Apa yang boleh kita pelajari daripada mempelajari hacks? Mendedahkan cerapan tentang privasi dan pergerakan mata wang kripto selepas penggodaman DAO 2016

Istilah cryptocurrency hampir menjadi sinonim dengan penggodaman. Nampaknya seolah-olah setiap minggu terdapat penggodaman besar yang memukau mata di bursa, dompet pengguna individu, kontrak pintar, dan blok blok awam tempat mereka duduk. Dalam kebanyakan kes, vektor serangan adalah jelas apabila dilihat semula: kod tidak diuji, proses dalaman untuk mencegah pancingan data tidak wujud, piawaian kod asas tidak diikuti, dsb. Mengkaji penggodaman itu sendiri selalunya tidak akan memperoleh banyak maklumat menarik bagi mereka yang sudah biasa dengannya. amalan keselamatan asas. 

Tetapi setiap penggodaman kripto mempunyai dua komponen utama — terdapat penggodaman itu sendiri, dan kemudian metodologi yang digunakan oleh penggodam dan kohort mereka cuba untuk mengeluarkan rompakan yang dicuri mereka. Bagi penyokong privasi, percubaan yang dibuat untuk menamakan dana ini adalah kajian kes yang menarik dalam tahap ketanpanamaan yang boleh dicapai dalam rangkaian blockchain awam.

Oleh kerana dana itu dijejaki rapat oleh agensi kerajaan dan entiti korporat yang tersusun dan dibiayai dengan baik, mereka memberi peluang kepada masyarakat untuk melihat keberkesanan pelbagai dompet privasi yang terlibat. Jika penggodam ini tidak boleh kekal peribadi, apakah kemungkinan pengguna biasa yang mencari privasi dalam rangkaian awam akan dapat mencapainya? 

Hack DAO 2016, kes yang boleh dicontohi

Apabila mengkaji penggodaman ini dan penangkapan seterusnya, menjadi jelas bahawa dalam kebanyakan kes, penggodam membuat kesilapan penting apabila cuba untuk menamakan mata wang kripto mereka. Dalam sesetengah kes, kegagalan adalah disebabkan oleh kesilapan pengguna yang mudah. Dalam kes lain, ia disebabkan oleh pepijat dalam perisian dompet yang mereka gunakan atau salah langkah lain yang kurang jelas dalam laluan untuk menukar mata wang kripto kepada aset dunia sebenar. 

Baru-baru ini, kes yang sangat menarik, penggodaman DAO 2016, mempunyai perkembangan yang ketara — penyiasatan Artikel Forbes diterbitkan yang mengenal pasti penggodam yang didakwa. Proses di mana orang ini dikenal pasti menawarkan beberapa cerapan tentang dompet privasi yang digunakan secara meluas, Wasabi Wallet, dan cara penggunaan perisian yang tidak betul boleh membawa kepada "penyahcampuran" dana penggodam yang didakwa. 

Kesilapan kritikal telah dilakukan

Bagi susunan operasi, langkah pertama penggodam adalah menukar beberapa dana yang dicuri daripada Ethereum Classic kepada Bitcoin. Penggodam menggunakan Shapeshift untuk menukar melaksanakan pertukaran, yang pada masa itu menyediakan rekod awam penuh semua dagangan di platform. Daripada Shapeshift, beberapa dana dipindahkan ke Wasabi Wallet. Dari sini, keadaan menurun.  

Bagi mereka yang tidak dikenali, CoinJoin ialah nama untuk protokol pembinaan urus niaga khas yang membolehkan berbilang pihak mengagregatkan dana mereka ke dalam urus niaga besar dengan matlamat untuk memutuskan hubungan antara dana yang mengalir ke CoinJoin dan dana yang mengalir keluar daripada CoinJoin.

Daripada transaksi yang mempunyai satu pembayar dan penerima, transaksi CoinJoin mempunyai berbilang pembayar dan penerima. Katakan sebagai contoh anda mempunyai CoinJoin dengan 10 peserta — jika CoinJoin dibina dengan betul dan semua peraturan interaksi dipatuhi dengan betul, dana yang mengalir keluar daripada CoinJoin akan mempunyai set anonimiti 10. iaitu mana-mana satu daripada 10 “output campuran ” daripada urus niaga itu boleh menjadi milik mana-mana satu daripada 10 (atau lebih) “input tidak bercampur” kepada urus niaga. 

Walaupun CoinJoins boleh menjadi alat yang sangat berkuasa, terdapat banyak peluang untuk peserta membuat kesilapan kritikal yang secara ketara merendahkan atau menjejaskan sepenuhnya sebarang privasi yang mungkin mereka perolehi daripada CoinJoin. Dalam kes penggodam DAO yang didakwa, kesilapan sedemikian telah dilakukan. Seperti yang anda akan baca seterusnya, terdapat kemungkinan pepijat ini adalah ralat pengguna, namun, kemungkinan juga terdapat pepijat (sejak diperbaiki) dalam Wasabi Wallet yang membawa kepada kegagalan privasi ini. 

Wasabi Wallet menggunakan Protokol ZeroLink, yang membina CoinJoins dengan keluaran bercampur dengan nilai yang sama. Maksudnya, semua pengguna dikehendaki mencampurkan hanya jumlah Bitcoin yang ditentukan dan telah ditetapkan. Sebarang nilai melebihi jumlah yang masuk ke dalam CoinJoin mesti dikembalikan sebagai Bitcoin tidak bercampur kepada pengguna masing-masing.

Jika contohnya Alice mempunyai satu output Bitcoin .15, dan CoinJoin hanya menerima output bernilai .1 Bitcoin, apabila selesai CoinJoin, Alice akan mempunyai output Bitcoin campuran .1 dan output Bitcoin tidak bercampur sebanyak .05. Bitcoin .05 dianggap "tidak bercampur" kerana ia boleh dikaitkan dengan keluaran asal Alice sebanyak .15. Output bercampur tidak boleh dipautkan terus kepada input lagi, dan akan mempunyai set anonimiti yang terdiri daripada semua peserta lain dalam CoinJoin. 

Untuk mengekalkan privasi CoinJoin, adalah penting bahawa output bercampur dan tidak bercampur tidak pernah dikaitkan antara satu sama lain. Sekiranya mereka secara tidak sengaja diagregatkan pada blockchain bitcoin dalam satu atau set transaksi, pemerhati boleh menggunakan maklumat tersebut untuk mengesan keluaran bercampur kembali ke sumber mereka. 

Dalam kes penggodam DAO, nampaknya dalam proses menggunakan Wasabi Wallet, mereka menggunakan satu alamat dalam berbilang CoinJoins; dalam satu kes alamat digunakan sebagai keluaran perubahan tidak bercampur, dalam kes kedua ia digunakan sebagai keluaran bercampur.

Ini adalah kesilapan yang agak luar biasa dalam konteks CoinJoin kerana teknik rasa bersalah demi persatuan ini memerlukan transaksi hiliran CoinJoins untuk "menggabungkan" output tidak bercampur dan bercampur, menghubungkannya bersama. Tetapi dalam kes ini, tiada urus niaga di luar dua CoinJoins diperlukan untuk dianalisis kerana alamat yang sama digunakan dalam cara yang bercanggah merentas dua CoinJoins yang berasingan. 

Pada asasnya, kemungkinan ini wujud kerana keputusan reka bentuk dalam perisian Wasabi Wallet: Wasabi Wallet menggunakan laluan terbitan tunggal untuk keluaran bercampur dan tidak bercampur. Ini dipertimbangkan amalan buruk. Ia telah dinyatakan oleh pekerja Wasabi bahawa ini adalah untuk menjadikan pemulihan dompet serasi dengan dompet lain, bagaimanapun, BIP84 (iaitu skema terbitan Wasabi Wallet menggunakan) mempunyai cara standard untuk mengenali laluan terbitan yang ditetapkan untuk menukar output.

Kegagalan yang terhasil daripada pilihan reka bentuk ini paling ketara dilihat apabila pengguna mempunyai dua contoh Wasabi Wallet berjalan pada masa yang sama semasa menggunakan benih yang sama. Dalam senario ini, kedua-dua keadaan boleh memilih alamat yang sama dengan cara yang bercanggah ini apabila cuba menjalankan campuran dari setiap kejadian secara serentak. Ini diberi amaran terhadap dalam dokumentasi rasmi. Mungkin juga pepijat yang diketahui dalam Dompet Wasabi adalah penyebabnya.

Pengambilan dan kesimpulan

Jadi apa yang kita pelajari daripada ini? Walaupun pepijat dengan Wasabi ini bukanlah penghujung cerita, ia bertindak sebagai komponen penting dalam menjejaki penggodam yang didakwa. Sekali lagi, kepercayaan kami bahawa privasi adalah sukar disahkan semula. Tetapi secara praktikalnya, kami mempunyai satu lagi contoh tentang kepentingan mencegah pencemaran output apabila menggunakan alat privasi, dan betapa "kawalan syiling" berhati-hati diperlukan oleh pengguna dan perisian. Persoalannya, apakah jenis protokol privasi yang direka untuk meminimumkan kelas serangan ini? 

Satu penyelesaian yang menarik ialah CoinSwap, di mana bukannya menggabungkan output ke dalam transaksi besar, anda menukar output dengan pengguna lain. Dengan cara ini anda menukar sejarah syiling, bukan menyertai sejarah syiling. Lebih hebat lagi, jika CoinSwap dilakukan dalam konteks luar rantaian (seperti yang dilaksanakan oleh Mercury Wallet), tiada output perubahan tidak bercampur untuk ditangani sama sekali. 

Walaupun terdapat kemungkinan ralat pengguna yang boleh menyebabkan CoinSwap "dinyah-tukar", ralat ini boleh dikatakan lebih jelas kepada pengguna akhir kerana sebarang gabungan output dengan cara yang melanggar privasi hanya boleh dilakukan dengan mencampurkan secara eksplisit menukar output dengan satu yang belum ditukar, berbanding dengan menggabungkan dua output yang telah melalui CoinJoin, hanya satu yang sebenarnya bercampur.

Dompet Merkuri kini merupakan satu-satunya kemudahan CoinSwap luar rantaian yang tersedia untuk pengguna akhir. Ia membenarkan pengguna mengunci syiling mereka ke dalam protokol lapisan dua (dikenali sebagai rantai negeri) dan kemudian menukar output mereka secara membuta tuli dengan pengguna rantai negeri yang lain. Ia merupakan teknik yang sangat menarik dan patut dicuba untuk mereka yang berminat untuk meneroka alat privasi baru dengan fungsi yang menarik dan pertukaran yang boleh diterima.