Un chercheur menace 96% des transactions GRIN !

Le protocole MimbleWimble et les deux principales cryptomonnaies qui l’utilisent, GRIN et BEAM, ont fait grand bruit en début d’année 2019. Une des principales caractéristiques de ce protocole concernait notamment sa protection annoncée de la vie privée, mais une étude récente vient remettre en cause au moins une partie de cet anonymat.

Un super-nœud pour les relier tous

C’est par un tweet ce 18 novembre que Ivan Bogatyy, chercheur chez Dragonfly Research, a présenté un modèle d’attaque visant une des fonctions d’anonymisation de GRIN. Il explique ainsi avoir testé un type d’attaque informatique capable de briser une partie du modèle de confidentialité de Mimblewimble. Selon lui :

« (…) Cette attaque permet de tracer 96% des transactions, suivant toutes les adresses d’expéditeur et de destinataire en temps réel ».

I just published a new attack that breaks Mimblewimble's privacy model. This attack traces 96% of all sender and recipient addresses in real time. Here's a summary and what it means for the future of privacy coins:https://t.co/tsIDLyfpzp

— Ivan Bogatyy (@IvanBogatyy) November 18, 2019

Dans son étude, Ivan Bogatyy explique que cette attaque permet de déterminer qui a payé qui, en reliant les transactions entre elles.

Sans rentrer dans le détail, rappelons que Mimblewimble utilise deux techniques principales pour empêcher normalement cette mise en relation des transactions : l’agrégation des transactions par découpage en bloc complet, et Dandelion.

Pour contourner la première de ces deux protections, et réussir à tracer 96% des transactions pour les relier entre elles, Ivan Bogatyy commence par créer un « supernode » (super-nœud) sur le réseau GRIN, afin de se connecter à 200 autres nœuds sur les 3000 que ce réseau compte actuellement. C’est ainsi qu’il a pu mettre en relation une très grande majorité des transactions passant par son “nœud-piège” : ce nœud intercepte alors les transactions en question avant même qu’elles soient mélangées selon les règles du protocole MimbleWimble, et peut ainsi identifier les parties prenantes à ces transactions pour ensuite les suivre.

Les Confidential Transactions protègent les montants transférés

Le type d’attaque présenté ci-dessus ne permet toutefois pas de déterminer les montants payés. Le protocole Mimblewimble réussit en effet à maintenir les sommes masquées, notamment grâce à ses Confidential Transactions (CT).

Importantly, this only attacks one aspect of MW’s privacy, and doesn’t affect CT’s hiding of transaction amounts. https://t.co/YyJAVrAUqu

— Riccardo Spagni (@fluffypony) November 18, 2019

En effet, comme l’a précisé l’un des principaux contributeurs de Monero, Riccardo Spagni, l’attaque contre ce type de cryptomonnaie n’est que partielle : s’il est possible d’identifier des patterns pouvant amener à reconnaître des groupes d’utilisateurs, il n’est pas possible de dépasser ce stade et de savoir précisément combien les co-contractants ont échangé.

Commentaire de l’équipe de Beam

De plus, il convient de noter qu’à priori cette attaque ne concerne pas l’implémentation concurrente BEAM : contacté par l’équipe du Journal du Coin, Beni Issembert – directeur marketing chez Beam – a tenu à préciser que cette problématique était en réalité “liée à l’approche choisie par Grin, et non pas à MimbleWimble empiriquement”, précisant que le réseau Beam avait été lancé “avec des additional decoy outpots qui sont ajoutées pendant la phase dite de Dandelion”. En résumé, comme les transactions sont diffusées au réseau entier en pair-à-pair et de proche-en-proche selon la méthode dite Dandelion, le réseau Beam serait en ce qui le concerne protégé contre ce type d’attaque de désanonymisation.

Réponse de l’équipe de GRIN

Les développeurs de GRIN n’ont pas tardé à contredire les résultats de cette étude dans une publication. Ils rappellent ainsi qu’il n’y a pas d’adresses à proprement parler dans le protocole MimbleWimble, comme celles d’un wallet Bitcoin par exemple. De même, le chiffre de 96% de surveillance serait exagéré : si l’auteur de la recherche peut collecter autant de transactions, il n’est pas dit qu’il puisse déterminer pour toutes d’où elles viennent, ni vers qui. De plus, cette “faille”, ou plutôt faiblesse, est connue de l’équipe de développement et ne remet pas en cause le bon fonctionnement du protocole​.

La recherche d’Ivan Bogatyy se conclut en précisant que des cryptomonnaies comme Zcash (ZEC) ou Monero (XMR) seraient plus solides que GRIN​ en ce qui concerne la protection de la vie privée. Une position sans doute discutable, quand on se rappelle que chacune de ces cryptomonnaies a déjà par le passé eu à s’adapter à de telles attaques de désanonymisation.