ハックの研究から何を学ぶことができますか？ DAO2016ハック後のプライバシーと暗号通貨の動きに関する洞察を明らかにする

暗号通貨という用語は、ハッキングとほぼ同義語になっています。 毎週のように、取引所、個人ユーザーのウォレット、スマートコントラクト、そしてそれらが置かれているパブリックブロックチェーンに対して、驚くほど大規模なハッキングが発生しているようです。 多くの場合、攻撃のベクトルは、後から振り返ると明らかです。コードがテストされていなかった、フィッシングを防止する内部プロセスが存在しなかった、基本的なコード標準が遵守されていなかった、などです。ハッキング自体を研究しても、既にハッキングに精通している人にとっては、あまり興味深い情報が収集できないことがよくあります。基本的なセキュリティの実践。 

しかし、すべての暗号通貨ハッキングには XNUMX つの主要な要素があります。ハッキング自体と、ハッカーとその仲間が盗んだ戦利品を現金化しようとする方法論です。 プライバシーの擁護者にとって、これらの資金を匿名化する試みは、パブリック ブロックチェーン ネットワークで達成可能な匿名性のレベルに関する興味深い事例研究となります。

資金は高度に組織され、資金が豊富な政府機関や法人によって綿密に追跡されているため、コミュニティが関連するさまざまなプライバシーウォレットの有効性を観察する機会を提供します。 これらのハッカーがプライベートを維持できない場合、公共ネットワークでプライバシーを求めている平均的なユーザーがそれを達成できる可能性はどれくらいでしょうか? 

DAO 2016 のハッキング、その典型的な事例

これらのハッキングとその後の逮捕を研究すると、ほとんどの場合、ハッカーが仮想通貨を匿名化しようとする際に重大な間違いを犯していることが明らかになります。 場合によっては、単純なユーザー エラーが原因で障害が発生することがあります。 また、使用したウォレット ソフトウェアのバグや、仮想通貨を現実世界の資産に変換する過程でのその他のあまり明白ではない間違いが原因で発生する場合もあります。 

最近、特に興味深い事件である 2016 年の DAO ハッキングでは、重大な進展が見られました。 フォーブスの記事 ハッカー容疑者を特定する情報が公開された。 この人物が特定されたプロセスは、広く利用されているプラ​​イバシー ウォレットである Wasabi Wallet と、ソフトウェアの不適切な使用がどのようにハッカー容疑者の資金の「分離」につながる可能性があるかについての洞察を提供します。 

重大なミスがあった

作戦の順序としては、ハッカーの最初の行動はイーサリアムクラシックから盗んだ資金の一部をビットコインに変換することでした。 ハッカーはシェイプシフトを使用してスワップを実行し、当時、プラットフォーム上のすべての取引の完全な公開記録を提供しました。 Shapeshift から資金の一部が Wasabi Wallet に移されました。 ここから、物事は下り坂になります。  

馴染みのない人のために説明すると、CoinJoin は、CoinJoin に流入する資金と CoinJoin から流出する資金の間のリンクを切断することを目的として、複数の当事者が資金を大規模なトランザクションに集約できるようにする特別なトランザクション構築プロトコルの別名です。

単一の支払者と受取人を持つトランザクションの代わりに、CoinJoin トランザクションには複数の支払者と受取人がいます。 たとえば、10 人の参加者がいる CoinJoin があるとします。CoinJoin が適切に構築され、すべての対話ルールが正しく守られている場合、CoinJoin から流出する資金には 10 の匿名性セットが含まれます。つまり、10 の「混合出力」のいずれかになります。トランザクションからの「」は、トランザクションへの 10 (またはそれ以上) の「混合されていない入力」のいずれか XNUMX つに属する可能性があります。 

CoinJoin は非常に強力なツールですが、参加者が CoinJoin から得たプライバシーを著しく損なったり、完全に侵害したりする重大な間違いを犯す機会も数多くあります。 DAOハッカーとされる人物の場合も、そのような間違いがあった。 次に読むように、このバグはユーザー エラーである可能性がありますが、Wasabi ウォレットに (修正済みの) バグがあり、それがこのプライバシーの問題を引き起こした可能性もあります。 

Wasabi Walletは、 ゼロリンクプロトコル、等しい値の混合出力で CoinJoins を構築します。 これが意味するのは、すべてのユーザーは指定された、事前に決定された量のビットコインのみを混合する必要があるということです。 CoinJoin に入るその金額を超える値は、混合されていないビットコインとしてそれぞれのユーザーに返される必要があります。

たとえば、Alice が単一の 15 ビットコイン出力を持ち、CoinJoin が値 1 ビットコインの出力のみを受け入れる場合、CoinJoin の完了時に、Alice は 1 混合ビットコイン出力と 05 非混合ビットコイン出力を持つことになります。 .05 ビットコインは、アリスの元の出力である .15 にリンクできるため、「混合されていない」とみなされます。 混合出力は入力に直接リンクできなくなり、CoinJoin の他のすべての参加者で構成される匿名性セットを持つことになります。 

CoinJoin のプライバシーを保護するには、混合出力と非混合出力が決して互いに関連付けられないことが不可欠です。 これらが単一または一連のトランザクションでビットコイン ブロックチェーン上に誤って集約された場合、観察者はその情報を使用して、混合出力をソースまで追跡できます。 

DAO ハッカーの場合、Wasabi Wallet を使用する過程で、複数の CoinJoin で XNUMX つのアドレスを使用したようです。 ある場合には 住所・アドレス XNUMX 番目のケースでは、混合されていない変更出力として使用され、XNUMX 番目のケースでは混合された出力として使用されました。

これは、CoinJoin のコンテキストでは比較的珍しい間違いです。この罪悪感による関連付け手法では、CoinJoin の下流のトランザクションで、混合されていない出力と混合された出力を「マージ」し、それらをリンクする必要があるからです。 ただし、この場合、同じアドレスが XNUMX つの別個の CoinJoin 間で競合する方法で使用されていたため、XNUMX つの CoinJoin を超えるトランザクションを分析する必要はありませんでした。 

基本的に、この可能性は Wasabi Wallet ソフトウェアの設計上の決定により存在します。Wasabi Wallet は、混合出力と非混合出力の両方に単一の導出パスを使用します。 これは考えられます 悪い習慣。 Wasabi の従業員は、これはウォレットの復元に他のウォレットとの互換性を持たせるためであると述べましたが、BIP84 ( 導出スキーム Wasabi Wallet は、変更出力に割り当てられた派生経路を認識する標準的な方法を備えています。

この設計選択による障害は、ユーザーが同じシードを使用しながら Wasabi Wallet の XNUMX つのインスタンスを同時に実行している場合に最も顕著に見られます。 このシナリオでは、各インスタンスから同時にミックスを実行しようとすると、XNUMX つのインスタンスがこの競合する方法で同じアドレスを選択する可能性があります。 これは次のように警告されています 公式ドキュメント。 Wasabi Wallet の既知のバグが原因である可能性もあります。

要点と結論

では、ここから何を学べるでしょうか? Wasabi のこのバグは完全に物語の終わりではありませんが、ハッカー容疑者を追跡する上で重要な要素として機能しました。 プライバシーは難しいという私たちの信念が改めて確認されました。 しかし実際には、プライバシー ツールを使用する際の出力汚染を防ぐことの重要性と、ユーザーとソフトウェアの両方にどれほど慎重な「コイン管理」が必要であるかを示す別の例があります。 問題は、この種の攻撃を最小限に抑えるためにどのようなプライバシー プロトコルが設計されているのかということです。 

興味深いソリューションの XNUMX つは CoinSwap です。これは、出力を大きなトランザクションにマージする代わりに、出力を別のユーザーと交換します。 この方法では、コイン履歴を結合するのではなく、コイン履歴を交換することになります。 さらに強力なのは、CoinSwap が (Mercury Wallet によって実装されているように) オフチェーン コンテキストで実行される場合、処理すべき混合されていない変更出力がまったく存在しないことです。 

CoinSwap の「スワップ解除」を引き起こす可能性のあるユーザー エラーが考えられますが、プライバシーを侵害する方法での出力のマージは、明示的に混合することによってのみ実行できるため、これらのエラーはおそらくエンドユーザーにとってより明白です。 CoinJoin をすでに通過した XNUMX つの出力をマージするのではなく、スワップされた出力をまだスワップされていない出力とマージし、そのうちの XNUMX つだけが実際に混合されます。

マーキュリーウォレット は現在、エンドユーザーが利用できる唯一のオフチェーン CoinSwap 施設です。 これにより、ユーザーは自分のコインをレイヤー XNUMX プロトコル (ステートチェーンとして知られる) にロックし、ステートチェーンの他のユーザーと出力を盲目的に交換できます。 これは非常に興味深い技術であり、エキサイティングな機能と許容可能なトレードオフを備えた新しいプライバシー ツールの探索に興味がある人にとっては、試してみる価値があります。