MimbleWimble

(190613) 최근 FlyClient 적용중. 아래 첫번째 페이지중 FlyClient 참고.

네트워크 및 data structure 중심으로 보았음(cut-through, pruning, dandelion)

MimbleWimble 특징 Cut-through and Pruning Cut-through Pruning Dandelion : 비트코인을 위한 네트워크 라우팅 제안 Problem(단순 gossip 프로토콜 사용시)Solution

MimbleWimble 특징

비트코인 익명성, 확장성을 위한 프로토콜

구현체 : Grin, Beam

단순지불에 적합한 구조

프라이버시 : 주소제거 및 거래 금액, 잔액 비공개

동형 특성 : 입출력값을 몰라도 잔액 정상 확인 가능

ECC(타원곡선암호)만 사용

→ 오랜시간 연구되어온 강력한 암호기술, 비교적안전함 (이산로그문제, 해시함수)

해시함수를 cryptographic commitments의 출력 생성에 사용

PoW에는 Cuckoo Cycle(Grin)과 Equihash(Beam)사용

private key 보유자만 commitments 출력 가능

트랜잭션 수를 공개하지 않고 잔액이 암호 commitments형태로 저장

암호 commitment 및 범위증명만 온체인에 저장

Coin join이 자동으로 되어 비대화 형식의 병합된 트랜잭션을 사용

트랜잭션 병합 (Cut-through) : 중간출력을 완전히 제거하고, 중간의 트랜잭션 기록은 트랜잭션 커널(transaction kernel)에 저장하여 데이터 확인 가능
트랜잭션 커널

트랜잭션 입력의 실제 소유권 증명
수학규직을 사용해 트랜잭션및 전체 체인의 유효성 검사

→ 어떤 입력이 어떤 트랜잭션에 있었는지 알수 없다.(익명성)

→ 고량의 대역폭 오버헤드 제거

→ 새로운 노드가 빠른 동기화가능

범위증명(range proof)

숫자를 밝히지 않고 그 숫자가 주어진 범위 안에 있는지 증명(음수값 문제 해결)

기밀거래 출력 중 가장큰 부분을 담당

화폐공급이 심각한 인플레이션을 겪지않도록함(음의값은 모든 트랜잭션마다 새로운 돈을 만들수 있다)

Scriptless scripts

유효성 검사를 하기위해 새 노드가 네트워크에 참여하도록 권장

Cut-through and Pruning

Cut-through

cut-through 되기 전의 블록은 입력과 출력만 나타낸 트랜잭션을 포함

x : 이전 블록의 출력값, I : 입력, O: 출력

3개의 트랜잭션이 포함되어있다. input이 output을 참조한다.

출력값이 이전 블록을 포함 - I1(x1)

포함된 입력값을 바로 사용하는 출력값도 있음 - I3(02)

모든 트랜잭션의 입출력값의 합은 0이여야함

cut-through 된 블록

트랜잭션 구조가 제거되고, 입출력값만 남음

입출력값의 순서는 중요하지 않음

모든 출력값에서 입력을 뺀값의 합은 여전히 0으로 보장

스테이트는 채굴에 의해서 만들어진 코인의 총량, 모든 UTXO, 각 트랜잭션의 트랜잭션 kernel으로 요약될수 있음

Pruning

이전 블록의 출력이 소비되면, 해당 블록에서 출력이 제거됨

Merkle Mountain Range(MMR)에서도 leaves를 제거함

MMR(merkle mountain ranges)

100,000개의 UTXO와 1,000만 개의 트랜잭션을 가정할때 ,

원장은 약 130GB

128GB의 tx data

1GB의 tx 증명 데이터

250MB의 block header

여기에 cut -through와 pruning이 적용되면,

원장은 약 1.8GB

1GB의 tx 증명데이터

520MB의 UTXO

250MB의 block header

Dandelion : 비트코인을 위한 네트워크 라우팅 제안

MW와 별개이나 Grin과 Beam에서 사용함

Problem(단순 gossip 프로토콜 사용시)

cut- throught 전에 transaction이 전파되어 mempool에 저장됨.

트랜잭션 추적이 가능하여 공격자 노드가 트랜잭션 그래프를 작성하고 보낸사람의 IP를 발견할수 있다.(deanonymization)

Existing Solutions

CoinShuffle

ValueShuffle

등이 있지만 완벽하지 않다.(관련없는 사용자를 찾아야함)

Solution

New

Dandelion lite

19/11/19 follow up

A. dandelion ++ : 트랜잭션 그래프 작성을 더욱 어렵게 만듬(난독화)

두 단계의 트랜잭션 전파 프로세스

stem phase

하나의 노드에 랜덤으로 broadcast, 또 random으로 다른 노드에보냄

모든 트랜잭션은 stem단계에서 시작하고, 각 노드는 사전 정의된 확률로 stem을 계속할지 fluff로 전환할지 독립적으로 결정한다.

2. fluff phase: 전체 네트워크에 broadcast(다시 gossip으로 돌아감)

만약 stem단계에서 트랜잭션이 오프라인된 노드로 전달되면, 일정 시간후 fluff단계에 도달하지 않을시, 더 넓은 네트워크로 자동으로 브로드캐스팅 됨.

→ 공격자 노드가 stem단계에서 트랜잭션 첫 릴레이를 수신할 확률을 낮추어 IP탐지를 어렵게 만든다.

B. MW에서는 stem단계에서 트랜잭션을 즉시 단일피어에 전달하는대신, 다른 트랜잭션과 병합하기를 기다릴수 있다.

공정한 노드는 유사한 수수료/크기 비율로만 병합해야한다.

→ 수수료/크기 비율과 상관없이 확산이 된다면 사용자가 수수료를 인상할 필요성을 느끼지 못하게 됨.

노드는 수수료를 도용할수 있다.(수수료없이 자신의 트랜잭션을 다른 트랜잭션에 병합)

→ 이를 방지할 방법은 없으나 사용자가 이러한 노드를 발견하고 금지할수 있음.

공격자노드는 stem단계의 트랜잭션을 기록하다가 fluff 단계에서 브로드캐스트될때 차이를 볼수 있다.

→ 유출정보의 양을 최소화하려면 점차 작은 트랜잭션을 추가하는 대신 비교 가능한 크기의 트랜잭션만 병합해야함.

DoS 공격을 막기위해 노드는 충돌이 없어야한다.

모든 병합중인 트랜잭션은 유효해야하며 기존의 입력을 참조함.
이중 지출 등이 없어야함.

C. Beam은 더 나아가, 병합할 출력이 충분하지 않은 상황에서 노드가 dummy 또는 decoy UTXO를 추가할수 있다.

dummy : 0값을 인코딩하지만 다른것과 비슷하게 보이는 UTXO

추가된 dummy에 대해 (블록num 기준으로)랜덤타이머를 설정하고 그후 임의의 트랜잭션에서 같은 UTXO를 입력으로 추가한다.

이런식으로 real activity와 섞여있고 구별불가능한 background activity를 생성한다.

이런 방법의 단점은, dummy UTXO를 생성함으로써, 블록공간, 네트워크 트래픽, 유효성 검사를 위한 자원을 낭비하는것.

그러나 장기적으로 확장성에 영향을 미치지 않을 것이며, 커널이 생성되지 않기때문에 더미 UTXO는 결국 소비된다.

실제로는 이런 A,B,C 방법이 함께 사용되어야한다.

얼마나 효과 있을것인가?

정확한 수치는 아직 없으나, 익명성에 긍정적 영향을 미친다.

예를들어, 2개의 트랜잭션이 하나로 병합시 이미 입출력관계에 대해 이미 1/2의 불확실성을 창출한다.

따라서 공격자가 10홉으로 사용자를 드러내면, 그 사용자 관계에 대한 확률은 약 10^-3 이다.

병합이 진행중인 트랜잭션에는 원본 여부가 표시되지 않으므로, 난독화 기준은 입력과 출력의 수로 이어지는 가시적인 트랜잭션 매개변수를 기반으로 해야한다.

TPS는 기존 프로젝트와 비교해 크게 증가하지 않는다.

A Brief History of MimbleWimble White Paper

A Short History of Mimblewimble: From Hogwarts to Mobile Wallets

Circle Research - MimbleWimble

On Linkability of Mimblewimble

About Dandelion and Mimblewimble

Transaction graph obfuscation

Grin Transactions Explained: Step-by-Step

What’s inside a Grin Transaction File?

MimbleWimble: “Magical” Technology That Could Reduce Blockchain Size and Improve Privacy