Oletko paljastunut? Kuinka Chainalysis mursi Wasabi Bitcoin -tietosuojalompakon

Vaikka Bitcoin-verkko on pysyvä avoin tapahtumarekisteri, monet kolmannet osapuolet ovat rakentaneet sen päälle tietosuojatoiminnallisuuden. Yksi tällainen palvelu on Wasabi Lompakko, joka käyttää mikseriprotokollaa, Tor-integraatiota ja on vapaasti käytettävä ja avoimen lähdekoodin.

Mikserit toimivat "sekoittamalla" tapahtumatuloja ja -ulostuloja yhteen, joten lähettäjien ja vastaanottajien välinen suhde ei ole selvä. Näin ollen tietynlainen anonyymiys saadaan aikaan vaikeuttamalla varojen kulkua.

Äskettäin julkaistussa kirjassaan Cryptopians, joka kertoo toimittajan Ethereumin alkuajoista Laura Shin väittää, että Wasabi Wallet oli heikko lenkki, minkä seurauksena lohkoketjun data-analyysiyritys Chainalysis jäljitti vuoden 2016 DAO-hakkeroinnin varastetut varat.

Kuinka hakkerit käyttivät DAO:ta hyväkseen?

Hajautetut autonomiset organisaatiot (DAO) viittaavat hajautettuun rahastoon, jossa merkin haltijat säätelevät sen hallinnointia ehdotusten ja äänestämisen kautta. Ei ole hierarkkista rakennetta, vain haltijat tekevät päätöksiä älykkäillä sopimuksilla.

Ensimmäinen luotu DAO kutsuttiin DAO ja perustanut Slock.it, jonka Blockchains LLC osti vuonna kesäkuu 2019.

Se käynnistettiin vuonna 2015 kerätäkseen varoja Web3.0-projekteihin ja startup-yrityksiin. Ensimmäisenä laatuaan siitä tuli hitti, joka houkutteli 12 miljoonan ETH:n investointeja (150 miljoonaa dollaria silloin, mutta 30.2 miljardia dollaria nykyään).

Hyökkääjät onnistuivat kuitenkin hyödyntämään a rekursiivisen puhelun haavoittuvuus, mikä tarkoittaa, että he voivat nostaa varoja ilman, että nosto näkyy tilin saldossa. Tämän ansiosta hakkerit pystyivät käynnistämään nostosilmukan loputtomiin, mikä johti 3.6 miljoonan ETH:n tappioon (50 miljoonaa dollaria tuolloin, mutta 9 miljardia dollaria nykyään).

Osa varastetuista varoista lähetettiin Wasabi-lompakkoon pestäväksi. Mutta virhe protokolla-asetuksissa tarkoitti, että Chainalysis saattoi deanonymisoida sekoittimen toiminnot käyttämällä avoimen lähdekoodin menetelmiä.

Kuinka Chainalysis "rikkoi" Bitcoinin yksityisyyden Wasabi Walletin?

Shin väittää, että tämä oli mahdollista, koska Wasabi Wallet ei pystynyt täysin toteuttamaan ZeroLink-protokollaa.

ZeroLink väittää anonymisoivansa Bitcoin-tapahtumat täysin nimettömänä käyttämällä määriteltyä esisekoitus- ja jälkisekoitustekniikkaa. Esisekoitustoimintojen sanotaan olevan helppo toteuttaa "ilman paljon ylimääräisiä kustannuksia". Post-mix-toiminnon lisääminen lompakkoon oli kuitenkin kokonaan monimutkaisempi asia.

"Post-mix-lompakoilla on toisaalta tiukat tietosuojavaatimukset kolikoiden valinnan, yksityisten tapahtumien ja saldon hakemisen, tapahtumasyötteiden ja tulosten indeksoinnin ja lähetyksen suhteen."

Sen sijaan se on väitti että Wasabi Wallet valitsi "peel chain" -menetelmän, joka tarjoaa vähemmän suojaa, minkä seurauksena Chainalysis pystyi jäljittämään DAO-hakkeroinnin tapahtumia.

Hauska seikka. Wasabi? ei ole koskaan ottanut käyttöön ZeroLinkkiä. He eivät olleet lähelläkään sitä. Nopara pudotti pallon varhain ja meni helpompaan: kuorintaketjuun. Ketjuanalyysi kiertää Wasabia?. pic.twitter.com/bLmyDt7qip

— TDevD [Ei KYC:tä, ei ehtoja, ei ?] (@SamouraiDev) Helmikuu 23, 2022

Sellaisenaan Chainalysis ei "rikkonut" Bitcoinia sellaisenaan, vaan hyödynsi vain huolimatonta integraatiota.

Siitä huolimatta on yhä enemmän kerrottu, että taloudellinen yksityisyys, sellaisena kuin se liittyy kryptovaluuttaan, on jotenkin väärin. Vaikka on totta, että suurin osa kryptotransaktioista on ylivoimaista, se ei ole estänyt viranomaisia ​​noudattamasta yhä tiukempia käytäntöjä.