Ko mēs varam mācīties, pētot hacks? Atklājot ieskatu par privātumu un kriptovalūtu kustībām pēc DAO 2016 uzlaušanas

Termins kriptovalūta ir gandrīz kļuvis par sinonīmu uzlaušanai. Šķiet, ka katru nedēļu biržās, individuālo lietotāju makos, viedos līgumos un publiskajās blokķēdēs, uz kurām viņi atrodas, notiek pārsteidzoši lieli uzlauzumi. Daudzos gadījumos uzbrukuma vektori ir acīmredzami retrospektīvi: kods nebija pārbaudīts, iekšējie procesi pikšķerēšanas novēršanai neeksistēja, netika ievēroti koda pamatstandarti utt. Izpētot pašus uzlaušanas gadījumus, bieži vien nebūs iespējams iegūt daudz interesantas informācijas tiem, kuri jau pārzina drošības pamatprakses. 

Taču katram kriptovalūtu uzlaušanai ir divas galvenās sastāvdaļas — pats uzlauzums un pēc tam metodes, ar kurām hakeris un viņu grupas mēģina izņemt nozagto laupījumu. Privātuma aizstāvjiem mēģinājumi anonimizēt šos līdzekļus ir interesanti gadījumu pētījumi par anonimitātes līmeņiem, kas ir sasniedzami publiskajos blokķēdes tīklos.

Tā kā līdzekļus rūpīgi izseko augsti organizētas un labi finansētas valsts aģentūras un korporatīvās struktūras, tie sniedz sabiedrībai iespēju novērot dažādu iesaistīto privātuma maku efektivitāti. Ja šie hakeri nevar palikt privāti, kāda ir iespēja, ka vidusmēra lietotāji, kuri meklē privātumu publiskajos tīklos, varēs to sasniegt? 

DAO 2016 uzlauzts, paraugs gadījums

Pētot šos uzlaušanas gadījumus un sekojošos arestus, kļūst skaidrs, ka vairumā gadījumu hakeri pieļauj būtiskas kļūdas, mēģinot anonimizēt savu kriptovalūtu. Dažos gadījumos kļūmes ir vienkāršas lietotāja kļūdas. Citos gadījumos tos izraisa kļūdas viņu izmantotajā maka programmatūrā vai citas mazāk nekā acīmredzamas kļūdas ceļā uz kriptovalūtas konvertēšanu reālos aktīvos. 

Nesen īpaši interesants gadījums, 2016. gada DAO uzlaušana, piedzīvoja nozīmīgu notikumu – izmeklēšanas procedūru. Forbes raksts tika publicēts, kas identificē iespējamo hakeri. Process, kurā šī persona tika identificēta, sniedz ieskatu plaši izmantotajā privātuma makā Wasabi Wallet un to, kā nepareiza programmatūras izmantošana var izraisīt iespējamā hakera līdzekļu “atjaukšanu”. 

Tika pieļautas kritiskas kļūdas

Kas attiecas uz darbību secību, hakera pirmais solis bija pārvērst daļu no Ethereum Classic nozagtajiem līdzekļiem Bitcoin. Hakeris izmantoja Shapeshift, lai veiktu mijmaiņas darījumus, kas tajā laikā nodrošināja pilnīgu publisku ierakstu par visiem platformas darījumiem. No Shapeshift daži līdzekļi tika pārvietoti uz Wasabi Wallet. No šejienes lietas iet uz leju.  

Tiem, kas nav pazīstami, CoinJoin ir īpaša darījuma izveides protokola nosaukums, kas ļauj vairākām pusēm apvienot savus līdzekļus lielā darījumā ar mērķi pārtraukt saikni starp līdzekļiem, kas ieplūst CoinJoin, un līdzekļiem, kas izplūst no CoinJoin.

Tā vietā, lai darījumam būtu viens maksātājs un maksājuma saņēmējs, CoinJoin darījumam ir vairāki maksātāji un saņēmēji. Pieņemsim, piemēram, jums ir CoinJoin ar 10 dalībniekiem — ja CoinJoin ir pareizi izveidots un visi mijiedarbības noteikumi ir pareizi ievēroti, līdzekļiem, kas izplūst no CoinJoin, būs anonimitātes kopa 10. ti, jebkura no 10 “jauktajām izejām. ” no darījuma varētu piederēt jebkurai no 10 (vai vairākām) darījuma “nejauktajām ievadēm”. 

Lai gan CoinJoins var būt ļoti spēcīgs rīks, dalībniekiem ir daudz iespēju pieļaut būtiskas kļūdas, kas būtiski pasliktina vai pilnībā grauj jebkādu privātumu, ko viņi varētu būt ieguvuši, izmantojot CoinJoin. Iespējamā DAO hakera gadījumā šāda kļūda tika pieļauta. Kā jūs lasīsit tālāk, pastāv iespēja, ka šī kļūda bija lietotāja kļūda, taču ir arī iespējams, ka Wasabi Wallet bija (kopš labošanas) kļūda, kas izraisīja šo konfidencialitātes kļūdu. 

Wasabi Wallet izmanto ZeroLink protokols, kas konstruē CoinJoins ar vienādas vērtības jauktiem izvadiem. Tas nozīmē, ka visiem lietotājiem ir jāsajauc tikai noteikts, iepriekš noteikts Bitcoin daudzums. Jebkura vērtība, kas pārsniedz šo summu, kas nonāk CoinJoin, ir jāatdod attiecīgajiem lietotājiem kā nesajaukts Bitcoin.

Ja, piemēram, Alisei ir viena 15 Bitcoin izvade un CoinJoin pieņem tikai 1 Bitcoin izvadi, pēc CoinJoin pabeigšanas Alisei būs 1 jaukta Bitcoin izvade un 05 nejaukta Bitcoin izvade. 05 Bitcoin tiek uzskatīts par “nesajauktu”, jo to var saistīt ar Alises sākotnējo izvadi 15. Jaukto izvadi vairs nevar tieši saistīt ar ievadi, un tam būs anonimitātes kopa, kas sastāv no visiem pārējiem CoinJoin dalībniekiem. 

Lai saglabātu CoinJoin privātumu, jauktās un nesajauktās izvades nekad nav saistītas viena ar otru. Gadījumā, ja tie nejauši tiek apkopoti bitkoina blokķēdē vienā vai darījumu kopā, novērotājs var izmantot šo informāciju, lai izsekotu jauktiem izvadiem līdz to avotam. 

DAO hakera gadījumā šķiet, ka Wasabi Wallet lietošanas procesā viņi izmantoja vienu adresi vairākos CoinJoins; vienā gadījumā adresi tika izmantota kā nesajaukta maiņas izvade, otrajā gadījumā tā tika izmantota kā jaukta izvade.

Šī ir salīdzinoši neparasta kļūda saistībā ar CoinJoin, jo šim paņēmienam, kas saistīts ar vainu, ir nepieciešams darījums lejup pa straumi no CoinJoins, lai “sapludinātu” nesajauktos un jauktos rezultātus, savienojot tos kopā. Taču šajā gadījumā nebija jāanalizē neviens darījums, kas pārsniedz divus CoinJoins, jo viena un tā pati adrese tika izmantota pretrunīgi divos atsevišķos CoinJoins. 

Būtībā šī iespēja pastāv Wasabi Wallet programmatūras dizaina lēmuma dēļ: Wasabi Wallet izmanto vienu atvasināšanas ceļu gan jauktām, gan nejauktām izvadēm. Tas tiek uzskatīts slikta prakse. Wasabi darbinieks paziņoja, ka tas ir paredzēts, lai maka atjaunošana būtu saderīga ar citiem makiem, tomēr BIP84 (kas ir atvasināšanas shēma Wasabi Wallet izmanto) ir standarta veids, kā atpazīt atvasināšanas ceļu, kas piešķirts izvades maiņai.

Kļūmes, kas radušās šīs dizaina izvēles rezultātā, ir visizteiktāk pamanāmas, ja lietotājam vienlaikus darbojas divi Wasabi Wallet gadījumi, vienlaikus izmantojot vienu un to pašu sēklu. Šādā gadījumā abām instancēm būtu iespējams atlasīt vienu un to pašu adresi šādā konfliktējošā veidā, vienlaikus mēģinot palaist kombināciju no katras instances. Tas tiek brīdināts oficiāls dokuments. Iespējams arī, ka vaininieks bija zināmās Wasabi Wallet kļūdas.

Izņēmumi un secinājumi

Tātad, ko mēs no tā mācāmies? Lai gan šī Wasabi kļūda vēl nav stāsta beigas, tā darbojās kā izšķiroša sastāvdaļa iespējamā hakera izsekošanā. Vēlreiz tiek apstiprināta mūsu pārliecība, ka privātums ir grūts. Bet praktiski mums ir vēl viens piemērs tam, cik svarīgi ir novērst izvades piesārņojumu, izmantojot privātuma rīkus, un cik rūpīga “monētu kontrole” ir nepieciešama gan lietotājiem, gan programmatūrai. Rodas jautājums, kāda veida privātuma protokoli ir paredzēti, lai samazinātu šīs klases uzbrukumus? 

Viens interesants risinājums ir CoinSwap, kur tā vietā, lai apvienotu rezultātus lielā darījumā, jūs apmainiet izvadus ar citu lietotāju. Tādā veidā jūs apmaināties ar monētu vēsturi, nevis pievienojaties monētu vēsturēm. Vēl jaudīgāk, ja CoinSwap tiek veikts ārpus ķēdes kontekstā (kā to īsteno Mercury Wallet), nav nekādu nesajauktu izmaiņu rezultātu, ar ko rīkoties. 

Lai gan ir iespējamas lietotāja kļūdas, kuru dēļ CoinSwap var tikt “atmainīta”, šīs kļūdas galalietotājam ir daudz acīmredzamākas, jo jebkuru izvadu sapludināšanu, kas pārkāpj privātumu, var veikt, tikai skaidri sajaucot apmainīta izvade ar tādu, kas vēl nav apmainīta, pretstatā divu izvadu sapludināšanai, kas jau ir izgājušas cauri CoinJoin, no kurām tikai viena ir faktiski sajaukta.

Mercury maks pašlaik ir vienīgā ārpus ķēdes CoinSwap iespēja, kas pieejama galalietotājiem. Tas ļauj lietotājiem bloķēt savas monētas otrā slāņa protokolā (pazīstams kā statusa ķēde) un pēc tam akli apmainīt savus rezultātus ar citiem statusa ķēdes lietotājiem. Tas ir ļoti interesants paņēmiens, un ar to ir vērts eksperimentēt tiem, kas vēlas izpētīt jaunus privātuma rīkus ar aizraujošu funkcionalitāti un pieņemamiem kompromisiem.