Estudio pone en duda privacidad de criptomonedas que usan el protocolo MimbleWimble

Iván Bogatty, experto de la empresa de investigación del ecosistema de las cadenas de bloques, Dragonfly Research, publicó este 18 de noviembre, un modelo de ataque, dirigido a Grin y Beam, las dos principales criptomonedas que utilizan el protocolo enfocado en la privacidad MimbleWimble (MW). El proceso solo le costó USD 60 por semana para pagar los servicios web de Amazon.

Bogatyy, en su publicación en Medium, detalló que probó un tipo de ataque informático capaz de romper parte del anonimato en el que se basa MimbleWimble, el cual permite rastrear, en tiempo real, remitentes y destinatarios del 96% de las transacciones realizadas en la cadena de bloques de la criptomoneda Grin. Esto se puede realizar con la ayuda de «nodos espías» que transfieren operaciones de otros usuarios. El investigador añadió que el problema no tiene solución, y que MW no puede verse como una iniciativa comparable con Zcash o Monero cuando se trata de privacidad.

Según Bogatty, su verificación no permitió determinar la cantidad exacta de las transacciones, ya que MimbleWimble oculta estas cantidades mediante criptografía basada en curvas elípticas. Sin embargo, las pruebas permitieron identificar remitentes y receptores de pagos, encontrar relaciones en cadenas de operaciones y restablecer el flujo de abonos.

“Digamos que Coinbase sabe que cierta dirección pertenece a un individuo venezolano llamado Daniel. Usted, un usuario estadounidense, intenta cobrar en Coinbase. Pero después de desofuscar el gráfico de transacciones, Coinbase determina que recibió dinero de Daniel, aunque no saben cuánto recibió. Debido a las restricciones de la OFAC en Venezuela, Coinbase cierra su cuenta. (Naturalmente, los intercambios sabrán mucho sobre el gráfico de transacciones porque tienen información de KYC sobre los usuarios que cobran en efectivo)”.

Iván Bogatty, investigador de Dragonfly Research.

El protocolo MW utiliza dos técnicas principales para evitar normalmente la vinculación de transacciones: la agregación por división de bloques completa y Dandelion. Para eludir la primera de las dos protecciones, y tener éxito en el seguimiento de la vinculación del 96% de las operaciones, Bogatyy explicó que comenzó creando un supernodo en la red Grin, para conectarse a otros 200 nodos de los 3000 que tiene actualmente la red. Así fue como pudo relacionar una gran mayoría de las transacciones a través de su «nodo trampa», el cual intercepta las transacciones, incluso antes de que se mezclen de acuerdo con las reglas del protocolo de las criptomonedas basadas en MimbleWimble, y puede identificar a las partes y luego seguirlas.

El investigador añade que el problema no tiene solución, y al mismo tiempo considera que MW no puede verse como una iniciativa comparable con las criptomonedas Zcash y Monero cuando se trata de privacidad, porque usan diferentes modelos de anonimato. Por ejemplo, Zcash proporciona el nivel máximo, incluye todas las transacciones en el bloque de una manera anónima. Por su parte, Monero utiliza operaciones falsas y el usuario selecciona el número de señuelos en el rango de 10 a 25. Por ello, según el experto, el protocolo MimbleWimble por sí solo no es suficiente para garantizar la confidencialidad, y el uso de tecnologías complementarias es necesario.

La privacidad en debate

Aunque el contenido del informe podría generar preocupación, en realidad el equipo de desarrollo de Grin reaccionó a la advertencia de Bogartty, señalando que se trata de algo que conocen. Incluso, el creador de Litecoin, Charlie Lee, proporcionó una posible solución. Lee ha estado defendiendo a su socio en Twitter, pues había anunciado una colaboración con Mimblewimble en febrero pasado, ya que Litecoin se ha centrado en la privacidad.

“Esta limitación del protocolo MimbleWimble es bien conocida. MW es básicamente Transacciones confidenciales con beneficios de escala y ligera desvinculación. Para obtener una privacidad mucho mejor, aún puede usar CoinJoin antes de transmitir y CJ funciona muy bien con MW debido a CT y agregación”.

Charlie Lee, creador de Litecoin.

This limitation of MimbleWimble protocol is well known. MW is basically Confidential Transactions with scaling benefits and slight unlinkability. To get much better privacy, you can still use CoinJoin before broadcasting and CJ works really well with MW due to CT and aggregation. https://t.co/M5sx92nzlZ

— Charlie Lee Ⓜ️🕸️ (@SatoshiLite) November 18, 2019

La publicación de Bogartty ha provocado un debate intenso sobre los desafíos que enfrentan los desarrolladores de criptomonedas a medida que se esfuerzan por realizar cambios en las modelos existentes o implementar nuevas tecnologías para superar los proyectos más antiguos.

Quentin Le Sceller, un desarrollador principal de Grin, agradeció a Bogartty por su publicación, tras reconocer que el equipo estaba en conocimiento de la vulnerabilidad y linkeó el repositorio en el cual fue formalizado el planteamiento del problema y abierto el proceso de investigación.

Thanks for the article! To be honest, we knew about this "new" vulnerability since the very beginning of Grin https://t.co/IoJROucqwK. Recently formalized as an Open Research Problem https://t.co/yKJ8h3CX1x. We are working on it.

— Quentin Le Sceller (@qlesceller) November 18, 2019

Pese a la neutral reacción del equipo de WM, Emin Gün Sirer, CEO de Ava Labs, quien creó la plataforma de servicios descentralizados Ava, calificó el informe de Bogartty como un aporte excelente: “con el descubrimiento de Ivan, Grin y Beam ya no son monedas de privacidad. También tienen otros inconvenientes (por ejemplo, deben estar en línea para recibir pagos, alta inflación) en comparación con monedas no privadas como Bitcoin”.

Excellent attack on the MimbleWimble protocol. https://t.co/xaw9s84g6R

— Emin Gün Sirer🔺 (@el33th4xor) November 18, 2019

Por su parte el desarrollador de Bitcoin Udi Wertheimer hizo una observación en torno a la reacción de los equipos de las criptomonedas basadas en el protocolo Mimblewimble: «Seguro. Las personas que conocen mimblewimble lo sabían íntimamente y lo mencionaron mucho “, comenta. «Pero aun así, nadie lo ejecutó para mostrar empíricamente cuán efectivo es, lo que significa que la mayoría de la gente todavía no lo sabía. […] El hecho es que la mayoría de la gente todavía pensaba que ofrece propiedades de privacidad únicas”.

If you care about mimblewimble you should be happy that research like this, even if not strictly innovative, helps people understand it better.

Different people need different types of explanations to “get” things.

— Udi | BIP-420 🐱 (@udiWertheimer) November 18, 2019

Uniéndose a la discusión, Vitalik Buterin, cofundador de Ethereum, apoya la idea de una seguridad robusta a través de un método llamado «pruebas de conocimiento cero no interactivas» que se utiliza en criptomonedas como ZCash.

“Si su modelo de privacidad tiene un conjunto de anonimato medio, realmente tiene un pequeño conjunto de anonimato. Si su modelo de privacidad tiene un pequeño conjunto de anonimato, tiene un conjunto de anonimato de 1. Solo los conjuntos de anonimato global (p. Ej., Como se hace con ZK-SNARK) son realmente seguros de forma sólida “.

Vitalik Buterin, cofundador de Ethereum.

Beam se manifiesta invulnerable

El equipo de Beam salió al paso de la publicación de Bogatyy que según comenta sacó a relucir un problema que ya lograron mitigar. Añaden que el sistema presentado por el investigador no construye un gráfico de transacciones, sino que demuestra que puede ser posible construirlo. Sin embargo, consideran que hay un largo camino desde la búsqueda de entradas y salidas vinculadas hasta la construcción del gráfico de transacción real para establecer un vínculo entre pares específicos. También manifiestan que el ataque tampoco revela ninguna identidad de usuario, como la dirección IP, ni las cantidades negociadas.

La publicación del equipo de Beam explica que el planteamiento de Bogatyy funcionó con Grin porque esta red no está saturada y no hay suficientes transacciones para fusionarse en la fase raíz del protocolo Dandelion. Añade que a medida que crezca el uso de la red, el anonimato mejorará.

El equipo de Beam señala que si bien la criptomoneda se basa en el mismo protocolo de Mimblewimble, la implementación de Danamion tiene una mejora de la privacidad sobre la de Grin.

“Ya en septiembre de 2018, Valdo publicó un documento técnico sobre la vinculación de transacciones y cómo Beam lo está abordando. El documento describe el concepto de señuelo (también conocido como Dummy) UTXO. Tenga en cuenta que la función se implementó en Beam antes del lanzamiento de mainnet y el mecanismo se discutió con los desarrolladores de Grin, que decidieron no implementarlo”.

Equipo de Beam.

Tal como explica la publicación los nodos de Beam verifican si las transacciones fusionadas bajo el modelo Dandelion, tienen al menos 5 salidas, de lo contrario, agrega señuelos asegurándose de que el número de salidas sea al menos 5. Además cada bloque de Beam tiene al menos 2 núcleos (es decir, bloques que tienen al menos una transacción que no es solo coinbase) tiene al menos 7 salidas (coinbase, tarifa, beneficiario, 4 dummies ). Cada una de las salidas ficticias tiene un valor de cero, pero es completamente indistinguible de las salidas regulares: todas las salidas parecen números aleatorios.

En una etapa posterior (una altura de bloque elegida al azar para cada salida), el nodo agrega UTXO ficticios como entradas a una transacción aleatoria, probablemente perteneciente a un usuario diferente, gastándolos y eliminándolos de la cadena de bloques, pero también creando una relación entre usuarios que de hecho no están relacionados. De ahí el nombre de «señuelos». De esa manera, debido a las salidas ficticias, tales transacciones de un solo núcleo no serán útiles para descubrir el gráfico de transacciones, de acuerdo a lo apuntado en la nota.