收起
1分钟1小时1天1周1个月

加密货币的隐私性究竟如何?一项关于Grin的研究引起了人们的质疑

如今,将Grin称之为隐私币,不是很准确

2019年12月9日 15:52 Grin 隐私币

来源/CoinDesk中文

尽管加密货币提高了人们对于隐私的意识,但似乎除了多催生几个项目外,一种可行性代币仍亟待落地。
于 2019 年 1 月推出的隐私项目 Grin 一度让人十分兴奋,但在最近实际应用的检验中却不尽如人意。如今,Grin 正面临一些困境。
上个月,投资基金蜻蜓资本(Dragonfly Capital)研究员伊万·博加泰伊(Ivan Bogatyy)在 Medium 上发布了一个令人 “十分意外” 的消息,披露了一种通过使用 “嗅探器节点(sniffer nodes)” 进行的攻击,这种攻击可以识别 Grin 网络上 96% 的活跃发送者和接收者地址。
当烟雾散去,一个问题出现了:到底什么才是加密货币的隐私?
博加蒂(Bogatyy)获得了来自以太坊联合创始人维塔利克·布特林(Vitalik Buterin)、莱特币创始人李启威(Charlie Lee)和其他人的称赞,他详细描述了 Grin 的结构性问题,并声称这些问题来源于 Mimblewimble 本身。(CoinDesk 中文版注:MimbleWimble 是一种区块链隐私保护协议,是一种可以防止区块链泄露个人信息的技术。)


匿名梦想


备受推崇的隐私协议 Mimblewimble 于 2016 年创建,通过对每个区块批量处理输入值来对交易进行匿名化。在与相似交易池中发送者数额进行混合之后,在另一侧产生等价值的不可识别的输出值。比如,MimbleWimble 利用 CoinJoin(提供对数据发送方和接收方的隐私保护,隐藏交易金额) 机制将来自多个消费者的支付组合在一起,形成一个单一的交易,使外部很难确定哪些支付针对哪个接收方。
在一个机密交易(CT)中,这一过程通常运作得十分好,一旦将其扩展到一个足够大的匿名交易集合时,其中输入值的纯粹数值,在经过混合之后将屏蔽关于输出的内容。在机密交易中,交易数量和公共地址从未被展示,主要是因为地址不存在于 Mimblewimble 中,仅仅是有交易的输入和输出。
2019 年 1 月,两个基于 Mimblewimble 的加密货币项目 Grin 和 Beam 上线。但对这两种加密货币来说,“交易图” 仍然是个问题。(CoinDesk 中文版注:Mimblewimble 协议并不能很好的隐藏 “交易图”。也就是说,使用 Mimblewimble 时,在交易结束之前,网络 “窃听者” 还是可以通过观察 “交易图” 将交易关联。)
连接良好的嗅探器节点可以位于 CoinJoin 的任何一侧,这就是所谓的 “连接”。它与比特币一样,建立在同一个点对点网络上,节点之间将账本更改的信息相互通信,嗅探器节点可以通过与对等节点的良好连接来识别交易的移动。事实上,博加蒂表示,目前 Grin 区块链网络中仅使用 3,000 个对等节点中的 200 个,就能够获取 96% 的交易发送方和接收方地址,而成本只是 60 美元。
然而,这是以前就众所周知的问题。
Grin 基金会在 GitHub 上的开放研究问题(Open Research Problems)页面上,将这一问题作为未来研究的一个重点。此外,Grin 从未承诺可以实现完全匿名,但只有机密交易有可能在未来添加匿名功能。


大惊小怪?


对博加蒂来说,虽然这项研究旨在纠正公众对隐私币的误解,但对 Mimblewimble 开发者来说,这件事简直成为了一个污点。
“尽管一些技术专家早已明确该漏洞存在的可能性,但我认为没有人知道这个漏洞的严重程度,” 博加蒂在一封电子邮件中说,“在我进行实验之前,我都不知道我自己会成为那 96%。”
他说,他的研究目标是使 “技术知识更容易获得”。
博加蒂说:“我认为 Grin 开发者非常有能力,不会过分承诺,但公众的看法偏离了技术基本面,显得过于苛刻”。


隐私币承诺


并非所有的隐私币都是平等的。相反,隐私币是人们对隐私的主观看法的迭代,会受到外部分布式协议实际上能够完成功能的限制。
Zcash 联合创始人兼密码学家伊恩·迈尔斯(Ian Miers)表示,以 Mimblewimble 为例,机密交易的数量,不超过拥有丢弃公共地址的比特币交易和隐藏交易数量的总和。
迈尔斯在一封电子邮件中说,“我们显然知道隐私意味着什么,如果你付钱给精神科医生,或从网上购买一系列禁书,不会有人知道你看过医生,也不会有人踢开你的门,在你的房子里搜查这些禁书。”
但在公链的世界中,所有参与者都可以查看和验证交易数据,这就存在一个陷阱。迈尔斯说:“因为我们都知道加密货币存在隐私问题,所以外界会抓住任何东西进行大肆炒作。”
其他基于 Mimblewimble 的隐私币项目也加入了这一阵营,比如 Beam,博加蒂在他的研究中也提到了这一点。
据 Beam 开发者盖伊·科雷姆(Guy Corem)介绍,很早以前,Beam 开发者就注意到了 “交易图” 问题,他们已经对 Mimblewimble 进行了多次修改。
这就是为什么他对博加蒂的研究持异议的原因。
科雷姆在社交工具电报(Telegram)中说:“Beam 和 Grin 的开发者,在主网启动前,就已经意识到了交易的可链接性。但博加蒂表示没有看到 Beam 的实际行动。例如,在他的技术报告中,他指出 ‘诱饵没有被使用’ 的错误观点。”
不管诱饵是否有改进,博加蒂仍然没有受到影响。博加蒂说,即使增加了保护措施,通过耳语节点跟踪交易仍然太容易了。
博加蒂在他的 GitHub 页面上表示:“最终,最好的重度诱饵 Mimblewimble 版本,看起来会像是一个更糟糕的门罗币版本”。


Grin 的回应


对于 Grin 开发者来说,博加蒂的观点与实际相去甚远。
Grin 开发者丹尼尔·莱恩伯格(Daniel Lehnberg)在一篇 Medium 文章中写道,博加蒂混淆了交易输出与 Mimblewimble 系统地址等基本点,对 Grin 的原始隐私声明进行了错误的表述,以及没有联系 Grin 开发者,尽管他说有联系。
由于它与 “交易图” 相关,莱恩伯格认为,96% 的这个数字无关紧要。
莱恩伯格写道:“除了 ‘输出值 A 支付到输出值 B’ 外,我们不太清楚这里到底是什么,也不清楚作者还能使用这些信息来完成什么”。虽然避免泄漏交易图是可取的,但仅拥有此图,不一定显示发送方和接收方的输出值。”
但是,正如迈尔斯指出的,你仍然可以追踪 Grin 的交易,不管他们是否有地址。
迈尔斯说:“这就像你有一张纽约市某个地区的地图一样,你无法指出具体是哪里,因为所有的街道名称都不见了。但当有人告诉你地图上一个十字路口的名字时,你就可以找出其余部分。对 Grin 的攻击,相当于创造了这张有空白街道的地图。你还需要一步来指出这些名字,但这是很简单的部分。”
此外,一旦你知道了一个交易的起始和终点,你花了多少钱,对任何人来说都不重要,只要你花在了某个地方。
迈尔斯说:“所以,全世界都会知道你向 Pornhub 付钱了,或者买了一台兰博基尼,但他们不会直接知道具体是多少钱。除非与更强大的隐私技术相结合,否则它没有用处。”


低交易量


正如以太坊创始人维塔利克·布特林在推特上提到的那样,隐私取决于匿名集中的用户数量:用户混合的资金越多,从池中提取资金就越安全。
但 Grin 的莱恩伯格在 Medium 上写道,由于其协议的性质,Grin 的协议本身,并没有比特币网络这样的地址来匹配交易,因此它是不同的:
“Grin 还很年轻,还没有充分发挥其潜力。主网上线的 11 个月以来,网络使用率较低。在最新的 1000 个区块中,22% 只包含一个交易,30% 不包含交易,这意味着,它们的输入值和输出值很简单且可链接。在网络使用率提高之前,这种情况不会改变,但这仍然不意味着发送者和接收者的身份会被暴露出来。”
莱恩伯格在回顾博加蒂的研究时表示,他对博加蒂 “如何发现谁在 Grin 网络中付钱给谁” 的说法表示怀疑,博加蒂在 GitHub 上声称,Grin 的开发团队只是说这个问题可能揭示 “实体”,而不是个人。
莱恩伯格在电报中说:“有一点可以肯定,‘这种理论上的攻击真的很直截了当,而且很容易实施,’ 但实际操作又是另一回事。”
尽管双方可能在技术上存在分歧,但迈尔斯对 Mimblewimble 仍然持有肯定态度,他只是将 Grin 描述为隐私币历史上的一个脚注。
迈尔斯说:“Grin 是一个前景充满希望的项目,但现在称之为隐私币,或者隐私项目不是很准确。”
CoinDesk 中文版补充:12 月 1 日,由莱特币基金会资助的 Grin 开发者大卫·伯基特(David Burkett)提出了一个修复 Mimblewimble 协议隐私漏洞的解决方案,该解决方案通过改变广播和合并的顺序来解决问题,也就是说,将交易直接发送到 CoinJoin 服务器然后再进行广播,而之前的顺序是交易被广播后再合并到其他交易中,这会导致网络中的节点可看到大多数交易的最初从输入到输出的链接。


(来源:推特)

伯基特表示已获得来自莱特币基金会的捐赠,目前已经和莱特币创始人李启威(Charles Lee)以及比特币研究员杨安泽(Andrew Yang)合作了几个月,以帮助开发一个 Mimblewimble 扩展模块应用在莱特币的隐私交易解决方案中,伯基特承诺将每月更新一次帖子,旨在详细介绍 Grin 和将 Mimblewimble 隐私技术集成到莱特币中的开发进展。