门罗币矿池数据公开：透明度与匿名性泄露的权衡

### 门罗币矿池数据公开：透明度与匿名性泄露的权衡 #### 1. 引言 门罗币（Monero）是一种默认提供发送者和接收者匿名性的加密货币，在最有价值的加密货币列表中排名前 15，总市值达 8.51 亿美元，每枚硬币价值 47.401 美元。它采用工作量证明（PoW）作为共识方法，其内存绑定的共识算法 CryptoNight 旨在分散挖矿活动，小矿工可使用商用 CPU 和 GPU 进行挖矿。 与比特币等加密货币一样，矿池会协调多个矿工的算力以增加赢得区块的机会。然而，由于门罗币交易的匿名特性，当前门罗币矿池缺乏透明度，区块链观察者无法确定每个矿池在任何时期赢得的区块数量，矿工也难以评估从提交给矿池的计算份额中获得的激励是否公平。因此，矿池利用其网站发布与挖矿生产相关的信息，如赢得的区块和向矿工的支付情况，以提高透明度。但这些公开信息也容易导致匿名性泄露。 #### 2. 研究贡献 - **识别匿名性泄露问题**：考虑矿池 M 中可追溯输入的两种可能情况，即情况 A 和情况 B。 - **情况 A**：矿池 M 将赢得的区块 B1000 的挖矿奖励 co1 作为交易 t1 的输入。由于已知矿池 M 创建了区块 B1000 和交易 t1，输入 i11 很可能花费了 co1，因此输入 i11 是可追溯的。 - **情况 B**：矿池 M 创建 t3 作为向矿工的支付，并在 o31 或 o32 中收到找零。后来，矿池 M 创建了一个新的支付 t4 给另一个矿工，交易 t4 在其输入 i41 中包含 o32。在这种情况下，矿池 M 很可能在 t4 中花费了其找零 o32，输入 i41 被认为是可追溯的。 - **探索匿名性泄露**：收集了十个矿池的信息并进行可追溯性分析，发现了 218,957 个可追溯输入。这是门罗币实施 RingCT 功能后第二大的匿名性泄露事件。此外，二阶可追溯性可以识别 5,501 个可追溯输入。 - **提出对策**：解决方案包括数据删除和交易混淆，以防止未来矿池公开信息导致的匿名性泄露。 - **提高矿池问责制**：矿池可以发布其跟踪密钥，以便观察者可以计算所有矿池的实际区块生产率。还建议采用 Slushpool 的哈希率证明（HRP）来提高挖矿信息的可验证性。 - **分析矿池特征**：分析了前十大门罗币矿池并提取了它们的特征。大多数矿池在其网站上发布与挖矿相关的信息。两个主要矿池 Minexmr 和 Supportxmr 专门从事门罗币挖矿，而第三大矿池 F2pool 是一个多币种矿池。前三大矿池与其他矿池没有特定的区别特征，这表明从矿池网站上删除与挖矿相关的信息可能不会改变它们的受欢迎程度。 #### 3. 背景知识 ##### 3.1 门罗币匿名性 门罗币实施了隐私保护加密技术，以实现发送者的不可追溯性和接收者的不可关联性。发送者的不可追溯性意味着在一组发送者中，难以猜测交易中的实际发送者。接收者的不可关联性表示观察者无法确定多笔交易是否支付给同一接收者。 门罗币通过可链接环签名（LRS）和一次性公钥（OTPK）来支持发送者的不可追溯性和接收者的不可关联性。LRS 会将实际花费的硬币与其他作为诱饵或混合币的硬币混淆。发送者从区块链中记录的交易输出中选择与花费硬币金额相同的混合币。 机密交易（Confidential Transaction）被集成到门罗币的环签名中，创建了 RingCT。RingCT 隐藏了交易的硬币数量，同时确保发送者不会创造新硬币。后来，Bulletproofs 进一步改进了 RingCT，以减小门罗币交易的签名大小。机密交易使用户能够从任何兼容交易中选择任何硬币金额的混合币，从而大大增加了潜在混合币的池。 门罗币交易 T 由一组输入 I 和一组输出 O 组成，即 T := I → O。门罗币交易中的输入由一个环 R 组成，环 R 的成员是存储在门罗币区块链中的现有交易的输出。只有一个真实成员需要花费（真实花费密钥），其他环成员是诱饵（混合币），使得实际花费的硬币在环成员中难以区分。 ##### 3.2 门罗币共识、挖矿活动和矿池 门罗币采用工作量证明（PoW）作为共识方法，利用算力来确定哪个方可以扩展区块链。致力于 PoW 目的的各方称为矿工。在每个周期，矿工竞争解决一个计算问题，提出最佳解决方案的矿工将向区块链添加一个新的区块。 矿工有两种挖矿方式：单独挖矿（也称为单人挖矿）或加入矿池（也称为池挖矿）。矿池是一种挖矿服务，允许矿工共享挖矿工作量。加入矿池的矿工期望稳定其挖矿活动的收入。矿池根据矿工的贡献按商定的方案向矿工支付报酬，矿池运营商也会从挖矿利润中抽取一部分作为服务奖励。 #### 4. 已知的门罗币匿名性攻击 ##### 4.1 零混合交易和级联效应（连锁反应） 零混合交易是门罗币交易中包含一个或多个没有任何诱饵或混合币的输入，因此实际花费的硬币没有被混淆。在门罗币的早期，硬币只能与相同面额的其他硬币混合，但存在一些具有独特面额的硬币无法与其他硬币混合，因此硬币所有者创建了零混合交易。此外，没有严格的协议禁止零混合交易，用户为了降低交易费用而不包含任何混合币。研究人员发现，零混合交易和级联效应可用于追溯 62% 或高达 84% 的所有输入。 ##### 4.2 硬分叉问题 2018 年门罗币发生了两次硬分叉，年底出现了三个门罗币区块链分支。链分裂通常意味着用户可能获得额外收益，但在门罗币中，交易的匿名性成为一个问题，因为链分裂会导致密钥重用问题。如果用户在不同的区块链上花费相同的硬币，这些交易可以被观察者追溯。最初用于防止门罗币双重花