門羅幣匿名及追蹤技術(shù)綜述

林定康，顏嘉麒，巴·楠登，符朕皓，姜皓晨

（南京大學(xué)信息管理學(xué)院，南京 210023）

0 引言

經(jīng)濟(jì)和技術(shù)全球化程度越來越高，世界和區(qū)域之間的差距越來越小，犯罪分子正在采用新的貨幣形式（例如加密貨幣）來逃避監(jiān)管［1］，進(jìn)行跨國(guó)的非法交易，并提高其非法活動(dòng)的匿名性［2］。這種新型的犯罪形式，繞開正規(guī)金融機(jī)構(gòu)的監(jiān)管，成為恐怖分子融資、洗錢、毒品交易的溫床［3］。例如，圣戰(zhàn)分子和恐怖組織的支持者正在積極尋找并促進(jìn)使用新興技術(shù)，例如比特幣、大零幣、門羅幣（Monero）等，來減輕與傳統(tǒng)資金轉(zhuǎn)移方法相關(guān)的監(jiān)管風(fēng)險(xiǎn)［4］。在暗網(wǎng)和匿名數(shù)字貨幣技術(shù)的助推之下，毒品交易格局日益復(fù)雜。比特幣等匿名交易方式，打破了毒品交易雙方必須在同一地點(diǎn)交易的限制，繞開了正規(guī)機(jī)構(gòu)的監(jiān)管，使暗網(wǎng)毒品銷售網(wǎng)絡(luò)日益龐大［5］。很多網(wǎng)站也在利用用戶的瀏覽來操縱他們的計(jì)算機(jī)幫助不法分子進(jìn)行門羅幣的挖礦［6］。

自2009 年比特幣［7］誕生以來，它已成為最具代表性的密碼貨幣，占有最大的市場(chǎng)份額。比特幣的成功不僅在于它最早產(chǎn)生，也在于比特幣聲稱的匿名性。比特幣聲稱具有匿名性，但實(shí)際上比特幣提供的匿名性是相對(duì)的，因?yàn)榻灰椎男畔⑾蛉魏稳斯_，比特幣的金額和流向可以完全確定。不僅如此，研究發(fā)現(xiàn)可以通過將地址進(jìn)行聚類來確定用戶集群來揭示用戶的身份，挖掘出集群之間的資金流向，從而破解這種匿名性［8］。為了增加交易的匿名性，人們提出了新的數(shù)字貨幣方案，其中具代表性的是運(yùn)用了環(huán)簽名技術(shù)的門羅幣［9］、運(yùn)用coinjoin 技術(shù)的達(dá)世幣［10］和運(yùn)用了零知識(shí)證明技術(shù)的大零幣［11］。本文對(duì)門羅幣的匿名技術(shù)和追蹤技術(shù)進(jìn)行了整理和評(píng)價(jià)。

門羅幣是一種基于CryptoNote 加密協(xié)議的隱私加密貨幣，它試圖解決比特幣中的可追溯性和可鏈接性問題。門羅幣的代號(hào)為XMR，XMR 也是門羅幣的貨幣單位，1 XMR 就是一個(gè)門羅幣。截至2021 年1 月，它在最受歡迎的匿名數(shù)字貨幣中占到第16 位，市值約為140.44 億人民幣［12］。比特幣是第一個(gè)也是目前最大的加密貨幣，它明確地標(biāo)識(shí)了交易中使用了哪枚硬幣，而門羅幣允許用戶通過包括被稱為“mixin”的交易輸入來模糊交易的真正輸入［2］。門羅幣交易示意圖如圖1 所示。本文用Tx 表示一個(gè)交易，key 表示輸入輸出的公鑰地址，假設(shè)有3 個(gè)交易Tx1、Tx2、Tx3，每一個(gè)交易各有一個(gè)交易輸出key-a、key-b、key-c，創(chuàng)建一個(gè)新的交易Tx4 將key-b的TXO（Transaction Output）轉(zhuǎn)給key-d，門羅幣根據(jù)某些策略將其他兩個(gè)輸出地址key-a、key-c都標(biāo)記為Tx4 的輸入，這樣真實(shí)的輸入key-b就被隱藏起來。人們不知道key-a、key-b、key-c哪一個(gè)才是真正的輸入，其中用來混淆真實(shí)輸入的輸出地址key-a、key-c就被稱為mixin。

圖1 門羅幣交易示意圖Fig.1 Schematic diagram of Monero transaction

門羅幣隱私問題要求貨幣確保以下兩個(gè)屬性［13］：

不可鏈接性（unlinkability）對(duì)于任何交易，都不可能證明它們是由同一個(gè)發(fā)送方發(fā)送的。即使是一個(gè)無(wú)限強(qiáng)大的對(duì)手，能夠訪問無(wú)限數(shù)量的交易，也不能以優(yōu)勢(shì)猜測(cè)他的身份，也不能將事務(wù)鏈接到同一個(gè)發(fā)送者［14］。

不可追蹤性（untracability）給定交易輸入，被花費(fèi)的實(shí)際輸出應(yīng)該在一組其他輸出中匿名［15］。

門羅幣的匿名技術(shù)保證了交易的不可鏈接性和不可追蹤性［9］。為了保證不可鏈接性，門羅幣通過設(shè)計(jì)引入了一次性隨機(jī)地址的概念，其思想是：交易的每個(gè)發(fā)送方都為收件人生成一個(gè)新的一次性隨機(jī)地址，這種方式只有收件人可以使用長(zhǎng)期秘密密鑰來花費(fèi)它。如果每個(gè)地址都是使用新的隨機(jī)性生成的，并且只使用一次，那么對(duì)手很難鏈接兩個(gè)地址。為了保證不可追蹤性，門羅幣使用名為環(huán)簽名的加密技術(shù)。環(huán)簽名讓發(fā)送人原本的輸入混合在其他的輸入中一起，發(fā)件人代表一組其他用戶匿名簽名交易信息。因此，被花費(fèi)的實(shí)際輸入在多個(gè)簽名中被隱藏，無(wú)法判斷到底哪個(gè)是真正的輸入，從而實(shí)現(xiàn)了不可追蹤性［15］。

本文介紹保證了不可鏈接性的一次性隨機(jī)地址、保證了不可追蹤性的環(huán)簽名加密技術(shù)以及為提高匿名性的各個(gè)版本更新中技術(shù)的演進(jìn)，并介紹針對(duì)這些技術(shù)和門羅幣交易的特征而進(jìn)行追蹤的各種對(duì)策。通過對(duì)門羅幣的匿名技術(shù)及其追蹤技術(shù)的研究，本文主要得到如下4 個(gè)結(jié)論：

1）門羅幣的匿名技術(shù)和追蹤技術(shù)呈現(xiàn)出相互促進(jìn)的特點(diǎn)。

2）RingCT（Ring Confidential Transactions）的應(yīng)用是一把雙刃劍，它既使從幣值出發(fā)的被動(dòng)攻擊方法失效，也使主動(dòng)攻擊方法更加容易。

3）輸出合并攻擊和0-mixin 攻擊（Zero Mixin Attack）具有互補(bǔ)作用。

4）門羅幣的系統(tǒng)安全鏈條仍待理順。

1 門羅幣匿名技術(shù)

1.1 環(huán)簽名

門羅幣匿名技術(shù)的核心是環(huán)簽名加密技術(shù)。在密碼學(xué)中，環(huán)簽名是一種可以由一組各自具有密鑰的用戶組中的任何成員執(zhí)行的數(shù)字簽名。因此，具有環(huán)簽名的消息被特定人群中的某一個(gè)人認(rèn)可，但是確定使用哪個(gè)組內(nèi)成員的密鑰來生成簽名在計(jì)算上是不可行的，這也是環(huán)形簽名的安全屬性之一［16］。環(huán)簽名最早由Rivest 等［17］在2001 年提出。該概念類似于組簽名的概念，但是無(wú)法識(shí)別環(huán)簽名交易的實(shí)際簽名者，并且可以在環(huán)簽名中包含任意數(shù)量的用戶，而無(wú)需任何其他設(shè)置。最初的概念是使環(huán)簽名成為一種泄漏機(jī)密信息的方法，特別是從高級(jí)政府官員那里泄漏機(jī)密信息，而實(shí)際上不透露出簽名者是誰(shuí)。

環(huán)簽名使用了基于橢圓曲線離散對(duì)數(shù)問題的EDDSA（EDwards-curve Digital Signature Algorithm）算法［18］。一次環(huán)簽名由密鑰生成算法（key GENeration algorithm，GEN）、簽名生成算法（SIgnature Generation algorithm，SIG）、簽名驗(yàn)證算法（signature VERification algorithm，VER）和鏈接性驗(yàn)證算法（LiNKability verification algorithm，LNK）四種算法組成［9］。

GEN 簽名者選擇一個(gè)隨機(jī)秘密密鑰x，計(jì)算公鑰P=xG和密鑰鏡像I=HP(P)，其中HP是確定性哈希函數(shù)。

SIG 簽名者獲取一個(gè)消息m，一組公鑰S′的{Pi}i=s，并輸出一個(gè)簽名σ和一個(gè)密鑰集S=S′∩{Ps}。

VER 驗(yàn)證者檢驗(yàn)簽名。

LNK 驗(yàn)證者檢查I是否在過去的簽名中使用過。

每個(gè)交易都有一個(gè)環(huán)簽名，可以識(shí)別哪個(gè)mixin 是真實(shí)的，而不透露任何關(guān)于它的信息；同時(shí)，每個(gè)mixin 以及實(shí)際輸入都有一個(gè)唯一的密鑰鏡像，所有節(jié)點(diǎn)都可以檢查是否有任何密鑰鏡像在此之前已經(jīng)顯示［19］。

1.2 保證不可鏈接性

一次性隨機(jī)地址保證了門羅幣的不可鏈接性。與比特幣模型相反，用戶擁有唯一的公鑰、私鑰對(duì)對(duì)應(yīng)于地址，在門羅幣中，發(fā)件人根據(jù)收件人的地址和某種隨機(jī)性生成一次性公鑰［20］。從這個(gè)意義上說，發(fā)送給同一個(gè)收件人的交易實(shí)際上是發(fā)送給不同的一次性公鑰（而不是直接發(fā)送到唯一地址），只有收件人才能收回一次性私鑰及花費(fèi)金額。

Noether 等［21］詳細(xì)地講解了一次性隨機(jī)地址的數(shù)學(xué)原理，門羅幣的一次性隨機(jī)地址的實(shí)現(xiàn)代碼在github 上公開［22］。舉例說明它的作用過程：當(dāng)一個(gè)用戶Alice 希望向另一個(gè)用戶Bob 付款時(shí)，她獲得Bob 的長(zhǎng)期公鑰pk-long。然后，她為Bob 生成一次性公鑰pk-onetime。因?yàn)橹挥蠦ob 知道長(zhǎng)期私鑰sk-long，只有他才能得到sk-onetime。然后，Alice創(chuàng)建了一個(gè)交易，她支付給Bob 的一次性公鑰pk-long。一次性密鑰作為Bob 的一次性使用的支付地址。由于地址總是隨機(jī)性生成，并且只使用一次，因此發(fā)送方和接收方以外的任何人都很難將兩個(gè)地址鏈接到同一個(gè)用戶。

如果有多個(gè)輸出支付給同一個(gè)收件人，則每個(gè)輸出生成一個(gè)新的一次性公鑰。因此，每個(gè)事務(wù)輸出（Transaction Outputs，TXO）都可以通過其相應(yīng)的一次性公鑰進(jìn)行標(biāo)識(shí)。

1.3 保證不可追溯性

門羅幣使用環(huán)簽名來確保不可追蹤性，使用了Fujisaki等［23］提出的修改版本的環(huán)簽名。環(huán)簽名允許用戶代表用戶的“環(huán)”簽名消息，簽名者只需要知道自己的簽名密鑰。在簽署消息后，簽名者提供環(huán)中所有用戶的公鑰。驗(yàn)證者（verifier）能夠驗(yàn)證示證者（prover）確實(shí)在環(huán)中的公鑰中，但不能確定到底是哪一個(gè)，因而就不能確認(rèn)身份［24］。

例如，用戶Alice 希望發(fā)送10 XMR 到另一個(gè)用戶Bob。她首先獲得Bob 的長(zhǎng)期公鑰pk-long，然后根據(jù)該公鑰創(chuàng)建一個(gè)一次性的隨機(jī)公鑰pk-onetime?，F(xiàn)在，Alice 沒有像比特幣那樣簽署交易，而是在價(jià)值10 XMR 的區(qū)塊鏈上獲取其他一些TXO，表現(xiàn)為一些一次性隨機(jī)公鑰。本文將這個(gè)集合表示為S={P1，P2，…，Pm}，S還包括Alice 自己的輸入，其中Pi=xiG(i∈[1，m])。她的輸入Pi在S中隱藏，Alice 能夠創(chuàng)造一個(gè)環(huán)簽名并簽署交易。

當(dāng)其他人看到交易信息時(shí)，只能獲知真實(shí)的花費(fèi)在幾個(gè)TXO 中，但無(wú)法確定哪個(gè)是真正的TXO［19］。Alice 在S中包含的其他輸入密鑰稱為mixin。由于Alice 的實(shí)際輸入密鑰在S中的密鑰中是匿名的，所以使用的混合輸入mixin 數(shù)量越大，實(shí)現(xiàn)的匿名性就越好。顯然，環(huán)簽名提供了門羅幣內(nèi)部的內(nèi)置混合服務(wù)，每個(gè)用戶都可以自主地混合mixin［25］。

1.4 提高匿名性的技術(shù)演進(jìn)

1.4.1 最初版本

在2016 年1 月1 日版本之前，在最初的Monero 實(shí)現(xiàn)中，mixin 是從所有具有與所花費(fèi)的硬幣相同面額的先前TXO 集合中統(tǒng)一選擇的，因此，選擇較早的產(chǎn)出比選擇較新的產(chǎn)出更頻繁。門羅幣的mixin 選擇Cryptonote 引用實(shí)現(xiàn)包含了統(tǒng)一的選擇策略，由于交易輸入中引用的所有TXO 必須具有相同的面額（即0.01 XMR 輸入只能引用0.01 XMR 輸出），因此客戶端軟件維護(hù)可用TXO 的數(shù)據(jù)庫(kù)，按面額索引。mixin 是從這個(gè)有序的可用TXO 列表中采樣的，除了它們?cè)趬K鏈中的相對(duì)順序外，不考慮任何時(shí)間信息［25］。

1.4.2 mixin 選擇策略

在2016 年1 月1 日升級(jí)之后，引入了一種新的策略，用于選擇基于三角形分布的混合策略［26］，有利于較新的硬幣作為混合幣而不是較舊的硬幣。這一變化是為了對(duì)抗最新猜測(cè)攻擊，防止由于總是較新的TXO 為真實(shí)輸入而暴露。在2016 年12 月13 日版本之后，對(duì)mixin 選擇策略進(jìn)行了更改：更多從新產(chǎn)生的TXO 中選擇了mixin，即在過去5 d 內(nèi)創(chuàng)建的輸入，效果是確保事務(wù)中25%的輸入從最近的區(qū)域采樣。

1.4.3 最低mixin 要求

在2016 年3 月，門羅幣開始要求每個(gè)輸入至少2 個(gè)mixin，禁止了0-mixin 交易的存在。至少2 個(gè)mixin 的規(guī)定是為了抵御0-mixin 攻擊，防止因?yàn)?-mixin 的級(jí)聯(lián)效應(yīng)而暴露多mixin 交易的真實(shí)輸入。這在2017 年9 月增加到4 個(gè)，2018 年4 月增加到6 個(gè)；從2018 年10 月起，所有交易的mixin數(shù)量已固定在10 個(gè)［27］。更多的mixin 意味著更高的匿名性。

1.4.4 RingCT 更新

2016 年9 月19 日之后，應(yīng)用了RingCT［28］，允許用戶隱藏其硬幣的面額，避免了將可用TXO 分割成不同面值以防止基于面值的推理攻擊［25］。RingCT 交易直到2017 年1 月10 日硬叉之后才被認(rèn)為有效［29］。由于面值被隱藏，mixin 的選擇從原來必須選擇相同面額，到現(xiàn)在可以隨機(jī)選擇；并且由于它是在2-Mixin 最小值生效后部署的（版本0.9.0），因此沒有0-mixin 在RingCT 輸入造成0-mixin 攻擊的威脅。

RingCT 增加了哈希的次數(shù)，但是減少了一半簽名的長(zhǎng)度，對(duì)于數(shù)字貨幣來說，這無(wú)疑就提升了很大的競(jìng)爭(zhēng)力，因?yàn)楹灻目s短不僅減輕了網(wǎng)絡(luò)負(fù)載，同樣還減小了交易的大??；對(duì)于按字節(jié)數(shù)來進(jìn)行計(jì)算交易費(fèi)的機(jī)制來說，也就減小了每筆交易的交易費(fèi)［19］。

2 門羅幣追蹤技術(shù)

目前，門羅幣的追蹤技術(shù)主要有4 類：基于輸入輸出關(guān)系而進(jìn)行的追蹤，如0-mixin 攻擊、輸出合并攻擊、封閉集攻擊等；基于統(tǒng)計(jì)得出總結(jié)規(guī)律的追蹤，如最新猜測(cè)攻擊等；通過某些方法使得部分公鑰已知以進(jìn)行追蹤，如泛洪攻擊、錢包環(huán)攻擊等；利用門羅幣安全機(jī)制漏洞進(jìn)行的追蹤，如惡意遠(yuǎn)程節(jié)點(diǎn)攻擊等。下面對(duì)這些追蹤技術(shù)逐一進(jìn)行介紹。Kumar 等［30］是在門羅幣的追溯性領(lǐng)域開創(chuàng)性的研究，最先提出了0-mixin 攻擊、輸出合并攻擊、最新猜測(cè)攻擊。Kumar等［30］首先定義3 個(gè)名詞，用來解釋以下的追蹤技術(shù)，本文將沿用這3 個(gè)定義以便解釋各種追蹤方法。

定義1有效匿名集大小。假設(shè)一個(gè)交易的某一個(gè)輸入有m個(gè)mixin 來產(chǎn)生環(huán)簽名，如果其中的k個(gè)mixin 是可追蹤的，那么有效匿名集大小為m+1-k。

定義2可追蹤輸入。假設(shè)一個(gè)交易的某一個(gè)輸入的有效匿名集大小為1，那么該輸入為可追蹤輸入。

定義3可追蹤交易。假設(shè)一個(gè)交易的每筆輸入都是可追蹤輸入，那么該交易為可追蹤交易。

以下兩個(gè)啟發(fā)式0-mixin 攻擊和輸出合并攻擊的目的就在于減小有效匿名集，尋找可追蹤輸入進(jìn)而確定可追蹤交易。

2.1 0-mixin 攻擊

Kumar 等［30］首次提出了0-mixin 攻擊，此攻擊基于這樣一個(gè)原理：當(dāng)一個(gè)密鑰key-a為交易Txa輸入i的真實(shí)輸入時(shí)，它就不可能被再次花費(fèi)，那么在其他的交易Txb中輸入j再次出現(xiàn)的key-a就不是j的真實(shí)輸入。根據(jù)定義2，一個(gè)0-mixin 的輸入的有效匿名集大小是1，那么0-mixin 的輸入都是可追蹤輸入。也就是說，這些輸入都是沒有使用mixin 來進(jìn)行混合的，在一個(gè)輸入中的唯一密鑰就是這個(gè)輸入的真實(shí)輸入。而當(dāng)已知此密鑰為這一輸入的真實(shí)輸入，就可以在其出現(xiàn)在其他輸入中時(shí)剔除掉它，以減小有效匿名集的大小，增加可追蹤性［30］。

例如，在圖2 中，第一個(gè)交易Tx1 中有一個(gè)輸入，而這個(gè)輸入為0-mixin，可以確定，這個(gè)輸入key-a就是它的真實(shí)輸入。當(dāng)key-a出現(xiàn)在另一個(gè)交易的輸入Tx2 中時(shí)，認(rèn)定key-a不是交易Tx2 的真實(shí)輸入，那么Tx2 的真實(shí)輸入就在其余的密鑰中產(chǎn)生，而恰巧這個(gè)輸入剩下的密鑰只有一個(gè)，該輸入的有效匿名集的大小為1，可以確定，key-b就是Tx2 的真實(shí)輸入。通過這樣的重復(fù)過程，不斷消減其余交易中輸入的有效匿名集大小，確定新的已知密鑰，就可以達(dá)到追蹤的目的。

圖2 0-mixin攻擊示意圖Fig.2 Schematic diagram of zero mixin attack

0-mixin 攻擊方法的成功是基于大量的0-mixin 交易的存在，得到了許多的已知密鑰。文獻(xiàn)［30］采集的數(shù)據(jù)是從2014 年4 月18 日到2017 年2 月68 日，區(qū)塊高度為1 240 503。其中65%為0-mixin 交易，使用此方法破解出了另外22%交易的匿名性，使得87%的輸入可追蹤。

2018 年，M?ser 等［31］使用同樣的數(shù)據(jù)進(jìn)行了再次實(shí)驗(yàn)來驗(yàn) 證0-mixin 攻擊的 有效性。M?ser 等［31］的貢獻(xiàn) 在于將0-mixin 攻擊運(yùn)用到不同改進(jìn)階段的門羅幣交易數(shù)據(jù)，探尋該方法在各個(gè)不同階段的有效性。通過再次驗(yàn)證，M?ser等［31］發(fā)現(xiàn)在2-mixin 的強(qiáng)制要求版本之后，可追蹤性急劇下降；而在RingCT 推出的版本之后，可追蹤性更低了。這說明版本的改進(jìn)，特別是RingCT 的應(yīng)用使得門羅幣的匿名性極大增強(qiáng)。事實(shí)上，即使是在此之后發(fā)表的論文中，很少有能夠真正破解RingCT 的攻擊辦法。

使用越多的mixin 確實(shí)可以提供更多的匿名性。實(shí)驗(yàn)的結(jié)果顯示，無(wú)論是2-mixin 的強(qiáng)制要求出現(xiàn)之前還是之后，RingCT 出現(xiàn)之前或之后，該方法的有效性大致隨著mixin 數(shù)量的增多而遞減。

2020 年Ye 等［32］對(duì)這個(gè)方法進(jìn)行了再次驗(yàn)證，將輸出合并攻擊（Output Merging Attack）應(yīng)用于整個(gè)區(qū)塊鏈，從創(chuàng)始區(qū)塊到2020 年4 月15 日的第2077094 區(qū)塊。在算法迭代到無(wú)法推斷任何更多的輸入時(shí)，部分或完全可推斷的交易的百分比已經(jīng)近零超過兩年，這表明RingCT 和增加mixin 的組合在減少門羅幣交易的可追溯性方面相當(dāng)成功。

2.2 輸出合并攻擊

如圖3，Tx1 是一個(gè)使用多個(gè)mixin 的輸入的事務(wù)，它有兩個(gè)輸出key-a和key-b。TX2 是另一個(gè)事務(wù)，它有兩個(gè)由I1和I2表示的輸入。每個(gè)輸入都有多個(gè)mixin，I1和I2都包含TX1 的輸出。如果滿足以上條件，那么使用虛線表示的輸入密鑰key-a和key-b是在TX2 中使用的真正密鑰，也就是Tx2的真實(shí)輸入。

圖3 輸出合并攻擊示意圖Fig.3 Schematic diagram of output merging attack

這個(gè)攻擊方法成立的前提是假設(shè)選擇同一個(gè)交易的mixin 時(shí)，算法被設(shè)計(jì)為不會(huì)選擇同一個(gè)交易的輸出。如果算法沒有能夠避免這種情況，那么很可能出現(xiàn)同一個(gè)交易幾個(gè)mixin 來自同一個(gè)交易輸出的情況，那么毫無(wú)疑問會(huì)降低門羅幣的匿名性。Kumar 等［30］通過實(shí)驗(yàn)證實(shí)了這一假設(shè)，并驗(yàn)證了這個(gè)方法的正確性。

可以看到這種方法是可以運(yùn)用在RingCT 出現(xiàn)之后的版本上進(jìn)行攻擊的，因?yàn)檫@種攻擊并沒有從交易的金額出發(fā)。但是這樣的方法并沒能在文獻(xiàn)［30］實(shí)驗(yàn)中得到驗(yàn)證，因?yàn)?017 年RingCT 剛剛應(yīng)用，使用RingCT 的區(qū)塊還不是很多。該方法并沒有受到后續(xù)研究的重視，在文獻(xiàn)［31］中沒有提及，而文獻(xiàn)［32］中也沒有再次驗(yàn)證。但是就實(shí)驗(yàn)結(jié)果而言，這個(gè)方法不同于前面的方法，輸出合并攻擊對(duì)于更多mixin的輸入影響更大，且正確率很高。

由于0-mixin 攻擊的正確率可以認(rèn)為是100%，可以使用0-mixin 攻擊追蹤的結(jié)果來驗(yàn)證其他正確性稍弱的攻擊方法。本文定義這3 個(gè)概念，以便于對(duì)實(shí)驗(yàn)結(jié)果的解釋。

定義4TP（True Positive）。代指由被驗(yàn)證攻擊破解出來的真實(shí)輸入和由0-mixin 攻擊破解出來的真實(shí)輸入一致的交易。

定義5FP（False Positive）。是指由被驗(yàn)證攻擊破解出來的真實(shí)輸入與由0-mixin 攻擊破解出來的真實(shí)輸入不一致的交易。

定義6UP（Unknown Positive）。是指由被驗(yàn)證攻擊破解出來的真實(shí)輸入，但是沒有辦法得到0-mixin 攻擊破解驗(yàn)證的交易。

研究驗(yàn)證了輸出合并攻擊的準(zhǔn)確性和在多mixin 樣本追蹤情況下的優(yōu)越性。0-mixin 的攻擊破解結(jié)果可以看作一定是正確的，而實(shí)驗(yàn)發(fā)現(xiàn)兩個(gè)攻擊方法不一致的FP 非常少，即證明了輸出合并攻擊的有效性。0-mixin 攻擊具有弊端，對(duì)較多mixin 混合的樣本攻擊有效性極大降低，可破解出的多mixin 樣本的數(shù)量也減少，導(dǎo)致能夠得到驗(yàn)證的輸出合并攻擊的多mixin 破解樣本無(wú)法得到驗(yàn)證，產(chǎn)生了很多的UP。而這些大量的UP 顯示了輸出合并攻擊對(duì)于多mixin 樣本破解相較于0-mixin 攻擊的優(yōu)越性，輸出合并攻擊可以追蹤出0-mixin 攻擊可追蹤的交易范圍之外的很多交易，甚至在多mixin 交易的情況下表現(xiàn)優(yōu)于0-mixin 攻擊［30］。

2.3 最新猜測(cè)攻擊

基于前面兩種方法的結(jié)果，Kumar 等［30］經(jīng)過統(tǒng)計(jì)分析又提出了最新猜測(cè)攻擊（Guess-Newest Attack）。即給定一組用于創(chuàng)建環(huán)簽名的輸入密鑰，實(shí)際使用的密鑰是具有最高塊高度的密鑰，其中它顯示為未花費(fèi)的TXO。也就是說，算法選擇的mixin 大多來自更早之前的輸入，而非最新的輸入。這個(gè)攻擊的猜測(cè)是基于這樣的推斷，即最新的輸入可能是在最新的100 個(gè)區(qū)塊里面，而更多更早的輸入則存在于100 000個(gè)之前的區(qū)塊中，顯然，舊的輸入被抽中當(dāng)作mixin 的幾率要更大。

Kumar 等［30］用0-mixin 攻擊的結(jié)果對(duì)最新猜測(cè)攻擊進(jìn)行了測(cè)試，TP 的占比為98.1%。這說明截至2017 年門羅幣的絕大多數(shù)交易輸入的最新輸入密鑰是其中真正真實(shí)的輸入。門羅幣的開發(fā)人員為了避免這個(gè)問題，自2015 年4 月5 日以來決定從三角分布中抽取混合樣本［26］。三角形分布給較新的TXO 提供了比舊的更高的概率，而非像之前混合輸入是從一個(gè)均勻的分布中采樣的，因此可以抵御最新猜測(cè)攻擊。

圖4 最新猜測(cè)攻擊示意圖Fig.4 Schematic diagram of guess-newest attack

M?ser 等［31］運(yùn)用蒙特卡羅模擬（Monte Carlo Simulation）來檢驗(yàn)最新猜測(cè)攻擊的正確性。他們使用門羅幣所使用的mixin 抽取策略從0-mixin 攻擊已經(jīng)推斷出來的交易數(shù)據(jù)中抽取mixin 來作為模擬的交易，并統(tǒng)計(jì)最新猜測(cè)攻擊的正確性。結(jié)果是比較好的，總的正確性達(dá)到92.33%。

值得注意的是，2020 年文獻(xiàn)［32］中對(duì)這個(gè)方法進(jìn)行了再次驗(yàn)證，結(jié)果顯示，在RingCT 后（2017 年1 月）的交易，最新猜測(cè)攻擊的準(zhǔn)確性急劇下降。對(duì)于具有10 個(gè)混合素的輸入（其中包括自2018 年秋季以來的所有輸入，當(dāng)每個(gè)事務(wù)的mixin 數(shù)量固定在10 時(shí)），可以看到該方法的正確性下降到僅剩三成，從大約90%下降到大約30%。這說明三角分布策略和RingCT 的使用對(duì)于最新猜測(cè)攻擊是十分有效的，極大保護(hù)了匿名性。

幾個(gè)因素導(dǎo)致了最新猜測(cè)攻擊的準(zhǔn)確性下降。首先，RingCT 使得輸入和輸出金額被隱藏［28］。這意味著現(xiàn)在可以使用任何RingCT 輸出作為mixin。在RingCT 之前，只能使用與實(shí)際TXO 相同的TXO，這極大減少了可以從mixin 中選擇的TXO 集。第二，mixin 的選擇策略已經(jīng)發(fā)生了改變，三角分布選擇mixin 使得近期的mixin 的權(quán)重增大，更容易被選為mixin，也減小了最新的一個(gè)輸入密鑰為真實(shí)輸入的幾率。

2.4 封閉集攻擊

Yu 等［27］首先提出了封閉集攻擊（Closed Set Attack），這種攻擊是基于這樣一個(gè)事實(shí)，即n個(gè)交易輸入將必須使用n個(gè)不同的公鑰作為實(shí)際輸入，因?yàn)槊總€(gè)公鑰只能被真實(shí)地使用一次。如果一組輸入的數(shù)量等于包含的不同公鑰的數(shù)量，則這一組輸入稱為封閉集。出現(xiàn)在封閉集中的密鑰被視為已經(jīng)花費(fèi)的真實(shí)輸入，那么這些密鑰再次在封閉集之外的其他輸入中出現(xiàn)，就一定是mixin 了，可以直接被剔除以減小有效匿名集［2］。這種攻擊就是找到所有可能的封閉集，并把在封閉集之外出現(xiàn)的與封閉集中相同的公鑰都剔除，以不斷減小有效匿名集大小，增加可推斷性。

如圖5，假設(shè)有這樣4 個(gè)交易，每個(gè)交易都只有一個(gè)輸入，Tx1 的輸入包括｛key-1，key-2，key-3｝，Tx2 的輸入包括｛key-2，key-3｝，Tx3 的輸入包括｛key-1，key-3｝，Tx4 的輸入包括｛key-1，key-2，key-3，key-4｝。Tx1、Tx2、Tx3 的交易的輸入數(shù)量為3，在這3 個(gè)交易中使用的公鑰的數(shù)量為3，與輸入數(shù)量相同，也就是說，Tx1、Tx2、Tx3 這3 個(gè)交易的輸入構(gòu)成了一個(gè)封閉集。由于有3 個(gè)輸入，那么必須要有3 個(gè)真實(shí)輸入的公鑰，而封閉集中總共只有3 個(gè)公鑰，key-1、key-2、key-3 無(wú)論在哪個(gè)交易中被花費(fèi)，都可以確認(rèn)為已經(jīng)被花費(fèi)了。那么可以推斷，Tx4 的輸入中key-1、key-2、key-3 都為mixin，而真實(shí)的輸入密鑰就是key-4。

圖5 封閉集攻擊示意圖Fig.5 Schematic diagram of closed set attack

封閉集攻擊的優(yōu)點(diǎn)在于，對(duì)于RingCT 是可用的，因?yàn)椴簧婕懊嬷?；但是封閉集攻擊的效果并不太好，對(duì)于級(jí)聯(lián)效應(yīng)攻擊后的數(shù)據(jù)集，只能進(jìn)一步跟蹤0.084%的輸入。而這種攻擊的攻擊代價(jià)是很大的，理論上可行，但是實(shí)際來說對(duì)于一個(gè)如此大的數(shù)據(jù)集，這樣的計(jì)算量是不可接受的。如果數(shù)據(jù)集中輸入密鑰數(shù)量的平均數(shù)為m，找到所有的封閉集需要的算法復(fù)雜度經(jīng)過優(yōu)化后最小為O（m*N2）［27］。

2.5 泛洪攻擊

泛洪攻擊（Transaction Flooding Attack）由Chervinski 等［33］首先提出，其核心很簡(jiǎn)單，掌握盡可能多的已知密鑰以便將這些密鑰從不可能的交易中剔除來縮小有效匿名集確定可追蹤輸入。可確定的密鑰有兩種：一種是已知已經(jīng)在之前某些交易中被花費(fèi)的密鑰，第二種是在手中卻沒有被花費(fèi)的密鑰。成功的泛洪攻擊的主要挑戰(zhàn)是擁有足夠的密鑰作為已知的密鑰庫(kù)，以便系統(tǒng)從攻擊者的一組密鑰中選擇輸入的所有混合。要擁有輸出密鑰，攻擊者必須使用有效的事務(wù)來淹沒網(wǎng)絡(luò)，最好是使用非常低的成本，從而使攻擊可行。如圖6，當(dāng)攻擊者在鏈上通過制造很多交易獲得大量已知密鑰，用這些已知密鑰去檢驗(yàn)鏈上的其他交易，若交易中的key-1 和key-2 都在已知密鑰集中，則可以排除在此交易中花費(fèi)，那么剩下的key-3 就是真實(shí)的輸入了。

圖6 泛洪攻擊示意圖Fig.6 Schematic diagram of transaction flooding attack

門羅幣的系統(tǒng)從過去1.8 d 產(chǎn)生的輸出鍵中選擇50%的mixin，其余50%的mixin 是從舊的事務(wù)輸出中選擇的。要?jiǎng)?chuàng)建自己的輸出密鑰，攻擊者必須向自己的地址發(fā)送付款。這些事務(wù)將生成新的輸出密鑰，這些密鑰將由攻擊者擁有。每個(gè)事務(wù)輸出只用花費(fèi)1 piconero（10-12XMR）。對(duì)于攻擊者來說，創(chuàng)建有效交易的成本主要是交易費(fèi)用。文獻(xiàn)［33］探索了采用每個(gè)交易多少個(gè)輸入時(shí)經(jīng)濟(jì)和時(shí)間成本最低，探索了制造多少交易與最終可破解的交易占比之間的關(guān)系，探索了該方法在不同的門羅幣版本上的成本和效果。

相較于一些高成本的計(jì)算和門羅幣本身的價(jià)值而言，泛洪攻擊的成本非常低。實(shí)驗(yàn)發(fā)現(xiàn)，攻擊者僅需要花費(fèi)9.253 XMR 或582.19 美元的交易費(fèi)用，就可以在一年內(nèi)控制50% 的輸出密鑰。導(dǎo)致這一結(jié)果有兩個(gè)原因：一是RingCT 使用后幣值不再顯示出來，因此mixin 的選擇可以不需要選擇相同幣值的mixin，這樣就降低了泛洪攻擊的成本，使得創(chuàng)建一個(gè)新的輸入變得十分便宜，可以低成本地建立起一個(gè)已知的密鑰庫(kù)；第二，門羅幣的級(jí)聯(lián)效應(yīng)，在掌握一些已知密鑰的時(shí)候，可以推斷出更多的密鑰，而這些新的密鑰又增加了已知密鑰庫(kù)，從而便于推斷出更多的密鑰。

事實(shí)上采用如此低廉的手段，可以使得如此高比例的門羅幣交易可追蹤，對(duì)于整個(gè)門羅幣網(wǎng)絡(luò)的匿名性打擊是致命的。顯然，門羅幣的設(shè)計(jì)者認(rèn)為這樣的攻擊成本很高以至于不可實(shí)現(xiàn)，但是他們沒有考慮到RingCT 對(duì)這一成本的完全摒棄。RingCT很好地解決了0-mixin攻擊等可以從幣值上出發(fā)來進(jìn)行破譯的方法［9］，但是卻被泛洪攻擊這樣的攻擊破譯。泛洪攻擊幾乎是目前所有的攻擊中對(duì)RingCT真正有效的方法。

2.6 惡意遠(yuǎn)程節(jié)點(diǎn)攻擊

遠(yuǎn)程惡意節(jié)點(diǎn)攻擊（Tracing Attacks from Remote Nodes）由Lee 等［34］首先提出。文獻(xiàn)［34］不僅提出了攻擊的方法，還設(shè)計(jì)了如何抵御這種攻擊的機(jī)制。

2.6.1 門羅幣客戶端與遠(yuǎn)程節(jié)點(diǎn)運(yùn)作方式

在解釋攻擊之前，首先描述門羅幣客戶端和遠(yuǎn)程節(jié)點(diǎn)的運(yùn)作方式，Cao 等［35］詳細(xì)解釋了門羅幣的網(wǎng)絡(luò)結(jié)構(gòu)。當(dāng)門羅幣客戶端啟動(dòng)交易時(shí)，它首先查詢遠(yuǎn)程節(jié)點(diǎn)以獲得有關(guān)塊鏈的信息。接收到的信息中包括最大全局索引，錢包將使用該索引來確定交易中包含哪些mixin。錢包對(duì)候選輸出（按全局索引）進(jìn)行采樣，以用作mixin。為了避免揭示哪一個(gè)是真正的輸入，客戶端還將mixin 的索引和真正的輸入一起包含到請(qǐng)求中，盡管這些冗余數(shù)據(jù)已經(jīng)由錢包存儲(chǔ)［36］。輸出請(qǐng)求通過 get_outs.bin 的應(yīng)用程序接口（Application Programming Interface，API）端點(diǎn)發(fā)送到遠(yuǎn)程節(jié)點(diǎn)，該端點(diǎn)將返回每個(gè)請(qǐng)求的所包含的密鑰。當(dāng)收到get_outs.bin 的響應(yīng)時(shí)，客戶端執(zhí)行部分驗(yàn)證：如果客戶端的這些密鑰（已經(jīng)存儲(chǔ)在錢包中）不在返回的響應(yīng)中，則事務(wù)被中止，并向用戶顯示錯(cuò)誤。在錢包接收到所有的密鑰后，它從這些密鑰中統(tǒng)一選擇最終的mixin 數(shù)量，并將它們與真正的密鑰一起形成事務(wù)。在確認(rèn)交易之后，客戶端將這些輸出標(biāo)記為已花費(fèi)狀態(tài)，并將交易傳輸?shù)竭h(yuǎn)程節(jié)點(diǎn)，如圖7 所示。

圖7 門羅幣客戶端與遠(yuǎn)程節(jié)點(diǎn)運(yùn)作方式示意圖Fig.7 Schematic diagram of operation mode between Monroe client and remote node

2.6.2 惡意遠(yuǎn)程節(jié)點(diǎn)攻擊原理與舉例

首先對(duì)上面描述的客戶端行為進(jìn)行觀察：如果遠(yuǎn)程節(jié)點(diǎn)返回?zé)o效響應(yīng)并在客戶端觸發(fā)異常，則客戶端中止交易并向用戶顯示消息。如果用戶再次嘗試啟動(dòng)相同的交易，客戶端軟件將重新開始處理，包括采樣所有要作為mixin 使用的新輸出。最終的結(jié)果是將兩個(gè)查詢發(fā)送到遠(yuǎn)程節(jié)點(diǎn)，而這兩次請(qǐng)求中包含的幾個(gè)密鑰中相交的那個(gè)，就是真實(shí)的輸入。

如圖8，假設(shè)第一次客戶端發(fā)出請(qǐng)求，消息中包含L1=｛key-1，key-2，key-3，key-4｝；當(dāng)節(jié)點(diǎn)返無(wú)效響應(yīng)，用戶再次啟動(dòng)相同的交易，客戶端采集了不同的mixin，發(fā)送的消息中包含L2=｛key-1，key-5，key-6，key-7｝。那么可 以推斷 出，L1 ∩L2=｛key-1｝，key-1 就是真實(shí)的輸入。

圖8 惡意遠(yuǎn)程節(jié)點(diǎn)攻擊示意圖Fig.8 Schematic diagram of tracing attacks from remote nodes

2.6.3 惡意遠(yuǎn)程節(jié)點(diǎn)攻擊有效性評(píng)價(jià)

惡意遠(yuǎn)程節(jié)點(diǎn)攻擊是利用了門羅幣系統(tǒng)消息傳遞的不安全性和節(jié)點(diǎn)間通信的驗(yàn)證漏洞。目前節(jié)點(diǎn)間的通信還使用簡(jiǎn)單的明文HTTP（Hyper Text Transfer Protocol）來傳輸JSON（JavaScript Object Notation）文件［34］，沒有使用加密的可信信道，因此惡意節(jié)點(diǎn)可以沒有障礙地獲得信息，從而從獲取的信息中推斷出真正的輸入。但是保密學(xué)發(fā)展十分完備，這些問題如果得到門羅幣開發(fā)人員的重視，可以在新的更新中應(yīng)用加密、握手協(xié)議等很容易地解決。

2.7 錢包環(huán)攻擊

錢包環(huán)攻擊（Monero Ring Attack）由Wijaya 等［37］提出。由于Monero 系統(tǒng)只檢查提交的事務(wù)的有效性，環(huán)簽名的構(gòu)造完全由錢包處理［38］，Wijaya 等［37］使用自己編寫的錢包完成攻擊。錢包環(huán)攻擊包括3 個(gè)階段：

準(zhǔn)備階段 攻擊者需要有一些未使用的輸出TXO，數(shù)量要大于系統(tǒng)允許的環(huán)簽名的最小尺寸。

啟動(dòng)階段 假設(shè)有r個(gè)密鑰屬于集合L，那么創(chuàng)建r個(gè)輸入，也就是r個(gè)環(huán)，r個(gè)密鑰的TXO 在r個(gè)輸入中被消耗。每個(gè)環(huán)的mixin 的選擇也都從集合L中來。

攻擊階段 被動(dòng)攻擊：當(dāng)其他的輸入選擇到L中的密鑰作為mixin 時(shí)，可以很容易得知這幾個(gè)mixin 不是真實(shí)的輸入，可以把這幾個(gè)mixin 剔除，從而減小了有效匿名集大小。主動(dòng)攻擊：讓被攻擊者使用一個(gè)惡意的錢包，這個(gè)錢包創(chuàng)建的交易所選擇的mixin 都是從L中選擇的。由于這些密鑰已知已經(jīng)被花費(fèi)，所以真正的輸入就是在L集合外的那個(gè)密鑰。

如圖9，先準(zhǔn)備5 個(gè)沒有花費(fèi)的輸出L=｛key-1，key-2，key-3，key-4，key-5｝，在交易Tx1、Tx2、Tx3、Tx4、Tx5 中分別把這5 個(gè)輸出作為輸入，并為每一個(gè)輸入創(chuàng)建1 個(gè)5 密鑰的環(huán)，其余的4 個(gè)mixin 都來自L，那么就確保了這5 個(gè)密鑰都是已經(jīng)被花費(fèi)了的輸入。被動(dòng)攻擊類似封閉集攻擊，事實(shí)上啟動(dòng)階段的過程就是在創(chuàng)造封閉集的過程，輸入的大小和密鑰的個(gè)數(shù)都是5，那么當(dāng)在其他的交易輸入中出現(xiàn)的時(shí)候，就可以判斷是mixin 而非真實(shí)的輸入予以剔除。如圖9 中Tx6，由于key-1、key-2 已經(jīng)被花費(fèi)，這個(gè)交易的真實(shí)輸入只能從key-6、key-7、key-8 中產(chǎn)生，由此有效匿名集的大小減小為3。主動(dòng)攻擊則是使用一個(gè)惡意的錢包，這個(gè)錢包的功能是實(shí)現(xiàn)在創(chuàng)建環(huán)的時(shí)候，選擇的mixin 都來自L，如圖9 中Tx7，創(chuàng)建一個(gè)新的輸入時(shí)，除了真實(shí)的新的輸入，其余的密鑰都來自L，那么那個(gè)唯一不來自L的key-6 就是真實(shí)的輸入，從而實(shí)現(xiàn)了追蹤。

圖9 錢包環(huán)攻擊示意圖Fig.9 Schematic diagram of Monero ring attack

Wijaya 等［39］提出了一種可以緩解錢包環(huán)攻擊的方法，利用哈希函數(shù)來檢測(cè)出重復(fù)出現(xiàn)多次的mixin，并提出改進(jìn)門羅幣守護(hù)進(jìn)程，增加鑒別限制mixin 重復(fù)使用多次的機(jī)制，來防止錢包環(huán)攻擊。Wijaya 等［39］還提出了錢包環(huán)攻擊的改進(jìn)方法，來躲避他們前面提到的鑒別，在創(chuàng)建環(huán)的時(shí)候有規(guī)律地分布各個(gè)公鑰以達(dá)到既全部花費(fèi)又減少公鑰被重復(fù)的次數(shù)。

錢包環(huán)攻擊方法中的主動(dòng)攻擊確實(shí)可以100%確定真實(shí)的輸入從而實(shí)現(xiàn)追蹤，而且如果掌握的密鑰越多，破解的可能性越大。而且由于RingCT 的應(yīng)用，幣值不再是問題，可以只使用小額的輸入來創(chuàng)建為了攻擊的交易，降低了這個(gè)方法的使用費(fèi)用。錢包環(huán)攻擊主動(dòng)攻擊的前提是這個(gè)錢包被追蹤人所用，而要達(dá)到這個(gè)目的卻非常難。要是通過被動(dòng)攻擊方法，則需要?jiǎng)?chuàng)建大量的交易輸入，在區(qū)塊中加入自己已知的密鑰，而每加入一個(gè)密鑰，就需要相應(yīng)產(chǎn)生一筆輸入并創(chuàng)建一個(gè)環(huán)。要真正實(shí)現(xiàn)在成千上萬(wàn)個(gè)區(qū)塊中達(dá)到現(xiàn)實(shí)的可追蹤性，那么需要?jiǎng)?chuàng)建數(shù)以萬(wàn)計(jì)的輸入才能實(shí)現(xiàn)，無(wú)論是從時(shí)間還是經(jīng)濟(jì)成本來說都不是一個(gè)簡(jiǎn)便的方法。

3 結(jié)語(yǔ)

目前對(duì)于門羅幣匿名技術(shù)和追蹤技術(shù)的評(píng)價(jià)和討論的綜述性文獻(xiàn)比較少，評(píng)價(jià)大多還來自每個(gè)提出新方法的研究前列出的相關(guān)研究。但Yu 等［15］對(duì)門羅幣追蹤技術(shù)和門羅幣的不可追蹤性進(jìn)行了總結(jié)和反思。Yu 等［15］認(rèn)為文獻(xiàn)［30-31］只考慮了一個(gè)只能觀察區(qū)塊鏈公共信息的被動(dòng)攻擊者，并沒有總結(jié)和評(píng)價(jià)文獻(xiàn)［33，37］主動(dòng)攻擊方法的優(yōu)劣。他們還討論了如何評(píng)價(jià)不可追蹤性，提出要從個(gè)體不可追蹤性和全局不可追蹤性兩個(gè)角度來思考的方法。Hinteregger 等［40］也總結(jié)了除了錢包環(huán)攻擊和遠(yuǎn)程惡意節(jié)點(diǎn)攻擊之外的追蹤技術(shù)，并且對(duì)Kumar 等［30］的方法進(jìn)行了跨鏈的驗(yàn)證。除此之外，Borggren 等［41］盡管沒提出新的方法，但是引入了機(jī)器學(xué)習(xí)的方法，該技術(shù)可以用來輔助識(shí)別個(gè)人和群體。

本文通過前面部分的綜述得到如下幾點(diǎn)結(jié)論：

結(jié)論1 門羅幣的匿名技術(shù)和追蹤技術(shù)呈現(xiàn)出相互促進(jìn)的特點(diǎn)。0-mixin 攻擊的出現(xiàn)迫使門羅幣提高mixin 使用的最低限度，也降低了使用mixin 的成本以誘導(dǎo)用戶使用mixin。最新猜測(cè)攻擊的出現(xiàn)也使得門羅幣改變了mixin 的選擇策略以避免最新的TXO 總是成為真實(shí)的輸入［26］。為了防止從幣值出發(fā)的各種方法，也為了提高mixin 可選擇的范圍，RingCT成功隱藏了幣值，使得從幣值出發(fā)的追蹤方法徹底失效。同時(shí)這些匿名技術(shù)的進(jìn)步也催生了新的追蹤技術(shù)。

結(jié)論2 RingCT 的應(yīng)用是一把雙刃劍，它既使從幣值出發(fā)的被動(dòng)攻擊方法失效，也使主動(dòng)攻擊方法更加容易。RingCT 出現(xiàn)使得被動(dòng)攻擊方法失效。RingCT 的應(yīng)用使得傳統(tǒng)的0-mixin 攻擊、最新猜測(cè)攻擊等失效，Ye 等［32］對(duì)這些方法驗(yàn)證后發(fā)現(xiàn)，新區(qū)塊上可追蹤的交易占比幾乎降至0%。RingCT 的出現(xiàn)使得主動(dòng)攻擊方法變得更加有效。RingCT 的出現(xiàn)極大降低了泛洪攻擊的成本使得泛洪攻擊變得可行，不難想象，如果有對(duì)于門羅幣追蹤的商業(yè)性質(zhì)的需求，泛洪攻擊或許會(huì)成為攻擊者針對(duì)RingCT 的有力攻擊武器。諸如錢包環(huán)攻擊等的方法，也因?yàn)镽ingCT 隱藏幣值使得mixin 可以從任意其他交易地址中選擇的特性而變得成本很低。

結(jié)論3 輸出合并攻擊和0-mixin 攻擊具有互補(bǔ)作用。實(shí)驗(yàn)證明這兩種方法的追蹤準(zhǔn)確性很高，且具有互補(bǔ)的優(yōu)勢(shì)。0-mixin 攻擊在較少mixin 的交易中有效性更高，而輸出合并攻擊在高mixin 的交易追蹤中具有優(yōu)勢(shì)，可以追蹤出0-mixin 攻擊追蹤范圍之外的交易。如果單純利用傳統(tǒng)的被動(dòng)攻擊方法，將兩者集合起來使用，可以最大限度提高被動(dòng)攻擊方法的有效性。

結(jié)論4 門羅幣的系統(tǒng)安全鏈條仍待理順。惡意遠(yuǎn)程節(jié)點(diǎn)攻擊的成功和錢包環(huán)攻擊的成功說明門羅幣的體系存在安全漏洞。惡意遠(yuǎn)程節(jié)點(diǎn)攻擊的成功是基于門羅幣的遠(yuǎn)程節(jié)點(diǎn)和客戶端之間的通信是公開的、未經(jīng)加密的，這些交易信息相當(dāng)于在傳輸中透明。錢包環(huán)攻擊的成功基于門羅幣系統(tǒng)放任門羅幣錢包自己產(chǎn)生環(huán)而不加嚴(yán)格的檢查，這種寬容性對(duì)門羅幣的應(yīng)用有利，但是破壞了門羅幣的安全性。Lee 等［34］已經(jīng)將惡意遠(yuǎn)程節(jié)點(diǎn)攻擊的漏洞通報(bào)給了門羅幣社區(qū)，目前該漏洞已經(jīng)修復(fù)。

目前來說，大多研究都從門羅幣交易信息等外部特征出發(fā)，很少有從門羅幣本身機(jī)制出發(fā)的追蹤探索，目前只有惡意遠(yuǎn)程節(jié)點(diǎn)攻擊使用了密碼學(xué)的相關(guān)知識(shí)來進(jìn)行追蹤。而匿名數(shù)字貨幣作為密碼學(xué)知識(shí)的一種應(yīng)用，從密碼學(xué)角度出發(fā)的本身機(jī)制的探索可能會(huì)提供更加有力的科學(xué)的追蹤方法。未來對(duì)于門羅幣追蹤的研究突破，可能存在于從內(nèi)部機(jī)制或者運(yùn)營(yíng)系統(tǒng)等角度出發(fā)的追蹤方法。