¿Qué podemos aprender del estudio de los hacks? Perspectivas reveladoras sobre los movimientos de privacidad y criptomonedas después del hackeo de DAO 2016

El término criptomoneda casi se ha convertido en sinónimo de piratería. Parece que todas las semanas hay hacks sorprendentemente grandes en los intercambios, las billeteras de los usuarios individuales, los contratos inteligentes y las cadenas de bloques públicas en las que se encuentran. En muchos casos, los vectores de ataque son obvios en retrospectiva: el código no se probó, los procesos internos para evitar el phishing no existían, no se siguieron los estándares básicos del código, etc. Prácticas básicas de seguridad. 

Pero cada pirateo criptográfico tiene dos componentes principales: está el truco en sí mismo y luego las metodologías mediante las cuales el pirata informático y sus cohortes intentan cobrar su botín robado. Para los defensores de la privacidad, los intentos realizados para anonimizar estos fondos son estudios de casos interesantes en los niveles de anonimato que se pueden lograr en las redes públicas de blockchain.

Debido a que los fondos son rastreados de cerca por agencias gubernamentales y entidades corporativas altamente organizadas y bien financiadas, brindan una oportunidad para que la comunidad observe la eficacia de las diversas billeteras de privacidad involucradas. Si estos piratas informáticos no pueden permanecer privados, ¿cuáles son las posibilidades de que los usuarios promedio que buscan privacidad en las redes públicas puedan lograrlo? 

El hackeo de DAO 2016, un caso ejemplar

Al estudiar estos ataques y los arrestos posteriores, queda claro que, en la mayoría de los casos, los piratas informáticos cometen errores cruciales al intentar anonimizar su criptomoneda. En algunos casos, las fallas son culpa de simples errores del usuario. En otros casos, son causados ​​por errores en el software de billetera que usaron u otros pasos en falso menos que obvios en el camino para convertir la criptomoneda en activos del mundo real. 

Recientemente, un caso particularmente interesante, el ataque DAO de 2016, tuvo un desarrollo significativo: una investigación Artículo de Forbes fue publicado que identifica al presunto hacker. El proceso mediante el cual se identificó a esta persona ofrece algunas ideas sobre una billetera de privacidad ampliamente utilizada, Wasabi Wallet, y cómo el uso inadecuado del software puede conducir a una "desmezcla" de los fondos del presunto pirata informático. 

Se cometieron errores críticos

En cuanto al orden de las operaciones, el primer movimiento del hacker fue convertir algunos de sus fondos robados de Ethereum Classic en Bitcoin. El pirata informático usó Shapeshift para ejecutar el intercambio, que en ese momento proporcionó un registro público completo de todas las transacciones en la plataforma. Desde Shapeshift, algunos de los fondos se trasladaron a Wasabi Wallet. A partir de aquí, las cosas van cuesta abajo.  

Para aquellos que no están familiarizados, CoinJoin es el apodo de un protocolo especial de construcción de transacciones que permite que varias partes agreguen sus fondos en una gran transacción con el objetivo de romper el vínculo entre los fondos que fluyen hacia CoinJoin y los fondos que fluyen desde CoinJoin.

En lugar de que una transacción tenga un único pagador y beneficiario, una transacción CoinJoin tiene múltiples pagadores y beneficiarios. Digamos, por ejemplo, que tiene un CoinJoin con 10 participantes: si el CoinJoin se construye correctamente y se siguen correctamente todas las reglas de interacción, los fondos que salen del CoinJoin tendrán un conjunto de anonimato de 10, es decir, cualquiera de las 10 "salidas mixtas". ” de la transacción podría pertenecer a cualquiera de los 10 (o más) “entradas no mezcladas” de la transacción. 

Si bien CoinJoins puede ser una herramienta muy poderosa, hay muchas oportunidades para que los participantes cometan errores críticos que degradan significativamente o socavan por completo cualquier privacidad que puedan haber obtenido de CoinJoin. En el caso del presunto hacker de DAO, se cometió tal error. Como leerá a continuación, existe la posibilidad de que este error haya sido un error del usuario; sin embargo, también es posible que haya un error (desde que se solucionó) en Wasabi Wallet que condujo a esta falla de privacidad. 

Wasabi Wallet utiliza el Protocolo ZeroLink, que construye CoinJoins con salidas mixtas de igual valor. Lo que esto significa es que todos los usuarios deben mezclar solo una cantidad específica y predeterminada de Bitcoin. Cualquier valor por encima de esa cantidad que ingrese a CoinJoin debe devolverse como Bitcoin sin mezclar a los respectivos usuarios.

Si, por ejemplo, Alice tiene una única salida de Bitcoin de 15, y CoinJoin solo acepta salidas de valor de 1 Bitcoin, al completar CoinJoin, Alice tendría una salida de Bitcoin mixta de 1 y una salida de Bitcoin sin mezclar de 05. El .05 Bitcoin se considera "sin mezclar" porque se puede vincular a la salida original de Alice de .15. La salida mixta ya no se puede vincular directamente a la entrada y tendrá un conjunto de anonimato compuesto por todos los demás participantes en CoinJoin. 

Para preservar la privacidad de CoinJoin, es imperativo que las salidas mixtas y no mixtas nunca se asocien entre sí. En caso de que se agreguen accidentalmente en la cadena de bloques de bitcoin en una sola transacción o en un conjunto de transacciones, un observador puede usar esa información para rastrear las salidas mixtas hasta su fuente. 

En el caso del hacker DAO, parece que en el proceso de usar Wasabi Wallet, usaron una sola dirección en múltiples CoinJoins; en un caso la dirección se usó como salida de cambio sin mezclar, en el segundo caso se usó como salida mixta.

Este es un error relativamente inusual en el contexto de CoinJoin porque esta técnica de culpabilidad por asociación requiere una transacción aguas abajo de CoinJoins para "fusionar" las salidas mezcladas y no mezcladas, vinculándolas. Pero en este caso, no se requirió que se analizaran transacciones más allá de los dos CoinJoins porque la misma dirección se usó de manera conflictiva en dos CoinJoins separados. 

Fundamentalmente, esta posibilidad existe debido a una decisión de diseño en el software Wasabi Wallet: Wasabi Wallet utiliza una única ruta de derivación para las salidas mixtas y no mixtas. esto se considera mala práctica. Un empleado de Wasabi afirmó que esto era para hacer que la restauración de la billetera fuera compatible con otras billeteras, sin embargo, BIP84 (que es el esquema de derivación Usos de Wasabi Wallet) tiene una forma estándar para reconocer una ruta de derivación asignada para cambiar las salidas.

Las fallas que resultan de esta elección de diseño se ven de manera más prominente cuando un usuario tiene dos instancias de Wasabi Wallet ejecutándose al mismo tiempo mientras usa la misma semilla. En este escenario, sería posible que las dos instancias seleccionaran la misma dirección de esta manera conflictiva al intentar ejecutar simultáneamente una combinación de cada instancia. Esto está advertido en documentación oficial. También es posible que los errores conocidos en Wasabi Wallet fueran los culpables.

Comidas para llevar y conclusiones

¿Entonces, qué aprendemos de ésto? Si bien este error con Wasabi no es el final de la historia, actuó como un componente crucial para rastrear al presunto pirata informático. Una vez más, se reafirma nuestra creencia de que la privacidad es difícil. Pero en la práctica, tenemos otro ejemplo de la importancia de prevenir la contaminación de salida cuando se utilizan herramientas de privacidad, y cómo los usuarios y el software requieren un "control de monedas" cuidadoso. La pregunta es, ¿qué tipo de protocolos de privacidad están diseñados para minimizar este tipo de ataque? 

Una solución interesante es CoinSwap, donde en lugar de fusionar salidas en una gran transacción, intercambia salidas con otro usuario. De esta manera, está intercambiando historiales de monedas, no uniendo historiales de monedas. Más poderosamente, si se realiza un CoinSwap en el contexto fuera de la cadena (como lo implementa Mercury Wallet), no hay salidas de cambio sin mezclar con las que lidiar en absoluto. 

Si bien existen posibles errores de usuario que pueden hacer que un CoinSwap sea "desintercambiado", se puede decir que estos errores son mucho más obvios para el usuario final porque cualquier combinación de salidas de una manera que viole la privacidad solo se puede hacer mezclando explícitamente un la salida intercambiada con una que aún no se ha intercambiado, en lugar de fusionar dos salidas que ya pasaron por CoinJoin, de las cuales solo una está realmente mezclada.

Cartera Mercury es actualmente la única instalación de CoinSwap fuera de la cadena disponible para los usuarios finales. Permite a los usuarios bloquear sus monedas en un protocolo de capa dos (conocido como cadena de estado) y luego intercambiar ciegamente sus salidas con otros usuarios de la cadena de estado. Es una técnica muy interesante y vale la pena experimentar con ella para aquellos interesados ​​en explorar nuevas herramientas de privacidad con una funcionalidad emocionante y compensaciones aceptables.