Ivan Bogatyy de Dragonfly Research dice que pudo usar tan poco como $ 60 por semana en Amazon Net Solutions (AWS) para exponer una vulnerabilidad crítica en la arquitectura de privacidad de Mimblewimble (MW). Esta falla en el protocolo MW puede afectar la aspiración de la crimson de ser una alternativa viable a otras cadenas de bloques centradas en la privacidad como ZCash y Monero.
Falla masiva de Mimblewimble descubierta
En una publicación de Medium publicada el lunes (18 de noviembre de 2019) Bogatty reveló que pudo exponer las direcciones participantes en el 96% de las transacciones de Grin en MW. Según Bogatyy, esta explotación del protocolo MW solo cuesta $ 60 por semana en AWS, la plataforma de computación en la nube de Amazon.
Acabo de publicar un nuevo ataque que rompe el modelo de privacidad de Mimblewimble. Este ataque rastrea el 96% de todas las direcciones de remitentes y destinatarios en tiempo real. Aquí hay un resumen y lo que significa para el futuro de las monedas de privacidad: https: //t.co/tsIDLyfpzp
– Ivan Bogatyy (@IvanBogatyy) 18 de noviembre de 2019
Un extracto de la publicación de Bogatyy que muestra la gravedad del El problema y la facilidad con la que los atacantes pueden explotar la vulnerabilidad se lee:
En mi ataque, pude vincular el 96% de todas las transacciones mientras solo me conectaba con 200 pares del whole de 3000 pares en la red de Grin. Pero si quisiera gastar un poco más de dinero, podría conectarme fácilmente a 3000 nodos para desagregar casi todas las transacciones.
Al “desagregar”, Bogatyy se refiere al proceso de evitar que las transacciones se acoplen en CoinJoin de MW, lo que garantiza el anonimato.
Mientras que otros criptos centrados en la privacidad utilizan UTXO señuelo o transacciones blindadas, MW logra el anonimato por medio de CoinJoins masivos. Cada CoinJoin es una amalgama de transacciones múltiples en un solo bloque para crear el “conjunto de anonimato”.
¿Aún una alternativa practical a ZEC y XMR?
Bogatyy comentó que la vulnerabilidad era conocida por los desarrolladores de MW. Sin embargo, sus hallazgos demuestran que se requiere un pequeño desembolso de money para explotar la debilidad en la arquitectura de privacidad de MW.
Para Bogatyy, la presencia y la facilidad con que los atacantes pueden aprovechar la vulnerabilidad también hace que MW sea una alternativa pobre a los gustos de Zcash (ZEC) y Monero (XMR). Según Bogatyy:
El problema es inherente a Mimblewimble, y no creo que haya una manera de solucionarlo. Esto significa que Mimblewimble ya no debería considerarse una alternativa viable a Zcash o Monero en lo que respecta a la privacidad.
La presencia de esta vulnerabilidad también puede afectar la integración MW propuesta de Litecoin. A principios de 2019, la Fundación Litecoin anunció que estaba buscando incorporar bloques de extensión en Litecoin para garantizar la privacidad y el anonimato.
¿Qué opinas sobre la vulnerabilidad expuesta en la arquitectura de privacidad de Mimblewimble? Háganos saber en los comentarios a continuación.
Imágenes a través de Twitter @IvanBogatyy.