Ar esi atskleistas? Kaip „Chainalysis“ nulaužė „Wasabi Bitcoin“ privatumo piniginę

Nors Bitcoin tinklas yra nuolatinis atviras operacijų įrašas, daugelis trečiųjų šalių sukūrė privatumo funkcijas. Viena iš tokių paslaugų yra „Wasabi“ piniginė, kuris naudoja maišytuvo protokolą, Tor integraciją ir yra nemokamas atvirojo kodo naudojimas.

Maišytuvai veikia „maišydami“ operacijų įvestis ir išvestis, todėl ryšys tarp siuntėjų ir gavėjų nėra aiškus. Taigi suteikiamas tam tikras anonimiškumas, nes sunku atsekti lėšų srautą.

Neseniai išleistoje knygoje „Cryptopians“, kurioje išsamiai aprašomos žurnalistės Ethereum dienos Laura Shin teigia, kad „Wasabi Wallet“ buvo silpnoji grandis, todėl „blockchain“ duomenų analizės įmonė „Chainalysis“ atskleidė pavogtas lėšas iš „The DAO“ įsilaužimo 2016 m.

Kaip įsilaužėliai išnaudojo DAO?

Decentralizuotos autonominės organizacijos (DAO) reiškia decentralizuotą fondą, kuriame žetonų turėtojai, teikdami pasiūlymus ir balsuodami, valdo, kaip jis valdomas. Nėra jokios hierarchinės struktūros, tik turėtojai, priimantys sprendimus, kuriuos palaiko išmaniosios sutartys.

Pirmasis sukurtas DAO buvo vadinamas DAO ir įsteigė Slock.it, kurią Blockchains LLC įsigijo birželis 2019.

Ji pradėta 2015 m., siekiant surinkti lėšų Web3.0 projektams ir startuoliams. Kaip pirmasis tokio pobūdžio jis tapo didžiuliu hitu, pritraukdamas 12 mln. ETH investicijų (150 mln. USD vienu metu, bet 30.2 mlrd. USD šiandien).

Tačiau užpuolikai sugebėjo išnaudoti a rekursyvaus skambinimo pažeidžiamumas, tai reiškia, kad jie galėjo atsiimti lėšas, o išėmimas neatsispindi sąskaitos likutyje. Tai leido įsilaužėliams neribotą laiką pradėti pinigų išėmimo ciklą, todėl buvo prarasta 3.6 mln. ETH (tuo metu 50 mln. USD, o šiandien 9 mlrd. USD).

Kai kurios pavogtos lėšos buvo išsiųstos į Wasabi Wallet skalbimui. Tačiau protokolo sąrankos trūkumas reiškė, kad grandinės analizė gali deanonimizuoti maišytuvo funkcijas naudojant atvirojo kodo metodus.

Kaip grandinės analizė „sulaužė“ Bitcoin privatumo Wasabi piniginę?

Shin teigia, kad tai buvo įmanoma, nes Wasabi Wallet nepavyko visiškai įgyvendinti ZeroLink protokolo.

ZeroLink teigia visiškai anonimizuojantis „Bitcoin“ operacijas, naudodamas apibrėžtą maišymo iki maišymo ir maišymo techniką. Teigiama, kad išankstinio mišinio funkcionalumas yra lengvai įgyvendinamas „be didelių išlaidų“. Tačiau papildymas po mišinio funkcionalumo piniginėje buvo sudėtingesnis reikalas.

„Kita vertus, „post-mix“ piniginės turi griežtus privatumo reikalavimus, susijusius su monetų pasirinkimu, privačių operacijų ir likučių gavimu, operacijų įvesties ir išvesties indeksavimu ir transliacija.

Vietoj to, tai teigė, kad „Wasabi Wallet“ pasirinko „nuplėšimo grandinės“ metodą, kuris siūlo mažiau apsaugos, todėl „Chainalysis“ galėjo atsekti operacijas iš DAO įsilaužimo.

Linksmas faktas. Wasabi? niekada neįdiegė ZeroLink. Jie net nepriartėjo prie to. Nopara anksti metė kamuolį ir ėmėsi lengvo: nuluptos grandinės. Grandininė analizė sukasi aplink Wasabi ?. pic.twitter.com/bLmyDt7qip

— TDevD [Nėra KYC, be T&C, ne?] (@SamouraiDev) Vasaris 23, 2022

Taigi „Chainalysis“ „nesulaužė“ Bitcoin, tik pasinaudojo neatsargios integracijos pranašumais.

Nepaisant to, vis garsėja pasakojimas, kad finansinis privatumas, susijęs su kriptovaliuta, yra kažkaip neteisingas. Nors tiesa, kad dauguma kriptovaliutų operacijų yra viršijamos, tai nesutrukdė valdžios institucijoms vykdyti vis griežtesnę politiką.