偏顾梦想,为Mimblewimble打仗,Grin路在何方
高天 2019-11-19 20:17:28发布
81628
摘要:从昨晚到今天,一场关于Mimblewimble隐私保护的辩论正在发酵成型。  

从昨晚到今天,一场关于Mimblewimble隐私保护的辩论正在发酵成型。

 

该事件源于Dragonfly Capital 研究员Ivan Bogatyy昨晚发布在Medium上的一篇文章,在该文中,Ivan Bogatyy明确表示:“Mimblewimble 的隐私保护功能从根本上是有缺陷的。我只需每周支付 60 美元的 AWS 费用,就能实时发现 96% Grin 交易发起者和收款者的确切地址。”

 

图片1fgggggr.png

 

受该消息影响,从昨日晚开始,Grin价格大幅下跌,目前为止,Grin 24小时内的跌幅已经超过15%,现报1.27美元,除此之外, 包括BeamSero等隐私币都出现了不小的跌幅。

 

 图片1fffffrin.png


而在今日,除了Grin核心开发者对此事做出了紧急回复之外,包括V神、李启威以及诸多安全公司也对此时进行了回复。

 


GrinMimblewimble

 

如果要在2017年大牛市之后挑选一个最硬核,也最受大佬青睐的项目,Grin无疑会榜上有名。

 

今年116日,Grin宣布主网上线,尽管当时正值市场极度低迷时刻,但这丝毫不影响其仍然可以引发市场躁动。

 

据称,当时,在Grin的第一个交易区块诞生之后,第二个区块在不到一分钟之后就被挖出。尽管区块的奖励只有60 grin,但在当时,去中心化交易所Bisq的某用户已经给出了0.1 BTC1000 grin(当时均价约为0.37美元)的价格。而另一家交易平台Bitmesh给出的价格则更高,10 BTC/1 grin(不过买单数量只有0.001 grin)。

 

与此同时,伴随着市场面的躁动,Grin还收获了包括神鱼、比特币官方论坛Bitcoin.org持有人眼镜蛇Cobra等各方大佬的力推。

 

不仅如此,作为首个不融资只接受捐赠资助的项目,在最近的1112日,Grin团队还收到了一笔50BTC的匿名捐款。

 

据调查发现,最近给Grin社区捐赠的50BTC的地址,上一次有变动是在201012月,对此,有人认为,捐赠者极有可能是中本聪,且就算不是中本聪,也必定是一位比特币早期开发者。

 

然而,要说到Grin备受大佬关注的原因,除了其以捐赠为基础的资助模式,雄厚的技术背景、最接近比特币原教旨等因素,还有最重要的一点:GrinMimbleWimble在编程语言Rust中的第一个开源实现。

 

说到MimbleWimbleMW),20168月,一位匿名编码员提出了关于MW的论文。这一论文引起了一直在寻求匿名性和扩展性解决方案的比特币开发者的注意。

 

当时,该论文作者声称要增加“比特币的匿名性”,且提出了全新的交易架构,而MW作为这一论文中的匿名协议,则被描述为一种类似椭圆曲线密码学的新实现方式。

 

要知道,为了满足货币体系中“验证接收币的数量与发送的数量相等”和“只能从自身银行账户进行电子转账”的条件,起先,比特币是设置了比特币地址,试图让现实世界的身份无法与比特币地址联系起来,从而达到保护隐私的效果

 

然而,正如中本聪所预见的,随着攻击者能更好地使用比特币的数据定位或实名化比特币用户,侵犯隐私的情况会不断恶化。现如今,显而易见的是,有些数据分析公司就正在朝着这样的趋势发展。

 

所以,在比特币开发者心中,除了一直以来存在的拓展性问题之外,如何保护隐私,也是其关注的重点话题。

 

对此,数学专家兼Blockstream研究总监Andrew Poelstra在看到MV提案后,立即着手分析该协议的优点,并在两个月后,创建了一份详细的白皮书,概述了创建独立区块链所需要的密码学,基本定理和协议。

 

简而言之,Mimblewimble的出现,获得了包括诸多比特币开发者在内的多位专业人士的认同,认为其不仅可以隐藏交易值,消除地址,最大程度上保证用户隐私,同时还解决了扩容问题。

 

然而,就是这样一个突破性的匿名协议,却被Dragonfly Capital 研究员Ivan Bogatyy称之为“具有根本性缺陷”。

 

 

Ivan Bogatyy的观点

 

昨日晚间,研究员Ivan Bogatyy发布了一篇名为“破坏Mimblewimble的隐私模型”的文章。在该文中,Ivan Bogatyy表示:“只需每周支付 60 美元的 AWS 费用,就能实时发现 96% Grin 交易发起者和收款者的确切地址。”

 

其声称,“在对 Grin 的真实测试中,我发现,揭开交易流信息的成功率达到 96%”,并认为,这个问题是Mimblewimble所固有的,没有办法予以修补。

 

那么,Ivan Bogatyy口中无法修补的问题到底是因为什么呢?

 

众所周知,在加密货币交易中,涉及到的隐私主要包括:1、交易金额  2、交易地址

 

Ivan Bogatyy认为,Mimblewimble使用普通椭圆曲线加密,可以有效的对交易金额进行加密,但却会留下一个可链接的交易图,而通过这个交易图,可以很轻易的确认支付流。

 

很明显,协议设计者也意识到了这一点,所以 Mimblewimble 使用两种主要的技术来对抗可链接性:第一种是全区块直通聚合(full-block cut-through aggregation) ,第二种是 蒲公英协议 (Dandelion)

 

所谓全区块直通聚合,实际上就是随着交易在一个区块内累积,这些交易就会被聚合成一个“超级交易”(super-transaction)。这种“超级交易”看起来像一个巨大的代币混合(CoinJoin)。相当于一堆输入转换成了一堆输出,而金额被模糊了。

 

cbc8b986c997cc20b15acce9670c4363.jpg

 

然而,这个混币 CoinJoin) 必须一次构建一个交易。由于交易不断地被创建并从各个不同的地方广播,所以如果你运行一个嗅探器节点来在直通聚合完成之前获取所有的交易,那么解开 CoinJoin 就是一件非常容易的事情。

 

11ad8850-36d6-4863-b1cc-0bdf13258f0122222222.png

 

为此,Grin 团队其实提出了另一条防线:蒲公英协议。蒲公英是 CMU (卡耐基梅隆大学) 研究人员开发的一种网络技术,它试图模糊交易的发起方。

 

在蒲公英协议中,每一笔交易的广播都是从一个秘密的电话游戏开始的。发起方只向一个对等点悄悄发布交易,而这个对等点又向另一个对等点悄悄发布,就这样链式传递。在随机跳了几次之后,最后一个对等点会像在比特币中一样宣告交易。如此一来,观察者就无法分辨谁是链条的起点。


53b788b8-eabd-5912-987d-585388bfc155.gif

 

而除了混淆交易者IP这一属性,蒲公英协议在Grin中还发挥着击败嗅探器存档节点的作用。

 

因为每一笔交易都是从一个蒲公英链开始的,只要两笔交易在其蒲公英链中交叉,它们就会更早被聚合。如果发生这种情况,那么在将交易广播给所有观察者时,嗅探器节点已经无法拆解它们了。它们已经被混币了 CoinJoined) 。

 

以上就是Grin为了弥补可链接的交易图问题所采取解决方案。

 

然而,Ivan Bogatyy却认为,这些解决方案可以很容易得到破解。

 

Ivan Bogatyy表示,每个 Grin 节点连接 8 个其他对等点。但是通过猛增对等点的数量,我可以将我的嗅探器节点连接到网络中的所有其他节点。假设我在线时间足够长,最终几乎每个节点都会连接到我,使我成为一个超级节点。

 

一旦我成为超级节点,很有可能任何一笔交易的蒲公英路径都会经过我。我基本可以在交易聚合之前捕捉到它:唯一不可能的情况是,在我看到它们之前,两个交易已经在蒲公英路径上相交。如果我在它们聚合之前看到其中的某一笔交易,我就可以使用一些简单的代数把它们拆解出来。

 

简而言之,Lvan Bogatyy研究认为,在网络中部署足够的节点,可以在交易打包前,从内存池中获取原始交易数据(未被CoinJoin混合的数据),并且通过在交易路径中监听“蒲公英网络”的方式,破坏MimbleWimble协议的匿名性,从而侦测到交易双方的信息。

 

Ivan Bogatyy进一步声称,通过这种方法,其对Grin发起了攻击,并连接了96%的交易。

 

 

Grin 开发者的回应

 

对于Ivan Bogatyy的质疑,今日,Grin的开发者Daniel Lehnberg做出了回应。

 

其表示,破译MW隐私协议的说法不实,Ivan Bogatyy做出的“攻击”是充分记录和讨论的交易图输入输出链接性问题。但实际上,这个问题对于 Grin 团队中的任何人或研究过 Mimblewimble 协议的任何人来说,这都不陌生。

 

除此之外,Daniel Lehnberg还表示Ivan Bogatyy提到的并非“根本性的固有缺陷”,所谓的攻击和破解是对已知限制的误解。而关于Ivan Bogatyy发布的文章,Daniel Lehnberg表示,“包括文章标题在内的很多说法都不准确。从较高的角度看,这篇文章读起来并不那么含蓄,或许也是为吸引眼球罢了。本文的结论包含许多逻辑上的飞跃,而且这些逻辑飞跃并未通过所描述的网络分析得到证实。”

 

为此,Daniel Lehnberg还对Ivan Bogatyy的文章进行了逐条反驳:

 

Mimblewimble没有地址

 

Mimblewimble的最根本的隐私好处是该研究和相关文章存在最根本的问题:Mimblewimble没有诸如可能链接到特定比特币钱包的地址。 参与者通过将一笔一次性的输出添加到交易中来实现价值交换,任何时候都不会呈现给区块链网络或区块链数据的可识别地址

 

无法链接到不存在的地址

 

对于这一点,这篇文章的研究人员似乎采取了不一致的方法。文章随附的github存储库指出:

 

没有地址,只有作为Pedersen comitment隐藏的UTXO

 

随后,文章绘制以下方案:

 

例如我是执法人员,我知道一个地址属于暗网市场上的供应商。当您将Grin币发送到Coinbase交易所时,Coinbase会将您的地址与您的姓名联系起来。

 

文章继续:

 

或者说,某个专制政府知道某个地址属于政见不同人士。您向异议人士发送一小笔捐款。

 

目前尚不清楚执法人员如何知道一个根本不存在的地址,或者Coinbase如何将不存在的地址链接到所有者的名字。或就此而言,霸权政府将如何能够将一个不存在的地址与某个政见不同人士联系起来。

 

我们必须假设作者简单地将事务输出(TXO)与地址混淆了,但是二者并不是一回事。而且,正如我们已经详细介绍的那样,可以链接TXO并不是什么新闻。

 

数字95.5%接近100%。 但这也没有太大意义

 

文章中有关这个实际实验的详细信息被称为攻击。 所谓的嗅探器节点(sniffer nodes收集从节点广播的交易,这是蒲公英(Dandelion)协议中茎(stem)和绒毛(fluff)阶段的一部分。 作者能够在特定时间段内收集网络上95.5%的交易。 除了能够知道“ Output A花费在Output B之外,目前尚不清楚在此确切地确定了什么,或者作者还可以利用这些信息来完成什么。

 

仅交易图并不能显示有关交易方的信息

 

尽管在交易过程中最好能够避免泄漏交易图,但仅凭该图并不一定能揭示发送方和接收方的输出。 没有金额,就很难区分变更输出(output)和接收人输出(output)。 即使本文并未尝试实际执行此操作,这会是未来研究的一个有趣领域。

 

作者似乎并没有意识到这一点

 

文章中提供的Github存储库写到:

 

我们发现的是交易图:谁向谁付款的记录

 

但实际并不是这样的。

 

让我们举一个具体的例子。 爱丽丝与Bob建立了交易(可能通过TORgrinbox或直接文件交换)。 然后,她通过托管节点(例如使用wallet713)将此交易广播到网络。

 

在此示例中,监视网络的嗅探器节点将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。 手电筒攻击是一种主动攻击,其中对手正在参与交易构建过程。 那篇文章中的网络分析活动是被动的,这并成立。

 

文章标题具有误导性,并没有任何东西被打破

 

文章的标题是打破Mimblewimble的隐私模型Mimblewimble的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。

 

 

Grin面临哪些问题,如何解决隐私限制

 

可以看到,Ivan Bogatyy提出的“可链接的交易图”问题实际上一直都是Grin/MW团队早先就已经坦然承认的开放性问题。只不过这个问题并不像Ivan Bogatyy说的那么危言耸听。

 

今日,对于Mimblewimble协议存在隐私缺陷”一事,北京链安发文声援MimbleWimble,其表示,MimbleWimble协议对于转账金额的混淆保护是有效的,目前来看无法被识别攻击。虽然该协议对于发送方和接收方的隐匿效果整体来看不如门罗币和ZCash,但是认为这体现的是这一算法技术特点体现的能力边界,而非漏洞

 

而降维安全实验室CEO付东亮也表示,在Grin中,无论使用在线交易(交易双方必须在线签署交易)或离线交易(通过文件传输签署交易,类似商业合同电子签名),Grin的初始发送地址都是一次性的临时地址(或者说根本不存在地址这个概念),且无法与其他相关地址进行分组匹配,从而无法破坏隐私性。

 

那么,Mimblewimble的隐私限制该如何解决,而Grin作为主要采用MW的币种,其自身又存在哪些问题呢?

 

据了解,对于Mimblewimble在“输入和输出链接”以及“交易存在”这两方面存在的缺陷,目前,Grin开发团队正在探索使用称为Dandelion++的技术缓解这一问题,但其也提到,该方案并不足以完全解决上面提到的链上输出的可链接性问题。

 

而莱特币创始人李启威则认为,MimbleWimble协议的这种限制是众所周知的。MW基本上属于隐私交易,具有扩展优势和一定程度的不可链接性。为了获得更好的隐私,用户仍然可以在广播之前使用CoinJoin,并且由于CT和聚合的原因,CJMW运行的也很好。与BTC / LTC相比,MW上的CJ更加简单易用。1. MW具有CT(保密交易),因此所有数量都被隐藏,因此无需决定统一的输出大小。2. 使用MW中的聚合,无需签署最终的CJ交易。因此,不能通过不签名来拒绝服务。

 

总而言之,对于MimbleWimble协议,大多数业内人士还是持肯定态度。虽然与门罗币等隐私币相比,MimbleWimble的隐私性并不完美,但其具备更好的可拓展性。

 

然而,反观Grin的发展,可能就没那么幸运了。

 

在今年初的熊市中,Grin创造了8倍涨幅的开门红。不仅如此,上线当天,就已经有数据披露称,据保守估计,全球已经有1亿美元的资金投入到了专门针对Grin的挖矿设备中,其中来自风险投资机构的资金占了大多数。当时,有不少人乐观的认为Grin可能会冲击前十。

 

然而,自从Grin上线至今,已经11个月过去了,在此过程中,加密货币主流市场开始复苏回暖,但Grin不仅没有向着人们的期望进发,反而币价大跌,用户稀少。

 

数据显示,截至目前,Grin的价格已经从最初的15美元附近跌到了现在的1.23美元。虽然在刚上线之初Grin存在极大的通胀,但是,对于Grin今后的价格走向,很多人并不看好。

 

而这源于Grin无限分发的货币分配机制,此前,莱比特矿池CEO江卓尔就在微博上表示:“其实Grin的确是好币,技术也酷,社区也酷,唯一不酷的就是价格。”江卓尔解释称,Grin价格不酷的原因是Grin后面有Core的几个大佬,“Grin实践的是Core产出不减半(恒定50/块产出),总量无限的货币政策,由此可见Core路线的错误荒谬程度”。

 

当然,作为最符合比特币原教旨的项目,Grin的初衷就是作为支付型代币,为了避免炒作现象,其在代币分配方面采取了与比特币截然不同的方式。由此看来,对于半点不众筹,一切靠捐赠的Grin团队来说,Grin的币价实际上并不重要。

 

然而,该举措的负面影响就直接表现在用户量上,根据Grin创始人今日的表述,Grin主网上线11个月以来,网络使用率仍然较低。 在最近的1000个区块中,有22%仅包含一个交易(而30%不包含交易)。

 

Grin的愿景无疑是美好的,但就目前而言,一味朝着理想化的道路死磕,反而可能成为摧毁Grin的关键。

 

作者:共享财经Neo

 

点击进入招聘详情>
微信扫一扫
关注区块链新金融
扫一扫
下载数链APP
内容合作/商务合作:
gxcj@gongxiangcj.com
联系电话:
021-31128751