Nhà nghiên cứu Ivan Bogatyy phát hiện lỗ hổng nghiêm trọng của Mimblewimble, có khả năng xóa 96% giao dịch Grin

Updated: 20/11/2019 at 6:00

Công nghệ bảo mật Mimblewimble được các loại tiền điện tử như Beam và Grin sử dụng đã bị phá vỡ. Đó là tuyên bố của nhà nghiên cứu Ivan Bogatyy thông qua một báo cáo do chính anh công bố. Trong đó, anh phát hiện cách để có thể xóa 96% tất cả các giao dịch Grin chỉ bằng cách chạy một node với chi phí khoảng 60 đô la. Bogatyy khẳng định lỗ hổng này cực kỳ nguy hiểm, có thể phá hỏng Mimblewimble một cách hiệu quả.

nha-nghien-cuu-pha-hong-mimblewimble-de-anonymizing-96-giao-dich-grin

Ivan Bogatyy (trái)

Mimblewimble có những ‘thiếu sót cơ bản’

Ivan Bogatyy xóa phần lớn tất cả các giao dịch Grin truyền đến node của mình trong một thử nghiệm vì anh tin rằng “Mimblewimble không còn được coi là lựa chọn thay thế cho Zcash hay Monero khi nói đến quyền riêng tư”. Điểm yếu làm xáo trộn tất cả các giao dịch theo mặc định của công nghệ Mimblewimble từ lâu chỉ được lý thuyết hóa. Giờ đây, Bogatyy tuyên bố đã chứng minh được điều này, khiến anh cho rằng không nên tin tưởng vào “Mimblewimble vì khả năng bảo vệ quyền riêng tư mạnh mẽ”.

Mặc dù cuộc tấn công không tiết lộ số tiền đang được gửi đi, nhưng nó tiết lộ địa chỉ gửi và nhận, khiến Mimblewimble trở nên lỗi thời nếu không có bản vá. Hơn nữa, Bogatyy đã chạy nhiều node và có thể đạt tỷ lệ thành công thậm chí cao hơn 96% mà anh đã nói.

Cách thức hoạt động của cuộc tấn công

Các loại tiền điện tử như Grin và Beam sử dụng một số kỹ thuật bảo mật như Coinjoin, nơi tất cả các giao dịch được thêm vào. Trước khi được thêm vào một khối mới, nội dung không thể được xây dựng lại ở giai đoạn này để xác định nguồn gốc của đầu vào và đầu ra. Giải pháp của Bogatyy là tấn công các giao dịch khi chúng đang được truyền tới Coinjoin để trộn lẫn. Anh giải thích:

“Bởi vì các giao dịch liên tục được tạo và truyền đi từ các địa điểm riêng biệt nên nếu bạn chạy một node sniffer tiếp nhận tất cả các giao dịch trước khi tập hợp cắt ngang kết thúc thì quay trở lại CoinJoin là hoàn toàn bình thường. Bất kỳ node sniffer nào cũng có thể chỉ quan sát mạng và ghi nhận các giao dịch ban đầu trước khi chúng được tổng hợp”.

Các nhà phát triển Grin đã nhận thức được vectơ tấn công này khi xây dựng tiền điện tử và thực hiện các biện pháp ngăn chặn thông qua việc sử dụng công cụ bảo mật bổ sung như Dandelion. Công nghệ này che giấu địa chỉ IP của các giao dịch viên và ngăn chặn các node sniffer cố gắng nghe lén hoạt động mạng. Nhưng vì các giao dịch Dandelion được các node nhận tự động tổng hợp trước khi vào Coinjoin nên Bogatyy đã tìm ra cách chặn chúng ở giai đoạn đầu này và liên kết với người gửi ban đầu.

Thông qua việc tăng số lượng các mạng ngang hàng kết nối với node của mình (mặc định là 8 node), nhà nghiên cứu có thể tăng quyền truy cập, cho phép anh ta đạt được trạng thái siêu node. Điều này tạo ra cơ hội giám sát các giao dịch Dandelion chưa từng có và khả năng phân tách chúng trước khi tiếp cận Coinjoin. Bogatyy đã liên kết 96% giao dịch trong khi kết nối với 200 mạng ngang hàng trong số 3,000 mạng. Đồng thời, anh cũng chỉ ra rằng để kết nối dễ dàng với tất cả 3,000 node thì phải chi nhiều hơn cho cuộc tấn công. Cụ thể:

“Cuộc tấn công tương tự được thực hiện bằng cách khởi chạy 3000 node riêng biệt với các IP duy nhất, mỗi node chỉ được kết nối với một mạng ngang hàng. Chừng nào tôi còn có thể theo dõi tất cả dữ liệu giao dịch và đưa nó vào cơ sở dữ liệu trung tâm thì các cuộc tấn công đều vận hành như nhau”.

Nhà phát triển David Burkett của Grin đã ca ngợi chất lượng nghiên cứu trong báo cáo của Bogatyy và nói thêm:

“Không có gì trong những kết quả này là mới lạ. Tôi thực sự ngạc nhiên khi chỉ có thể truy nguyên 96%. Có một số cách phá vỡ tính liên kết trong Grin, nhưng không có cách nào được triển khai và phát hành. Như tôi vẫn thường nói, đừng sử dụng Grin nếu bạn yêu cầu quyền riêng tư vì nó vẫn chưa có khả năng đó”.

Giải pháp cứu cánh cho Grin

Mặc dù có rất nhiều điều đáng lo ngại cho Grin và các coin Mimblewimble khác nhưng báo cáo của Bogatyy cho chúng ta cái nhìn lạc quan hơn. Anh chỉ ra những ưu điểm vốn có của Grin, chẳng hạn như khả năng che giấu số tiền giao dịch, mặc dù điều này làm khó chịu những người dùng đang dựa vào Mimblewimble để che giấu các tuyến giao dịch. Nhà nghiên cứu cho rằng Mimblewimble có thể được kết hợp với một giao thức bảo mật khác để che giấu hoàn toàn biểu đồ giao dịch, nhưng đó sẽ là một cam kết khó thực hiện và không khả thi tại thời điểm hiện tại. Lời đề nghị này đã được Charlie Lee lặp lại vì dự án Litecoin của anh đang muốn giới thiệu Mimblewimble thông qua quan hệ hợp tác với Beam.

nha-nghien-cuu-pha-hong-mimblewimble-de-anonymizing-96-giao-dich-grin

Nguồn: Coinmarketcap

Bogatyy kết luận “rõ ràng Mimblewimble không đủ mạnh để mang lại quyền riêng tư mạnh mẽ”. Vào hôm qua, Grin đã giảm 10% kể từ khi báo cáo được công bố và Beam giảm 6%. Một điều an ủi nhỏ cho các nhà phát triển Grin là kế hoạch khai thác đã đến đúng lúc: dự án vừa nhận được một khoản đóng góp 50 BTC để tài trợ cho quá trình phát triển của công ty. Nhờ vào khoản bảo hộ trị giá 420,000 đô la này, Grin sẽ có phương tiện để chiến đấu cùng với hy vọng tạo ra một giải pháp.

Thùy Trang

Tạp chí Bitcoin | News Bitcoin

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Thị trường crypto đang trải qua giai đoạn đầy biến động, khi dòng vốn ngắn hạn liên tục xoay vòng, còn tâm lý nhà đầu tư vẫn bị chi phối bởi cả tin tức vĩ mô lẫn sự thay đổi nhanh chóng trong công nghệ blockchain. Trong bối cảnh đó,... ...

Aave vừa ghi nhận tổng giá trị khóa (TVL) cao nhất lịch sử ở mức 41,1 tỷ USD vào ngày 24/8, đưa giao thức cho vay phi tập trung này tương đương ngân hàng thương mại lớn thứ 54 tại Mỹ nếu so với tổng tiền gửi theo dữ liệu... ...

Các cố vấn đầu tư đã thúc đẩy mức độ tiếp cận Bitcoin của các tổ chức thông qua quỹ ETF lên 33,6 tỷ USD trong quý II/2025. Dữ liệu do nhà phân tích ETF của Bloomberg, James Seyffart, công bố ngày 25/8 cho thấy các tổ chức đã bổ... ...

Ethereum (ETH) vừa lập đỉnh mới trong ngày hôm qua, lần đầu tiên vượt mốc $4.900. Trong khi Bitcoin (BTC) tạm chững lại, ETH đang chiếm trọn tâm điểm với đà tăng mạnh mẽ. Số lượng ETH trên sàn giao dịch ngày càng giảm, cùng với dự báo về khả... ...

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) vừa thông báo về việc hoãn quyết định liên quan đến quỹ ETF PENGU giao ngay của Canary và quỹ ETF Cardano giao ngay của Grayscale. Đây là một sự tạm dừng đáng chú ý trong quy trình phê duyệt... ...

Trong ba ngày liên tiếp, Pump.fun (PUMP) lao dốc không phanh, và những tín hiệu hiện tại cho thấy đà suy giảm vẫn chưa có dấu hiệu dừng lại. Tâm lý thị trường u ám, doanh thu sụt giảm cùng áp lực chung từ toàn bộ thị trường đang tạo... ...

Thị trường crypto đã giảm gần 4% trong ngày thứ Hai (25/8), làm dấy lên lo ngại về làn sóng unstaking Ethereum (ETH) đang gia tăng. Dữ liệu on-chain cho thấy có tới 1,18 triệu ETH đang trong hàng chờ rút, mức tồn đọng lớn nhất trong nhiều tháng qua.... ...

Bitcoin (BTC) đã nhanh chóng rơi khỏi mức ATH $124.000, khiến tâm lý thị trường bị chia rẽ giữa lo ngại và kỳ vọng. Nhóm nhà đầu tư nhỏ lẻ tiếp tục tích luỹ, trong khi ví lớn lại xả hàng, tạo thế giằng co quanh vùng $105.000. Vào thời... ...

Solana (SOL) đã bứt phá 14,65% trong tháng này, qua đó lấy lại cột mốc vốn hóa 100 tỷ USD từng đánh mất hồi đầu năm. Tính từ vùng giá 172 USD, SOL đã bổ sung thêm gần 10 tỷ USD vào giá trị thị trường. Ở chiều ngược lại,... ...

Blockchain Tron đã duy trì vị thế dẫn đầu trong các giao dịch stablecoin vào năm 2025, với khối lượng giao dịch USDT hàng ngày đạt 23,5 tỷ USD tính đến ngày 24 tháng 8. Con số này giúp Tron vượt qua Ethereum với 20 tỷ USD. Những con số... ...

Xem thêm bài viết

Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode