Mida saame häkkide uurimisest õppida? Avaldades teadmisi privaatsuse ja krüptovaluutade liikumise kohta pärast DAO 2016 häkkimist

Mõiste krüptovaluuta on muutunud peaaegu häkkimise sünonüümiks. Näib, et igal nädalal toimub börsidel, üksikute kasutajate rahakottidel, nutikatel lepingutel ja avalikel plokiahelatel, millel nad asuvad, silmi veetlevalt suuri häkkimisi. Paljudel juhtudel on ründevektorid tagantjärele mõeldes ilmselged: kood oli testimata, sisemised protsessid andmepüügi vältimiseks puudusid, põhilisi koodistandardeid ei järgitud jne. Häkkide endi uurimine ei too sageli palju huvitavat teavet neile, kes on juba tuttavad. põhilised turvatavad. 

Kuid igal krüptohäkkimisel on kaks peamist komponenti – häkker ise ja seejärel metoodikad, mille abil häkker ja nende rühmad üritavad oma varastatud saaki välja teenida. Privaatsuse pooldajate jaoks on katsed neid vahendeid anonüümseks muuta huvitavad juhtumiuuringud avalikes plokiahelavõrkudes saavutatava anonüümsuse taseme kohta.

Kuna kõrgelt organiseeritud ja hästi rahastatud valitsusasutused ja ettevõtted jälgivad rahalisi vahendeid hoolikalt, annavad need kogukonnale võimaluse jälgida erinevate privaatsusrahakottide tõhusust. Kui need häkkerid ei saa jääda privaatseks, siis kui suur on tõenäosus, et avalikes võrkudes privaatsust otsivad keskmised kasutajad suudavad seda saavutada? 

DAO 2016 häkkimine, eeskujulik juhtum

Neid häkkereid ja sellele järgnenud vahistamisi uurides selgub, et enamikul juhtudel teevad häkkerid oma krüptovaluutat anonüümseks muutes olulisi vigu. Mõnel juhul on tõrgete põhjuseks lihtsad kasutaja vead. Muudel juhtudel on need põhjustatud vigadest nende kasutatud rahakotitarkvaras või muudest vähem kui ilmsetest eksimustest krüptovaluuta reaalvaradeks konverteerimisel. 

Hiljuti toimus märkimisväärne areng eriti huvitav juhtum, 2016. aasta DAO häkkimine – uurimine. Forbes artikkel avaldati, mis tuvastab väidetava häkkeri. Protsess, mille käigus see isik tuvastati, annab ülevaate laialdaselt kasutatavast privaatsusrahakotist Wasabi Wallet ja sellest, kuidas tarkvara ebaõige kasutamine võib viia väidetava häkkeri raha "demiksimiseni". 

Tehti kriitilisi vigu

Mis puudutab toimingute järjekorda, siis häkkeri esimene samm oli konverteerida osa Ethereum Classicust varastatud rahast Bitcoini. Häkker kasutas vahetustehingu teostamiseks Shapeshifti, mis andis sel ajal täieliku avaliku registri kõigist platvormil tehtud tehingutest. Shapeshiftist liikus osa vahenditest Wasabi Walleti. Siit edasi lähevad asjad allamäge.  

Neile, kes pole tuttavad, on CoinJoin spetsiaalse tehingute koostamise protokolli nimetus, mis võimaldab mitmel osapoolel koondada oma rahalised vahendid suureks tehinguks eesmärgiga katkestada seos CoinJoinisse voolavate vahendite ja CoinJoinist välja voolavate vahendite vahel.

Selle asemel, et tehingul oleks üks maksja ja saaja, on CoinJoini tehingul mitu maksjat ja saajat. Oletame näiteks, et teil on 10 osalejaga CoinJoin – kui CoinJoin on õigesti üles ehitatud ja kõiki suhtlusreegleid järgitakse õigesti, on CoinJoinist välja voolavate vahendite anonüümsuskomplektiks 10, st mis tahes 10-st väljundist ” tehingust võib kuuluda ühele kümnest (või enamast) tehingu „segamata sisendist”. 

Kuigi CoinJoins võib olla väga võimas tööriist, on osalejatel palju võimalusi teha kriitilisi vigu, mis oluliselt halvendavad või kahjustavad täielikult CoinJoiniga saavutatud privaatsust. Väidetava DAO häkkeri puhul tehti selline viga. Nagu järgnevalt loete, on võimalik, et see viga oli kasutaja viga, kuid on võimalik, et Wasabi Walletis oli (alates parandatud) viga, mis viis selle privaatsushäireni. 

Wasabi Wallet kasutab ZeroLinki protokoll, mis konstrueerib CoinJoinid võrdse väärtusega segaväljunditega. See tähendab, et kõik kasutajad peavad segama ainult kindlaksmääratud, ettemääratud koguse Bitcoini. Kõik sellest summast suuremad väärtused, mis lähevad CoinJoini, tuleb vastavatele kasutajatele tagastada segamata Bitcoinina.

Kui Alice'il on näiteks üks 15 Bitcoini väljund ja CoinJoin aktsepteerib ainult 1 Bitcoini väärtuses väljundeid, oleks Alice'il CoinJoin'i lõpetamisel 1 segatud Bitcoini väljund ja 05 segamata Bitcoini väljund. 05 Bitcoini peetakse "segamata", kuna seda saab siduda Alice'i algse väljundiga 15. Segaväljundit ei saa enam sisendiga otse siduda ja sellel on anonüümsuskomplekt, mis koosneb kõigist teistest CoinJoinis osalejatest. 

CoinJoini privaatsuse säilitamiseks on hädavajalik, et segatud ja segamata väljundeid ei seostataks kunagi üksteisega. Kui need liidetakse kogemata bitcoini plokiahelasse ühte või tehingute kogumisse, saab vaatleja seda teavet kasutada segaväljundite allikani jälitamiseks. 

DAO häkkeri puhul näib, et Wasabi Walleti kasutamise käigus kasutasid nad mitmes CoinJoinis ühte aadressi; ühel juhul aadress kasutati segamata muudatusväljundina, teisel juhul segaväljundina.

See on CoinJoini kontekstis suhteliselt ebatavaline viga, kuna see süü-assotsiatsioonitehnika nõuab CoinJoinidest allavoolu tehingut, et "liita" segamata ja segatud väljundid, ühendades need omavahel. Kuid sel juhul ei olnud vaja analüüsida ühtegi tehingut, mis ei ületa kahte CoinJoini, kuna sama aadressi kasutati kahes erinevas CoinJoinis vastuolulisel viisil. 

Põhimõtteliselt on see võimalus olemas Wasabi Walleti tarkvara disainiotsuse tõttu: Wasabi Wallet kasutab üht tuletamisteed nii segatud kui ka segamata väljundite jaoks. Seda peetakse halb tava. Wasabi töötaja väitis, et selle eesmärk on muuta rahakoti taastamine teiste rahakottidega ühilduvaks, kuid BIP84 (mis on tuletusskeem Wasabi Walleti kasutusaladel) on standardne viis väljundite muutmiseks määratud tuletamisraja tuvastamiseks.

Sellest kujundusvalikust tulenevad tõrked ilmnevad kõige silmatorkavamalt siis, kui kasutajal töötab sama seemne kasutamise ajal kaks Wasabi Walleti eksemplari. Selle stsenaariumi korral on mõlemal eksemplaril võimalik valida sama aadress sel vastuolulisel viisil, kui nad proovivad samaaegselt käivitada segu igast eksemplarist. Selle eest hoiatatakse ametlikud dokumendid. Samuti on võimalik, et süüdi olid Wasabi rahakoti teadaolevad vead.

Väljavõtted ja järeldused

Mida me siis sellest õpime? Kuigi see Wasabi viga ei ole veel loo lõpp, toimis see väidetava häkkeri jälitamisel otsustava komponendina. Veel kord kinnitatakse meie veendumust, et privaatsus on raske. Kuid praktiliselt on meil veel üks näide privaatsustööriistade kasutamisel väljundite saastumise vältimise tähtsusest ja sellest, kui hoolikat "mündikontrolli" nõuavad nii kasutajad kui ka tarkvara. Tekib küsimus, millised privaatsusprotokollid on loodud selle rünnakuklassi minimeerimiseks? 

Üks huvitav lahendus on CoinSwap, kus väljundite suureks tehinguks liitmise asemel vahetad väljundeid teise kasutajaga. Sel viisil vahetate müntide ajalugu, mitte ei liitu müntide ajalooga. Veelgi võimsam on see, et kui CoinSwap tehakse ahelavälises kontekstis (nagu seda rakendab Mercury Wallet), pole segamata muudatuste väljundeid, millega tegeleda. 

Kuigi on võimalikke kasutajavigu, mis võivad põhjustada CoinSwapi "devahetust", on need tõrked lõppkasutajale vaieldamatult palju ilmsemad, sest privaatsust rikkuval viisil saab väljundeid ühendada ainult selgesõnaliselt segades vahetatud väljund ühega, mida pole veel vahetatud, mitte ühendada kaks väljundit, mis on juba CoinJoini läbinud, millest ainult üks on tegelikult segatud.

Mercury rahakott on praegu ainus ahelaväline CoinSwapi võimalus, mis on lõppkasutajatele saadaval. See võimaldab kasutajatel lukustada oma mündid teise kihi protokolli (tuntud kui olekuahel) ja seejärel pimesi vahetada oma väljundeid teiste olekuahela kasutajatega. See on väga huvitav tehnika ja tasub katsetada neile, kes on huvitatud põneva funktsionaalsuse ja vastuvõetavate kompromissidega uudsete privaatsustööriistade uurimisest.