Ivan Bogatyy de Dragonfly Research dice que pudo usar tan poco como $ 60 por semana en Amazon Web Services (AWS) para exponer una vulnerabilidad crítica en la arquitectura de privacidad de Mimblewimble (MW). Esta falla en el protocolo MW puede afectar la aspiración de la red de ser una alternativa viable a otras blockchains centradas en la privacidad como ZCash y Monero.
Falla masiva de Mimblewimble descubierta
En una publicación de Medium publicada el lunes (18 de noviembre de 2019), Bogatty reveló que pudo exponer las direcciones participantes en el 96% de las transacciones de Grin en MW. Según Bogatyy, esta explotación del protocolo MW solo cuesta $ 60 por semana en AWS, la plataforma de computación en la nube de Amazon.
Acabo de publicar un nuevo ataque que rompe el modelo de privacidad de Mimblewimble. Este ataque rastrea el 96% de todas las direcciones de remitentes y destinatarios en tiempo real. Aquí hay un resumen y lo que significa para el futuro de las monedas de privacidad: https: //t.co/tsIDLyfpzp
– Ivan Bogatyy (@IvanBogatyy) 18 de noviembre de 2019
Un extracto de la publicación de Bogatyy que muestra la gravedad del problema y la facilidad con que los atacantes pueden explotar las lecturas de vulnerabilidad:
En mi ataque, pude vincular el 96% de todas las transacciones mientras solo me conectaba a 200 pares del total de 3000 pares en la red de Grin. Pero si quisiera gastar un poco más de dinero, podría conectarme fácilmente a 3000 nodos para desagregar casi todas las transacciones.
Por "desagregar", Bogatyy se refiere al proceso de evitar que las transacciones se acoplen en CoinJoin de MW, lo que garantiza el anonimato.
Mientras que otros criptos centrados en la privacidad usan UTXO señuelo o transacciones blindadas, MW logra el anonimato por medio de CoinJoins masivos. Cada CoinJoin es una amalgama de múltiples transacciones en un solo bloque para crear el "conjunto de anonimato".
¿Sigue siendo una alternativa viable a ZEC y XMR?
Bogatyy comentó que la vulnerabilidad era conocida por los desarrolladores de MW. Sin embargo, sus hallazgos prueban que requiere poco desembolso de capital para explotar la debilidad en la arquitectura de privacidad de MW.
Para Bogatyy, la presencia y la facilidad con que los atacantes pueden aprovechar la vulnerabilidad también hace que MW sea una alternativa pobre a los gustos de Zcash (ZEC) y Monero (XMR). De acuerdo con Bogatyy:
El problema es inherente a Mimblewimble, y no creo que haya una manera de solucionarlo. Esto significa que Mimblewimble ya no debería considerarse una alternativa viable a Zcash o Monero en lo que respecta a la privacidad.
La presencia de esta vulnerabilidad también puede afectar la integración MW propuesta de Litecoin. A principios de 2019, la Fundación Litecoin anunció que estaba buscando incorporar bloques de extensión en Litecoin para garantizar la privacidad y el anonimato.
¿Qué piensa sobre la vulnerabilidad expuesta en la arquitectura de privacidad de Mimblewimble? Háganos saber en los comentarios a continuación.
Imágenes a través de Twitter @IvanBogatyy.
