ایراد اساسی در تراکنش‌های ناشناس میمبل ویمبل با حمله به شبکه گرین کشف شد

ایوان بوگاتای (Ivan Bogatyy)، از موسسه تحقیقاتی دراگون فلای (Dragonfly) گفته است که توانسته با صرف تنها ۶۰ دلار در هفته در وب سرویس آمازون، یک آسیب پذیری اساسی در ساختار حریم خصوصی میمبل ویمبل (Mimblewilmble) کشف کند. این خلاء امنیتی احتمالا استفاده از این ساختار و برتری آن در بلاک‌چین‌هایی با محوریت حریم خصوصی را زیر سوال می‌برد.

به گزارش بیت کوینیست و بر اساس پست بوگاتای در وب‌سایت مدیوم که روز گذشته (۲۷ آبان) منتشر شد، او مدعی شده که به ۹۶ درصد تراکنش‌های گرین در میمبل ویمبل دسترسی داشته است. بر اساس گفته‌های بوگاتای، هزینه این کار تنها ۶۰ دلار به صورت هفتگی در وب سرویس آمازون بوده است. او می‌نویسد:

کمی قبل پستی در مورد رخنه امنیتی به مدل حریم خصوصی میمبل ویمبل منتشر کردم. این حمله رهگیری آنی ۹۶ درصد از آدرس‌های فرستنده و گیرنده را امکان‌پذیر است.

 به طور خلاصه می‌توان گفت چندین باگ امنیتی در خصوص این سیستم وجود دارد که مهاجمین می‌توانند با استفاده از آن به سیستم هجوم ببرند. در مقاله بوگاتای می‌خوانیم:

در حمله‌ام، توانستم به اطلاعات ۹۶ درصد تمام تراکنش‌ها دسترسی پیدا کنم و این در حالی بود که فقط به ۲۰۰ همتا (نود) از ۳,۰۰۰ همتای موجود وصل بودم. با این حال اگر تمایل داشتم تا پول بیشتری خرج کنم، می‌توانستم به تمام نودها وصل شده و تقریبا تمام تراکنش‌ها را جدا کنم.

منظور از جدا کردن تراکنش‌ها، روندی است که قابلیت کوین جوین در میمبل ویمبل را دور می‌زند و ارتباط بین فرستنده‌ها و گیرنده‌ها مشخص می‌شود. کوین جوین قابلیتی است که با استفاده از آن ورودی و خروجی فرستنده‌ها و گیرنده‌ها در هم ادغام می‌شود تا امکان شناسایی ارتباط بین آن‌ها از بین برود.

ارزهای دیجیتال پیگیر گریز معمولا از مدل خروجی تراکنش خرج نشده (UTXO) استفاده می‌کنند. در طرف دیگر میمبل ویمبل از کوین جوین گسترده برای ناشناس ماندن تراکنش‌ها بهره می‌برد. هر کوین جوین، از اجتماع چندین تراکنش در یک بلاک استفاده می‌کند و در نهایت موجب ناشناس ماندن تمامی آن‌ها می‌شود.

بوگاتای در ادامه افزود که توسعه دهندگان میمبل ویمبل از خلاء امنیتی موجود اطلاع دارند. با این حال یافته‌های او نشان داده است که با صرف هزینه بسیار کمی می‌توان به معماری حریم خصوصی محور میمبل ویمبل رخنه کرد.

به عقیده بوگاتای، سهولت در انجام حملات باعث شده تا میمبل ویمبل آسیب‌پذیری بیشتری نسبت به نمونه‌هایی مانند زی کش (Zcash) و مونرو (XMR) داشته باشد. او می‌نویسد:

این مشکل با ساختار میمبل ویمبل آمیخته است و فکر نمی‌کنم راهی برای حل آن باشد. این یعنی میمبل ویمبل نباید به عنوان جایگزین قابل اطمینانی برای مونرو و زی کش به حساب بیایند.

وجود چنین آسیب‌پذیری‌هایی می‌تواند در بکارگیری میمبل ویمبل در لایت کوین نیز تاثیرگذار باشد. بنیاد لایت کوین اوایل امسال اعلام کرد که به دنبال افزایش حریم خصوصی و ناشناس بودن تراکنش‌ها در شبکه خود است.