Apa yang bisa kita pelajari dari mempelajari peretasan? Mengungkap wawasan tentang privasi dan pergerakan mata uang kripto setelah peretasan DAO 2016

Istilah cryptocurrency hampir menjadi identik dengan peretasan. Sepertinya setiap minggu ada peretasan besar yang menarik di bursa, dompet pengguna individu, kontrak pintar, dan blockchain publik tempat mereka duduk. Dalam banyak kasus, vektor serangan terlihat jelas dalam retrospeksi: kode belum diuji, proses internal untuk mencegah phishing tidak ada, standar kode dasar tidak diikuti, dll. Mempelajari peretasan itu sendiri sering kali tidak mengumpulkan banyak informasi menarik bagi mereka yang sudah akrab dengannya. praktik keamanan dasar. 

Tetapi setiap peretasan kripto memiliki dua komponen utama — ada peretasan itu sendiri, dan kemudian metodologi yang digunakan peretas dan kelompok mereka untuk menguangkan hasil curian mereka. Untuk pendukung privasi, upaya yang dilakukan untuk menganonimkan dana ini adalah studi kasus yang menarik di tingkat anonimitas yang dapat dicapai dalam jaringan blockchain publik.

Karena dana tersebut dilacak dengan cermat oleh lembaga pemerintah dan entitas perusahaan yang sangat terorganisir dan didanai dengan baik, mereka memberikan kesempatan bagi masyarakat untuk mengamati kemanjuran berbagai dompet privasi yang terlibat. Jika para peretas ini tidak dapat menjaga kerahasiaannya, seberapa besar kemungkinan pengguna rata-rata yang mencari privasi di jaringan publik akan dapat mencapainya? 

Peretasan DAO 2016, contoh kasus

Saat mempelajari peretasan ini dan penangkapan selanjutnya, menjadi jelas bahwa dalam sebagian besar kasus, peretas membuat kesalahan penting ketika mencoba menganonimkan cryptocurrency mereka. Dalam beberapa kasus, kegagalan adalah kesalahan kesalahan pengguna yang sederhana. Dalam kasus lain, mereka disebabkan oleh bug dalam perangkat lunak dompet yang mereka gunakan atau kesalahan langkah lain yang kurang jelas di jalur untuk mengubah cryptocurrency menjadi aset dunia nyata. 

Baru-baru ini, kasus yang sangat menarik, peretasan DAO 2016, memiliki perkembangan yang signifikan — sebuah investigasi Artikel Forbes diterbitkan yang mengidentifikasi tersangka peretas. Proses di mana orang ini diidentifikasi menawarkan beberapa wawasan tentang dompet privasi yang digunakan secara luas, Dompet Wasabi, dan bagaimana penggunaan perangkat lunak yang tidak tepat dapat menyebabkan "penguraian" dana yang diduga peretas. 

Kesalahan kritis dibuat

Adapun urutan operasi, langkah pertama peretas adalah mengubah sebagian dana curian mereka dari Ethereum Classic menjadi Bitcoin. Peretas menggunakan Shapeshift untuk bertukar mengeksekusi swap, yang pada saat itu memberikan catatan publik penuh dari semua perdagangan di platform. Dari Shapeshift, sebagian dana dipindahkan ke Wasabi Wallet. Dari sini, segalanya menurun.  

Bagi mereka yang tidak terbiasa, CoinJoin adalah moniker untuk protokol konstruksi transaksi khusus yang memungkinkan banyak pihak untuk menggabungkan dana mereka ke dalam transaksi besar dengan tujuan memutus hubungan antara dana yang mengalir ke CoinJoin dan dana yang mengalir keluar dari CoinJoin.

Alih-alih transaksi yang memiliki satu pembayar dan penerima pembayaran, transaksi CoinJoin memiliki banyak pembayar dan penerima pembayaran. Katakanlah misalnya Anda memiliki CoinJoin dengan 10 peserta — jika CoinJoin dibangun dengan benar dan semua aturan interaksi diikuti dengan benar, dana yang mengalir keluar dari CoinJoin akan memiliki kumpulan anonimitas 10. yaitu salah satu dari 10 “output campuran ” dari transaksi dapat menjadi milik salah satu dari 10 (atau lebih) “input yang tidak tercampur” untuk transaksi tersebut. 

Sementara CoinJoins bisa menjadi alat yang sangat kuat, ada banyak peluang bagi peserta untuk membuat kesalahan kritis yang secara signifikan menurunkan atau sepenuhnya merusak privasi apa pun yang mungkin mereka peroleh dari CoinJoin. Dalam kasus dugaan peretas DAO, kesalahan seperti itu dibuat. Seperti yang akan Anda baca selanjutnya, ada kemungkinan bug ini adalah kesalahan pengguna, namun, mungkin juga ada bug (sejak diperbaiki) di Wasabi Wallet yang menyebabkan kegagalan privasi ini. 

Dompet Wasabi menggunakan Protokol ZeroLink, yang membangun CoinJoins dengan output campuran dengan nilai yang sama. Artinya, semua pengguna diharuskan untuk mencampur Bitcoin dalam jumlah tertentu yang telah ditentukan sebelumnya. Nilai apa pun di atas jumlah yang masuk ke CoinJoin harus dikembalikan sebagai Bitcoin yang tidak dicampur ke masing-masing pengguna.

Jika misalnya Alice memiliki satu keluaran .15 Bitcoin, dan CoinJoin hanya menerima keluaran senilai .1 Bitcoin, pada penyelesaian CoinJoin, Alice akan memiliki keluaran Bitcoin campuran .1 dan keluaran Bitcoin tak-campuran .05. .05 Bitcoin dianggap “tidak tercampur” karena dapat dihubungkan dengan keluaran asli Alice sebesar .15. Output campuran tidak dapat ditautkan secara langsung ke input lagi, dan akan memiliki kumpulan anonimitas yang terdiri dari semua peserta lain di CoinJoin. 

Untuk menjaga privasi CoinJoin, sangat penting bahwa output campuran dan tidak tercampur tidak pernah dikaitkan satu sama lain. Jika mereka secara tidak sengaja dikumpulkan pada blockchain bitcoin dalam satu atau serangkaian transaksi, pengamat dapat menggunakan informasi itu untuk melacak keluaran campuran kembali ke sumbernya. 

Dalam kasus peretas DAO, tampaknya dalam proses menggunakan Wasabi Wallet, mereka menggunakan satu alamat di beberapa CoinJoin; dalam satu kasus alamat digunakan sebagai output perubahan yang tidak dicampur, dalam kasus kedua digunakan sebagai output campuran.

Ini adalah kesalahan yang relatif tidak biasa dalam konteks CoinJoin karena teknik asosiasi rasa bersalah ini memerlukan transaksi hilir CoinJoins untuk "menggabungkan" output yang tidak tercampur dan campuran, menghubungkannya bersama-sama. Namun dalam kasus ini, tidak ada transaksi di luar dua CoinJoin yang perlu dianalisis karena alamat yang sama digunakan dengan cara yang bertentangan di dua CoinJoin yang terpisah. 

Pada dasarnya, kemungkinan ini ada karena keputusan desain dalam perangkat lunak Wasabi Wallet: Wasabi Wallet menggunakan jalur derivasi tunggal untuk keluaran campuran dan tidak campuran. Ini dianggap praktik buruk. Dinyatakan oleh karyawan Wasabi bahwa ini adalah untuk membuat pemulihan dompet kompatibel dengan dompet lain, namun, BIP84 (yang merupakan skema derivasi Penggunaan Wasabi Wallet) memang memiliki cara standar untuk mengenali jalur derivasi yang ditetapkan untuk mengubah output.

Kegagalan yang dihasilkan dari pilihan desain ini paling jelas terlihat ketika pengguna memiliki dua contoh Dompet Wasabi yang berjalan pada saat yang sama saat menggunakan benih yang sama. Dalam skenario ini, kedua instans dapat memilih alamat yang sama dengan cara yang saling bertentangan ini ketika secara bersamaan mencoba menjalankan campuran dari setiap instans. Ini diperingatkan agar tidak masuk dokumentasi resmi. Mungkin juga bug yang diketahui di Dompet Wasabi adalah penyebabnya.

Takeaways dan kesimpulan

Jadi apa yang kita pelajari dari ini? Meskipun bug dengan Wasabi ini bukan akhir dari cerita, ini bertindak sebagai komponen penting dalam melacak tersangka peretas. Sekali lagi, keyakinan kami bahwa privasi itu sulit ditegaskan kembali. Namun secara praktis, kami memiliki contoh lain tentang pentingnya mencegah kontaminasi keluaran saat menggunakan alat privasi, dan seberapa hati-hati "kontrol koin" diperlukan oleh pengguna dan perangkat lunak. Pertanyaannya menjadi, protokol privasi seperti apa yang dirancang untuk meminimalkan kelas serangan ini? 

Salah satu solusi menarik adalah CoinSwap, di mana alih-alih menggabungkan output menjadi transaksi besar, Anda menukar output dengan pengguna lain. Dengan cara ini Anda menukar sejarah koin, bukan bergabung dengan sejarah koin. Lebih kuat lagi, jika CoinSwap dilakukan dalam konteks off-chain (seperti yang diterapkan oleh Mercury Wallet), tidak ada output perubahan yang tidak tercampur untuk ditangani sama sekali. 

Meskipun ada kemungkinan kesalahan pengguna yang dapat menyebabkan CoinSwap menjadi “de-swapped”, kesalahan ini bisa dibilang jauh lebih jelas bagi pengguna akhir karena penggabungan output apa pun dengan cara yang melanggar privasi hanya dapat dilakukan dengan mencampurkan secara eksplisit menukar output dengan yang belum ditukar, berbeda dengan menggabungkan dua output yang telah melalui CoinJoin, hanya satu yang benar-benar tercampur.

dompet merkuri saat ini adalah satu-satunya fasilitas CoinSwap off-chain yang tersedia untuk pengguna akhir. Ini memungkinkan pengguna mengunci koin mereka ke dalam protokol lapisan dua (dikenal sebagai statechain) dan kemudian secara membabi buta menukar output mereka dengan pengguna lain dari statechain. Ini adalah teknik yang sangat menarik dan layak untuk dicoba bagi mereka yang tertarik untuk menjelajahi alat privasi baru dengan fungsionalitas yang menarik dan pertukaran yang dapat diterima.