Ki van téve? Hogyan törte fel a Chainalysis a Wasabi Bitcoin adatvédelmi pénztárcáját

Bár a Bitcoin hálózat a tranzakciók állandó nyílt nyilvántartása, sok harmadik fél adatvédelmi funkciót épített rá. Az egyik ilyen szolgáltatás az Wasabi pénztárca, amely mixer protokollt, Tor integrációt használ, és ingyenesen használható és nyílt forráskódú.

A keverők a tranzakciós bemenetek és kimenetek „keverésével” működnek, így a küldők és a fogadók közötti kapcsolat nem egyértelmű. Így bizonyos fokú anonimitás biztosított azáltal, hogy megnehezíti a pénzáramlás nyomon követését.

Nemrég megjelent Cryptopians című könyvében, amely Ethereum újságíró korai napjait részletezi Laura Shin azt állítja, hogy a Wasabi Wallet volt a gyenge láncszem, aminek eredményeként a Chainalysis blokklánc-adatelemző cég felkutatta a DAO 2016-os feltöréséből származó ellopott pénzeszközöket.

Hogyan használták ki a hackerek a DAO-t?

A decentralizált autonóm szervezetek (DAO-k) egy decentralizált alapra utalnak, amelyben a tokentulajdonosok javaslatok és szavazás útján szabályozzák a kezelést. Nincs hierarchikus struktúra, csak a tulajdonosok hozzák meg az intelligens szerződések által fenntartott döntéseket.

Az első létrehozott DAO-t hívták A DAO és beállította által Slock.it, amelyet a Blockchains LLC ben vásárolt meg június 2019.

2015-ben indult, hogy forrásokat gyűjtsön Web3.0 projektek és induló vállalkozások számára. A maga nemében elsőként óriási sikert aratott, és 12 millió ETH befektetést vonzott (egykor 150 millió dollár, de ma 30.2 milliárd dollár).

A támadóknak azonban sikerült kihasználniuk a rekurzív hívási sebezhetőség, ami azt jelenti, hogy pénzt vehetnek fel anélkül, hogy a kifizetés tükröződne a számlaegyenlegben. Ez lehetővé tette a hackerek számára, hogy határozatlan időre beindítsák a pénzkivonási hurkot, ami 3.6 millió ETH (akkoriban 50 millió dollár, ma 9 milliárd dollár) veszteséget eredményezett.

Az ellopott pénz egy részét egy Wasabi Walletba küldték mosásra. A protokollbeállítás hibája azonban azt jelentette, hogy a Chainalysis deanonimizálhatta a keverő funkcióit nyílt forráskódú módszerekkel.

Hogyan „törte meg” a Chainalysis a Bitcoin adatvédelmi Wasabi pénztárcáját?

Shin azt állítja, hogy ez azért lehetséges, mert a Wasabi Wallet nem tudta maradéktalanul megvalósítani a ZeroLink protokollt.

ZeroLink azt állítja, hogy teljesen anonimizálja a Bitcoin-tranzakciókat egy meghatározott keverés előtti és utáni keverési technikával. A premix funkciók állítólag könnyen megvalósíthatók „nagy többletköltség nélkül”. A keverés utáni funkcionalitás hozzáadása a pénztárcához azonban sokkal összetettebb dolog volt.

„A poszt-mix pénztárcák viszont szigorú adatvédelmi követelményeket támasztanak az érmék kiválasztásával, a privát tranzakciók és egyenlegek lekérésével, a tranzakciók bemeneti és kimeneti indexelésével és sugárzásával kapcsolatban.”

Ehelyett az azt állította, hogy a Wasabi Wallet a „lehúzó lánc” módszert választotta, amely kevesebb védelmet kínál, így a Chainalysis képes volt nyomon követni a DAO feltöréséből származó tranzakciókat.

Vicces tény. Wasabi ? soha nem implementálta a ZeroLink-et. Meg sem közelítették ezt. Nopara már korán elejtette a labdát, és a könnyű kihúzás felé vette az irányt: lehúzta a láncot. A láncelemzés körbejárja Wasabit?. pic.twitter.com/bLmyDt7qip

— TDevD [Nincs KYC, nincs T&C, nincs ?] (@SamouraiDev) Február 23, 2022

Mint ilyen, a Chainalysis nem „törte meg” a Bitcoint, mint olyant, csak kihasználta a gondatlan integráció előnyeit.

Mindazonáltal egyre inkább elterjedt az a narratíva, hogy a kriptovalutákkal kapcsolatos pénzügyi adatvédelem valahogy hibás. Bár igaz, hogy a kripto-tranzakciók többsége felülmúlhatatlan, ez nem akadályozta meg a hatóságokat az egyre szigorúbb politikák érvényesítésében.