ტერმინი კრიპტოვალუტა თითქმის ჰაკერების სინონიმი გახდა. როგორც ჩანს, ყოველ კვირას ხდება საოცრად დიდი ჰაკები ბირჟებზე, ინდივიდუალური მომხმარებლის საფულეებზე, ჭკვიან კონტრაქტებზე და საჯარო ბლოკჩეინებზე, რომლებზეც ისინი სხედან. ხშირ შემთხვევაში, თავდასხმის ვექტორები აშკარაა რეტროსპექტივაში: კოდი იყო შეუმოწმებელი, არ არსებობდა შიდა პროცესები ფიშინგის თავიდან ასაცილებლად, ძირითადი კოდის სტანდარტები არ იყო დაცული და ა.შ. თავად ჰაკერების შესწავლა ხშირად ვერ მოიპოვებს ბევრ საინტერესო ინფორმაციას მათთვის, ვინც უკვე იცნობს. უსაფრთხოების ძირითადი პრაქტიკა.
მაგრამ ყველა კრიპტო ჰაკს აქვს ორი ძირითადი კომპონენტი – არის თავად ჰაკიც, შემდეგ კი მეთოდოლოგია, რომლითაც ჰაკერი და მათი კოჰორტები ცდილობენ განაღდონ თავიანთი მოპარული ნაძარცვი. კონფიდენციალურობის დამცველებისთვის, ამ სახსრების ანონიმიზაციის მცდელობები არის საინტერესო შემთხვევის შესწავლა ანონიმურობის დონეზე, რომელიც მიიღწევა საჯარო ბლოკჩეინ ქსელებში.
იმის გამო, რომ თანხებს მჭიდროდ აკონტროლებენ მაღალორგანიზებული და კარგად დაფინანსებული სამთავრობო უწყებები და კორპორატიული სუბიექტები, ისინი საშუალებას აძლევს საზოგადოებას დააკვირდეს სხვადასხვა კონფიდენციალურობის საფულეების ეფექტურობას. თუ ეს ჰაკერები ვერ დარჩებიან პირადი, რა შანსები აქვთ, რომ საშუალო მომხმარებლები, რომლებიც ეძებენ კონფიდენციალურობას საჯარო ქსელებში, შეძლებენ მის მიღწევას?
DAO 2016 ჰაკი, სამაგალითო შემთხვევა
ამ ჰაკებისა და შემდგომი დაკავებების შესწავლისას ცხადი ხდება, რომ უმეტეს შემთხვევაში, ჰაკერები უშვებენ გადამწყვეტ შეცდომებს თავიანთი კრიპტოვალუტის ანონიმიზაციის მცდელობისას. ზოგიერთ შემთხვევაში, წარუმატებლობები მომხმარებლის მარტივი შეცდომების ბრალია. სხვა შემთხვევაში, ისინი გამოწვეულია მათ მიერ გამოყენებული საფულის პროგრამული უზრუნველყოფის შეცდომებით ან სხვა ნაკლებად აშკარა შეცდომებით კრიპტოვალუტის რეალურ აქტივებად გადაქცევის გზაზე.
ცოტა ხნის წინ, განსაკუთრებით საინტერესო შემთხვევამ, 2016 წლის DAO ჰაკერმა, მნიშვნელოვანი განვითარება - საგამოძიებო Forbes სტატიაში გამოქვეყნდა, რომელიც სავარაუდო ჰაკერის იდენტიფიცირებას ახდენს. პროცესი, რომლითაც მოხდა ამ პირის იდენტიფიცირება, გვთავაზობს გარკვეულ ინფორმაციას ფართოდ გამოყენებული კონფიდენციალურობის საფულეზე, Wasabi Wallet-ზე და იმაზე, თუ როგორ შეიძლება პროგრამული უზრუნველყოფის არასათანადო გამოყენებამ გამოიწვიოს სავარაუდო ჰაკერების სახსრების „დემიქსირება“.
დაშვებულია კრიტიკული შეცდომები
რაც შეეხება ოპერაციების თანმიმდევრობას, ჰაკერის პირველი ნაბიჯი იყო Ethereum Classic-დან მოპარული სახსრების ნაწილის ბიტკოინში გადაქცევა. ჰაკერმა გამოიყენა Shapeshift გაცვლის შესასრულებლად, რომელიც იმ დროს უზრუნველყოფდა პლატფორმაზე ყველა ვაჭრობის სრულ საჯარო ჩანაწერს. Shapeshift-დან, სახსრების ნაწილი გადავიდა Wasabi Wallet-ში. აქედან ყველაფერი ქვევით მიდის.
მათთვის, ვინც არ იცნობს, CoinJoin არის სპეციალური ტრანზაქციის მშენებლობის პროტოკოლის სახელწოდება, რომელიც საშუალებას აძლევს მრავალ მხარეს გააერთიანონ თავიანთი სახსრები დიდ ტრანზაქციაში, რათა დაარღვიონ კავშირი CoinJoin-ში შემოდინებულ სახსრებსა და CoinJoin-დან გამოსულ სახსრებს შორის.
იმის ნაცვლად, რომ ტრანზაქციას ჰქონდეს ერთი გადამხდელი და მიმღები, CoinJoin ტრანზაქციას ჰყავს მრავალი გადამხდელი და მიმღები. მაგალითად, თქვენ გაქვთ CoinJoin 10 მონაწილესთან - თუ CoinJoin სწორად არის აგებული და ურთიერთქმედების ყველა წესი სწორად არის დაცული, CoinJoin-დან გამოსული თანხები ექნება ანონიმურობის კომპლექტს 10. ე.ი. ” ტრანზაქციისგან შეიძლება ეკუთვნოდეს ტრანზაქციის 10 (ან მეტი) ”გაურევი შეყვანიდან” რომელიმეს.
მიუხედავად იმისა, რომ CoinJoins შეიძლება იყოს ძალიან ძლიერი ინსტრუმენტი, მონაწილეებს აქვთ მრავალი შესაძლებლობა, დაუშვან კრიტიკული შეცდომები, რომლებიც მნიშვნელოვნად ამცირებენ ან მთლიანად ძირს უთხრის ნებისმიერ კონფიდენციალურობას, რომელიც შესაძლოა მოიპოვონ CoinJoin-ისგან. სავარაუდო DAO ჰაკერის შემთხვევაში ასეთი შეცდომა დაუშვა. როგორც შემდეგ წაიკითხავთ, არის შესაძლებლობა, რომ ეს შეცდომა მომხმარებლის შეცდომა იყო, თუმცა, ასევე შესაძლებელია იყო (მას შემდეგ რაც დაფიქსირდა) შეცდომა Wasabi Wallet-ში, რამაც გამოიწვია კონფიდენციალურობის დარღვევა.
Wasabi Wallet იყენებს ZeroLink პროტოკოლი, რომელიც აშენებს CoinJoins-ს თანაბარი მნიშვნელობის შერეული შედეგებით. ეს ნიშნავს, რომ ყველა მომხმარებელს მოეთხოვება ბიტკოინის მხოლოდ განსაზღვრული, წინასწარ განსაზღვრული ოდენობის შერევა. ამ თანხის ზემოთ ნებისმიერი მნიშვნელობა, რომელიც შედის CoinJoin-ში, უნდა დაბრუნდეს როგორც შეუზავებელი ბიტკოინი შესაბამის მომხმარებლებს.
თუ მაგალითად Alice-ს აქვს ერთი 15 Bitcoin გამომავალი, და CoinJoin იღებს მხოლოდ 1 Bitcoin ღირებულების გამოსავალს, CoinJoin-ის დასრულების შემდეგ, Alice-ს ექნება 1 შერეული Bitcoin გამომავალი და .05 შეურეული Bitcoin გამომავალი. 05 ბიტკოინი ითვლება „გაურევლად“, რადგან ის შეიძლება დაუკავშირდეს ალისის თავდაპირველ გამომავალს .15. შერეული გამომავალი აღარ შეიძლება პირდაპირ იყოს დაკავშირებული შეყვანთან და ექნება ანონიმურობის ნაკრები, რომელიც შედგება CoinJoin-ის ყველა სხვა მონაწილესგან.
CoinJoin-ის კონფიდენციალურობის შესანარჩუნებლად აუცილებელია, რომ შერეული და შეუზავებელი შედეგები არასოდეს იყოს დაკავშირებული ერთმანეთთან. იმ შემთხვევაში, თუ ისინი შემთხვევით გაერთიანდება ბიტკოინის ბლოკჩეინზე ერთ ან ტრანზაქციების ერთობლიობაში, დამკვირვებელს შეუძლია გამოიყენოს ეს ინფორმაცია შერეული შედეგების წყარომდე მისაკვლევად.
DAO ჰაკერის შემთხვევაში, როგორც ჩანს, Wasabi Wallet-ის გამოყენების პროცესში ისინი იყენებდნენ ერთ მისამართს მრავალ CoinJoin-ში; ერთ შემთხვევაში მისამართი გამოიყენებოდა როგორც შეურეული ცვლილების გამომავალი, მეორე შემთხვევაში გამოიყენებოდა როგორც შერეული გამოსავალი.
ეს შედარებით უჩვეულო შეცდომაა CoinJoin-ის კონტექსტში, რადგან ეს დანაშაული ასოციაციის მეთოდით მოითხოვს ტრანზაქციას CoinJoins-ის ქვემოთ, რათა „გაერთიანდეს“ შეურეული და შერეული შედეგები და დააკავშიროს ისინი. მაგრამ ამ შემთხვევაში, არც ერთი ტრანზაქცია არ იყო საჭირო ორი CoinJoin-ის მიღმა გაანალიზებული, რადგან ერთი და იგივე მისამართი გამოიყენებოდა კონფლიქტური გზებით ორ ცალკეულ CoinJoin-ში.
ფუნდამენტურად, ეს შესაძლებლობა არსებობს Wasabi Wallet-ის პროგრამული უზრუნველყოფის დიზაინის გადაწყვეტილების გამო: Wasabi Wallet იყენებს ერთი დერივაციის გზას, როგორც შერეული, ასევე არაშერეული გამოსავლებისთვის. ეს ითვლება ცუდი პრაქტიკა. Wasabi-ს თანამშრომელმა განაცხადა, რომ ეს იყო საფულის აღდგენის თავსებადი სხვა საფულეებთან, თუმცა, BIP84 (რომელიც არის დერივაციის სქემა Wasabi Wallet-ს იყენებს) აქვს სტანდარტული ხერხი დერივაციული გზის ამოცნობისთვის, რომელიც მინიჭებულია შედეგების შესაცვლელად.
ამ დიზაინის არჩევანის შედეგად წარმოქმნილი წარუმატებლობები ყველაზე თვალსაჩინოა, როდესაც მომხმარებელს აქვს Wasabi Wallet-ის ორი ინსტანცია ერთდროულად გაშვებული ერთიდაიგივე თესლის გამოყენებისას. ამ სცენარში, ორმა ინსტანციამ შეიძლება აირჩიოს ერთი და იგივე მისამართი ამ კონფლიქტური გზით, როდესაც ერთდროულად ცდილობს თითოეული ინსტანციიდან მიქსის გაშვებას. ამის შესახებ გაფრთხილებულია ოფიციალური დოკუმენტაცია. ასევე შესაძლებელია, რომ Wasabi Wallet-ში ცნობილი შეცდომები იყო დამნაშავე.
წაკითხვები და დასკვნები
მაშ, რას ვსწავლობთ აქედან? მიუხედავად იმისა, რომ Wasabi-სთან დაკავშირებული ეს შეცდომა არ არის ისტორიის დასასრული, ის მოქმედებდა, როგორც გადამწყვეტი კომპონენტი სავარაუდო ჰაკერის თვალყურის დევნებისთვის. კიდევ ერთხელ დადასტურდა ჩვენი რწმენა, რომ კონფიდენციალურობა რთულია. მაგრამ პრაქტიკულად, ჩვენ გვაქვს კიდევ ერთი მაგალითი იმისა, თუ რამდენად მნიშვნელოვანია კონფიდენციალურობის ინსტრუმენტების გამოყენებისას გამომავალი დაბინძურების თავიდან აცილება და რამდენად ფრთხილი „მონეტის კონტროლი“ მოითხოვს მომხმარებლებს და პროგრამულ უზრუნველყოფას. ჩნდება კითხვა, რა სახის კონფიდენციალურობის პროტოკოლებია შექმნილი შეტევის ამ კლასის შესამცირებლად?
ერთ-ერთი საინტერესო გამოსავალია CoinSwap, სადაც შედეგების დიდ ტრანზაქციაში გაერთიანების ნაცვლად, თქვენ ცვლით შედეგებს სხვა მომხმარებელთან. ამ გზით თქვენ ცვლით მონეტების ისტორიებს და არ უერთდებით მონეტების ისტორიებს. უფრო მძლავრი, თუ CoinSwap-ი კეთდება არაჯაჭვის კონტექსტში (როგორც ამას ახორციელებს Mercury Wallet), საერთოდ არ არის შერეული ცვლილების შედეგები.
მიუხედავად იმისა, რომ არსებობს მომხმარებლის შესაძლო შეცდომები, რამაც შეიძლება გამოიწვიოს CoinSwap-ის „გაცვლა“, ეს შეცდომები, სავარაუდოდ, ბევრად უფრო აშკარაა საბოლოო მომხმარებლისთვის, რადგან შედეგების ნებისმიერი შერწყმა კონფიდენციალურობის დარღვევის გზით შეიძლება განხორციელდეს მხოლოდ აშკარად შერევით. გამომავალი შეცვალა ერთთან, რომელიც ჯერ არ არის შეცვლილი, განსხვავებით ორი გამოსავლის შერწყმისა, რომლებმაც უკვე გაიარეს CoinJoin, რომელთაგან მხოლოდ ერთია რეალურად შერეული.
მერკური საფულე ამჟამად არის ერთადერთი off-chain CoinSwap საშუალება, რომელიც ხელმისაწვდომია საბოლოო მომხმარებლებისთვის. ეს საშუალებას აძლევს მომხმარებლებს ჩაკეტონ თავიანთი მონეტები მეორე ფენის პროტოკოლში (ცნობილია როგორც statechain) და შემდეგ ბრმად შეცვალონ თავიანთი შედეგები Statechain-ის სხვა მომხმარებლებთან. ეს არის ძალიან საინტერესო ტექნიკა და ღირს ექსპერიმენტირება მათთვის, ვინც დაინტერესებულია კონფიდენციალურობის ახალი ინსტრუმენტების შესწავლით, საინტერესო ფუნქციონალობით და მისაღები კომპრომისებით.
მიიღეთ თქვენი ყოველდღიური მიმოხილვა ვიკიპედია, Defi, NFT მდე Web3 სიახლე CryptoSlate-დან
ეს უფასოა და შეგიძლიათ ნებისმიერ დროს გააუქმოთ გამოწერა.
მიიღეთ Edge კრიპტო ბაზარზე?
გახდი CryptoSlate Edge-ის წევრი და შედიხარ ჩვენს ექსკლუზიურ Discord საზოგადოებაში, უფრო ექსკლუზიურ შინაარსზე და ანალიზზე.
ქსელური ანალიზი
ფასების კადრები
მეტი კონტექსტი
წყარო: https://cryptoslate.com/what-can-we-learn-from-studying-hacks-revealing-insights-on-privacy-and-cryptocurrency-movements-after-the-dao-2016-hack/