Хакерлерди изилдөөдөн эмнеге үйрөнө алабыз? DAO 2016 бузукулуктан кийин купуялуулук жана криптовалюталык кыймылдар боюнча түшүнүктөрдү ачуу

Термин cryptocurrency дээрлик хакерлик менен синоним болуп калды. Апта сайын биржаларда, жеке колдонуучунун капчыктарында, акылдуу контракттарда жана алар отурган коомдук блокчейндерде көздүн жоосун алган чоң хакерлер болуп жаткандай сезилет. Көпчүлүк учурларда чабуулдун векторлору артка көз чаптырганда айкын көрүнүп турат: код текшерилбеген, фишингге жол бербөө үчүн ички процесстер болгон эмес, коддун негизги стандарттары сакталган эмес, ж.б. негизги коопсуздук практикалары. 

Бирок ар бир крипто хакерликтин эки негизги компоненти бар - бул хакердин өзү, андан кийин хакер жана алардын топтору уурдалган олжолорун накталай акчага салууга аракет кылган методологиялар. Купуялыктын жактоочулары үчүн бул каражаттарды анонимдөө аракеттери коомдук блокчейн тармактарында жеткиликтүү болгон анонимдүүлүк деңгээлиндеги кызыктуу мисалдар болуп саналат.

Каражаттар жогорку уюшкан жана жакшы каржыланган мамлекеттик органдар жана корпоративдик уюмдар тарабынан кылдат көзөмөлдөнүп тургандыктан, алар коомчулукка тартылган ар кандай купуялык капчыктардын натыйжалуулугун байкоого мүмкүнчүлүк берет. Эгер бул хакерлер жеке бойдон кала албаса, коомдук тармактарда купуялыкты издеген жөнөкөй колдонуучулар ага жетүү мүмкүнчүлүгү кандай? 

DAO 2016 хак, үлгүлүү иш

Бул хакерлерди жана андан кийинки камакка алууларды изилдеп жатканда, көпчүлүк учурларда хакерлер өз криптовалюталарын анонимдөө аракетинде олуттуу каталарды кетирери айкын болот. Кээ бир учурларда, каталар жөнөкөй колдонуучу каталардын күнөөсү болуп саналат. Башка учурларда, алар колдонгон капчык программалык мүчүлүштүктөрдү же чыныгы дүйнөдөгү мүлккө cryptocurrency айландыруу жолунда башка анча-айкын эмес каталар менен шартталган. 

Жакында, өзгөчө кызыктуу окуя, 2016 DAO бузуп, олуттуу өнүгүү болду - тергөө Forbes макала делген хакерди аныктаган жарыяланды. Бул адамды аныктоо процесси кеңири колдонулган купуялык капчыгы Wasabi Wallet жана программалык камсыздоону туура эмес колдонуу хакердин болжолдуу каражаттарынын “демиксациясына” алып келиши мүмкүн деген түшүнүктөрдү берет. 

Критикалык каталар кетирилди

Операциялардын тартибине келсек, хакердин биринчи кадамы Ethereum Classicтен уурдалган каражаттардын бир бөлүгүн Биткойнго айландыруу болду. Хакер алмашуу үчүн Shapeshiftти колдонду, ал ошол учурда платформадагы бардык соода-сатыктардын толук ачык эсебин берген. Shapeshiftтен каражаттардын бир бөлүгү Wasabi Wallet'ке которулду. Бул жерден иш ылдый карай кетет.  

Бейтааныш адамдар үчүн CoinJoin - бул бир нече тараптарга CoinJoin-ге агып жаткан каражаттар менен CoinJoin-ден агып жаткан каражаттардын ортосундагы байланышты бузуу максатында бир нече тараптарга өз каражаттарын ири транзакцияга бириктирүүгө мүмкүндүк берген атайын транзакцияны куруу протоколунун аты.

Бир төлөөчү жана алуучу болгон транзакциянын ордуна, CoinJoin транзакциясында бир нече төлөөчүлөр жана алуучулар бар. Мисалы, сизде 10 катышуучу бар CoinJoin бар деп айтыңыз — эгерде CoinJoin туура түзүлүп, өз ара аракеттенүүнүн бардык эрежелери туура сакталса, CoinJoinден агып чыккан каражаттар 10 анонимдүүлүккө ээ болот. б.а. ” транзакциядагы 10 (же андан көп) “аралашпаган киргизүүлөрдүн” бирине тиешелүү болушу мүмкүн. 

CoinJoins абдан күчтүү курал болушу мүмкүн, бирок катышуучулар үчүн CoinJoinден алган купуялуулукту олуттуу түрдө начарлаткан же толугу менен буза турган көптөгөн мүмкүнчүлүктөр бар. DAO хакери делген учурда мындай ката кетирилген. Кийинки окуй турганыңыздай, бул мүчүлүштүк колдонуучу катасы болушу мүмкүн, бирок Wasabi Wallet'те бул купуялуулуктун бузулушуна алып келген ката (оңдолгондон бери) болушу мүмкүн. 

Wasabi Wallet колдонот ZeroLink протоколу, бул CoinJoinsди бирдей маанидеги аралаш жыйынтыктар менен курат. Бул эмнени билдирет, бардык колдонуучулар Биткойн белгиленген, алдын ала белгиленген өлчөмдө гана аралаштыруу талап кылынат. CoinJoinге кирген бул суммадан жогору болгон ар кандай маани тиешелүү колдонуучуларга аралаштырылбаган Биткойн катары кайтарылышы керек.

Мисалы, Алиса бир .15 Bitcoin чыгарууга ээ болсо, жана CoinJoin .1 Биткойн наркын гана кабыл алса, CoinJoin аяктагандан кийин, Алиса .1 аралаш Bitcoin жана .05 аралашпаган Bitcoin чыгарууга ээ болмок. .05 Биткойн "аралашпаган" деп эсептелет, анткени ал Алисанын .15 баштапкы чыгарылышы менен байланыштырылышы мүмкүн. Аралаштырылган чыгарууну мындан ары киргизүү менен түздөн-түз байланыштыруу мүмкүн эмес жана CoinJoinдин бардык башка катышуучуларынан турган анонимдүүлүк топтому болот. 

CoinJoin купуялыгын сактоо үчүн, аралаш жана аралаштырылбаган жыйынтыктар эч качан бири-бири менен байланышпашы керек. Алар кокустан биткоин блокчейнинде бир же транзакциялар топтомунда топтолуп калса, байкоочу бул маалыматты алардын булагына чейин аралаш жыйынтыктарды издөө үчүн колдоно алат. 

DAO хакеринин учурда, Wasabi Wallet колдонуу процессинде алар бир нече CoinJoins бир даректи колдонушкан окшойт; бир учурда дарек аралашпаган өзгөртүү чыгаруу катары колдонулган, экинчи учурда ал аралаш чыгаруу катары колдонулган.

Бул CoinJoin контекстинде салыштырмалуу адаттан тыш ката, анткени бул күнөөлүү ассоциация ыкмасы CoinJoins'тин ылдый жагындагы транзакцияны талап кылат, аралаштырылбаган жана аралаш жыйынтыктарды "бириктирүүгө", аларды бириктирүүгө. Бирок бул учурда, эки CoinJoinsден башка эч кандай транзакцияларды талдоо талап кылынган эмес, анткени бир эле дарек эки башка CoinJoins боюнча карама-каршы жолдор менен колдонулган. 

Негизинен, бул мүмкүнчүлүк Wasabi Wallet программалык камсыздоосундагы дизайн чечиминин аркасында бар: Wasabi Wallet аралаш жана аралашпаган чыгаруулар үчүн бир гана туунду жолду колдонот. Бул каралат жаман практика. Wasabi кызматкери бул капчыкты калыбына келтирүүнү башка капчыктар менен шайкеш келтирүү үчүн болгонун айткан, бирок BIP84 (бул чыгаруу схемасы Wasabi Wallet колдонот) натыйжаларды өзгөртүү үчүн дайындалган туунду жолду таануунун стандарттуу ыкмасына ээ.

Бул дизайн тандоосунан келип чыккан мүчүлүштүктөр, колдонуучу бир эле үрөндү колдонуп жатканда бир эле учурда Wasabi Walletтин эки инстанциясын иштеткенде байкалат. Бул сценарийде, бир эле учурда ар бир инстанциядан миксти иштетүүгө аракет кылып жатканда, эки инстанция ушул карама-каршы жол менен бир эле даректи тандап алышы мүмкүн. Буга каршы эскертилген расмий документтер. Ошондой эле Wasabi капчыгындагы белгилүү мүчүлүштүктөр күнөөлүү болушу мүмкүн.

Чыгармалар жана корутундулар

Анда биз мындан эмнеге үйрөнөбүз? Васаби менен болгон бул мүчүлүштүк окуянын аягы болбосо да, ал болжолдонгон хакерди издөөдө маанилүү компонент болуп калды. Купуялуулук кыйын деген ишенимибиз дагы бир жолу тастыкталды. Бирок иш жүзүндө бизде купуялык куралдарын колдонууда өндүрүштүн булганышын алдын алуунун маанилүүлүгүнүн дагы бир мисалы бар жана колдонуучулар жана программалык камсыздоо канчалык кылдаттык менен "монета контролу" талап кылынат. Суроо туулат, бул класстагы чабуулду азайтуу үчүн кандай купуялык протоколдору иштелип чыккан? 

Кызыктуу чечимдердин бири - CoinSwap, мында жыйынтыктарды чоң транзакцияга бириктирүүнүн ордуна, сиз жыйынтыктарды башка колдонуучу менен алмаштырасыз. Ушундай жол менен сиз монета тарыхына кошулбай, монета тарыхын алмаштырып жатасыз. Андан да күчтүүрөөк, эгерде CoinSwap чынжырдан тышкары контекстте жасалса (Mercury Wallet тарабынан ишке ашырылгандай), эч кандай аралашпаган өзгөрүү натыйжалары жок. 

CoinSwapды "алмаштырууга" алып келиши мүмкүн болгон колдонуучу каталары бар болсо да, бул каталар акыркы колдонуучу үчүн алда канча айкыныраак, анткени купуялуулукту бузган жол менен жыйынтыктарды ар кандай бириктирүү аны ачык аралаштыруу менен гана жасалышы мүмкүн. CoinJoin аркылуу өткөн эки жыйынтыкты бириктирүүдөн айырмаланып, али алмаштырыла элек чыгаруу менен алмаштырылды, алардын бири гана чындыгында аралаштырылган.

Mercury Wallet учурда акыркы колдонуучулар үчүн жеткиликтүү бир гана чынжырдан тышкары CoinSwap объект болуп саналат. Бул колдонуучуларга монеталарын экинчи катмар протоколуна (статчейн катары белгилүү) бекитип, андан кийин мамлекеттик чынжырдын башка колдонуучулары менен жыйынтыктарды сокур түрдө алмаштырууга мүмкүндүк берет. Бул абдан кызыктуу ыкма жана кызыктуу функционалдуулугу жана алгылыктуу соодалашуулары бар жаңы купуялык куралдарын изилдөөгө кызыккандар үчүн эксперимент жүргүзүүгө арзырлык.