如果使用 Grin 在暗網上買東西,有可能會被追蹤。

撰文:LeftOfCenter

區塊鏈投資基金 Dragonfly Capital 研究員 Ivan Bogatyy 近日發佈了文章 《Dragonfly Capital 研究員說,可攻破 Mimblewimble 隱私模型》,指出 Mimblewimble 的隱私保護功能從根本上是有缺陷的。他指出,「我只需每週支付 60 美元的 AWS 費用,就能實時發現 96% 的 Grin 交易發起者和收款者的確切地址。」

該文發出後,引發不少爭議,其中有人認爲,該言論屬於危言聳聽,存在非常大的謬誤, Grin 核心開發者 Daniel Lehnberg 對此 反駁 道,Mimblewimble 協議的隱私性並不存在「根本性的缺陷」,Ivan Bogatyy 在文章中描述的對 Mimblewimble / Grin 的攻擊是對已知限制的誤解。

Daniel Lehnberg 表示,「儘管該文章提供了一些有關網絡分析的有趣數字,但給出的結果實際上並不構成攻擊,也不能支持其提出的聳人聽聞的主張」。Daniel Lehnberg 稱,文中提出的問題對 Grin 團隊或研究 Mimblewimble 協議的人來說都不新鮮,Grin 開發團隊早在很多文件中已經闡述了該問題,並且通過各種途徑改善該問題並提高該協議的隱私性。他還指出,文章的標題「攻破 Mimblewimble 協議的隱私模型」不準確, 「包括文章標題在內的許多說法都不準確,這篇文章讀起來並無新意(說的是早已爲社區所明瞭的事情),標題卻相當誤導和引人注目」。言下之意這篇文章不過是將早已存在並已經解決的問題拿出來重新炒了一次,只是爲了吸引眼球引發關注。

針對這篇文章是否在學術上存在新意引發的爭議,Ivan Bogatyy 重新撰文對此進行回覆,他解釋道,「正如之前在文章中強調的那樣, Mimblewimble 可能存在的隱私弱點早已有一些研究人員和 Grin 開發人員假設過的,我所做的是展示執行攻擊的精確方法和精確的實驗結果,這可能可作爲一種「新穎」之處。對於許多不願閱讀 Grin 代碼的人來說,這算得上是個新聞。」

Ivan Bogatyy 補充到,「我的研究聲稱攻破了 Mimblewimble 隱私模型(用戶隱私假設),並的確做到了這一點。但是攻破協議本身又是另一回事。」

此外,針對一些有人會有「Grin 沒有地址,只有 commitment」這樣的疑惑,他回覆道,Mimblewimble 的 commitment 與比特幣是同構的,沒有重複使用的地址。如果比特幣足以使交易流保持私密性(事實上不行),那麼爲什麼還開發其他隱私技術呢?在這種攻擊中,可以構建一個 Grin 區塊瀏覽器,以和比特幣 UTXO 完全相同的方式執行 commitment。

比如,如果 Alice 在交易所上購買了 Grin,接着使用這些代幣在暗網市場上進行交易,那麼,sniffer 節點可將這些包含 commitment 的操作蹤跡精確捕獲(開始於 KYC 認證的交易所,結束於暗網市場),最終可將 Alice 定罪。而 Alice 可能從未想過會發生這樣的事情,因爲她認爲 Grin 是「隱私的」,而且公共區塊鏈瀏覽器也不會顯示這些關聯,只有特殊 sniffer 節點可以追蹤到,這就是關鍵點。

作爲一種可能被廣泛使用的隱私保護的加密貨幣, Ivan Bogatyy 認爲,「我覺得 Grin 潛在的用戶需要知道這個事情,而且在廣泛使用之前應該被修復。」

另一名 Grin 的開發人員 David Burkett 則對《Dragonfly Capital 研究員說,可攻破 Mimblewimble 隱私模型》評論 到,「這篇文章寫得很棒,但這不是新聞了,我感到的驚訝的是,竟然只有 96%可追蹤,其實是有很多方法可以打破這些關聯,目前只是還未部署和發佈而已。就像我經常說的,如果需要隱私,請不要使用 Grin,因爲它還未到成熟階段。」

Coinbase 前首席技術官 Balaji S. Srinivasan評論 道,「這讓我想起了 2012 年發生的 Homakov 黑客事件。當然 Rails 中存在的漏洞雖然「已知」,但未被開發人員真正瞭解,直到一名俄羅斯黑客 Homakov 通過實際行動展現該漏洞的威力。」

2012 年,一名名爲 Egor Homakov 的俄羅斯程序員發現了 Rails 的嚴重安全漏洞,並在 GitHub 發佈了該漏洞報告,然而大部分開發者的反應是該漏洞已經衆所周知了,並且認爲該漏洞的責任在於使用該語言的人。 鑑於 Rails 的高危漏洞被忽略,Egor Homakov 決定進行一下試驗,直接利用該漏洞對 GitHub 開刀,用實際行動向各位開發者展示該漏洞的危害。

吵了一天的「Mimblewimble 隱私保護有缺陷」,各方究竟怎麼說?

來源鏈接:medium.com