门罗币：为何它可能无法成为一种有效的洗钱工具

在关注 Bybit 洗钱事件（已被大量追踪）并观察到将所有损失资金转换为比特币的协调一致且令人印象深刻的努力后，许多人问道：为什么朝鲜黑客不使用门罗币（Monero）？

门罗币不是应该成为犯罪分子的首选加密货币吗？

仔细观察加密货币犯罪活动中的撤退路线表明，门罗币的使用只是零星的。

那么，为什么加密货币罪犯经常选择不使用门罗币？

在今天的报告中，我们将深入探讨为什么门罗币既是一种在洗钱活动中备受推崇的令人难以置信的隐私币，同时在某些设置中又存在局限性。

门罗币如何确保隐私和匿名性

“门罗币是加密货币的 真正用例。” “门罗币是 真正的 比特币。” 虽然许多加密货币哲学家喜欢争论门罗币是否从本质上来说比比特币更像比特币（或者不是），但对于犯罪分子来说，答案是明确的。

门罗币是当今加密货币的 最佳用例。

如今，门罗币是最流行的恶意挖矿加密货币，是勒索软件的首选加密货币，Darknets 上的许多黑市选择仅使用门罗币进行运营，以至于它可能成为 Darknet 的标准货币，等等。

如果根据“加密货币只有对犯罪分子有用才是好”的规则来衡量加密货币的 Nakamoto 性，那么仅仅这种犯罪认可就可以结束这场哲学辩论。

为什么？

因为对加密货币的强烈犯罪使用证明了隐私、去中心化和抗审查等核心区块链价值得到了保证。

随着门罗币在犯罪分子中以加速的速度持续获得关注，它首先表明它可能成为传统犯罪分子和加密货币犯罪分子的首选加密货币，满足他们掩盖踪迹的需求，并对追踪行业产生变革性影响。

“加密货币追踪的黄金时代似乎即将结束，人们正在醒悟，但我认为，将其视为猫捉老鼠[加密货币追踪]游戏的另一个阶段、另一步骤可能更准确，”网络安全专家 Andy Greenberg 在接受加密货币记者 Laura Shin 采访时评论道。

那么，是什么让门罗币对执法部门和加密货币追踪专家来说如此难以破解？

门罗币和比特币之间的关键区别之一在于它们对隐私的处理方式。

比特币在透明的区块链上运行，所有交易细节对任何人都是可见的。 虽然是假名的，但可以使用复杂的分析工具来追踪资金流并将地址与现实世界的身份联系起来。

另一方面，门罗币的设计非常注重隐私和匿名性，以至于隐私成为强制性的。 与其他一些加密货币不同，所有交易默认都是私密的，并且无法选择退出隐私增强功能。

大多数这些发展都与加密货币追踪行业的兴起同时发生。

门罗币的隐私秘诀在于两个词：无法追踪性和无法链接性。

它利用四项关键技术来确保这些：环签名、隐身地址、机密交易和 Dandelion++。 环签名混淆了发送者，隐身地址隐藏了接收者，机密交易模糊了交易金额，而 Dandelion++ 混淆了交易的来源。

这些功能使得追踪门罗币交易或将其与特定用户联系起来变得极其具有挑战性，从而确保了增强的隐私。

环签名——无法追踪性

简而言之，当用户发送门罗币时，交易使用环签名进行签名，这会混淆真正的支出者。 发送者的输入与一组过去的交易输出混合在一起，这些输出是从区块链中随机选择作为诱饵。 这些诱饵与实际输入一起共同构成了交易的输入，从而无法确定实际支出的是哪一个。

自 2016 年 RingCT 升级后，环签名最初是可选的，但自 2016 年以来已成为所有门罗币交易的强制性要求。 所需的环大小随着时间的推移而增加，截至 2022 年从 11 增加到 16。

这意味着发送者的输入与 15 个诱饵混合在一起，从而无法确定真正的支出者。 对于外部观察者来说，所有 16 个输入看起来都同样可能是真正的来源，从而确保了交易的隐私和匿名性。

门罗币的环签名解释示意图——NEFTURE

RingCT——机密交易

环签名与 RingCT 密切相关。 门罗币采用 UTXO（未花费交易输出）模型，类似于比特币，但具有至关重要的隐私增强修改。

与比特币不同，在比特币中，UTXO 余额在区块链上公开可见，而门罗币则用 Pedersen Commitments 替换它们。 此技术是 RingCT 的关键组成部分，允许交易金额保持隐藏，同时仍使网络能够验证其有效性。

只要所有输入和输出承诺的总和匹配，该交易就被视为有效。 如果数字不匹配，则该交易将被拒绝。 公开密钥承诺由网络用来验证承诺的有效性。

只有持有必要密钥的发送者和接收者才能查看实际金额，从而防止基于交易规模的模式检测并强制执行门罗币用户的隐私。

让我们举个例子：假设 Bobby 向 Alix 发送 3 个 XMR。 此金额使用 Pedersen Commitment 隐藏。 Bobby 将一个秘密随机数（例如 58）添加到实际金额 (3 XMR)。 总和 61 构成承诺值，然后将其广播到整个门罗币网络。

门罗币的 RingCT——使交易机密 NEFTURE

隐身地址——无法链接性

为了确保交易无法链接到特定用户或钱包地址，门罗币开发人员创建了隐身地址。

类似于用于单次通话的一次性烧号手机，每个门罗币交易都会为接收者生成一个一次性隐身地址（或一次性公钥），而不是使用他们的实际公共地址。 这确保了即使交易记录在区块链上，也没有人可以将它们追溯到接收者。

以下是它的工作原理：发送者不会将门罗币直接发送到接收者的公共地址。 相反，他们从接收者的 公共查看密钥、公共花费密钥 和一个只有发送者知道的 随机值 生成一个唯一的、一次性的目标密钥（隐身地址）。 然后，将这个新派生的隐身地址作为交易输出的一部分发布在区块链上。

因为此地址对于每个交易都是唯一的，所以外部观察者无法分辨哪些付款属于谁。

由于接收者不会立即知道哪个交易输出是他们的，因此他们必须使用他们的私有查看密钥扫描区块链。 这使他们能够检测和检索为其准备的资金。 但是，即使他们可以识别自己的交易，也没有其他人可以识别，因为每个交易输出都显示为一个随机字符串，与接收者的实际公共地址无关。

一旦接收者识别出他们的资金，他们就可以使用他们的私有花费密钥来访问和使用它们。

该系统确保了，就像在使用后不留痕迹的烧号手机一样，隐身地址可以防止交易被链接回接收者，从而为门罗币提供了一个强大的隐私层。

门罗币隐身地址示意图——来源：Steemit

Dandelion++——网络隐私保护

Dandelion++ 于 2020 年第四季度推出，最初是为比特币开发的，它将门罗币的隐私保护提升到了一个新的水平。

Dandelion++ 隐藏了发送者的 IP 地址，使其不会立即广播到整个网络，这是一项关键的隐私改进。

如果门罗币用户疏忽大意，没有使用 VPN 或 Tor 来隐藏他们的 IP 地址，则用于交易的门罗币节点可以捕获用户的 IP 地址和元数据，从而有可能使该用户去匿名化。

使用 Dandelion++，广播过程分为两个阶段，以隐藏交易的来源：Stem 阶段（也称为匿名阶段），然后是 Fluff 阶段（也称为传播阶段）。

门罗币的 Dandelion ++ 示意图——NEFTURE

在 stem 阶段，新创建的交易将被发送到随机中继节点（或“stem 节点”），该节点将“持有”该交易一小段时间，然后该交易将进入其第二阶段，即 flull 阶段，在该阶段，它最终将被广播到整个门罗币网络。

这个两步过程确保了发送者的 IP 地址在 stem 阶段被隐藏，而是将 stem 节点的 IP 地址广播到网络。 通过模糊初始交易广播点，Dandelion 提高了门罗币用户的匿名性。

除了无法追踪和无法链接之外，门罗币是一种低费用货币，具有出色的可替代性。

与比特币或其他加密货币不同，由于Coin与犯罪活动相关联，因此可以标记或列入黑名单，而门罗币则彼此无法区分。 由于所有 XMR Coin在外行人看来都是相同的，因此没有交易历史可以“污染”任何门罗币，从而无法将其列入黑名单。

在这种情况下，可替代性是指货币的每个单位都可以互换且与另一个单位无法区分的概念。 为了使货币完全可替代，不应根据Coin的历史或交易细节来区分Coin。 这是门罗币的核心原则之一：每个 XMR Coin与其他Coin完全相同，并且没有交易历史可以“污染”Coin。

所有这些结合起来使门罗币成为那些寻求混淆其资金的人的首选工具。 在区块链取证取得重大进展的时代，尤其如此。

因此，许多加密货币犯罪分子，甚至非加密货币犯罪分子，都发现自己越来越容易受到攻击。 现在可用的复杂跟踪方法正在迅速逼近那些曾经认为自己可以保持匿名的人，由于在透明区块链上留下的痕迹，导致迅速识别和逮捕。

不留下任何可以追踪的痕迹变得至关重要； 从一开始就保持隐身现在是犯罪分子的新安全标准。

虽然长期以来，门罗币一直与 Darknet 相关联，特别是对于勒索软件支付，但研究人员观察到其在犯罪分子中的使用范围更广。 2024 年 1 月，区块链安全公司 Chainalysis 透露，CSAM 供应商已从最近转向提供来自中心化交易所 (CEX) 的门罗币的即时交易所中受益。

来源：Chainalysis

根据 Chainalysis 的数据，这种转变在增强这些交易的安全性方面发挥了关键作用，门罗币的使用使 CSAM 供应商能够在更长的时间内运营而不会被发现。

来源：Chainalysis

尽管门罗币具有强大的隐私功能，并且在 Darknet 生态系统中的使用不断增长，但它在随后的加密货币盗窃案中的洗钱计划中的作用在很大程度上仍然是轶事。 有人可能会期望门罗币成为加密货币罪犯洗钱活动中的关键工具，但事实并非如此。

对于这种明显差异的解释可以在Coin的实际可替代性中找到，或者缺乏实际可替代性。

门罗币在加密货币犯罪环境中的局限性

将门罗币兑换成银行存款的难度增加

它对隐私和抗审查金融交易的承诺使门罗币成为寻求隐私的 Web3 用户以及各行各业犯罪分子的最爱。

它在犯罪分子中的巨大成功已经在门罗币的背后吸引了一个世界级的目标 。 门罗币与 Zcash 等其他 AEC 一起，被标记为隐私币或匿名增强币 (AEC)，面临着监管机构越来越多的审查。

这导致自 2023 年以来，某些交易所未上市、下架或对门罗币交易施加限制，例如币安、Coinbase、火币、Bittrex 以及最近的 Kraken。

禁令不仅限于 CEX，因为在 2024 年 2 月，迪拜宣布计划禁止所有隐私币，步日本、韩国和澳大利亚的后尘，它们在过去几年也这样做了。

这给加密货币罪犯带来了洗钱难题。

大多数加密货币盗窃案涉及数百万甚至数千万美元的加密货币，这些加密货币需要清洗并兑现。 两三年前，加密货币罪犯仍然经常在高调的中心化交易所 (CEX) 兑现，这些交易所提供假名和高流动性。

但是，以监管为主导的范式（以及由此产生的遵守法律的中心化加密货币生态系统）在很大程度上关闭了这条洗钱途径。

除非，当你需要清洗大量资金时，你必须在一个可以在不披露你的身份的情况下兑换成法币的地方进行清洗——这个地方将高流动性与严格的隐私保护结合在一起。

如果你不能通过你使用的渠道正确地隐藏你的资金流，你将很容易被发现——即使在使用混合服务时也是如此，就像朝鲜民主主义人民共和国威胁组织使用 Railgun 的情况一样，我们在本文中对此进行了详尽的讨论：

RailGun：Tornado Cash 的犯罪洗钱天堂的竞争对手？ \ \ Railgun 被 Vitalik Buterin 誉为对监管友好的隐私工具，他甚至自己也使用它。\ \ medium.com

来源：Elliptic

对于希望通过门罗币清洗数百万美元收益的加密货币罪犯来说，不幸的是，他们可以这样做的场所数量正在以惊人的速度减少。

即使是高调、高流动性的 DEX 通常也只提供包装的门罗币 (wXMR)，这完全违背了首先使用门罗币的目的，因为门罗币提供的隐私增强功能会丢失。

如果你在运营安全方面失败——例如，通过使用需要严格 KYC 或收集 IP 地址并可以轻易被传唤的加密货币服务——那么尝试通过门罗币兑现的障碍就没有意义。

如果你在收集你数据的平台上将比特币换成门罗币，那么即使你的门罗币之后变得无法追踪，也为时已晚。

这把我们带到了问题的关键之一。 对执法部门来说幸运的是——对加密货币罪犯来说不幸的是——门罗币擅长一切，除了作为一种投机资产。

与比特币不同，比特币的上限为 2100 万枚，以防止通货膨胀并促进稀缺性（从而促进投机），而门罗币没有固定的供应上限。 它的设计目的是故意制造通货膨胀，以确保矿工持续获得激励来保护网络。

此外，门罗币的主要重点是隐私。 该项目并没有将自己定位为用户友好的大规模采用加密货币，旨在吸引下一个十亿 Web3 用户。 相反，它与受欢迎程度竞赛拉开距离，并在主流人群之外建立自己的声誉。

这意味着门罗币不是一种交易密集型的资产，而且，在大多数传统加密货币交易平台上都无法以其原生形式获得。 因此，当这些平台成为攻击的受害者时，门罗币很少成为被盗资产的一部分。

来源：Coin Market Cap

为了有效地清洗门罗币，理想的设置是从一开始就窃取门罗币，以避免任何跟踪。 这也解释了为什么门罗币在付款直接以门罗币结算的传统犯罪设置中如此成功。

由于事实并非如此，而且即使事实如此，主要问题仍然存在：如今，将大量门罗币直接兑换成法币极其复杂。

存在 P2P 交易所，将在一定程度上尊重你的匿名性，但即使交换“仅” 200 万美元也将证明具有挑战性。 即使是没有强制执行 KYC 的大型平台，通常也会要求用户完成 KYC 才能进行法币提款，即使该平台本身不强制要求交易门罗币以换取稳定币或其他加密货币时进行 KYC。

因此，对于想要使用门罗币来掩盖其踪迹的人来说，唯一的洗钱途径是将被盗货币兑换成门罗币，然后将门罗币兑换成稳定币或比特币，其生态系统更充满兑现前景。

但这里仍然存在一个问题，仍然提供门罗币的中小型据点通常既不能将数百万美元的货币兑换成门罗币，也不能反过来兑换。

即使他们能够做到，一次性将如此多的资金兑换成门罗币也可能会被区块链取证公司和加密货币侦探盯上，他们密切记录大量资金流动，尤其是在强制执行隐私的加密货币服务中。

此外，随着隐私币在加密货币领域越来越不受欢迎，仍在交易它们的实体（通常在抗审查、规避监管的环境中运营）也越来越被定为犯罪，被推到生态系统的边缘，并且在某些情况下，完全被排除在外。

Bybit–eXch.cx 争议完美地说明了这种情况。 eXch.cx 强制执行严格的隐私协议并允许门罗币交换，在 2024 年被 Bybit 列入黑名单，因为它被认为是高风险实体。 与 eXch.cx 交互的用户（无论是为了交换门罗币与否）发现他们无法像以前那样访问 Bybit 或在 Bybit 上进行交易。

当 Bybit 遭到黑客攻击，近 9500 万美元通过 eXch.cx 流入时，紧张局势升级为公开冲突。 在之前被列入黑名单后，eXch.cx 公开嘲笑 Bybit 提出的协助追踪被盗资金的请求。

但是，在洗钱的尽头，你通常绝对需要通过一个允许加密货币到法币交易的实体。 这些实体包括加密货币领域的主要参与者，如前所述，这些参与者越来越遵守法规。 如果与被认为风险较高的实体进行互动威胁到他们，即使是更宽松的平台也可能会阻止他们与这些实体互动。

如果门罗币只能在外围或被列入黑名单的服务上进行交易——这些平台本身正在被切断最终兑现所需的法币入口——那么门罗币如何成为清洗大量资金的可行的独立解决方案？

除非你是一位极其耐心、细致，并且愿意将价值数千万美元的加密货币分解成小批门罗币的加密货币罪犯——然后再次清洗这些批次，将它们兑换成其他资产，并最终通过稀有的法币转换服务非常缓慢地兑现——并且你足够幸运，那些外围平台在此期间不会被列入黑名单，或者不会在你接触它们的那一刻就将你的活动标记为可疑......那么，门罗币似乎并不是清洗大规模加密货币犯罪收益的首选货币。

基本上，你需要清洗的金额越大，门罗币就变得越麻烦——尤其是在需要初始兑换成门罗币的加密货币犯罪环境中。

虽然门罗币对于涉及可管理金额的直接犯罪交易仍然有用，但即使是这些途径也受到威胁。 剩下的法币退出匝道完全将门罗币和其他隐私币列入黑名单可能只是时间问题。

到那时，仅仅持有门罗币就可能会引起警觉，使得犯罪分子比以往任何时候都更难在加密货币领域内运营。

门罗币隐私的局限性

除了通过门罗币进行洗钱的可替代性限制外，门罗币为其用户提供的隐私保护本身已经并且可能会受到威胁。

Chainalysis、执法部门、中毒节点和诱饵输出

对门罗币隐私的最大威胁来自 Chainalysis，这是一家与执法部门密切合作的区块链取证公司。

值得注意的是，在 2020 年，美国政府向 Chainalysis 授予了一份合同，作为 625,000 美元赏金的一部分，以开发门罗币追踪技术，主要侧重于追踪入口和出口点的交易，而不是完全对网络进行去匿名化。

2021 年，Coindesk 透露, Chainalysis 使用非常规方法来收集刑事调查线索，其中一种是运营 Walletexplorer.com，这是一个秘密记录用户 IP 地址的 blockchain explorer。

据报道，这种技术有效地将与犯罪活动相关的加密货币交易与在研究交易时不知不觉地暴露了自己身份的用户联系起来，从而为执法部门提供了“有意义的线索”。 Chainalysis 还表示，它可以对已知的 IP 地址执行反向查找以识别相关的比特币地址。

Chainalysis 使用的另一种方法是跨比特币和门罗币网络的数据和 IP 收集。 他们声称他们能够对门罗币交易进行解混，以至于他们可以“在大约 65% 的涉及门罗币的案件中向执法部门提供可用的线索”。

Chainalysis 通过运营验证交易的节点来收集比特币用户数据。 这使他们能够捕获 SPV 钱包的数据泄漏，这些钱包优先考虑便利性而不是安全性。 当用户将其钱包连接到网络时，他们的 IP 地址、钱包地址（无论是使用过的还是未使用的）和钱包软件版本都可能暴露。

虽然 Chainalysis 尚未详细说明他们在门罗币上的 IP 收集方法，但当时人们普遍猜测他们也必须运营自己的门罗币节点来收集类似的数据。

门罗币 Pre-Dandelion 和有毒的门罗币节点示意图——NEFTURE

2024 年 9 月的一次泄露揭示了 Chainalysis 2023 年的一份演示文稿，详细介绍了他们的服务如何跟踪使用门罗币的罪犯。 在视频中，Chainalysis 解释说他们运行多个门罗币节点，基于这些节点在涉及他们展示的哥伦比亚犯罪集团的真实用例中出现的频率，这是一个重要的数字。

泄露的信息还表明，Chainalysis 通过使用公共节点 node.moneroworld.com 收集 IP 地址来收集来自流行门罗币钱包的交易数据。 此节点被列为几个广泛使用的钱包中的默认节点，从而使 Chainalysis 能够大量访问门罗币网络。

除了从不知不觉地通过 Chainalysis 运营的节点广播其交易的用户那里收集 IP 地址外，该公司还可以通过连接到门罗币节点来跟踪钱包上次使用的时间。 此信息可以链接到暗网市场上的交易——比如注意到供应商的库存下降，这可能表明有销售。

此外，试图在不使用 VPN 或运行自己的节点的情况下避免 Chainalysis 跟踪的门罗币用户——通过依赖暗网上托管的门罗币节点或清洁网上的未受污染的节点——运气不佳。 Monero.fail 是一个以前列出据称在网络、Onion 和 I2P 网络上安全的门罗币节点的平台，已经放弃了。

在其主页上，现在出现了一个警告，警告门罗币用户，由于“Chainalysis 和政府机构托管的大量恶意节点监视门罗币用户”，其列表上的节点应被视为已泄露。

来源：Monero.fail

在此之前，YouTube 上发布了一个名为 “门罗币用户如何被追踪” 的研究视频，其中深入探讨了 Chainalysis 对门罗币节点所谓的劫持和广泛部署。 在视频中，技术研究员 Mental Outlaw 还解释说，Chainalysis 可能会在 Onion 网络上运行门罗币节点——尽管这被认为不太可能，因为他们无法在该环境中收集 IP 地址。

全球对 Chainalysis 渗透门罗币网络的反应是始终使用 VPN、Tor，并且理想情况下，在采取必要的 OPSEC 步骤安全地执行此操作后运行自己的门罗币节点。

来源：Reddit

但是 Chainalysis 的策略不仅仅是简单地收集 IP 地址。

他们的视频显示，他们使用费用结构来识别用户行为，通过应用“各种启发式方法来排除以前以更高的置信度花费的地址”来删除输出诱饵，并通过分析 cospend（来自感兴趣交易的具有多个输入的交易，这些输入作为 Chainalysis 的共同控制指标）来跟踪资金。

几位门罗币研究人员声称，Chainalysis、其他区块链取证公司和执法机构正在使用有毒的诱饵输出来跟踪门罗币用户。 这些实体向钱包发送小的、受污染的交易（称为“加密货币除尘”），目的是对钱包所有者进行去匿名化。 如果用户在不知情的情况下花费这些受污染的输出，则可以高度确信地跟踪他们的活动。

Monero.fail 的创建者解释说，他们的钱包是几个小的受污染的 UTXO 的目标。 如果他们从此钱包花费门罗币并在收集用户数据的平台上兑现，则这些附加数据可以将交易链接回他们。 通过拼凑这些信息，他们的身份可能会被揭露。

还有人声称，区块链分析公司可能会大量创建虚假的诱饵输出，以增加它们被纳入门罗币的 16 签名环中的可能性。 这实际上减少了要从环中消除的诱饵输出池，从而更容易追踪发起交易的人的真实身份。

Chainalysis 的演示视频中展示的哥伦比亚用例尤其引人注目。 他们的节点不仅被犯罪集团多次使用，而且在许多情况下，大部分（如果不是全部）的诱饵输出都被消除了，这使他们能够识别真正的发送者。 他们广泛的数据收集使得这一点成为可能，因为他们需要“学习如何删除这些诱饵以执行实际的跟踪”。

在这种情况下，通过组合刚刚共享的大部分门罗币解混策略，他们能够识别出哥伦比亚卡特尔使用的一个关键 IP 地址。 这一发现发生在判断失误之后，负责发送资金的个人忘记使用 VPN。

尽管取得了这些令人印象深刻的成就，但自 2020 年底将 Dandelion++ 引入网络以来，Chainalysis 在跟踪门罗币交易方面遇到了重大挑战。

2023 年提出的哥伦比亚案例实际上可以追溯到 2020 年，证据和 IP 地址是在实施 Dandelion++ 之前收集的。

如前所述，Dandelion++ 在增强门罗币网络内的隐私方面发挥了关键作用。 通过将交易通过一组随机节点（“stem”）路由，然后再将它们发送到一组较小的节点（“fluff”）进行广播，Dandelion++ 使跟踪发送者的 IP 地址变得更加困难，从而有效地掩盖了来源。

在 Chainalysis 视频中，反复强调自 Dandelion++ 推出以来，通过此类服务观察 IP 地址的能力已大大降低。

他们区分了 “Dandelion 前时代” 和 “Dandelion 后时代”，Chainalysis 提供的 Dandelion 后 IP 地址被认为是 “非常，非常弱”，并且对其准确性提供了 “非常低的信心”。

IP 地址映射对 Dandelion++ 下的 Chainalysis 提出了挑战。 但是，如果在 stem 阶段的中继节点由 Chainalysis 控制，则发送者的 IP 地址可能会暴露。 在此阶段，交易将发送到随机选择的 stem 节点，该节点将其转发到另一个节点。 交易的匿名性取决于 stem 节点是否将其与发送者关联。

但是，如果 stem 节点由 Chainalysis 或另一方等实体控制，则如果发送者没有采取先发制人的措施来隐藏它，则发送者的 IP 可能会暴露。

除了受到区块链分析公司和执法部门的密切关注外，门罗币用户还必须面对夏娃-Alice-夏娃攻击的风险。

夏娃-Alice-夏娃 (EAE) 攻击

2023 年，门罗币基金资助了 Nathan Borggren 博士的工作，以研究 EAE 攻击，因为它 “多年来一直是门罗币研究实验室关注的问题”。 但是，关于如何最好地保护用户免受 EAE 攻击的答案尚未找到。

EAE 攻击的目标是门罗币使用的环签名机制，以混淆交易中发送者的身份。

如前所述，当进行交易时，门罗币会将你的输出与其他输出混合，因此很难知道实际花费的是哪一个。 通过夏娃-Alice-夏娃攻击，应该保护用户隐私的正是可以用来揭示其身份的。

EAE 攻击的机制

EAE 攻击的核心包括与门罗币区块链中的目标进行协调交互，其中夏娃通过向Alice发送门罗币或诱导她向夏娃发送门罗币（例如，通过经济激励或交易所运营）来与Alice进行交易。 当夏娃重复执行这些交互时，记录元数据并在生成的环签名上执行时空分析，真正的威胁就会出现。

从 Borggren 的研究中，我们了解到 mixin 不是独立的。

随着时间的推移，通过观察许多交易及其诱饵，特别是如果夏娃控制或影响交易时间，就可以使用概率推理来识别真正的输入。 夏娃可以通过观察交易的演变并在拓扑上分析哪些输出在统计上更可能是真正的支出来探测Alice周围的图。

当夏娃运营托管交易所或监视服务时，这种威胁会被放大，因为她可以访问有关哪些输出在特定交易中是真实还是虚假的 “地面真相” 信息。

EAE (Eve-Alice-Eve) 攻击门罗币示意图——来源：门罗币社区工作组

一种称为 EABE 攻击（交易所-Alice-Bob-交易所）的变体尤其危险：夏娃运营一个交易所，Alice从中提取资金，Bob从中存入资金。 通过将链上数据与内部交易所记录进行比较，夏娃可以匹配输入-输出对，从而创建一个破坏隐私的封闭监视环。

缓解策略

Borggren 的报告提供了对当前和提议的防御措施的重要见解。 搅动涉及用户将他们的资金发送回给自己，通常跨多个交易，以创建新的环成员并混淆交易链接。

虽然历史上一直推荐这样做，但 Borggren 强调，只有在避免不常见的交易模式时，搅动才有效。 例如，在收到资金后直接搅动或使用少量资金实际上可能会加强攻击信号，因为攻击者可以建模和模拟幼稚的搅动并相应地调整其统计模型。

门罗币已经改进了诱饵选择算法，以使 mixin 更加合理，例如从模仿实际花费时间的分布中采样诱饵。 虽然这有所帮助，但该报告警告说，如果用户在交易方式上不小心，攻击者仍然可以利用长期模式和用户行为。

门罗币将其默认环大小增加到 11，后来又增加到 16，这加强了基线隐私。 Borggren 建议进一步增加可能是有益的，但前提是它与更强大的统计混淆相结合，因为攻击者仍然可以通过足够的观察和计算资源取得成功。

门罗币社区长期以来一直倡导引入全链成员资格证明 (FCMP) 来替代环签名。 FCMP 旨在证明花费的输出是链上任何输出的一部分，这将极大地扩展匿名集，从一小组诱饵（如 15 个）到更大的一组，可能包括区块链上的所有输出。 2023 年和 2024 年提交的两项提案处于启动阶段。

FCMP 的成功实施可能会使门罗币实际上坚不可摧。

结论

截至今天，门罗币作为洗钱工具的潜力在某些犯罪环境中可能是一个令人难以置信的福音，但在其他环境中则是一个可怕的障碍。

如果加密货币领域继续将隐私货币和隐私增强协议以及参与其中的参与者定型为犯罪，那么兑换成法币可能会变得越来越复杂，需要门罗币用户导航无限的障碍和循环。 这可能会阻止其更广泛的使用，尤其是在洗钱过程中。

此外，如果罪犯未能采取适当的 OPSEC 预防措施，他们可能会暴露自己。 正如我们所看到的，在使用门罗币来防止数据泄露和识别方面并非万无一失，Chainalysis 哥伦比亚卡特尔就是证明。 2024 年的一个案例进一步证实了这一点，当时芬兰政府宣布他们通过 “追踪他的门罗币交易” 抓获了一名罪犯，而事实上，对该案件的仔细检查揭示了一个关键的 OPSEC 错误，最终导致了他的身份暴露。

门罗币是堡垒的神话可能会导致用户对他们的隐私感到比实际更安全，从而导致他们忽略其他保护措施。

这种自满最终可能会将门罗币的使用变成一个意外的陷阱。

关于我们

Nefture 是一个 Web3 实时安全和风险防范平台，可检测链上漏洞并保护数字资产、协议和资产管理人免受重大损失或威胁。

Nefture 的核心服务包括 实时交易安全 和一个 威胁监控平台，该平台提供准确的漏洞检测和完全自定义的警报，涵盖数百种风险类型，并在 DeFi 方面拥有清晰的专业知识。

今天，Nefture 自豪地与领先的项目和资产管理人合作，为他们提供无与伦比的安全解决方案。

预约演示 🤝

• 原文链接： medium.com/coinmonks/mon...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～