V神、李启威等热议的“Mimblewimble协议”是否存在根本性缺陷?

作者:陈剑山 时间:2019年11月19日

火币网注册

zX|GJ#{] @0

H;G(J.U ro2M'o0 {1Iy!hc)J

文 | 陈剑山9s R+TD*Mq5^

3@!f{w&d"A"_ \

火星财经APP(微信:hxcj24h)一线报道,近日区块链投资基金 Dragonfly Capital研究员Ivan Bogatyy发表文章称,Mimblewimble协议的隐私性从根本上存在缺陷。他举例解释,用户每周只需花费60美元,就能实时了解96%的Grin交易的发起者和收款者的确切地址。 K2Bx T3p'I[

4A4O|1W2A3f0文章发出后,包括ETH以太坊创始人、LTC莱特币创始人以及Grin核心开发者在内的多位业内人士均对该内容发表评论,进一步引发行业热议。

bIYc#\tR\&V:Rg0 &TM#t;jY8V9n

针对该事件,火星财经APP(微信:hxcj24h)总结了各方对Mimblewimble协议的看法:

c#V?7? J]/h0

K6jp,d@8} R#lc9J01.ETH以太坊创始人Vitalik Buterin:MimbleWimble不足以真正保证隐私安全,其缺乏鲁棒性+L%quLq8MgR0Of6_

;Ns:a'sH:@ ^A0l0据区块律动消息,V神指出,如果隐私模型已设置中等的匿名集,那么它实际上设置了一个小范围的匿名集。如果隐私模型的匿名集较小,则其匿名集为1。只有全局匿名集(例如,使用 ZK-SNARKs 技术进行的加密)才真正具有鲁棒性。

a)D['ot2IE6I8Ny ^c0 c5}VTm`,u(g[

3M`W8k,@9y

$w-|N!j?+A^/[0Vitalik暗指,MimbleWimble并不具备真正的鲁棒性,而只有采用零知识证明ZK-SNARKs 等全局匿名集方案,才能真正保证隐私安全。#fXVv [7S?

vq'WkMx&Q

(注:鲁棒性是指在异常和危险情况下系统生存的能力,一个控制系统是否具有鲁棒性,是它能否真正实际应用的关键)n P(dFg2@fI

;\S+a4[lDZ

2.LTC莱特币创始人李启威:MimbleWimble协议所存在的限制属众所周知

0^b"x1Q9J?],b0

V4}/b S)lp:i:v tU0李启威认为,MW基本上是加密交易(CT),具有扩展优势和轻微的不可链接性。为获得更好的隐私,用户仍可以在广播之前使用CoinJoin。

T ^8^#@^6q0

v'[F p A0

ox.p'|j"B`c0 (ntWj$o

他同时指出,与BTC比特币、LTC莱特币相比,MW上的CJ更加简单易用:1)MW具有CT,所有数量都被隐藏,因此无需决定统一的输出大小;

)ImrJ"`0g+Bn5a0 O ^(Xndbm2JV)b*l

2)使用MW中的聚合功能,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。

h}K/Zjc {$oje0 *nm*h-sD5s,E;Z p

3. 匿名币Grin核心开发者Daniel Lehnberg:MW协议的隐私性并不存在“根本性的缺陷”,原文标题说法不准确

,~ I(bW*_fF}&p+z(R0

Z2i_!G6E)b0OLP0Daniel Lehnberg发文称,Ivan Bogatyy在文章中描述的对 Mimblewimble / Grin 的攻击是对已知限制的误解。“尽管该文章提供了一些有关网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持其提出的耸人听闻的主张”。

M Z`&@+T8`X/nxP(~0

w0Ny8H!a3C X0

th#H~;K3\,a0

pq}w'[s0他强调,文中提出的问题对Grin团队或研究Mimblewimble协议的人来说并非新鲜事,Grin开发团队早在很多文件中已经阐述了该问题,并且通过各种途径改善该问题并提高该协议的隐私性。

:EG8_5sAIi&N"B0

'e#Q1`s9K04.Primitive Ventures创始合伙人万卉:MW协议的局限性“人尽皆知”,不足称为“新闻”

LI p1q9H+Ibn$o0

mi.V ]}M0Primitive Ventures创始合伙人万卉针对该消息,分为3点评论道:N1Yt4bn!w5o

-mub!u-c8Al huH

1.这根本不是“新闻” 早就是个已知限制.....不知道为啥就搞了个大新闻,从一开始关注MW的都知道,只能说关注MW还太少;#J!xQyT|-Tm

0?D N}U Spe

6|'Mq N"g cU0 mE)|+[y%S

2. 解决方案也在论坛上propose,GrinJoin什么的都在讨论和研究中,还没有implement;/H,Dp4l:kB

;V)tL3iBG03. 门罗和Zcash的fully shield确实是现阶段隐私性最好的,可是Zcash的shielded add少的可怜…

At&ThJ.c%Q2|A0

0y!nZC/qY3{05.慢雾科技:隐私是一个工程级问题,不存在完美的隐私币

+v]H ? _{rTV I0

,F1p1[EA(E5{gx01. 攻击思路本质上也是一种中间人攻击思路:通过需要付出一些成本的“嗅探节点”技术监听 MimbleWimble 的聚合前的交易流量,以此分析发现 from/to 两个关键隐私因子的值,虽然不知道 value(金额),但有能力知道许多交易的来源与去向,但不是完全;

H1P!W.g7w*yH+q:sT0

X JmmA{"i$G&F:yR02. 这种“嗅探”思路类似美国等国家针对暗网 Tor 网络的溯源思路,通过部署或控制的足够多的节点来抓取 Tor 网络里的 IP 连接。但针对 MimbleWimble 网络,由于节点 P2P 通信特点,倒是不需要部署或控制许多节点;

/]*|9u!~I0 3vZ)o6GEj{tc7A

3. MimbleWimble 协议需要进化以应对这种“嗅探”技术,但我们都知道 Grin、Beam 不仅 MimbleWimble 协议,隐私策略在上层也有加强空间;

tx"e"mLY0

-i'oF#Bf04. 隐私币在链上本质要解决的核心问题是:from/to/value 的隐私问题,但隐私不仅是链上的,还有链下部分,比如 IP 等隐私,这是所有隐私币都需要面对的问题。虽然 MimbleWimble 这个纯链上的隐私技术不完美,这是必然的,完美是不存在的,不仅是 MimbleWimble;p9on:v5d"c,B

'_!~X$v*k'}:P8eY

5. 隐私是一个工程级问题,Dragonfly Capital 研究员的对抗思路也是工程级的,在工程级对抗上,不存在完美的隐私币;

'M/X&|3jC0 .r&B-s Z D+{;w&q*ty

6. 期待隐私币的一系列进化,在超级对抗中能进化的都是好隐私币。~lb7m q!px t!Q

JiRs;EK8EU4@

6.降维安全实验室CEO付东亮:Grin隐私性被破坏是危言耸听

%bH8J'\Xpf0

GVDO r q yF isO0降维安全实验室CEO付东亮表示,文章中针对MW协议的说法存在非常大的谬误。Lvan Bogatyy研究认为,在网络中部署足够的节点,可以在交易打包前,从内存池中获取原始交易数据(未被CoinJoin混合的数据),并且通过在交易路径中监听“蒲公英网络”的方式,破坏MimbleWimble协议的匿名性,从而侦测到交易双方的信息。但实际上以Grin为例,无论使用在线交易或离线交易,Grin的初始发送地址都是一次性的临时地址,且无法与其他相关地址进行分组匹配,从而无法破坏隐私性。,y\nw3A3w,v

G)L[8U;|.]

7.原文作者Ivan Bogatyy再次发声:Mimblewimble协议的隐私性不是根本性缺陷'k;q8@?0W;FcT$D

ONL"q1[ U2]0在业内人士发表评论的同时,原文作者Ivan Bogatyy更新文章称,Mimblewimble协议的隐私性不是根本性缺陷。C_tc&i_6Y

9m"D|!V5[ P({!f

8.北京链安Hardman:MimbleWimble协议是有效的,目前无法被识别和攻击

!at [/@4ft$^ G/g0 Vx9Vg H/]v3I9Gm2e

1 MimbleWimble通过隐藏交易金额和避免使用公开可见的地址,为用户隐藏地址和金额,目前主要的采用币种是Grin币;?z@#f gb6p

WYAq%g{ W02 MimbleWimble协议对于转账金额的混淆和保护是有效的,目前来看无法被识别和攻击的;d)UpCb N

M&c7Y/muOc |03 该协议对于发送方和接收方的隐匿效果整体来看不如门罗币和ZCash,但是我们认为这体现的是这一算法技术特点体现的能力边界,而非“漏洞”;ky `-L&_4K^ K

)o }w}(CEQh

4 实际操作来看,要识别MimbleWimble的发送方和接收方,需要在采用MimbleWimble的代币网络中加入嗅探节点,并使用精确的识别算法;%w+B"@H&U xe

I8iz9sw

5 嗅探节点的增多和识别算法的迭代可以提高识别率,是技术问题,也是成本问题,个人攻击者并不容易做到这一点。:g#Q%z`&w5M#M

)ND%a,et$~0>>>各方观点持续更新中<<<#ML0UW@9P8D&uk

来源:火星财经 https://www.huoxing24.com

以上信息版权归原作者所有,不代表本站立场和任何投资暗示。

火币网注册