Esti expus? Cum a spart Chainalysis portofelul de confidențialitate Wasabi Bitcoin

Deși rețeaua Bitcoin este o înregistrare permanentă deschisă a tranzacțiilor, multe terțe părți au construit funcționalități de confidențialitate pe deasupra. Un astfel de serviciu este Portofel Wasabi, care folosește un protocol de mixer, integrarea Tor și este liber de utilizat și open source.

Mixerele funcționează „amestecând” intrările și ieșirile tranzacțiilor împreună, astfel încât relația dintre emițători și receptori să nu fie clară. Astfel, se asigură un anumit grad de anonimat, îngreunând urmărirea fluxului de fonduri.

În cartea sa recent lansată Cryptopians, care detaliază primele zile ale Ethereum, jurnalist Laura Shin susține că Wasabi Wallet a fost veriga slabă, ceea ce a dus la firma de analiză a datelor blockchain Chainalysis să urmărească fondurile furate din hack-ul DAO din 2016.

Cum au exploatat hackerii DAO?

Organizațiile autonome descentralizate (DAO) se referă la un fond descentralizat în care deținătorii de jetoane guvernează modul în care este gestionat prin propuneri și vot. Nu există o structură ierarhică, ci doar deținătorii care iau decizii susținute de contracte inteligente.

Primul DAO creat a fost numit DAO și înființat de Slock.it, pe care Blockchains LLC l-a achiziționat în iunie 2019.

S-a lansat în 2015 pentru a strânge fonduri pentru proiecte Web3.0 și startup-uri. Fiind primul de acest gen, a devenit un hit uluitor, atrăgând investiții de 12 milioane de ETH (150 de milioane de dolari la momentul respectiv, dar 30.2 miliarde de dolari astăzi).

Cu toate acestea, atacatorii au reușit să exploateze o vulnerabilitatea apelurilor recursive, adică ar putea retrage fonduri fără ca retragerea să fie reflectată în soldul contului. Acest lucru le-a permis hackerilor să declanșeze o buclă de retrageri pe termen nelimitat, ducând la pierderea a 3.6 milioane de ETH (50 de milioane de dolari la acea vreme, dar 9 miliarde de dolari astăzi).

Unele dintre fondurile furate au fost trimise la un portofel Wasabi pentru spălare. Dar un defect în configurarea protocolului a însemnat Chainalysis ar putea deanonimiza funcționalitatea mixerului folosind metode open source.

Cum a „rupt” Chainalysis confidențialitatea Bitcoin Wasabi Wallet?

Shin susține că acest lucru a fost posibil deoarece Wasabi Wallet nu a reușit să implementeze pe deplin protocolul ZeroLink.

ZeroLink pretinde că anonimizează complet tranzacțiile Bitcoin folosind o tehnică de amestecare pre-mix și post-mix definită. Se spune că funcționalitatea de pre-amestecare este implementată cu ușurință „fără prea multe cheltuieli generale”. Cu toate acestea, adăugarea de funcționalități post-mix la un portofel a fost o chestiune cu totul mai complexă.

„Portolele post-mix, pe de altă parte, au cerințe stricte de confidențialitate, în ceea ce privește selecția monedelor, tranzacțiile private și recuperarea soldului, indexarea și difuzarea tranzacțiilor de intrare și ieșire.”

În schimb, este revendicat că Wasabi Wallet a optat pentru o metodă „peel chain” care oferă mai puține protecții, rezultând în Chainalysis să poată urmări tranzacțiile din hack-ul DAO.

Fapt amuzant. Wasabi? nu a implementat niciodată ZeroLink. Nici măcar nu s-au apropiat să facă asta. Nopara a scăpat mingea devreme și a încercat o ieșire ușoară: un lanț de coajă. Chainalysis rulează inele în jurul Wasabi?. pic.twitter.com/bLmyDt7qip

— TDevD [Fără KYC, fără T&C, nu?] (@SamouraiDev) 23 Februarie 2022

Ca atare, Chainalysis nu a „rupt” Bitcoin ca atare, ci doar a profitat de o integrare neglijentă.

Cu toate acestea, există o narațiune tot mai mare conform căreia confidențialitatea financiară, în ceea ce privește criptomoneda, este cumva greșită. Deși este adevărat că majoritatea tranzacțiilor cripto sunt superioare, asta nu a împiedicat autoritățile să aplice politici din ce în ce mai stricte.