）无法链接到不存在的地址

对于这一点，这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出：

    “没有地址，只有作为Pedersen comitment隐藏的UTXO。”

随后，文章绘制以下方案：

    “例如我是执法人员，我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时，Coinbase会将您的地址与您的姓名联系起来。”

文章继续：

    “或者说，某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。”

目前尚不清楚执法人员如何知道一个根本不存在的地址，或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言，霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。

我们必须假设作者简单地将事务输出（TXO）与地址混淆了，但是二者并不是一回事。而且，正如我们已经详细介绍的那样，可以链接TXO并不是什么新闻。


3）数字95.5％接近100％。 但这也没有太大意义

文章中有关这个实际实验的详细信息被称为“攻击”。 所谓的“嗅探器节点（sniffer nodes）”收集从节点广播的交易，这是蒲公英（Dandelion）协议中茎（stem）和绒毛（fluff）阶段的一部分。 作者能够在特定时间段内收集网络上95.5％的交易。 除了能够知道“ Output A花费在Output B上”之外，目前尚不清楚在此确切地确定了什么，或者作者还可以利用这些信息来完成什么。


4）仅交易图并不能显示有关交易方的信息…

尽管在交易过程中最好能够避免泄漏交易图，但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额，就很难区分变更输出（output）和接收人输出（output）。 即使本文并未尝试实际执行此操作，这会是未来研究的一个有趣领域。


5）…作者似乎并没有意识到这一点

文章中提供的Github存储库写到：

    “我们发现的是交易图：谁向谁付款的记录”

但实际并不是这样的。

让我们举一个具体的例子。 爱丽丝与Bob建立了交易（可能通过TOR，grinbox或直接文件交换）。 然后，她通过托管节点（例如使用wallet713）将此交易广播到网络。

在此示例中，监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息，当然也不会发现谁向谁付款的记录。 “手电筒攻击”是一种主动攻击，其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的，这并成立。


6.文章标题具有误导性，并没有任何东西被“打破”

文章的标题是“打破Mimblewimble的隐私模型”。 Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。

 
结论
 

您所获得的隐私性永远不会超过匿名集的大小

Grin是一种最小化的加密货币，旨在保护隐私，可扩展且公平。 它远非完美，但它实现了与比特币同等的安全模型，默认情况下启用了更好的隐私性，需要保留的数据更少。 在无需受信任的设置，没有ICO或预挖的情况下，它可完成所有这些工作。

但是，Grin仍很年轻，还没有发挥出全部潜力。 主网上线11个月以来，网络使用率仍然较低。 在最近的1000个区块中，有22％仅包含一个交易（而30％不包含交易），这意味着它们的输入（input）和输出（output）是轻微可链接的。 在网络使用率提高之前，这种情况不会改变，但这仍然并不意味着发送方和接收方的身份会被泄露。


团队协作可为隐私研究提供帮助

作为Grin的贡献者，我们很高兴看到对该项目产生了兴趣。我们社区欢迎对Grin的协议和代码库进行科学分析和审查，但同时也希望具有一定的严格性。实际上，如果我们被请求，我们甚至可以提供相关帮助。

Dragonfly Capital研究员发表的文章要求Haseeb，Oleg，Elena，Mohammed和Nader审查了他们的工作，但是不幸的是，他们没有要求Grin社区中的任何人参与，或者度他们要发布的东西提供（友好的）反馈。如果他们这样做了，我们可能就不会进行这次回应了，并且只会提高工作质量。在一条推文中，那篇文章的作者写道：

    “重要的是，我非常尊重Grin社区和核心开发人员，他们在回答我的问题方面都提供了极大的帮助。”

听起来好像是他们在发布那篇文章时与我们联系了，但是在我们的Gitter频道或Keybase中，我们都没有看到任何有关该作者的东西。双方错过了进行高质量研究的机会。

本文联合作者：David Burkett, Jasper, @joltz, Quentin Le Sceller, Yeastplume.


更新：

同样采用Mimblewimble隐私技术的莱特币项目的创始人李启威对此在推特上回应称，

    MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐密交易，具有扩展优势和一定程度的不可链接性。为了获得更好的隐私，用户仍然可以在广播之前使用CoinJoin（CJ），并且由于CT（Confidential Transactions）和聚合的原因，CJ与MW运行的也很好。与BTC / LTC相比，MW上的CJ更加简单易用。

    1. MW具有CT，因此所有数量都被隐藏，因此无需决定统一的输出大小；

    2. 使用MW中的聚合，无需签署最终的CJ交易。因此，不能通过不签名来拒绝服务。

截至目前，Ivan Bogatyy发出更正文章称，Mimblewimble协议的隐私性不是根本性缺陷。


原文：https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9
作者：Daniel Lehnberg
编译：Kyle