编者按:本文来自BixinInstitute,作者:DanielLehnberg,编译:币信研究院,Odaily星球日报经授权转载。Mimblewimble隐私不是“有根本性缺陷的”。描述的对Mimblewimble/Grin的“攻击”是对已知限制的误解。尽管该文提供了一些关于网络分析的有趣数字,但给出的结果实际上并不构成攻击,也不能支持提出的耸人听闻的主张。今天,有一篇名为《攻破Mimblewimble隐私模型》的文章,作者断言他们以某种方式“破坏了”Mimblewimble和Grin的隐私模型。作者声称做出的“攻击”,是已有良好文档并被讨论过的交易图输入输出链接性问题。对于Grin团队中的任何人或研究过Mimblewimble协议的任何人来说,这并不陌生。Grin在主网启动之前于2018年11月在其公共Wiki上发布的PrivacyPrimer中承认了能够链接输出链接的功能。该问题包含了IanMier的“手电筒攻击”,我们已经把这个问题列为开放研究问题之一。实际上,包括文章标题在内的许多说法都不准确。从较高的角度看,这篇文章读起来不那么细致,宣称了一个引人注目的结果。但是,本文的结论包含许多逻辑跳跃,而这些逻辑跳跃并没有通过所描述的网络分析演练得到证实。Grin团队一直承认,Grin的隐私远非完美。虽然交易链接性是一种我们希望缓解的局限——我们不断改善隐私目标的一部分——但这并不会“破坏”Mimblewimble,也不会在根本上使它或Grin的隐私功能失去作用。我们不想逐一反驳这篇文章外,只想指出研究及其结论中存在的主要问题。1)Mimblewimble没有地址
数据:一季度Web3领域攻击事件总损失金额约2.95亿美元,环比下降77%:4月12日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台共监测,2023年第一季度,监测到Web3领域主要攻击事件61起,总损失金额约为2.95亿美元,较2022年第4季度下降了约77%。2023年第一季度的总损失金额低于2022年的任何一个季度。除攻击事件外,2023年第一季度还监测到主要Rug Pull事件41起,涉及金额约2034万美元。
DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42次安全事件总损失金额达到了2.48亿美元 ,占总损失金额的84%。80.8%的损失金额来自Ethereum,居所有链平台的第一位。本季度损失金额最高的攻击手法为闪电贷攻击,8次闪电贷事件损失约1.98亿美元;攻击手法频率最高的为合约漏洞利用,27次攻击占所有事件数量的44%。本季度约有2亿美元的被盗资产得以追回。本季度资金追回的情况优于2022年的任何一个季度。被攻击的项目中,仅有41%的项目经过了审计。[2023/4/12 13:58:53]
不幸的是,Mimblewimble最根本的隐私好处是该研究和相关文章的最根本问题:Mimblewimble并没有诸如可能链接到特定比特币钱包的那种地址。参与者交换价值,将一次性输出添加到一笔交易里,任何时候都不会有可以呈现给网络或链上数据的“地址”。2)无法链接并不存在的地址
美国密西西比州参议院通过加密挖矿合法化法案,尚待众议院批准:2月10日消息,美国密西西比州参议院立法者通过了一项法案,使加密资产挖矿合法化并保护矿工免受有偏见的能源价格的影响,如果获得众议院议员批准并由州长泰特·里夫斯签署,该法案将于7月1日生效。
该法案表示,该州的公共服务委员会不允许为加密矿企制定歧视性费率,为加密矿企可与其他工业用途采用相同的电价。从事数字资产挖矿业务的个人或实体将免于在金融犯罪执法网络 (FinCEN) 上注册。( Blockworks )[2023/2/10 11:59:39]
对于这一点,研究人员似乎采取了不一致的方法。文章随附的github仓库指出:“没有地址,只有隐藏为Pedersen承诺的UTXO。”随后,描绘了以下方案:“假设我是执法人员,我知道一个地址属于一个暗网市场上的供应商。当你将把你的Grin币发送到Coinbase时,Coinbase会将你的地址与你的姓名联系起来。”这篇medium文章继续说:“或者假设某个专制政府知道某个特定地址属于一位异见人士。您向异见人士发送了一小笔捐款。”目前尚不清楚执法人员如何知道一个并不存在的地址,或者Coinbase如何将一个并不存在的地址链接到一个姓名。或就此而言,一个专制政府将如何能够将一个并不存在的地址与一位异见人士联系起来。我们必须假设,作者便利地将交易输出与地址搞混了,但是它们并不相同。而且,正如我们已经详细介绍的那样,可以链接TXO的事实并不是什么新闻。3)数字95.5%接近100%。这也没有太大意义
新加坡提醒其加密货币公司对俄罗斯的金融制裁:10月31日消息,新加坡所有被批准的加密货币交易所都被提醒要遵守新加坡金融管理局 (MAS)对俄罗斯实施的金融限制。此前有调查显示,亲俄组织筹集了数百万美元的加密货币捐款,支持乌克兰持续的冲突,使俄罗斯遭受到更严厉的国际金融制裁。
据悉,新加坡金融管理局 (MAS)还在欧盟实施第一轮制裁前后,针对对在俄罗斯有业务的俄罗斯银行和其他公司采取措施。[2022/10/31 12:01:38]
实际演练的细节被描述为一次“攻击”。所谓的“嗅探器节点”收集从节点广播的交易,这是蒲公英中茎和绒毛阶段的一部分。作者能够在特定时间段内收集网络上95.5%的交易。除了“输出A花费到输出B”,并不清楚这里到底什么鉴定了什么,或作者能够用这些信息来完成什么。4)仅交易图并不能显示有关交易方的信息…
摩根士丹利:加密货币交易产品市场在熊市持续增长:10月7日消息,摩根士丹利周四在一份研究报告中表示,加密货币交易产品市场继续增长,这表明尽管担心加密市场熊市,但机构对数字资产部门的兴趣依然浓厚。有 180 多个活跃的加密交易平台交易基金 (ETF)、交易平台交易产品 (ETP) 和信托,尽管总资产从 840 亿美元下降了 70% 至 240 亿美元,但这些产品中有一半是自比特币熊市以来推出的。
报告补充说,加密货币交易产品市场将继续增长,熊市并没有阻止资产管理公司和金融公司为其客户提供获取数字资产的途径。未来几个季度将在全球推出更多加密交易平台交易产品,虽然重点仍将放在比特币(BTC)上,但新产品可能会涵盖大量加密资产和主题。(CoinDesk)[2022/10/7 18:42:03]
虽然希望避免泄漏交易图,但仅凭图并不一定能揭示发送方和接收方的输出。没有金额,很难区分变更输出和接收方输出。即使本文并未尝试实际执行此操作,这也是将来研究的一个有趣领域。5)……作者似乎并没有意识到这一点
在Github仓库上写着:“我们发现的是交易图:谁向谁付款的记录”但这不是这样的。让我们举一个具体的例子。爱丽丝与Bob建立了交易,这可能是通过TOR、grinbox或直接文件交换。然后,她通过一个托管节点将此交易广播到网络。在此案例中,监视网络的“嗅探器节点”将不会发现有关爱丽丝的任何信息,当然也不会发现谁向谁付款的记录。“手电筒攻击”是一种主动攻击,其中对手正在参与交易构建过程。本文中的网络分析活动是被动的,还不够。6)标题是误导性的,这里没有任何东西被破解了
文章的标题是《破解Mimblewimble的隐私模型》。Mimblewimble的隐私模型还没有覆盖使监视节点无法链接交易输出。我们的志向是到达那里,但我们还没有到达那里,除此之外并没有主张。结论您所获得的隐私永远不会超过匿名集的大小Grin是一种最小化的加密货币,旨在保护隐私、可扩展且公平。它远非完美,但它实现了与比特币同等的安全模型,默认情况下启用了更好的隐私,并且需要保留的数据更少。在无需受信的设置,无需开发税、ICO或预挖的情况下,它完成了所有这些工作。但是,Grin仍很年轻,还没有发挥出全部潜力。主网进入11个月后,网络使用率较低。在最近的1000个区块中,22%仅包含一个tx,这意味着它们的输入和输出是可微链接的。在网络使用率提高之前,这种情况不会改变,但这仍然并不意味着发送方和接收方的身份会被泄露。隐私研究是在协作之下进行的作为Grin的贡献者,我们很高兴看到有人对该项目产生了兴趣。我们的社区欢迎对Grin协议和代码库的科学分析和审查,但同时也希望它具有一定的严格性。实际上,如果要求我们提供帮助,我们甚至可以提供帮助。该论文的作者让Haseeb、Oleg、Elena、Mohammed和Nader审查了他们的工作,但不幸的是,他们没有利用Grin社区中的任何人做同样的事情,并就他们将要发布什么提供反馈。这样做可能会阻止这种响应,并且只会提高工作质量。在一条推文中,文章作者写道:“重要的是,我非常尊重Grin社区和核心开发人员,他们在回答我的问题方面提供了极大的帮助。”这听起来像是他们就本文询问过我们的意见,但我们中的任何人都无法回忆起在我们的Gitter频道或Keybase中遇到过作者或这项研究。白白错过了一次提高研究质量的机会。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。