Што можеме да научиме од проучувањето на хакови? Откривање на увиди за приватноста и движењата на криптовалутите по хакирањето на DAO 2016 година

Терминот криптовалута речиси стана синоним за хакирање. Се чини дека секоја недела има неверојатно големи хакери на берзите, паричниците на индивидуалните корисници, паметните договори и јавните блокчејнови на кои седат. Во многу случаи, векторите на напад се очигледни во ретроспектива: кодот не беше тестиран, внатрешните процеси за да се спречи фишингот не постоеја, основните стандарди за кодови не беа почитувани, итн. Проучувањето на самите хакови честопати нема да собере многу интересни информации за оние кои веќе се запознаени со основни безбедносни практики. 

Но, секој крипто хакирање има две основни компоненти - тука е самиот хак, а потоа и методологиите со кои хакерот и нивните групи се обидуваат да го наплатат својот украден плен. За застапниците на приватноста, обидите направени да се анонимизираат овие средства се интересни студии на случај во нивоата на анонимност што може да се постигнат во јавните блокчејн мрежи.

Бидејќи средствата внимателно се следат од високо организирани и добро финансирани владини агенции и корпоративни ентитети, тие даваат можност заедницата да ја набљудува ефикасноста на различните вклучени паричници за приватност. Ако овие хакери не можат да останат приватни, какви се шансите просечните корисници кои бараат приватност во јавните мрежи да можат да ја постигнат? 

Хак DAO 2016, примерен случај

Кога се проучуваат овие хакери и последователните апсења, станува јасно дека во повеќето случаи, хакерите прават клучни грешки кога се обидуваат да ја анонимизираат својата криптовалута. Во некои случаи, неуспесите се виновни за едноставни кориснички грешки. Во други случаи, тие се предизвикани од грешки во софтверот на паричникот што го користеле или други помалку од очигледни погрешни чекори на патот кон претворање на криптовалутата во средства од реалниот свет. 

Неодамна, особено интересен случај, хакирањето на DAO во 2016 година, имаше значителен развој - истражен Форбс статија беше објавено што го идентификува наводниот хакер. Процесот со кој ова лице беше идентификувано нуди некои сознанија за широко користениот паричник за приватност, Wasabi Wallet, и како неправилната употреба на софтверот може да доведе до „демиксирање“ на средствата на наводните хакери. 

Направени се критични грешки

Што се однесува до редоследот на операциите, првиот потег на хакерот беше да конвертира дел од нивните украдени средства од Ethereum Classic во Bitcoin. Хакерот го користел Shapeshift за размена на извршување на размената, која во тоа време обезбедувала целосна јавна евиденција за сите занаети на платформата. Од Shapeshift, дел од средствата се префрлија во Wasabi Wallet. Од тука работите одат надолу.  

За оние кои не се запознаени, CoinJoin е назив за специјален протокол за изградба на трансакции кој им овозможува на повеќе страни да ги здружат своите средства во голема трансакција со цел да се прекине врската помеѓу средствата што се влеваат во CoinJoin и средствата што излегуваат од CoinJoin.

Наместо трансакцијата да има еден исплатувач и примач, трансакцијата CoinJoin има повеќе обврзници и примачи. На пример, да речеме дека имате CoinJoin со 10 учесници - ако CoinJoin е правилно конструиран и сите правила на интеракција се правилно почитувани, средствата што излегуваат од CoinJoin ќе имаат сет на анонимност од 10. т.е. кој било од 10-те „мешани резултати “ од трансакцијата може да припаѓа на кој било од 10-те (или повеќе) „немешани влезови“ во трансакцијата. 

Иако CoinJoins може да биде многу моќна алатка, има многу можности за учесниците да прават критични грешки кои значително ја деградираат или целосно ја поткопуваат приватноста што можеби ја добиле од CoinJoin. Во случајот со наводниот хакер DAO, направена е таква грешка. Како што ќе прочитате следно, постои можност оваа грешка да е корисничка грешка, меѓутоа, исто така е можно да имало (бидејќи поправено) грешка во Васаби Паричник што доведе до овој неуспех на приватноста. 

Wasabi Wallet го користи Протоколот ZeroLink, кој конструира CoinJoins со мешани излези со еднаква вредност. Што значи ова, е дека од сите корисници се бара да измешаат само одредена, однапред одредена количина на Bitcoin. Секоја вредност над таа сума што оди во CoinJoin мора да се врати како неизмешан Bitcoin на соодветните корисници.

Ако на пример Алис има единечен излез од 15 Биткоин, а CoinJoin прифаќа само излези со вредност од 1 Биткоин, по завршувањето на CoinJoin, Алиса би имала измешан излез на Биткоин од 1 и немешан излез на Биткоин од 05. Биткоинот 05 се смета за „немешан“ бидејќи може да се поврзе со оригиналниот излез на Алис од 15. Мешаниот излез веќе не може директно да се поврзе со влезот и ќе има сет на анонимност што се состои од сите други учесници во CoinJoin. 

За да се зачува приватноста на CoinJoin, императив е мешаните и немешаните излези никогаш да не се поврзуваат еден со друг. Во случај тие случајно да се соберат на блокчејнот на биткоин во една или збир на трансакции, набљудувачот може да ги користи тие информации за да ги следи мешаните излези назад до нивниот извор. 

Во случајот со хакерот DAO, се чини дека во процесот на користење на Wasabi Wallet, тие користеле една адреса во повеќе CoinJoins; во еден случај адресата се користеше како излез за немешана промена, во вториот случај беше користен како мешан излез.

Ова е релативно невообичаена грешка во контекст на CoinJoin бидејќи оваа техника вина по асоцијација бара трансакција низводно од CoinJoins за да ги „спои“ неизмешаните и мешаните излези, поврзувајќи ги заедно. Но, во овој случај, не беше потребно да се анализираат никакви трансакции надвор од двете CoinJoin, бидејќи истата адреса се користеше на спротивставени начини на два одделни CoinJoin. 

Во основа, оваа можност постои поради одлука за дизајн во софтверот Wasabi Wallet: Wasabi Wallet користи единствена патека за изведување и за мешани и за немешани излези. Ова се смета лоша практика. Беше наведено од вработен во Васаби дека ова требаше да ја направи реставрацијата на паричникот компатибилна со други паричници, меѓутоа, BIP84 (што е деривациска шема Wasabi Wallet користи) има стандарден начин за препознавање на патека за изведување доделена за промена на излезите.

Неуспесите што произлегуваат од овој избор на дизајн се најизразени кога корисникот има два примери на Wasabi Wallet кои работат истовремено додека го користи истото семе. Во ова сценарио, би било можно двете примероци да ја изберат истата адреса на овој конфликтен начин кога истовремено се обидуваат да извршат мешавина од секој примерок. На ова се предупредува во официјалната документација. Исто така, можно е познатите грешки во паричникот Васаби да се виновниците.

Прегледи и заклучоци

Значи, што учиме од ова? Иако оваа грешка со Васаби не е крај на приказната, таа дејствуваше како клучна компонента во следењето на наводниот хакер. Уште еднаш, се потврдува нашето верување дека приватноста е тешка. Но, практично, имаме уште еден пример за важноста да се спречи контаминација на излезот при користење на алатките за приватност, и колку внимателна „контрола на монети“ е потребна и од корисниците и од софтверот. Се поставува прашањето каков вид протоколи за приватност се дизајнирани да ја минимизираат оваа класа на напади? 

Едно интересно решение е CoinSwap, каде што наместо да ги споите резултатите во голема трансакција, ги менувате резултатите со друг корисник. На овој начин ги заменувате историите на монети, а не се приклучувате на историите на монети. Уште помоќно, ако CoinSwap се прави во контекст надвор од синџирот (како што е имплементирано од Mercury Wallet), воопшто нема неизмешани излези за промена со кои би се справиле. 

Иако постојат можни кориснички грешки кои можат да предизвикаат „де-замена“ на CoinSwap, овие грешки се веројатно многу поочигледни за крајниот корисник бидејќи секое спојување на излези на начин што ја нарушува приватноста може да се направи само со експлицитно мешање на заменет излез со оној што сè уште не е заменет, наспроти спојувањето на два излези кои веќе поминале низ CoinJoin, од кои само еден е всушност измешан.

Меркур паричник моментално е единствениот надвор од синџирот CoinSwap објект достапен за крајните корисници. Тоа им овозможува на корисниците да ги заклучат своите монети во протоколот два слоја (познат како statechain) и потоа слепо да ги заменуваат нивните излези со други корисници на statechain. Тоа е многу интересна техника и вреди да се експериментира за оние кои се заинтересирани да истражуваат нови алатки за приватност со возбудлива функционалност и прифатливи компромиси.