即使是注重隐私的加密货币也可能泄漏你的秘密

• 加密货币通常并不像看起来那样私密 ……

在 “哈利波特” 的世界里，当您需要阻止某人泄露您的秘密时，会使用一个方便的咒语。叫做 Mimblewimble / 绑舌诅咒。它也是一种新的流行协议的名称。

最早在去年1月推出的使用 Mimblewimble 的加密货币 —— 称为 Grin 和 Beam。但是自那以后，关于这个独立协议的实际保密性的争论就爆发了，在一位独立研究人员演示了一种攻击形式之后，他说，这种攻击从根本上削弱了其隐私模式。

Mimblewimble 的拥护者说，有潜在的解决方法。但是 Mimblewimble 的局限性 —— 以及最近去年热议的关于 Zcash 和 Monero 中的漏洞 —— 提醒人们：在数字货币领域中确保隐私有多么困难。

• 《如何使用区块链追踪暗网服务交易》
• 《如何在区块链上追踪比特币交易？》

“私密的”

隐私货币是对人们意识到比特币根本不是私密的之后的一种反应。人们曾经普遍认为比特币是秘密的，但是，警察和强盗都在频繁证明人们想错了。

所有比特币交易数据都是公开的，并开放给所有人进行分析；将其与需要收集其客户个人数据的加密货币交易所提供的信息相结合，了解交易背后的人是非常容易的。就如上面两篇文章中的操作演示。

👉 这种做法已经成为一项大生意。联邦采购数据表明，美国联邦调查局和国土安全部等机构现在每年在加密货币监视软件上花费数百万美元，以帮助追踪交易背后的人真实身份。

• 谁在致力于开发这种监视工具？《监视区块链》
• 美国国土安全部（DHS）发布了 2019 财年的预先征集文件。在这个长达27页的文件中，该组织解释说，他们希望将资源用于创建可以监视数字资产流动的区块链取证应用程序。之前的努力已经解决了比特币追踪问题，现在该机构希望将监控工具用于加密货币，如 monero 和 zcash。

因此，暗网用户很大程度上已经转向了所谓的隐私货币，以期寻求安全。

“Keeping things anonymous and private is much, much harder than just getting the cryptographic aspects right.” —— FLORIAN TRAMER, STANFORD UNIVERSITY

事实证明这是一个艰巨的任务。以 Mimblewimble 为例，它通过将大量交易收集到一个难以理解的包中而获得了部分隐私。这使得窥探者更难解析特定的交易。

Grin 和 Beam 使用的另一个组件称为 Dandelion，能够确保在将交易广播给网络中的其他节点之前进行聚合。

但前 Google 工程师 Ivan Bogatyy 表示，该协议存在缺陷，因为攻击者可以建立一个侦听所有其他节点的节点。这样的 “超级节点” 几乎总是在聚合之前阻塞交易，并可以用来发现谁向谁付款。

卡内基梅隆大学教授 Giulia Fanti 说，这次袭击表明了 Mimblewimble 的一个已知局限性：“我认为对于普通用户来说，将比实际使用该技术的人更感觉惊讶。”

她补充说，问题的部分原因是哈利波特加密货币的使用量还不够。据推测，更多的交易将意味着更快的聚合，从而使超级节点更加难以找出特定的交易。

Fanti 指出，这一原则适用于许多匿名技术，这些技术通常依赖于在人群中隐藏自己。

Grin 开发者表示这类攻击 “没有那么可怕”。Grin 的开发团队称，他们很清楚 Mimblewimble 的隐私模型并没有解决这个问题，并一直致力于寻找解决方案。Beam 方面则表示，他们已经通过使用使聚合更有效的诱导性交易来缓解这个问题。

伊利诺伊大学教授 Zcash 基金会董事会成员 Andrew Miller 指出，不过，证明理论上的攻击是低成本且实际的仍然必要。“它改变了现状，这甚至不需要付出太多努力。这表明考虑到目前的网络规模，这个问题有多么普遍。”

旁道攻击

斯坦福大学密码学研究员 Florian Tramer 表示，作为一个相对较新的协议，Mimblewimble 还不能提供与 Zcash 和门罗相同的隐私保护。他补充道，[后者]它们存在的时间更长，依赖于经过实战检验的密码技术，如 环签名和零知识证明。

“在这个领域要解决的大问题是我们对隐私的期待来自不同的技术。”

即便如此，根据 Tramer 的说法，隐私问题仍然棘手。他最近揭示了一系列针对门罗和 Zcash 的攻击，这些攻击之所以引人注目，是因为它们甚至不需要使用复杂的密码学。

他说：“这是人们付出了大量努力的领域。但当你从更宏观的角度来看，看看这些系统是如何相互作用的，你就会意识到，保持事物的匿名性和私密性要比仅仅纠正密码方面的问题要困难得多。”

在这种情况下，Tramer 和他的同事们开发了 “旁道攻击”，这种攻击瞄准的是私人钱包和面向公众的网络之间的交互。因为交易的细节是加密的，所以钱包需要检查它看到的每一笔交易是否是与自己有关。

Tramer 的团队发现，钱包根据问题的答案执行不同的密码检查。对手方可以通过注意时机和行为上的细微差别了解到很多东西。

使用 Tramer 开发的技术，攻击者可以发现网络中任何匿名交易的收款人，并定位持有公共地址私钥的计算机的IP地址。

这些漏洞已经告知门罗和 Zcash，Tramer 说他很高兴看到两个团队很快就修复了这些漏洞。Monero 的修复方式相当简单，因为它的设计已经试图将钱包和网络分开；重叠实际上是一个必须填补的漏洞。

Zcash 有一个更棘手的问题，因为钱包和网络进程是相互连接的。这在一定程度上是网络的原生问题，包括在比特币的基础上添加隐私技术，而不是从零开始。这种攻击之所以成为可能，部分原因是由于在构建客户端时没有考虑到隐私和匿名性。

这是 Zcash 团队非常清楚的，Tramer 说。

这些问题都得到了解决，而且就目前而言，隐私币的匿名性仍远远超过比特币交易，后者很容易被监控，并可以在事后多年进行追踪。

Miller 说，社区将需要密切关注其他类型的旁道攻击，特别是如果目的与隐私币应用有关。例如，使用 Zcash、门罗或 Grin 为在线服务付费可能会带来新的问题，即：当你与应用程序交互时，会泄露哪些类型的信息。

“这是新型的攻击类型，但是我认为人们已经开始关注这个问题了。以隐私为中心的币种有着坚实的密码学基础。然而，要想保持低调，关键在于如何在实践中使用它们。” ⚪️

Even Privacy-Focused Cryptocurrency Can Spill Your Secrets