仮想通貨にも採用「MimbleWimble」の匿名性に欠陥か、対応策も

ソフトウェア研究者が仮想通貨GRINへの攻撃で証明

プライバシー強化とスケーラビリティ改善機能で注目を集めるプロトコル「ミンブルウィンブル（MW）」の匿名性モデルには根本的な欠陥があると元グーグルのソフトウェアエンジニアが指摘し、MWを実装した仮想通貨GRINのトランザクションアドレスを正確に発見して見せることで証明した。

Mimble Wimbleは仮想通貨の取引の際に送信者・受信者のアドレス、取引額の情報が公開されないようにする匿名化技術の一つであり、2016年にTom Elvis Jedusor（仮名）というハッカーが生み出した基本設計にBlockstream研究者のAndrew Poelstra氏が改善を加えて開発された。その後プライバシーコインとして知られるGRINやBEAMに実装されライトコインへの導入も正式に提案されるなど、有望な可能性を持つプロトコルとしての認識が高まっている。

関連：リクルートが匿名仮想通貨プロジェクトBeamへ出資｜匿名技術MimbleWimbleとは

一方でMWにはプライバシーの面で脆弱性を持つ可能性が複数の研究者より指摘されているため、その証明を行うことを目的にコンピュータ科学者であるIvan Bogatyy氏はGRINを用いて実証実験を行った。同氏は現在米国に拠点を置く仮想通貨ベンチャーファンド「Dragonfly Capital Partners」の研究者で、グーグルでソフトウェア開発者として研究開発に携わった経歴も持つ。

Bogatyy氏によれば、アマゾンウェブサービスを週60ドルで利用しGRINの96％のトランザクション送受信者の正確なアドレスをリアルタイムに追跡することができたという。同氏は「この問題はMW固有のもので修正する方法はなく、プライバシー重視の仮想通貨であるZcashやMoneroに代わる手段として見なされるべきではない」と主張している。

Bogatyy氏はこの実験の目的はGRINを貶めることではないと強調した。確かにZcashやMoneroに比べて送受信者に対する匿名性は劣るが、トランザクションの金額については暗号化されるためビットコイン等の非プライバシーコインよりは匿名性が高まると説明している。

また、MWは重複するトランザクション情報を取り除きブロックデータを削減するカットスルーと呼ばれる機能を持っているため、スケーラビリティの面では依然ととして有望な技術であり「ユニークで価値ある特性」を備えているとBogatyy氏は補足している。

Bogatyy氏は、ビットコイン誕生から11年経つが仮想通貨はまだ初期段階であり、ZcashやMoneroにしろ致命的なバグが発見され、改良が重ねられてきた経緯があることに触れている。そしてこのような状況は十分予期されるものであり、最も興味深い技術は未だ、基礎科学の領域にあるとして次のように述べている。

対応策も

Bogatyy氏は報告内で、MWのみでは強力なプライバシーを提供することは望めないものの「Ethereum9¾」等の別のプロトコルと組み合わせることで匿名性を高めることも可能だと述べている。

Litecoinの開発者であるCharlie Lee氏はこの報告に対し「Mimble Wimbleのこの制限は良く知られたものである」と反応し、具体的な解決策も提案した。

This limitation of MimbleWimble protocol is well known. MW is basically Confidential Transactions with scaling benefits and slight unlinkability. To get much better privacy, you can still use CoinJoin before broadcasting and CJ works really well with MW due to CT and aggregation. https://t.co/M5sx92nzlZ

— Charlie Lee [LTC⚡] (@SatoshiLite) November 18, 2019

Lee氏は解決策としてCoinJoinという技術の併用を提案している。CoinJoinとは複数のトランザクションをいったんまとめてからそれぞれの送信先に再分配することで送信者と受信者の紐付けを断つ、匿名性を高める技術である。

関連：ビットコインのプライバシーはなぜ議論されるのか？その手法について検証｜BTCプライバシー編

参考：Breaking Mimblewimble’s Privacy Model