Grin开发者：攻破Mimblewimble隐私模型一文的6个错误结论

Dragonfly Capital 研究员 Ivan Bogatyy 发表文章称「每周 60 美元的 AWS 便可发现 96% 的 Grin 交易确切地址」，并列举了大致的方法，一时间引起了诸多讨论。Grin 开发者 Daniel Lehnberg 则表示该文存在着 6 个错误结论，认为 Mimblewimble 其实并没有可能链接到特定比特币钱包的地址。

原文标题：《「打破 Mimblewimble 的隐私模型」与事实不符》（Factual inaccuracies of “Breaking Mimblewimble’s Privacy Model”）
作者：Daniel Lehnberg，Grin 开发者

近日，Dragonfly Capital 研究员发表了一篇题为《打破 Mimblewimble 的隐私模型》的文章，作者声称他们以某种方式「破坏」了 Mimblewimble 和 Grin 的隐私模型，并表示这个漏洞是 Minblewimble 固有且无法修补的。

按照这篇文章作者的说法，他做出的「攻击」是充分记录和讨论的交易图输入输出链接性问题。但实际上，这个问题对于 Grin 团队中的任何人或研究过 Mimblewimble 协议的任何人来说，这都不陌生。在主网启动之前，Grin 就已经于 2018 年 11 月在公共维基上发布的 Privacy Primer 中承认了这个问题，其中还包括 Ian Mier 的「手电筒攻击」，我们都将其列为开放研究问题之一。

需要指出的是，包括文章标题在内的很多说法都不准确。从较高的角度看，这篇文章读起来并不那么含蓄，或许也是为吸引眼球罢了。本文的结论包含许多逻辑上的飞跃，而且这些逻辑飞跃并未通过所描述的网络分析得到证实。

Grin 团队一直承认自己的隐私性并不完美，这也是我们不断改进隐私保护工作的一部分。交易可链接性是我们希望解决的隐私问题，但这并不能「破坏」Mimblewimble，以至于使 Mimblewimble 或 Grin 的隐私保护功能失效。

在此，我们将指出那篇文章结论中存在的几个主要问题：

1.Mimblewimble 没有地址

不幸的是，该研究和相关文章中存在一个涉及 Mimblewimble 最根本隐私利益的问题，即：Mimblewimble 其实并没有可能链接到特定比特币钱包的地址。参与者交换价值，将一笔一次性的输出添加到交易中，任何时候都不会给网络或链上数据呈现可识别「地址」。

2.无法链接不存在的地址

对于这一点，研究人员似乎采取了不一致的判断。文章随附的 github 存储库指出：

「没有地址，只有 UTXO 被作为 Pedersen 承诺隐藏。」

随后，他们又描述了以下方案：

「假设我是执法人员，我知道一个属于暗网市场供应商的地址。当您将 Grin 代币发送到 Coinbase 时，Coinbase 会将您的地址与您的姓名联系起来。」

这篇文章中还继续指出：

「或者说，专制者知道某个地址属于异议人士，他们就会知道你向异议人士发送过一小笔捐款。」

目前尚不清楚执法者如何知道不存在的地址，或者 Coinbase 如何将不存在的地址链接到名称，而且也不知道专制者将如何能够将无声言论与政治异议人士联系起来。

我们必须假设作者很方便地将交易输出（TXO）与地址混淆了，但其实，这两个概念并不相同。而且，正如我们已经详细介绍过的那样，Mimblewimble 本来就可以链接交易输出，这并不是什么新闻。

3.95.5％ 接近 100％，但这个数字其实并没有太大意义

文章指出了一个实际攻击的详细场景，即所谓的「嗅探器节点」收集从节点广播的交易，作者声称能够在特定时间段内收集网络上 95.5％的交易。但其实，除了「产出 A 花费在产出 B 上」之外，目前尚不清楚该作者在此确定了些什么，或者作者还可以利用这些信息来完成什么。

4.仅靠交易图并不能显示有关交易方的信息…

我们并不是说要你去泄露交易图，但仅凭该图并不一定能揭示发送方和接收方的输出。交易图中没有金额，所以你很难区分变更输出和收件人输出。虽然这篇文章的作者并未尝试实际执行此操作，但这也将是我们未来研究的一个有趣领域。

5.…而作者似乎并没有意识到这一点

这篇文章的作者是这么理解我们项目 Github 存储库的：

「我们发现的是交易图，也就是谁向谁付款的记录」

但事实并非如此。

让我们举一个具体例子：爱丽丝可能通过 TOR、可能通过 grinbox、或是可能通过直接文件交换与鲍勃建立了交易。然后，她通过托管节点（例如使用 wallet713）将此交易广播到网络。

在此示例中，监视网络的「嗅探器节点」将不会发现有关爱丽丝的任何信息，当然也不会发现谁向谁付款的记录。 「手电筒攻击」是一种主动攻击，其中攻击者需要参与交易构建过程。而那篇文章中分析的网络攻击活动是被动的，因此论据不充分。

6.那篇文章的标题具有误导性，我们没有被「破坏」

那篇文章的标题叫做「打破 Mimblewimble 的隐私模型」，但其实，Mimblewimble 的隐私权模型并未涵盖阻止交易输出被监视节点链接的问题。我们也希望解决这个问题，但现在还没有，除此之外没有其他要求。

结论

您所获得的隐私，永远不会超过匿名集的大小。

Grin 是一种最小化的加密货币，旨在保护隐私，可扩展且公平。Grin 并不完美，但却实现了与比特币同等的安全模型，默认情况下启用了更好的隐私性，需要保留的数据也更少。你无需进行受信设置，也无需支付开发税，ICO 或预挖矿即可完成所有这些工作。

但是，Grin 仍很年轻，还没有发挥出全部潜力。现在主网已经上线 11 个月了，但网络使用率较低。在最后的 1000 个区块中，有 22％的区块仅包含一个交易（而 30％的区块没有包含交易），这意味着这些交易的输入和输出是可链接的（尽管微不足道）。在网络使用率提高之前，这种情况不会改变，但这并不意味着发送方和接收方的身份会被泄露。

协作可帮助改善隐私研究

作为 Grin 的贡献者，我们很高兴看到人们对该项目产生了兴趣。对 Grin 的协议和代码库进行科学分析和审查，也是我们在社区中欢迎大家参与的事情。但同时，我们也希望协作具有一定的严谨性。实际上，如果我们被要求，我们甚至可以为这种科学分析和审查提供帮助。

该论文的作者让 Haseeb，Oleg，Elena，Mohammed 和 Nader 审查了他们的工作，但是不幸的是，他们没有利用 Grin 社区中的人做同样的审查工作，并就他们所发布的文章给予（友好的）反馈。在一条推文中，这篇文章的作者如此写道：

「重要的是，我非常尊重 Grin 社区和核心开发人员，他们在回答我的问题方面都提供了极大的帮助。」

听起来好像是他们在本文中与我们取得过联系，但是在我们的 Gitter 频道或 Keybase 中，并没有任何有关与该作者协作的记录，也许我们错过了一次进行高质量研究的机会。