如果使用 Grin 在暗网上买东西,有可能会被追踪。

撰文:LeftOfCenter

区块链投资基金 Dragonfly Capital 研究员 Ivan Bogatyy 近日发布了文章 《Dragonfly Capital 研究员说,可攻破 Mimblewimble 隐私模型》,指出 Mimblewimble 的隐私保护功能从根本上是有缺陷的。他指出,「我只需每周支付 60 美元的 AWS 费用,就能实时发现 96% 的 Grin 交易发起者和收款者的确切地址。」

该文发出后,引发不少争议,其中有人认为,该言论属于危言耸听,存在非常大的谬误, Grin 核心开发者 Daniel Lehnberg 对此 反驳 道,Mimblewimble 协议的隐私性并不存在「根本性的缺陷」,Ivan Bogatyy 在文章中描述的对 Mimblewimble / Grin 的攻击是对已知限制的误解。

Daniel Lehnberg 表示,「尽管该文章提供了一些有关网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持其提出的耸人听闻的主张」。Daniel Lehnberg 称,文中提出的问题对 Grin 团队或研究 Mimblewimble 协议的人来说都不新鲜,Grin 开发团队早在很多文件中已经阐述了该问题,并且通过各种途径改善该问题并提高该协议的隐私性。他还指出,文章的标题「攻破 Mimblewimble 协议的隐私模型」不准确, 「包括文章标题在内的许多说法都不准确,这篇文章读起来并无新意(说的是早已为社区所明了的事情),标题却相当误导和引人注目」。言下之意这篇文章不过是将早已存在并已经解决的问题拿出来重新炒了一次,只是为了吸引眼球引发关注。

针对这篇文章是否在学术上存在新意引发的争议,Ivan Bogatyy 重新撰文对此进行回复,他解释道,「正如之前在文章中强调的那样, Mimblewimble 可能存在的隐私弱点早已有一些研究人员和 Grin 开发人员假设过的,我所做的是展示执行攻击的精确方法和精确的实验结果,这可能可作为一种「新颖」之处。对于许多不愿阅读 Grin 代码的人来说,这算得上是个新闻。」

Ivan Bogatyy 补充到,「我的研究声称攻破了 Mimblewimble 隐私模型(用户隐私假设),并的确做到了这一点。但是攻破协议本身又是另一回事。」

此外,针对一些有人会有「Grin 没有地址,只有 commitment」这样的疑惑,他回复道,Mimblewimble 的 commitment 与比特币是同构的,没有重复使用的地址。如果比特币足以使交易流保持私密性(事实上不行),那么为什么还开发其他隐私技术呢?在这种攻击中,可以构建一个 Grin 区块浏览器,以和比特币 UTXO 完全相同的方式执行 commitment。

比如,如果 Alice 在交易所上购买了 Grin,接着使用这些代币在暗网市场上进行交易,那么,sniffer 节点可将这些包含 commitment 的操作踪迹精确捕获(开始于 KYC 认证的交易所,结束于暗网市场),最终可将 Alice 定罪。而 Alice 可能从未想过会发生这样的事情,因为她认为 Grin 是「隐私的」,而且公共区块链浏览器也不会显示这些关联,只有特殊 sniffer 节点可以追踪到,这就是关键点。

作为一种可能被广泛使用的隐私保护的加密货币, Ivan Bogatyy 认为,「我觉得 Grin 潜在的用户需要知道这个事情,而且在广泛使用之前应该被修复。」

另一名 Grin 的开发人员 David Burkett 则对《Dragonfly Capital 研究员说,可攻破 Mimblewimble 隐私模型》评论 到,「这篇文章写得很棒,但这不是新闻了,我感到的惊讶的是,竟然只有 96%可追踪,其实是有很多方法可以打破这些关联,目前只是还未部署和发布而已。就像我经常说的,如果需要隐私,请不要使用 Grin,因为它还未到成熟阶段。」

Coinbase 前首席技术官 Balaji S. Srinivasan评论 道,「这让我想起了 2012 年发生的 Homakov 黑客事件。当然 Rails 中存在的漏洞虽然「已知」,但未被开发人员真正了解,直到一名俄罗斯黑客 Homakov 通过实际行动展现该漏洞的威力。」

2012 年,一名名为 Egor Homakov 的俄罗斯程序员发现了 Rails 的严重安全漏洞,并在 GitHub 发布了该漏洞报告,然而大部分开发者的反应是该漏洞已经众所周知了,并且认为该漏洞的责任在于使用该语言的人。 鉴于 Rails 的高危漏洞被忽略,Egor Homakov 决定进行一下试验,直接利用该漏洞对 GitHub 开刀,用实际行动向各位开发者展示该漏洞的危害。

吵了一天的「Mimblewimble 隐私保护有缺陷」,各方究竟怎么说?

来源链接:medium.com