คำว่า cryptocurrency เกือบจะมีความหมายเหมือนกันกับการแฮ็ก ดูเหมือนว่าทุกสัปดาห์จะมีการแฮ็กข้อมูลขนาดใหญ่ที่น่าจับตามองในการแลกเปลี่ยน กระเป๋าเงินของผู้ใช้แต่ละราย สัญญาอัจฉริยะ และบล็อกเชนสาธารณะที่พวกเขานั่งอยู่ ในหลายกรณี เวกเตอร์ของการโจมตีจะมองเห็นได้ชัดเจนเมื่อมองย้อนกลับไป: โค้ดยังไม่ผ่านการทดสอบ ไม่มีกระบวนการภายในเพื่อป้องกันฟิชชิ่ง ไม่มีมาตรฐานโค้ดพื้นฐาน ฯลฯ การศึกษาการแฮ็กด้วยตัวมันเองมักจะไม่ได้รวบรวมข้อมูลที่น่าสนใจมากนักสำหรับผู้ที่คุ้นเคยอยู่แล้ว หลักปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน
แต่การแฮ็กคริปโตทุกอันมีองค์ประกอบหลักสองอย่าง นั่นคือตัวแฮกเอง และจากนั้นวิธีการที่แฮ็กเกอร์และกลุ่มประชากรตามรุ่นพยายามจะจ่ายเงินออกจากของที่ขโมยมา สำหรับผู้ให้การสนับสนุนความเป็นส่วนตัว ความพยายามในการปกปิดชื่อกองทุนเหล่านี้เป็นกรณีศึกษาที่น่าสนใจในระดับของการไม่เปิดเผยตัวตนที่สามารถทำได้ในเครือข่ายบล็อคเชนสาธารณะ
เนื่องจากเงินทุนได้รับการติดตามอย่างใกล้ชิดโดยหน่วยงานภาครัฐและหน่วยงานที่ได้รับทุนสนับสนุนอย่างดี กองทุนเหล่านี้จึงเปิดโอกาสให้ชุมชนได้สังเกตประสิทธิภาพของกระเป๋าเงินความเป็นส่วนตัวต่างๆ ที่เกี่ยวข้อง หากแฮ็กเกอร์เหล่านี้ไม่สามารถรักษาความเป็นส่วนตัวได้ โอกาสที่ผู้ใช้ทั่วไปที่ต้องการความเป็นส่วนตัวในเครือข่ายสาธารณะจะสามารถทำได้
แฮ็ค DAO 2016 กรณีตัวอย่าง
เมื่อศึกษาการแฮ็กเหล่านี้และการจับกุมที่ตามมา จะเห็นได้ชัดเจนว่าในกรณีส่วนใหญ่ แฮ็กเกอร์ทำผิดพลาดร้ายแรงเมื่อพยายามปิดบังคริปโตเคอเรนซี่ของพวกเขา ในบางกรณี ความล้มเหลวเกิดจากข้อผิดพลาดทั่วไปของผู้ใช้ ในกรณีอื่น ๆ เกิดจากข้อบกพร่องในซอฟต์แวร์กระเป๋าเงินที่พวกเขาใช้หรือความผิดพลาดอื่น ๆ ที่ไม่ชัดเจนในเส้นทางในการแปลงสกุลเงินดิจิตอลเป็นสินทรัพย์ในโลกแห่งความเป็นจริง
เมื่อเร็ว ๆ นี้ คดีที่น่าสนใจโดยเฉพาะอย่างยิ่ง แฮ็ค DAO ปี 2016 มีการพัฒนาที่สำคัญ — การสืบสวน บทความ Forbes ถูกเผยแพร่ที่ระบุตัวแฮกเกอร์ที่ถูกกล่าวหา กระบวนการระบุบุคคลนี้ให้ข้อมูลเชิงลึกเกี่ยวกับกระเป๋าสตางค์ความเป็นส่วนตัวที่ใช้กันอย่างแพร่หลาย Wasabi Wallet และวิธีการใช้ซอฟต์แวร์ที่ไม่เหมาะสมสามารถนำไปสู่การ "แยกส่วน" ของเงินทุนของแฮ็กเกอร์ที่ถูกกล่าวหาได้
ผิดพลาดอย่างร้ายแรง
สำหรับลำดับการดำเนินการ แฮ็กเกอร์ได้ดำเนินการครั้งแรกในการแปลงเงินที่ขโมยมาจาก Ethereum Classic เป็น Bitcoin แฮ็กเกอร์ใช้ Shapeshift เพื่อแลกเปลี่ยนการดำเนินการแลกเปลี่ยน ซึ่งในขณะนั้นได้จัดทำบันทึกสาธารณะเต็มรูปแบบของการซื้อขายทั้งหมดบนแพลตฟอร์ม จาก Shapeshift เงินบางส่วนถูกย้ายไปยัง Wasabi Wallet จากที่นี่สิ่งต่าง ๆ ตกต่ำ
สำหรับผู้ที่ไม่คุ้นเคยเหล่านั้น CoinJoin เป็นชื่อเล่นสำหรับโปรโตคอลการสร้างธุรกรรมพิเศษที่ช่วยให้หลายฝ่ายรวมเงินของพวกเขาเข้าในธุรกรรมขนาดใหญ่โดยมีเป้าหมายในการทำลายการเชื่อมโยงระหว่างเงินทุนที่ไหลเข้าสู่ CoinJoin และเงินทุนที่ไหลออกจาก CoinJoin
แทนที่จะเป็นธุรกรรมที่มีผู้ชำระเงินและผู้รับเงินเพียงรายเดียว ธุรกรรม CoinJoin มีผู้จ่ายเงินและผู้รับเงินหลายคน ตัวอย่างเช่น คุณมี CoinJoin ที่มีผู้เข้าร่วม 10 คน — หาก CoinJoin ถูกสร้างขึ้นอย่างถูกต้องและปฏิบัติตามกฎการโต้ตอบทั้งหมดอย่างถูกต้อง เงินทุนที่ไหลออกจาก CoinJoin จะมีชุดที่ไม่เปิดเผยตัวตนเท่ากับ 10 นั่นคือหนึ่งใน 10 “ผลลัพธ์แบบผสม” ” จากธุรกรรมอาจเป็นของหนึ่งใน 10 (หรือมากกว่า) “อินพุตที่ไม่ผสม” ของธุรกรรม
แม้ว่า CoinJoins จะเป็นเครื่องมือที่ทรงพลัง แต่ก็มีโอกาสมากมายที่ผู้เข้าร่วมจะทำผิดพลาดร้ายแรง ซึ่งลดทอนหรือบ่อนทำลายความเป็นส่วนตัวที่พวกเขาได้รับจาก CoinJoin อย่างสิ้นเชิง ในกรณีของแฮ็กเกอร์ DAO ที่ถูกกล่าวหา ความผิดพลาดดังกล่าวเกิดขึ้น ขณะที่คุณจะอ่านต่อไป อาจมีความเป็นไปได้ที่จุดบกพร่องนี้เป็นข้อผิดพลาดของผู้ใช้ อย่างไรก็ตาม มีความเป็นไปได้เช่นกันว่ามีจุดบกพร่อง (ตั้งแต่แก้ไขแล้ว) ใน Wasabi Wallet ที่นำไปสู่ความล้มเหลวด้านความเป็นส่วนตัวนี้
Wasabi Wallet ใช้ โปรโตคอล ZeroLinkซึ่งสร้าง CoinJoins ด้วยผลลัพธ์แบบผสมที่มีมูลค่าเท่ากัน สิ่งนี้หมายความว่า ผู้ใช้ทั้งหมดจะต้องผสมเฉพาะจำนวน Bitcoin ที่กำหนดไว้ล่วงหน้าเท่านั้น ค่าใดๆ ที่สูงกว่าจำนวนเงินที่เข้าสู่ CoinJoin จะต้องส่งคืนเป็น Bitcoin แบบไม่ผสมให้กับผู้ใช้ที่เกี่ยวข้อง
ตัวอย่างเช่น ถ้า Alice มีเอาต์พุต Bitcoin เดียว .15 และ CoinJoin ยอมรับเฉพาะเอาต์พุตที่มีมูลค่า .1 Bitcoin เมื่อเสร็จสิ้น CoinJoin อลิซจะมีเอาต์พุต Bitcoin แบบผสม .1 และเอาต์พุต Bitcoin แบบไม่ผสม .05 .05 Bitcoin ถือว่า "ไม่ผสม" เพราะสามารถเชื่อมโยงกับเอาต์พุตดั้งเดิมของ Alice ที่ .15 เอาต์พุตแบบผสมไม่สามารถเชื่อมโยงโดยตรงกับอินพุตได้อีกต่อไป และจะมีชุดการไม่เปิดเผยตัวตนที่ประกอบด้วยผู้เข้าร่วมคนอื่นๆ ทั้งหมดใน CoinJoin
เพื่อรักษาความเป็นส่วนตัวของ CoinJoin จำเป็นที่เอาต์พุตแบบผสมและแบบไม่ผสมจะไม่เชื่อมโยงถึงกัน ในกรณีที่มีการรวมเข้าด้วยกันโดยไม่ได้ตั้งใจใน bitcoin blockchain ในธุรกรรมเดียวหรือชุดเดียว ผู้สังเกตการณ์สามารถใช้ข้อมูลนั้นเพื่อติดตามผลลัพธ์แบบผสมกลับไปยังแหล่งที่มาได้
ในกรณีของแฮ็กเกอร์ DAO ปรากฏว่าในกระบวนการใช้ Wasabi Wallet พวกเขาใช้ที่อยู่เดียวใน CoinJoins หลายรายการ ในกรณีหนึ่ง ที่อยู่ ถูกใช้เป็นเอาต์พุตการเปลี่ยนแปลงที่ไม่ผสม ในกรณีที่สอง มันถูกใช้เป็นเอาต์พุตแบบผสม
นี่เป็นข้อผิดพลาดที่ค่อนข้างผิดปกติในบริบทของ CoinJoin เนื่องจากเทคนิคการเชื่อมโยงความผิดนี้ต้องใช้ธุรกรรมดาวน์สตรีมของ CoinJoins เพื่อ "รวม" เอาต์พุตแบบผสมและแบบผสมเข้าด้วยกัน แต่ในกรณีนี้ ไม่จำเป็นต้องวิเคราะห์ธุรกรรมใด ๆ นอกเหนือจาก CoinJoins สองอัน เนื่องจากมีการใช้ที่อยู่เดียวกันในลักษณะที่ขัดแย้งกันใน CoinJoins สองอันที่แยกจากกัน
โดยพื้นฐานแล้ว ความเป็นไปได้นี้มีอยู่เนื่องจากการตัดสินใจออกแบบในซอฟต์แวร์ Wasabi Wallet: Wasabi Wallet ใช้เส้นทางที่มาเดียวสำหรับผลลัพธ์ทั้งแบบผสมและไม่ผสม นี้ถือว่า นิสัยไม่ดี. มีการระบุโดยพนักงานของ Wasabi ว่านี่คือการทำให้การคืนค่ากระเป๋าเงินเข้ากันได้กับกระเป๋าเงินอื่น ๆ อย่างไรก็ตาม BIP84 (ซึ่งเป็น โครงการอนุพันธ์ Wasabi Wallet ใช้) มีวิธีมาตรฐานในการรับรู้เส้นทางที่มาซึ่งกำหนดให้เปลี่ยนผลลัพธ์
ความล้มเหลวที่เกิดจากตัวเลือกการออกแบบนี้จะเห็นได้ชัดเจนที่สุดเมื่อผู้ใช้มี Wasabi Wallet สองอินสแตนซ์ทำงานพร้อมกันในขณะที่ใช้เมล็ดพันธุ์เดียวกัน ในสถานการณ์สมมตินี้ อาจเป็นไปได้ที่ทั้งสองอินสแตนซ์จะเลือกที่อยู่เดียวกันในลักษณะที่ขัดแย้งกันนี้ เมื่อพยายามเรียกใช้การผสมผสานจากแต่ละอินสแตนซ์พร้อมกัน นี้ได้รับการเตือนกับใน เอกสารที่เป็นทางการ. อาจเป็นไปได้ว่าข้อบกพร่องที่ทราบในกระเป๋าสตางค์วาซาบิเป็นผู้กระทำความผิด
ประเด็นและข้อสรุป
แล้วเราเรียนรู้อะไรจากสิ่งนี้? แม้ว่าบั๊กของวาซาบิจะยังไม่ใช่จุดจบของเรื่อง แต่ก็ทำหน้าที่เป็นองค์ประกอบสำคัญในการติดตามแฮ็กเกอร์ที่ถูกกล่าวหา เป็นอีกครั้งที่ความเชื่อของเราที่ว่าความเป็นส่วนตัวนั้นยากจะได้รับการยืนยันอีกครั้ง แต่ในทางปฏิบัติ เรามีอีกตัวอย่างหนึ่งของความสำคัญของการป้องกันการปนเปื้อนของเอาต์พุตเมื่อใช้เครื่องมือความเป็นส่วนตัว และผู้ใช้และซอฟต์แวร์ต้องการ "การควบคุมเหรียญ" อย่างระมัดระวังเพียงใด คำถามกลายเป็น โปรโตคอลความเป็นส่วนตัวประเภทใดที่ออกแบบมาเพื่อลดการโจมตีประเภทนี้
ทางออกหนึ่งที่น่าสนใจคือ CoinSwap ซึ่งแทนที่จะรวมเอาท์พุตเข้าเป็นธุรกรรมขนาดใหญ่ คุณจะสลับเอาท์พุตกับผู้ใช้รายอื่น ด้วยวิธีนี้ คุณจะแลกเปลี่ยนประวัติเหรียญ ไม่ใช่เข้าร่วมประวัติเหรียญ มีประสิทธิภาพมากขึ้น ถ้า CoinSwap ถูกทำในบริบทนอกสายโซ่ (ตามที่ Mercury Wallet นำมาใช้) จะไม่มีผลลัพธ์การเปลี่ยนแปลงแบบผสมที่จะจัดการเลย
แม้ว่าจะมีข้อผิดพลาดที่เป็นไปได้ของผู้ใช้ที่อาจทำให้ CoinSwap ถูก "ยกเลิกการแลกเปลี่ยน" ข้อผิดพลาดเหล่านี้อาจชัดเจนสำหรับผู้ใช้ปลายทางเนื่องจากการผสานเอาท์พุตในลักษณะที่ละเมิดความเป็นส่วนตัวสามารถทำได้โดยการผสมผสานอย่างชัดเจนเท่านั้น สลับเอาต์พุตกับอันที่ยังไม่ได้สับเปลี่ยน แทนที่จะรวมเอาต์พุตสองอันที่ผ่าน CoinJoin แล้ว มีเพียงอันเดียวเท่านั้นที่ผสมกันจริงๆ
กระเป๋าเงินปรอท ปัจจุบันเป็นสิ่งอำนวยความสะดวก CoinSwap นอกเครือข่ายเดียวที่มีให้สำหรับผู้ใช้ปลายทาง มันให้ผู้ใช้ล็อคเหรียญของพวกเขาในโปรโตคอลเลเยอร์ที่สอง (เรียกว่า statechain) แล้วสลับเอาท์พุตของพวกเขากับผู้ใช้ statechain คนอื่น ๆ อย่างสุ่มสี่สุ่มห้า เป็นเทคนิคที่น่าสนใจมากและควรค่าแก่การทดลองสำหรับผู้ที่สนใจสำรวจเครื่องมือความเป็นส่วนตัวแบบใหม่ที่มีฟังก์ชันการทำงานที่น่าตื่นเต้นและการแลกเปลี่ยนที่ยอมรับได้
รับสรุปรายวันของคุณ Bitcoin, Defi, NFT และ Web3 ข่าวจาก CryptoSlate
ได้ฟรีและคุณสามารถยกเลิกการสมัครได้ทุกเมื่อ
ได้รับการ ขอบ ในตลาด Crypto ?
เป็นสมาชิกของ CryptoSlate Edge และเข้าถึงชุมชน Discord พิเศษของเรา เนื้อหาและการวิเคราะห์ที่พิเศษยิ่งขึ้น
การวิเคราะห์บนเครือข่าย
ภาพรวมราคา
บริบทเพิ่มเติม
ที่มา: https://cryptoslate.com/what-can-we-learn-from-studying-hacks-revealing-insights-on-privacy-and-cryptocurrency-movements-after-the-dao-2016-hack/