Falha grave de privacidade é descoberta no protocolo Mimblewimble

Mimblewimble é um protocolo de privacidade relativamente leve para uma rede blockchain, apresentado ao mundo em 2016 por um hacker desconhecido utilizando o pseudônimo de Tom Elvis Jedusor.

Projetos como Grin e BEAM estão debruçados sobre este protocolo, com outras criptomoedas – inclusive a Litecoin – considerando a implementação deste protocolo em suas redes. Muito se discutiu sobre possíveis falhas de privacidade neste protocolo, até que o usuário Ivan Bogatyy publicou no Medium um método de descobrir os endereços protegidos pela Mimblewimble com uma taxa de sucesso de 96%.

A publicação, feita no dia 18 de novembro, explica que o ataque simulado não permite verificar as quantidades transacionadas. Com o ataque apresentado, é possível identificar quem enviou e recebeu as quantias, permitindo criar um fluxo de pagamento. Bogatyy exemplifica como isso é grave:

“Digamos que um governo autoritário sabe que certo endereço pertence a um dissidente político. Você envia a esse dissidente uma pequena doação. Mais tarde, quando você envia sua transferência por meio do Mimblewimble para a exchange local, a plataforma compartilha seus dados transacionais com o governo. Tendo em vista que o governo teve acesso ao gráfico de transações, ele agora sabe que você apoiou um dissidente político.”

De acordo com Bogatyy, o ataque realizado não seria possível na rede Zcash, por conta de seu elevado grau de anonimato – pois todas as transações protegidas se misturam em um mesmo grupo. Já no caso do protocolo Mimblewimble, apenas as transações do bloco são agrupadas, fazendo com que seja possível identificar qual endereço foi responsável pelo envio.

A identificação ocorre da seguinte forma: imagine que todas as transações são agregadas como se as informações fossem jogadas em um balde. Uma vez misturadas no balde, não é possível identificar os endereços envolvidos nas transações exatas. Contudo, no protocolo Mimblewimble, isso é feito uma transação de cada vez. Desta forma, se um nó está espionando a rede, é possível cruzar as informações quando os endereços forem adicionados ao balde.

Usando essa técnica, que incluiu utilizar os serviços da Amazon Web Services para criar os nós e verificar as transações antes que elas fossem misturadas, Bogatyy conseguiu descobrir quem eram as partes em 96% das transações. Segundo ele, caso tivesse gasto mais do que US$60 por semana, ele teria facilmente 100% de aproveitamento.

Segundo o autor do estudo, isso não quer dizer que a rede Mimblewimble é inútil, uma vez que é possível utilizar o protocolo para ofuscar a quantidade transacionada. Em conjunto com outra solução, a Mimblewimble pode se provar muito poderosa. Porém, por si só, a Mimblewimble se revelou uma opção de privacidade relativamente fraca.

Leia também: Beam anuncia planos para incorporar Lightning Network à tecnologia Mimblewimble

Forex Crypto News: Cripto Facil