Lo que el ataque revela es el hecho de poder establecer la trazabilidad de quién envía a quién, pero no cuánto. El cuánto, por lo que indica el autor, está encriptado mediante criptografía basada en curvas elípticas. El quién no es una derivación inmediata, pero de la misma manera que sucede con el blockchain de BTC, uno puede seguir la traza de los movimientos (a través de este ataque) y determinar qué dirección envió a qué otra dirección a través del ataque del autor (se supone que el set de UTXOs utilizado debería hacer preservar el anonimato por completo).
Luego es cuestión de poder (o no) ligar estas direcciones a personas físicas (por ejemplo, si el origen es desde un Exchange con KYC).

El artículo en Medium detalla el proceso (https://medium.com/dragonfly-research/breaking-mimblewimble-privacy-model-84bcd67bfe52). Y la contra: https://medium.com/grin-mimblewimble/factual-inaccuracies-of-breaking-mimblewimbles-privacy-model-8063371839b9