Är du utsatt? Hur Chainalysis knäckte Wasabi Bitcoins sekretessplånbok

Även om Bitcoin-nätverket är ett permanent öppet register över transaktioner, har många tredje parter byggt sekretessfunktioner ovanpå det. En sådan tjänst är Wasabi plånbok, som använder ett mixerprotokoll, Tor-integration, och är gratis att använda och öppen källkod.

Blandare fungerar genom att "mixa" transaktionsingångar och utgångar tillsammans så att förhållandet mellan avsändare och mottagare inte är tydligt. En viss grad av anonymitet ges alltså genom att göra det svårt att spåra flödet av medel.

I hennes nyligen släppta bok Cryptopians, som beskriver Ethereums tidiga dagar, journalist Laura Shin hävdar Wasabi Wallet var den svaga länken, vilket resulterade i att blockchain-dataanalysföretaget Chainalysis spårade stulna pengar från DAO-hacket 2016.

Hur utnyttjade hackare DAO?

Decentraliserade autonoma organisationer (DAO) avser en decentraliserad fond där tokeninnehavare styr hur den sköts genom förslag och omröstningar. Det finns ingen hierarkisk struktur, bara innehavare som fattar beslut som upprätthålls av smarta kontrakt.

Den första DAO som skapades kallades DAO och ställs in av Slock.it, som Blockchains LLC förvärvade i juni 2019.

Det lanserades 2015 för att samla in pengar till Web3.0-projekt och startups. Som den första i sitt slag blev den en dundersuccé och lockade till sig 12 miljoner ETH i investeringar (150 miljoner dollar vid tidpunkten, men 30.2 miljarder dollar idag).

Men angripare lyckades utnyttja en sårbarhet för rekursiv samtal, vilket innebär att de kan ta ut pengar utan att uttaget återspeglas i kontosaldot. Detta gjorde det möjligt för hackare att starta en slinga av uttag på obestämd tid, vilket resulterade i förlusten av 3.6 miljoner ETH (50 miljoner dollar vid den tiden, men 9 miljarder dollar idag).

En del av de stulna medlen skickades till en Wasabi-plånbok för tvätt. Men ett fel i protokollinställningen innebar att Chainalysis kunde deanonymisera mixerfunktionaliteten med metoder med öppen källkod.

Hur "bröt" Chainalysis Wasabi-plånboken för Bitcoin-integritet?

Shin hävdar att detta var möjligt eftersom Wasabi Wallet misslyckades med att implementera ZeroLink-protokollet fullt ut.

ZeroLink hävdar att helt anonymisera Bitcoin-transaktioner med en definierad förblandnings- och efterblandningsteknik. Pre-mix-funktionalitet sägs vara lätt implementerad "utan mycket omkostnader." Men att lägga till post-mix-funktionalitet till en plånbok var en helt och hållet mer komplex affär.

"Post-mix-plånböcker å andra sidan har starka integritetskrav, när det gäller myntval, privat transaktion och saldohämtning, transaktionsinmatning och -utgångsindexering och sändning."

Istället är det hävdade att Wasabi Wallet valde en "peel chain"-metod som ger färre skydd, vilket resulterar i att Chainalysis kan spåra transaktioner från DAO-hacket.

Rolig fakta. Wasabi ? aldrig implementerat ZeroLink. De var inte ens i närheten av att göra det. Nopara tappade bollen tidigt och gick för den lätta ut: en skalkedja. Chainalysis kör ringar runt Wasabi?. pic.twitter.com/bLmyDt7qip

— TDevD [Ingen KYC, ingen T&C, nej ?] (@SamouraiDev) Februari 23, 2022

Som sådan "bröt" Chainalysis inte Bitcoin som sådan, bara dra fördel av en slarvig integration.

Icke desto mindre finns det en ökande berättelse om att finansiell integritet, när det gäller kryptovaluta, på något sätt är fel. Även om det är sant att majoriteten av kryptotransaktionerna är över styr, har det inte hindrat myndigheterna från att tillämpa allt striktare policyer.