Ben je blootgesteld? Hoe Chainalysis de Wasabi Bitcoin-privacyportemonnee heeft gekraakt?

Hoewel het Bitcoin-netwerk een permanent open record van transacties is, hebben veel derde partijen er privacyfunctionaliteit bovenop gebouwd. Een van die diensten is: Wasabi portemonnee, dat gebruikmaakt van een mixerprotocol, Tor-integratie, en gratis te gebruiken en open source is.

Mixers werken door transactie-invoer en -uitvoer samen te "mixen", zodat de relatie tussen zenders en ontvangers niet duidelijk is. Zo wordt een zekere mate van anonimiteit geboden door de geldstroom moeilijk te traceren.

In haar onlangs uitgebrachte boek Cryptopians, waarin de vroege dagen van Ethereum worden beschreven, journalist Laura Shin beweert dat Wasabi Wallet de zwakke schakel was, wat resulteerde in blockchain-gegevensanalysebedrijf Chainalysis dat gestolen geld van de DAO-hack van 2016 opspoorde.

Hoe hebben hackers misbruik gemaakt van The DAO?

Gedecentraliseerde Autonome Organisaties (DAO's) verwijzen naar een gedecentraliseerd fonds waarin tokenhouders bepalen hoe het wordt beheerd door middel van voorstellen en stemmen. Er is geen hiërarchische structuur, alleen houders die beslissingen nemen die worden ondersteund door slimme contracten.

De eerste DAO die werd gemaakt heette De DAO en opgezet door Slock.it, die Blockchains LLC heeft verworven in juni 2019.

Het werd in 2015 gelanceerd om fondsen te werven voor Web3.0-projecten en startups. Als de eerste in zijn soort werd het een groot succes en trok het 12 miljoen ETH aan investeringen aan (destijds $ 150 miljoen, maar vandaag de dag $ 30.2 miljard).

Aanvallers wisten echter misbruik te maken van een recursief bellen kwetsbaarheid, wat betekent dat ze geld kunnen opnemen zonder dat de opname wordt weerspiegeld in het rekeningsaldo. Hierdoor konden hackers oneindig veel geld opnemen, wat resulteerde in het verlies van 3.6 miljoen ETH (toen 50 miljoen dollar, maar vandaag 9 miljard dollar).

Een deel van het gestolen geld werd naar een Wasabi-portemonnee gestuurd om te wassen. Maar een fout in de protocolconfiguratie betekende dat Chainalysis de mixerfunctionaliteit kon deanonimiseren met behulp van open source-methoden.

Hoe heeft Chainalysis de Bitcoin-privacy Wasabi-portemonnee "gebroken"?

Shin beweert dat dit mogelijk was omdat Wasabi Wallet het ZeroLink-protocol niet volledig kon implementeren.

NulLink claimt Bitcoin-transacties volledig te anonimiseren met behulp van een gedefinieerde pre-mix en post-mix mixtechniek. Premix-functionaliteit zou eenvoudig kunnen worden geïmplementeerd "zonder veel overhead". Het toevoegen van post-mix-functionaliteit aan een portemonnee was echter een heel complexe aangelegenheid.

"Post-mix-portefeuilles hebben daarentegen strenge privacyvereisten met betrekking tot muntselectie, ophalen van privétransacties en saldo, indexering en uitzending van transactie-invoer en -uitvoer."

In plaats daarvan is het beweerde dat Wasabi Wallet koos voor een 'peel chain'-methode die minder bescherming biedt, waardoor Chainalysis transacties van de DAO-hack kan traceren.

Leuk weetje. Wasabi? ZeroLink nooit geïmplementeerd. Ze kwamen er niet eens bij in de buurt. Nopara liet de bal al vroeg vallen en ging voor de gemakkelijke uitweg: een schilketting. Chainalysis draait ringen rond Wasabi?. pic.twitter.com/bLmyDt7qip

— TDevD [Geen KYC, geen T&C, nee?] (@SamouraiDev) 23 februari 2022

Als zodanig heeft Chainalysis Bitcoin niet als zodanig "gekraakt", maar alleen geprofiteerd van een onzorgvuldige integratie.

Desalniettemin is er een toenemend verhaal dat financiële privacy, als het gaat om cryptocurrency, op de een of andere manier verkeerd is. Hoewel het waar is dat de meeste cryptotransacties boven verwachting zijn, heeft dat de autoriteiten er niet van weerhouden om een ​​steeds strenger beleid af te dwingen.