Шта можемо научити из проучавања хакова? Откривање увида у приватност и кретање криптовалута након хаковања ДАО 2016.

Термин криптовалута је скоро постао синоним за хаковање. Чини се као да сваке недеље има запањујуће великих хакова на берзама, новчаницима појединачних корисника, паметним уговорима и јавним блок-чејновима на којима се налазе. У многим случајевима вектори напада су очигледни у ретроспективи: код није тестиран, унутрашњи процеси за спречавање крађе идентитета нису постојали, основни стандарди кода нису испоштовани, итд. Проучавање самих хакова често неће извући много занимљивих информација за оне који су већ упознати са основне безбедносне праксе. 

Али сваки крипто хак има две примарне компоненте — ту је сам хак, а затим и методологије помоћу којих хакер и његове кохорте покушавају да уновче свој украдени плен. За заговорнике приватности, покушаји да се ова средства анонимизирају су занимљиве студије случаја о нивоима анонимности који се могу постићи у јавним блокчејн мрежама.

Пошто средства пажљиво прате високо организоване и добро финансиране владине агенције и корпоративни субјекти, они пружају прилику заједници да посматра ефикасност различитих укључених новчаника за приватност. Ако ови хакери не могу да остану приватни, какве су шансе да ће просечни корисници који траже приватност у јавним мрежама то успети да остваре? 

ДАО 2016 хак, пример за пример

Када проучавате ове хакове и каснија хапшења, постаје јасно да у већини случајева хакери праве кључне грешке када покушавају да анонимизирају своју криптовалуту. У неким случајевима, кварови су последица једноставних грешака корисника. У другим случајевима, они су узроковани грешкама у софтверу новчаника који су користили или другим мање него очигледним погрешним корацима на путу претварања криптовалуте у стварну имовину. 

Недавно је један посебно занимљив случај, ДАО хак из 2016. године, имао значајан развој — истражни Форбес чланак објављено је које идентификује наводног хакера. Процес којим је ова особа идентификована нуди неке увиде у широко коришћени новчаник за приватност, Васаби Валлет, и како неправилна употреба софтвера може довести до „помешања“ средстава наводног хакера. 

Направљене су критичне грешке

Што се тиче редоследа операција, први потез хакера је био да претвори део својих украдених средстава из Етхереум Цлассиц-а у Битцоин. Хакер је користио Схапесхифт да изврши размену, што је у то време обезбедило пуну јавну евиденцију о свим трговинама на платформи. Из Схапесхифта, нека средства су се преселила у Васаби Валлет. Одавде ствари иду низбрдо.  

За оне који нису упознати, ЦоинЈоин је надимак за посебан протокол за изградњу трансакције који омогућава више страна да обједине своја средства у велику трансакцију са циљем да се прекине веза између средстава која притичу у ЦоинЈоин и средстава која одлазе из ЦоинЈоин-а.

Уместо да трансакција има једног платиоца и примаоца плаћања, ЦоинЈоин трансакција има више платиша и прималаца. Рецимо на пример да имате ЦоинЈоин са 10 учесника — ако је ЦоинЈоин правилно конструисан и ако се правилно поштују сва правила интеракције, средства која теку из ЦоинЈоин-а имаће скуп анонимности од 10. тј. било који од 10 „мешовитих излаза“ ” из трансакције може припадати било ком од 10 (или више) „немешовитих улаза” у трансакцију. 

Иако ЦоинЈоинс може бити веома моћан алат, постоје многе могућности за учеснике да направе критичне грешке које значајно деградирају или у потпуности поткопавају било коју приватност коју су могли добити од ЦоинЈоин-а. У случају наводног ДАО хакера, таква грешка је направљена. Као што ћете прочитати следеће, постоји могућност да је ова грешка била грешка корисника, међутим, такође је могуће да је постојала (од поправљена) грешка у Васаби новчанику која је довела до ове грешке у приватности. 

Васаби Валлет користи ЗероЛинк протокол, који конструише ЦоинЈоинс са мешовитим излазима једнаке вредности. Ово значи да се од свих корисника тражи да мешају само одређену, унапред одређену количину биткоина. Свака вредност изнад тог износа која улази у ЦоинЈоин мора бити враћена као непомешани Битцоин одговарајућим корисницима.

Ако, на пример, Алиса има један излаз .15 Битцоин, а ЦоинЈоин прихвата само излазе вредности .1 Битцоин, по завршетку ЦоинЈоин-а, Алице би имала .1 мешовити излаз Битцоин и .05 непомешани Битцоин излаз. Битцоин од .05 се сматра „непомешаним“ јер се може повезати са Алисиним оригиналним излазом од .15. Мешовити излаз више не може бити директно повезан са улазом и имаће скуп анонимности који се састоји од свих осталих учесника у ЦоинЈоин-у. 

Да би се сачувала приватност ЦоинЈоин-а, императив је да мешовити и непомешани резултати никада нису повезани једни са другима. У случају да се случајно агрегирају на биткоин блок ланцу у једној или скупу трансакција, посматрач може користити те информације да прати мешовите излазе назад до њиховог извора. 

У случају ДАО хакера, чини се да су у процесу коришћења Васаби новчаника користили једну адресу у више ЦоинЈоинс-а; у једном случају адреса је коришћен као немешани излаз промене, у другом случају је коришћен као мешовити излаз.

Ово је релативно необична грешка у контексту ЦоинЈоин-а, јер ова техника кривице по повезивању захтева трансакцију низводно од ЦоинЈоинс-а да би „спојила“ непомешане и мешовите излазе, повезујући их заједно. Али у овом случају није било потребно анализирати трансакције осим два ЦоинЈоина јер је иста адреса коришћена на конфликтне начине у два одвојена ЦоинЈоина. 

У основи, ова могућност постоји због дизајнерске одлуке у софтверу Васаби Валлет: Васаби Валлет користи једну путању деривације и за мешовите и за непомешане излазе. Ово се сматра лоша пракса. Запосленик Васабија је изјавио да је ово требало да учини обнављање новчаника компатибилним са другим новчаницима, међутим, БИП84 (што је шема извођења Васаби Валлет користи) има стандардни начин за препознавање путање деривације додељеног за промену излаза.

Грешке које произилазе из овог избора дизајна су најистакнутије видљиве када корисник има две инстанце Васаби новчаника које раде у исто време док користи исто семе. У овом сценарију, било би могуће да две инстанце изаберу исту адресу на овај конфликтан начин када истовремено покушавају да покрену микс са сваке инстанце. На ово се упозорава у званична документација. Такође је могуће да су познате грешке у Васаби новчанику биле кривац.

Изводи и закључци

Дакле, шта учимо из овога? Иако ова грешка са Васабијем није баш крај приче, деловала је као кључна компонента у проналажењу наводног хакера. Још једном се потврђује наше уверење да је приватност тешка. Али практично, имамо још један пример важности спречавања контаминације излаза при коришћењу алата за приватност и колико је пажљива „контрола новчића“ потребна од стране корисника и софтвера. Поставља се питање које врсте протокола приватности су дизајниране да минимизирају ову класу напада? 

Једно занимљиво решење је ЦоинСвап, где уместо спајања излаза у велику трансакцију, замењујете излазе са другим корисником. На овај начин размењујете историје новчића, а не спајате историје новчића. Још снажније, ако се ЦоинСвап врши у контексту ван ланца (као што га имплементира Мерцури Валлет), уопште нема немешовитих излаза промена којима се треба бавити. 

Иако постоје могуће грешке корисника које могу узроковати да се ЦоинСвап „размени“, ове грешке су вероватно много очигледније крајњем кориснику јер се свако спајање излаза на начин који нарушава приватност може извршити само експлицитним мешањем замењени излаз са оним који још увек није замењен, за разлику од спајања два излаза која су већ прошла кроз ЦоинЈоин, од којих је само један заправо мешан.

Мерцури Валлет је тренутно једини ван ланца ЦоинСвап објекат доступан крајњим корисницима. Омогућава корисницима да закључају своје новчиће у протокол слоја два (познат као ланац стања), а затим слепо размењују своје излазе са другим корисницима ланца стања. То је веома занимљива техника и вреди експериментисати за оне који су заинтересовани за истраживање нових алата за приватност са узбудљивом функционалношћу и прихватљивим компромисима.