Sei esposto? Come Chainalysis ha violato il portafoglio per la privacy di Wasabi Bitcoin

Sebbene la rete Bitcoin sia un registro permanente aperto delle transazioni, molte terze parti hanno integrato la funzionalità di privacy su di essa. Uno di questi servizi è Portafoglio Wasabi, che utilizza un protocollo mixer, integrazione Tor, ed è gratuito e open source.

I mixer funzionano "mescolando" input e output delle transazioni in modo che la relazione tra mittenti e destinatari non sia chiara. In questo modo viene fornito un certo grado di anonimato rendendo difficile il tracciamento del flusso di fondi.

Nel suo libro recentemente pubblicato Cryptopians, che descrive in dettaglio i primi giorni di Ethereum, giornalista Laura Shin afferma che Wasabi Wallet era l'anello debole, con il risultato che la società di analisi dei dati blockchain Chainalysis ha rintracciato i fondi rubati dall'hacking DAO del 2016.

In che modo gli hacker hanno sfruttato The DAO?

Le organizzazioni autonome decentralizzate (DAO) si riferiscono a un fondo decentralizzato in cui i titolari di token governano il modo in cui viene gestito attraverso proposte e votazioni. Non esiste una struttura gerarchica, solo titolari che prendono decisioni sostenute da contratti intelligenti.

È stato chiamato il primo DAO creato The DAO e allestito da Slock.it, in cui Blockchains LLC ha acquisito Giugno 2019.

È stato lanciato nel 2015 per raccogliere fondi per progetti e startup Web3.0. Come il primo del suo genere, è diventato un grande successo, attirando 12 milioni di ETH di investimento ($ 150 milioni all'epoca, ma $ 30.2 miliardi oggi).

Tuttavia, gli aggressori sono riusciti a sfruttare a vulnerabilità di chiamata ricorsiva, il che significa che potrebbero prelevare fondi senza che il prelievo si rifletta nel saldo del conto. Ciò ha consentito agli hacker di avviare un ciclo di prelievi a tempo indeterminato, con la conseguente perdita di 3.6 milioni di ETH ($ 50 milioni all'epoca, ma $ 9 miliardi oggi).

Alcuni dei fondi rubati sono stati inviati a un portafoglio Wasabi per il lavaggio. Ma un difetto nella configurazione del protocollo significava che Chainalysis poteva deanonimizzare la funzionalità del mixer utilizzando metodi open source.

In che modo Chainalysis ha "rotto" il portafoglio Wasabi per la privacy di Bitcoin?

Shin afferma che ciò è stato possibile perché Wasabi Wallet non è riuscito a implementare completamente il protocollo ZeroLink.

Collegamento Zero afferma di rendere completamente anonime le transazioni Bitcoin utilizzando una tecnica di miscelazione pre-mix e post-mix definita. Si dice che la funzionalità premix sia facilmente implementabile "senza molto sovraccarico". Tuttavia, l'aggiunta di funzionalità post-mix a un portafoglio è stata una faccenda del tutto più complessa.

"I portafogli post-mix, d'altra parte, hanno severi requisiti di privacy, per quanto riguarda la selezione delle monete, le transazioni private e il recupero del saldo, l'input e l'output delle transazioni, l'indicizzazione e la trasmissione".

Invece lo è rivendicato che Wasabi Wallet ha optato per un metodo "peel chain" che offre meno protezioni, con il risultato che Chainalysis è in grado di tracciare le transazioni dall'hacking DAO.

Fatto divertente. Wasabi ? mai implementato ZeroLink. Non si sono nemmeno avvicinati a farlo. Nopara lascia cadere la palla all'inizio e va per la facile uscita: una catena di buccia. Chainalysis fa girare gli anelli intorno a Wasabi?. pic.twitter.com/bLmyDt7qip

— TDevD [No KYC, no T&C, no?] (@SamouraiDev) 23 Febbraio 2022

In quanto tale, Chainalysis non ha "rotto" il Bitcoin in quanto tale, ma si è limitato a sfruttare un'integrazione negligente.

Tuttavia, c'è una narrativa crescente secondo cui la privacy finanziaria, per quanto riguarda la criptovaluta, è in qualche modo sbagliata. Sebbene sia vero che la maggior parte delle transazioni crittografiche sono al di sopra del bordo, ciò non ha impedito alle autorità di applicare politiche sempre più rigorose.