¿Estás expuesto? Cómo Chainalysis descifró la billetera de privacidad de Wasabi Bitcoin

Aunque la red de Bitcoin es un registro abierto permanente de transacciones, muchos terceros han creado una funcionalidad de privacidad encima. Uno de esos servicios es Cartera Wasabi, que utiliza un protocolo mezclador, integración Tor, y es de uso gratuito y de código abierto.

Los mezcladores funcionan "mezclando" entradas y salidas de transacciones para que la relación entre los remitentes y los receptores no sea clara. Por lo tanto, se proporciona un grado de anonimato al dificultar el seguimiento del flujo de fondos.

En su libro Cryptopians, publicado recientemente, que detalla los primeros días de Ethereum, la periodista Laura shin afirma que Wasabi Wallet fue el eslabón débil, lo que resultó en que la firma de análisis de datos de blockchain Chainalysis rastreara los fondos robados del hackeo de DAO de 2016.

¿Cómo explotaron los hackers The DAO?

Las Organizaciones Autónomas Descentralizadas (DAO, por sus siglas en inglés) se refieren a un fondo descentralizado en el que los poseedores de tokens gobiernan cómo se administra a través de propuestas y votaciones. No existe una estructura jerárquica, solo titulares que toman decisiones respaldadas por contratos inteligentes.

El primer DAO creado se llamó El DAO y establecido por Slock.it, que Blockchains LLC adquirió en Junio 2019.

Se lanzó en 2015 para recaudar fondos para proyectos y nuevas empresas Web3.0. Como el primero de su tipo, se convirtió en un gran éxito, atrayendo 12 millones de ETH de inversión ($ 150 millones en ese momento, pero $ 30.2 mil millones en la actualidad).

Sin embargo, los atacantes lograron explotar un vulnerabilidad de llamada recursiva, lo que significa que podrían retirar fondos sin que el retiro se refleje en el saldo de la cuenta. Esto permitió a los piratas informáticos iniciar un ciclo de retiros indefinidamente, lo que resultó en la pérdida de 3.6 millones de ETH (50 millones de dólares en ese momento, pero 9 mil millones de dólares en la actualidad).

Algunos de los fondos robados fueron enviados a Wasabi Wallet para su lavado. Pero una falla en la configuración del protocolo significó que Chainalysis pudiera eliminar el anonimato de la funcionalidad del mezclador utilizando métodos de código abierto.

¿Cómo "rompió" Chainalysis la billetera Wasabi de privacidad de Bitcoin?

Shin afirma que esto fue posible porque Wasabi Wallet no implementó completamente el protocolo ZeroLink.

enlace cero afirma anonimizar completamente las transacciones de Bitcoin utilizando una técnica de mezcla premezclada y postmezclada definida. Se dice que la funcionalidad de premezcla se implementa fácilmente "sin mucha sobrecarga". Sin embargo, agregar la funcionalidad de mezcla posterior a una billetera fue un asunto mucho más complejo.

"Las billeteras post-mix, por otro lado, tienen fuertes requisitos de privacidad, con respecto a la selección de monedas, transacciones privadas y recuperación de saldos, indexación y transmisión de entrada y salida de transacciones".

En cambio, es afirmó que Wasabi Wallet optó por un método de "peel chain" que ofrece menos protecciones, lo que resultó en que Chainalysis pudiera rastrear transacciones desde el hackeo de DAO.

Hecho de la diversión. ¿Wasabi? nunca implementó ZeroLink. Ni siquiera estuvieron cerca de hacerlo. Nopara dejó caer la pelota desde el principio y buscó la salida fácil: una cadena de pelado. Chainalysis corre alrededor de Wasabi?. pic.twitter.com/bLmyDt7qip

— TDevD [Sin KYC, sin T&C, ¿no?] (@SamouraiDev) Febrero 23, 2022

Como tal, Chainalysis no "rompió" Bitcoin como tal, solo aprovechó una integración descuidada.

No obstante, existe una narrativa cada vez mayor de que la privacidad financiera, en lo que respecta a la criptomoneda, es de alguna manera incorrecta. Si bien es cierto que la mayoría de las transacciones con criptomonedas son legítimas, eso no ha impedido que las autoridades apliquen políticas cada vez más estrictas.