Čo sa môžeme naučiť štúdiom hackov? Odhalenie poznatkov o súkromí a pohyboch kryptomien po hacknutí DAO 2016

Pojem kryptomena sa takmer stal synonymom pre hackovanie. Zdá sa, že každý týždeň sa vyskytnú neskutočne veľké hacky na burzách, v peňaženkách jednotlivých používateľov, inteligentných zmluvách a verejných blockchainoch, na ktorých sedia. V mnohých prípadoch sú vektory útoku pri spätnom pohľade zrejmé: kód nebol otestovaný, interné procesy na zabránenie phishingu neexistovali, základné kódové štandardy neboli dodržané atď. Štúdium samotných hackov často nezíska veľa zaujímavých informácií pre tých, ktorí sú s nimi už oboznámení. základné bezpečnostné postupy. 

Ale každý kryptografický hack má dve primárne zložky – je tu samotný hack a potom metodológie, pomocou ktorých sa hacker a ich kohorty pokúšajú vyplatiť svoju ukradnutú korisť. Pre zástancov súkromia sú pokusy o anonymizáciu týchto fondov zaujímavými prípadovými štúdiami v úrovniach anonymity dosiahnuteľnej vo verejných blockchainových sieťach.

Keďže fondy pozorne sledujú vysoko organizované a dobre financované vládne agentúry a korporátne subjekty, poskytujú komunite príležitosť sledovať účinnosť rôznych zahrnutých peňaženiek na ochranu osobných údajov. Ak títo hackeri nedokážu zostať v súkromí, aká je šanca, že priemerní používatelia hľadajúci súkromie vo verejných sieťach to dokážu dosiahnuť? 

Hack DAO 2016, ukážkový prípad

Pri štúdiu týchto hackov a následných zatknutí je jasné, že vo väčšine prípadov hackeri robia zásadné chyby pri pokuse o anonymizáciu svojej kryptomeny. V niektorých prípadoch sú chyby spôsobené jednoduchými chybami používateľa. V iných prípadoch sú spôsobené chybami v softvéri peňaženky, ktorý používali, alebo inými menej ako očividnými chybnými krokmi na ceste ku konverzii kryptomeny na skutočné aktíva. 

Nedávno obzvlášť zaujímavý prípad, hacknutie DAO z roku 2016, zaznamenal významný vývoj — investigatívny Článok Forbes bol zverejnený, ktorý identifikuje údajného hackera. Proces, ktorým bola táto osoba identifikovaná, ponúka určité informácie o široko využívanej peňaženke na ochranu osobných údajov Wasabi Wallet a o tom, ako môže nesprávne používanie softvéru viesť k „rozmixovaniu“ finančných prostriedkov údajného hackera. 

Urobili sa kritické chyby

Čo sa týka poradia operácií, prvým krokom hackera bolo previesť časť ich ukradnutých prostriedkov z Ethereum Classic na bitcoiny. Hacker použil Shapeshift na vykonanie výmeny, ktorá v tom čase poskytovala úplný verejný záznam všetkých obchodov na platforme. Zo Shapeshift sa časť prostriedkov presunula do Wasabi Wallet. Odtiaľ to ide dole vodou.  

Pre tých, ktorí nie sú oboznámení, CoinJoin je prezývka pre špeciálny protokol na vytváranie transakcií, ktorý umožňuje viacerým stranám agregovať svoje prostriedky do veľkej transakcie s cieľom prerušiť spojenie medzi finančnými prostriedkami prúdiacimi do CoinJoin a prostriedkami prúdiacimi z CoinJoin.

Namiesto transakcie s jedným platiteľom a príjemcom má transakcia CoinJoin viacero platiteľov a príjemcov. Povedzme napríklad, že máte CoinJoin s 10 účastníkmi — ak je CoinJoin správne zostavený a všetky pravidlá interakcie sú správne dodržané, finančné prostriedky, ktoré vytečú z CoinJoinu, budú mať nastavenú anonymitu 10. tj ktorýkoľvek z 10 “zmiešaných výstupov “ z transakcie môže patriť do ktoréhokoľvek z 10 (alebo viacerých) „nezmiešaných vstupov“ do transakcie. 

Zatiaľ čo CoinJoins môžu byť veľmi mocným nástrojom, existuje veľa príležitostí pre účastníkov urobiť kritické chyby, ktoré výrazne zhoršia alebo úplne podkopú akékoľvek súkromie, ktoré mohli vďaka CoinJoin získať. V prípade údajného hackera DAO k takejto chybe došlo. Ako sa dočítate ďalej, je možné, že táto chyba bola chybou používateľa, je však tiež možné, že sa vyskytla (od opravená) chyba vo Wasabi Wallet, ktorá viedla k tomuto zlyhaniu ochrany osobných údajov. 

Wasabi Wallet používa Protokol ZeroLink, ktorý vytvára CoinJoins so zmiešanými výstupmi rovnakej hodnoty. To znamená, že všetci používatelia sú povinní miešať iba určené, vopred určené množstvo bitcoínov. Akákoľvek hodnota presahujúca túto sumu, ktorá ide do CoinJoin, sa musí príslušným používateľom vrátiť ako nezmiešané bitcoiny.

Ak má napríklad Alice jeden výstup 15 bitcoinu a CoinJoin akceptuje iba výstupy v hodnote 1 bitcoinu, po dokončení CoinJoinu bude mať Alice zmiešaný výstup 1 bitcoinu a nezmiešaný ,05 bitcoin. 05 bitcoin sa považuje za „nezmiešaný“, pretože môže byť spojený s pôvodným výstupom Alice 15. Zmiešaný výstup už nemožno priamo prepojiť so vstupom a bude mať nastavenú anonymitu, ktorá pozostáva zo všetkých ostatných účastníkov CoinJoinu. 

Pre zachovanie súkromia CoinJoin je nevyhnutné, aby zmiešané a nezmiešané výstupy neboli nikdy navzájom spojené. V prípade, že sú náhodne agregované na bitcoinovom blockchaine v jednej transakcii alebo skupine transakcií, pozorovateľ môže tieto informácie použiť na sledovanie zmiešaných výstupov späť k ich zdroju. 

V prípade hackera DAO sa zdá, že v procese používania Wasabi Wallet použili jednu adresu vo viacerých CoinJoinoch; v jednom prípade adresa bol použitý ako nezmiešaný zmenový výstup, v druhom prípade bol použitý ako zmiešaný výstup.

Toto je relatívne neobvyklá chyba v kontexte CoinJoin, pretože táto technika viny-by-association vyžaduje transakciu za CoinJoins, aby sa „zlúčili“ nezmiešané a zmiešané výstupy a spojili sa. V tomto prípade však nebolo potrebné analyzovať žiadne transakcie nad rámec dvoch CoinJoinov, pretože rovnaká adresa bola použitá v konfliktných spôsoboch v dvoch samostatných CoinJoinoch. 

Táto možnosť v zásade existuje z dôvodu rozhodnutia o dizajne v softvéri Wasabi Wallet: Wasabi Wallet používa jedinú cestu odvodenia pre zmiešané aj nezmiešané výstupy. Toto sa zvažuje zlá prax. Zamestnanec Wasabi uviedol, že to malo urobiť obnovu peňaženky kompatibilnou s inými peňaženkami, avšak BIP84 (čo je odvodzovacia schéma Wasabi Wallet používa) má štandardný spôsob rozpoznávania derivačnej cesty priradenej k zmene výstupov.

Zlyhania vyplývajúce z tohto výberu dizajnu sú najvýraznejšie viditeľné, keď má používateľ súčasne spustené dve inštancie Wasabi Wallet pri použití rovnakého zdroja. V tomto scenári by bolo možné, aby dve inštancie vybrali rovnakú adresu týmto konfliktným spôsobom, keď sa súčasne pokúšajú spustiť mix z každej inštancie. Pred týmto sa varuje v oficiálna dokumentácia. Je tiež možné, že na vine boli známe chyby vo Wasabi Wallet.

Postrehy a závery

Čo sa z toho teda učíme? Aj keď táto chyba s Wasabi nie je úplným koncom príbehu, fungovala ako kľúčová súčasť pri vypátraní údajného hackera. Opäť sa potvrdzuje naše presvedčenie, že súkromie je ťažké. V praxi však máme ďalší príklad dôležitosti predchádzania kontaminácii výstupov pri používaní nástrojov na ochranu osobných údajov a toho, ako starostlivú „kontrolu mincí“ vyžadujú používatelia aj softvér. Otázkou je, aké protokoly na ochranu osobných údajov sú navrhnuté tak, aby minimalizovali túto triedu útokov? 

Jedným zaujímavým riešením je CoinSwap, kde namiesto zlúčenia výstupov do veľkej transakcie vymeníte výstupy s iným používateľom. Týmto spôsobom vymieňate históriu mincí, nespájate históriu mincí. Čo je ešte účinnejšie, ak sa CoinSwap vykonáva mimo reťazec (ako je implementovaný Mercury Wallet), neexistujú žiadne nezmiešané výstupy zmien, s ktorými by sa bolo treba zaoberať. 

Aj keď existujú možné chyby používateľa, ktoré môžu spôsobiť „de-swap“ CoinSwapu, tieto chyby sú pre koncového používateľa pravdepodobne oveľa zreteľnejšie, pretože akékoľvek zlúčenie výstupov spôsobom porušujúcim súkromie by bolo možné vykonať iba explicitným zmiešaním zamenený výstup s jedným, ktorý ešte nebol zamenený, na rozdiel od zlúčenia dvoch výstupov, ktoré už prešli cez CoinJoin, z ktorých je skutočne zmiešaný iba jeden.

Peňaženka Mercury je v súčasnosti jediné zariadenie CoinSwap mimo reťazca dostupné pre koncových používateľov. Umožňuje používateľom uzamknúť svoje coiny do protokolu druhej vrstvy (známeho ako stavový reťazec) a potom slepo vymieňať svoje výstupy s inými používateľmi reťazca stavov. Je to veľmi zaujímavá technika a stojí za to ju vyskúšať pre tých, ktorí majú záujem o objavovanie nových nástrojov na ochranu osobných údajov so vzrušujúcou funkčnosťou a prijateľnými kompromismi.