Co se můžeme naučit ze studia hacků? Odhalení poznatků o soukromí a pohybech kryptoměn po hacku DAO 2016

Pojem kryptoměna se téměř stal synonymem pro hacking. Zdá se, jako by se každý týden objevily ohromně velké hacky na burzách, peněženkách jednotlivých uživatelů, chytrých smlouvách a veřejných blockchainech, na kterých sedí. V mnoha případech jsou vektory útoku při zpětném pohledu zřejmé: kód nebyl otestován, interní procesy zabraňující phishingu neexistovaly, základní standardy kódu nebyly dodrženy atd. Studium samotných hacků často nezíská mnoho zajímavých informací pro ty, kteří jsou již obeznámeni s základní bezpečnostní postupy. 

Ale každý kryptografický hack má dvě primární složky – je tu samotný hack a pak metodiky, kterými se hackeři a jejich kohorty pokoušejí vyplatit svou ukradenou kořist. Pro zastánce soukromí jsou pokusy o anonymizaci těchto fondů zajímavými případovými studiemi úrovně anonymity dosažitelné ve veřejných blockchainových sítích.

Vzhledem k tomu, že fondy jsou pečlivě sledovány vysoce organizovanými a dobře financovanými vládními agenturami a korporátními subjekty, poskytují komunitě příležitost sledovat účinnost různých zahrnutých peněženek na ochranu soukromí. Pokud tito hackeři nedokážou zůstat soukromí, jaká je šance, že toho průměrní uživatelé hledající soukromí ve veřejných sítích dosáhnou? 

Hack DAO 2016, ukázkový případ

Při studiu těchto hacků a následného zatýkání je zřejmé, že ve většině případů hackeři při pokusu o anonymizaci své kryptoměny dělají zásadní chyby. V některých případech jsou chyby způsobeny jednoduchými chybami uživatele. V jiných případech jsou způsobeny chybami v softwaru peněženky, který používali, nebo jinými méně než zřejmými chybnými kroky na cestě k přeměně kryptoměny na aktiva v reálném světě. 

V poslední době zaznamenal zvláště zajímavý případ, hack DAO z roku 2016, významný vývoj — investigativní Článek Forbes byla zveřejněna, která identifikuje údajného hackera. Proces, kterým byla tato osoba identifikována, nabízí určité poznatky o široce využívané peněžence na ochranu osobních údajů Wasabi Wallet a o tom, jak může nesprávné použití softwaru vést k „rozmixování“ finančních prostředků údajného hackera. 

Došlo ke kritickým chybám

Pokud jde o pořadí operací, prvním krokem hackera bylo převést část jejich ukradených prostředků z Ethereum Classic na bitcoiny. Hacker použil Shapeshift k provedení swapu, který v té době poskytoval úplný veřejný záznam všech obchodů na platformě. Z Shapeshift se část prostředků přesunula do Wasabi Wallet. Odtud to jde z kopce.  

Pro ty, kteří to neznají, CoinJoin je přezdívka pro speciální protokol pro vytváření transakcí, který umožňuje více stranám agregovat své finanční prostředky do velké transakce s cílem přerušit spojení mezi finančními prostředky proudícími do CoinJoin a prostředky proudícími z CoinJoinu.

Namísto transakce s jedním plátcem a příjemcem má transakce CoinJoin více plátců a příjemců. Řekněme například, že máte CoinJoin s 10 účastníky — pokud je CoinJoin správně zkonstruován a všechna pravidla interakce jsou správně dodržována, budou mít finanční prostředky, které z CoinJoinu vytečou, nastavenu anonymitu 10. tj. kterýkoli z 10 „smíšených výstupů ” z transakce může patřit kterémukoli z 10 (nebo více) „nesmíchaných vstupů“ transakce. 

Zatímco CoinJoins mohou být velmi mocným nástrojem, existuje mnoho příležitostí pro účastníky udělat kritické chyby, které významně zhoršují nebo zcela podkopávají jakékoli soukromí, které mohli díky CoinJoinu získat. V případě údajného hackera DAO k takové chybě došlo. Jak se dočtete dále, existuje možnost, že tato chyba byla chybou uživatele, je však také možné, že ve Wasabi Wallet existovala (od opravená) chyba, která vedla k tomuto selhání ochrany osobních údajů. 

Wasabi Wallet používá Protokol ZeroLink, který vytváří CoinJoins se smíšenými výstupy stejné hodnoty. To znamená, že všichni uživatelé jsou povinni míchat pouze určité, předem stanovené množství bitcoinů. Jakákoli hodnota nad tuto částku, která jde do CoinJoin, musí být vrácena jako nesmíšené bitcoiny příslušným uživatelům.

Pokud má například Alice jediný výstup 15 bitcoinu a CoinJoin přijímá pouze výstupy v hodnotě 1 bitcoinu, po dokončení CoinJoinu bude mít Alice smíšený výstup bitcoinů 1 a nesmíšený bitcoin 05. 05 bitcoin je považován za „nesmíšený“, protože může být spojen s původním výstupem Alice 15. Smíšený výstup již nelze přímo propojit se vstupem a bude mít nastavenou anonymitu, která se skládá ze všech ostatních účastníků CoinJoinu. 

Pro zachování soukromí CoinJoin je nutné, aby smíšené a nemíchané výstupy nebyly nikdy vzájemně spojeny. V případě, že jsou náhodně agregovány na bitcoinovém blockchainu v rámci jedné transakce nebo sady transakcí, může pozorovatel tyto informace použít ke sledování smíšených výstupů zpět k jejich zdroji. 

V případě hackera DAO to vypadá, že v procesu používání Wasabi Wallet použili jednu adresu ve více CoinJoinech; v jednom případě adresa byl použit jako nesměšovaný změnový výstup, ve druhém případě byl použit jako smíšený výstup.

To je v kontextu CoinJoin poměrně neobvyklá chyba, protože tato technika asociace vyžaduje transakci po proudu od CoinJoinů, aby se „sloučily“ nesmíšené a smíšené výstupy a propojily se dohromady. V tomto případě však nebylo nutné analyzovat žádné transakce nad rámec dvou CoinJoinů, protože stejná adresa byla používána konfliktními způsoby ve dvou samostatných CoinJoinech. 

Tato možnost v zásadě existuje kvůli rozhodnutí o návrhu v softwaru Wasabi Wallet: Wasabi Wallet používá jedinou derivační cestu pro smíšené i nesmíšené výstupy. To je zvažováno špatná praxe. Zaměstnanec Wasabi uvedl, že to mělo učinit obnovu peněženky kompatibilní s jinými peněženkami, nicméně BIP84 (což je derivační schéma Wasabi Wallet používá) má standardní způsob, jak rozpoznat derivační cestu přiřazenou ke změně výstupů.

Selhání vyplývající z této volby designu jsou nejvýrazněji vidět, když má uživatel současně spuštěny dvě instance Wasabi Wallet a používá stejný seed. V tomto scénáři by bylo možné, aby dvě instance zvolily stejnou adresu tímto konfliktním způsobem při současném pokusu o spuštění mixu z každé instance. Před tímto je varováno v oficiální dokumentace. Je také možné, že na vině byly známé chyby ve Wasabi Wallet.

Postřehy a závěry

Co se z toho tedy učíme? I když tato chyba s Wasabi není úplným koncem příběhu, fungovala jako klíčová součást při sledování údajného hackera. Znovu se potvrzuje naše přesvědčení, že soukromí je těžké. Ale v praxi máme další příklad toho, jak je důležité předcházet kontaminaci výstupu při používání nástrojů na ochranu soukromí a jak pečlivou „kontrolu mincí“ vyžadují uživatelé i software. Otázkou je, jaké protokoly ochrany soukromí jsou navrženy k minimalizaci této třídy útoků? 

Jedním ze zajímavých řešení je CoinSwap, kde místo sloučení výstupů do velké transakce vyměníte výstupy s jiným uživatelem. Tímto způsobem vyměňujete historii mincí, nikoli historii mincí. Ještě silnější je, že pokud se CoinSwap provádí v kontextu off-chain (jak je implementováno Mercury Wallet), neexistují žádné nemíchané výstupy změn, se kterými by se bylo třeba vůbec vypořádat. 

I když existují možné chyby uživatele, které mohou způsobit, že CoinSwap bude „odměněn“, tyto chyby jsou pravděpodobně pro koncového uživatele mnohem zjevnější, protože jakékoli sloučení výstupů způsobem porušujícím soukromí lze provést pouze explicitním smícháním prohodil výstup s jedním, který ještě nebyl prohozen, na rozdíl od sloučení dvou výstupů, které již prošly CoinJoinem, z nichž pouze jeden je skutečně smíchán.

Peněženka Mercury je v současné době jediným off-chain CoinSwap zařízením dostupným koncovým uživatelům. Umožňuje uživatelům uzamknout své coiny do protokolu druhé vrstvy (známého jako statechain) a poté slepě vyměňovat své výstupy s ostatními uživateli stavu řetězce. Je to velmi zajímavá technika a stojí za to ji vyzkoušet pro ty, kteří mají zájem prozkoumat nové nástroje ochrany osobních údajů se vzrušujícími funkcemi a přijatelnými kompromisy.