Was können wir aus der Untersuchung von Hacks lernen? Enthüllung von Erkenntnissen über Datenschutz und Kryptowährungsbewegungen nach dem DAO 2016-Hack

Der Begriff Kryptowährung ist fast zum Synonym für Hacking geworden. Es scheint, als gäbe es jede Woche atemberaubend große Hackerangriffe auf Börsen, die Wallets einzelner Benutzer, Smart Contracts und die öffentlichen Blockchains, auf denen sie basieren. In vielen Fällen sind die Angriffsvektoren im Nachhinein offensichtlich: Der Code war ungetestet, interne Prozesse zur Verhinderung von Phishing waren nicht vorhanden, grundlegende Codestandards wurden nicht befolgt usw. Wenn man sich mit den Hacks selbst beschäftigt, erhält man oft nicht viele interessante Informationen für diejenigen, die bereits damit vertraut sind grundlegende Sicherheitspraktiken. 

Aber jeder Krypto-Hack besteht aus zwei Hauptkomponenten: Es gibt den Hack selbst und dann die Methoden, mit denen der Hacker und seine Kohorten versuchen, ihre gestohlene Beute auszuzahlen. Für Befürworter der Privatsphäre sind die Versuche, diese Gelder zu anonymisieren, interessante Fallstudien über den Grad der Anonymität, der in öffentlichen Blockchain-Netzwerken erreichbar ist.

Da die Gelder von gut organisierten und gut ausgestatteten Regierungsbehörden und Unternehmen genau überwacht werden, bieten sie der Community die Möglichkeit, die Wirksamkeit der verschiedenen beteiligten Datenschutz-Wallets zu beobachten. Wenn diese Hacker nicht privat bleiben können, wie groß sind dann die Chancen, dass durchschnittliche Benutzer, die in öffentlichen Netzwerken Privatsphäre suchen, diese auch erreichen können? 

Der DAO 2016-Hack, ein beispielhafter Fall

Wenn man sich diese Hacks und die darauffolgenden Verhaftungen ansieht, wird deutlich, dass die Hacker in den meisten Fällen entscheidende Fehler machen, wenn sie versuchen, ihre Kryptowährung zu anonymisieren. In einigen Fällen sind die Fehler auf einfache Benutzerfehler zurückzuführen. In anderen Fällen werden sie durch Fehler in der von ihnen verwendeten Wallet-Software oder andere weniger offensichtliche Fehltritte auf dem Weg zur Umwandlung der Kryptowährung in reale Vermögenswerte verursacht. 

Kürzlich erlebte ein besonders interessanter Fall, der DAO-Hack 2016, eine bedeutende Entwicklung – eine Untersuchung Forbes Artikel veröffentlicht wurde, die den mutmaßlichen Hacker identifiziert. Der Prozess, durch den diese Person identifiziert wurde, bietet einige Einblicke in ein weit verbreitetes Datenschutz-Wallet, Wasabi Wallet, und wie eine unsachgemäße Verwendung der Software zu einer „Entmischung“ der Gelder des mutmaßlichen Hackers führen kann. 

Es wurden entscheidende Fehler gemacht

Was die Vorgehensweise betrifft, bestand der erste Schritt des Hackers darin, einen Teil seiner gestohlenen Gelder von Ethereum Classic in Bitcoin umzuwandeln. Der Hacker nutzte den Shapeshift, um den Tausch durchzuführen, der zu diesem Zeitpunkt eine vollständige öffentliche Aufzeichnung aller Trades auf der Plattform lieferte. Von Shapeshift floss ein Teil der Gelder in Wasabi Wallet. Von hier aus geht es bergab.  

Für diejenigen, die es nicht kennen: CoinJoin ist der Spitzname für ein spezielles Transaktionskonstruktionsprotokoll, das es mehreren Parteien ermöglicht, ihre Gelder in einer großen Transaktion zusammenzufassen, mit dem Ziel, die Verbindung zwischen den Geldern, die in den CoinJoin fließen, und den Geldern, die aus dem CoinJoin fließen, zu unterbrechen.

Anstelle einer Transaktion mit einem einzigen Zahler und Zahlungsempfänger gibt es bei einer CoinJoin-Transaktion mehrere Zahler und Zahlungsempfänger. Angenommen, Sie haben einen CoinJoin mit 10 Teilnehmern – wenn der CoinJoin ordnungsgemäß aufgebaut ist und alle Interaktionsregeln korrekt befolgt werden, haben die aus dem CoinJoin fließenden Gelder einen Anonymitätssatz von 10, d. h. einer der 10 „gemischten Ausgänge“. „aus der Transaktion könnte zu einem der 10 (oder mehr) „ungemischten Eingaben“ der Transaktion gehören. 

Obwohl CoinJoins ein sehr leistungsfähiges Tool sein kann, gibt es für Teilnehmer viele Möglichkeiten, kritische Fehler zu machen, die die Privatsphäre, die sie möglicherweise durch CoinJoin gewonnen haben, erheblich beeinträchtigen oder ganz untergraben. Im Fall des mutmaßlichen DAO-Hackers wurde ein solcher Fehler gemacht. Wie Sie als Nächstes lesen werden, besteht die Möglichkeit, dass dieser Fehler ein Benutzerfehler war. Es ist jedoch auch möglich, dass ein (inzwischen behobener) Fehler in Wasabi Wallet aufgetreten ist, der zu diesem Datenschutzfehler geführt hat. 

Wasabi Wallet verwendet das ZeroLink-Protokoll, das CoinJoins mit gemischten Ausgaben gleichen Werts erstellt. Dies bedeutet, dass alle Benutzer nur eine bestimmte, vorher festgelegte Menge an Bitcoin mischen müssen. Jeder über diesem Betrag liegende Wert, der in den CoinJoin fließt, muss als ungemischte Bitcoin an die jeweiligen Benutzer zurückgegeben werden.

Wenn Alice beispielsweise eine einzelne .15-Bitcoin-Ausgabe hat und der CoinJoin nur Ausgaben mit einem Wert von .1 Bitcoin akzeptiert, hätte Alice nach Abschluss des CoinJoin eine .1 gemischte Bitcoin-Ausgabe und eine .05 ungemischte Bitcoin-Ausgabe. Der .05-Bitcoin gilt als „ungemischt“, da er mit Alices ursprünglicher Ausgabe von .15 verknüpft werden kann. Die gemischte Ausgabe kann nicht mehr direkt mit der Eingabe verknüpft werden und verfügt über einen Anonymitätssatz, der sich aus allen anderen Teilnehmern des CoinJoin zusammensetzt. 

Um die Privatsphäre von CoinJoin zu wahren, ist es zwingend erforderlich, dass gemischte und ungemischte Ausgaben niemals miteinander verknüpft werden. Für den Fall, dass sie versehentlich in einer einzelnen Transaktion oder einer Reihe von Transaktionen auf der Bitcoin-Blockchain zusammengefasst werden, kann ein Beobachter diese Informationen verwenden, um gemischte Ausgaben bis zu ihrer Quelle zurückzuverfolgen. 

Im Fall des DAO-Hackers scheint es, dass er bei der Verwendung von Wasabi Wallet eine einzige Adresse in mehreren CoinJoins verwendet hat; in einem Fall die Adresse wurde als ungemischte Änderungsausgabe verwendet, im zweiten Fall wurde sie als gemischte Ausgabe verwendet.

Dies ist ein relativ ungewöhnlicher Fehler im Zusammenhang mit einem CoinJoin, da diese Schuld-durch-Assoziations-Technik eine den CoinJoins nachgeschaltete Transaktion erfordert, um die ungemischten und gemischten Ausgaben zu „zusammenführen“ und sie miteinander zu verknüpfen. In diesem Fall mussten jedoch keine Transaktionen über die beiden CoinJoins hinaus analysiert werden, da dieselbe Adresse in zwei separaten CoinJoins auf widersprüchliche Weise verwendet wurde. 

Grundsätzlich besteht diese Möglichkeit aufgrund einer Designentscheidung in der Wasabi Wallet-Software: Wasabi Wallet verwendet einen einzigen Ableitungspfad sowohl für gemischte als auch für ungemischte Ausgaben. Dies wird berücksichtigt schlechte Praxis. Ein Wasabi-Mitarbeiter gab an, dass dies dazu dienen sollte, die Wallet-Wiederherstellung mit anderen Wallets kompatibel zu machen, jedoch BIP84 (das ist das Ableitungsschema Wasabi Wallet verwendet) verfügt über eine Standardmethode zum Erkennen eines Ableitungspfads, der Änderungsausgaben zugewiesen ist.

Aus dieser Designwahl resultierende Fehler treten am deutlichsten auf, wenn ein Benutzer zwei Instanzen von Wasabi Wallet gleichzeitig laufen lässt und dabei denselben Seed verwendet. In diesem Szenario wäre es möglich, dass die beiden Instanzen auf diese widersprüchliche Weise dieselbe Adresse auswählen, wenn sie gleichzeitig versuchen, von jeder Instanz aus einen Mix auszuführen. Davor wird gewarnt offizielle Dokumentation. Es ist auch möglich, dass bekannte Fehler im Wasabi Wallet die Ursache waren.

Erkenntnisse und Schlussfolgerungen

Was lernen wir also daraus? Auch wenn dieser Bug mit Wasabi noch nicht das Ende der Geschichte darstellt, war er doch eine entscheidende Komponente bei der Suche nach dem mutmaßlichen Hacker. Wieder einmal wird unsere Überzeugung bestätigt, dass Privatsphäre schwierig ist. Aber in der Praxis haben wir ein weiteres Beispiel dafür, wie wichtig es ist, bei der Verwendung von Datenschutztools eine Kontamination der Ausgabe zu verhindern, und wie sorgfältig die „Münzkontrolle“ sowohl von Benutzern als auch von Software verlangt wird. Es stellt sich die Frage: Welche Art von Datenschutzprotokollen sollen diese Art von Angriffen minimieren? 

Eine interessante Lösung ist ein CoinSwap, bei dem Sie Ausgaben mit einem anderen Benutzer austauschen, anstatt Ausgaben in einer großen Transaktion zusammenzuführen. Auf diese Weise tauschen Sie Münzhistorien aus und verbinden keine Münzhistorien. Noch wirkungsvoller ist, dass, wenn ein CoinSwap im Off-Chain-Kontext durchgeführt wird (wie es von Mercury Wallet implementiert wird), überhaupt keine ungemischten Änderungsausgaben zu verarbeiten sind. 

Zwar gibt es mögliche Benutzerfehler, die dazu führen können, dass ein CoinSwap „ausgetauscht“ wird, diese Fehler sind für den Endbenutzer jedoch wohl viel offensichtlicher, da eine datenschutzverletzende Zusammenführung von Ausgaben nur durch explizites Mischen von a erfolgen kann tauschte die Ausgabe mit einer aus, die noch nicht getauscht wurde, im Gegensatz zum Zusammenführen zweier Ausgaben, die bereits CoinJoin durchlaufen haben, von denen nur eine tatsächlich gemischt ist.

Mercury Geldbörse ist derzeit die einzige Off-Chain-CoinSwap-Funktion, die Endbenutzern zur Verfügung steht. Es ermöglicht Benutzern, ihre Münzen in einem Layer-XNUMX-Protokoll (bekannt als Statechain) zu sperren und ihre Ausgaben dann blind mit anderen Benutzern der Statechain auszutauschen. Es ist eine sehr interessante Technik und es lohnt sich, damit zu experimentieren für diejenigen, die an der Erforschung neuartiger Datenschutz-Tools mit spannenden Funktionen und akzeptablen Kompromissen interessiert sind.