Bist du ausgesetzt? Wie Chainalysis die Wasabi Bitcoin Privacy Wallet knackte

Obwohl das Bitcoin-Netzwerk eine permanent offene Aufzeichnung von Transaktionen ist, haben viele Drittanbieter Datenschutzfunktionen darauf aufgebaut. Einer dieser Dienste ist Wasabi-Geldbörse, das ein Mixer-Protokoll, Tor-Integration verwendet und kostenlos und Open Source ist.

Mixer arbeiten, indem sie Transaktionseingaben und -ausgaben „mischen“, sodass die Beziehung zwischen Sendern und Empfängern nicht klar ist. Somit wird ein gewisses Maß an Anonymität bereitgestellt, indem es erschwert wird, den Geldfluss zu verfolgen.

In ihrem kürzlich erschienenen Buch Cryptopians, das die Anfänge von Ethereum beschreibt, schreibt die Journalistin Laura Shin behauptet, Wasabi Wallet sei das schwache Glied, was dazu führte, dass das Blockchain-Datenanalyseunternehmen Chainalysis gestohlene Gelder aus dem DAO-Hack von 2016 zurückverfolgte.

Wie haben Hacker The DAO ausgenutzt?

Dezentralisierte autonome Organisationen (DAOs) beziehen sich auf einen dezentralisierten Fonds, in dem Token-Inhaber regeln, wie er durch Vorschläge und Abstimmungen geführt wird. Es gibt keine hierarchische Struktur, nur Inhaber treffen Entscheidungen, die durch Smart Contracts bestätigt werden.

Das erste erstellte DAO wurde aufgerufen Der DAO und eingerichtet von Slock.it, die Blockchains LLC erworben hat Juni 2019.

Es wurde 2015 ins Leben gerufen, um Spenden für Web3.0-Projekte und Startups zu sammeln. Als erstes seiner Art wurde es ein Riesenerfolg und zog Investitionen in Höhe von 12 Millionen ETH an (damals 150 Millionen US-Dollar, heute jedoch 30.2 Milliarden US-Dollar).

Angreifern gelang es jedoch, a auszunutzen Schwachstelle bei rekursiven Aufrufen, was bedeutet, dass sie Geld abheben können, ohne dass sich die Abhebung im Kontostand widerspiegelt. Dies ermöglichte es Hackern, eine unbegrenzte Abhebungsschleife auszulösen, was zu einem Verlust von 3.6 Millionen ETH führte (damals 50 Millionen US-Dollar, heute jedoch 9 Milliarden US-Dollar).

Einige der gestohlenen Gelder wurden zum Waschen an eine Wasabi-Wallet geschickt. Aber ein Fehler im Protokoll-Setup bedeutete, dass Chainalysis die Mixer-Funktionalität mit Open-Source-Methoden deanonymisieren konnte.

Wie hat Chainalysis die Bitcoin-Privatsphäre Wasabi Wallet „gebrochen“?

Shin behauptet, dass dies möglich war, weil Wasabi Wallet das ZeroLink-Protokoll nicht vollständig implementiert hat.

ZeroLink behauptet, Bitcoin-Transaktionen mit einer definierten Pre-Mix- und Post-Mix-Mischtechnik vollständig zu anonymisieren. Die Pre-Mix-Funktionalität soll „ohne viel Overhead“ einfach implementiert werden können. Das Hinzufügen von Post-Mix-Funktionen zu einem Wallet war jedoch eine insgesamt komplexere Angelegenheit.

„Post-Mix-Wallets hingegen haben strenge Datenschutzanforderungen in Bezug auf die Münzauswahl, den Abruf privater Transaktionen und Guthaben, die Indexierung und Übertragung von Transaktionseingaben und -ausgaben.“

Stattdessen ist es behauptet dass Wasabi Wallet sich für eine „Peel Chain“-Methode entschieden hat, die weniger Schutz bietet, was dazu führt, dass Chainalysis Transaktionen aus dem DAO-Hack verfolgen kann.

Lustige Tatsache. Wasabi ? ZeroLink wurde nie implementiert. Sie haben es nicht einmal annähernd geschafft. Nopara ließ den Ball schon früh fallen und wählte den einfachen Ausweg: eine Peel-Kette. Chainalysis lässt Wasabi im Ringen? pic.twitter.com/bLmyDt7qip

– TDevD [Kein KYC, keine AGB, nein?] (@SamouraiDev) 23. Februar 2022

Als solches hat Chainalysis Bitcoin als solches nicht „gebrochen“, sondern nur eine nachlässige Integration ausgenutzt.

Nichtsdestotrotz gibt es eine zunehmende Erzählung, dass die finanzielle Privatsphäre, was die Kryptowährung betrifft, irgendwie falsch ist. Es stimmt zwar, dass die Mehrheit der Krypto-Transaktionen über Bord geht, aber das hat die Behörden nicht davon abgehalten, immer strengere Richtlinien durchzusetzen.