Хакеруудыг судалснаар бид юу сурч болох вэ? DAO 2016 хакердсаны дараа нууцлал болон криптовалютын хөдөлгөөний талаарх ойлголтыг илчлэх нь

Криптовалют гэдэг нэр томъёо нь хакердахтай бараг ижил утгатай болсон. Долоо хоног бүр бирж, хувь хүний ​​түрийвч, ухаалаг гэрээ, олон нийтийн блокчэйн дээр хакерддаг томоохон хакерууд гарч байгаа юм шиг санагддаг. Ихэнх тохиолдолд халдлагын векторууд нь эргээд харахад илт байдаг: код нь шалгагдаагүй, фишингээс урьдчилан сэргийлэх дотоод процессууд байхгүй, кодын үндсэн стандартыг дагаж мөрдөөгүй гэх мэт. Хакеруудыг өөрсдөө судлах нь аль хэдийн мэддэг хүмүүст тийм ч сонирхолтой мэдээлэл олж авахгүй байх нь элбэг. аюулгүй байдлын үндсэн практик. 

Гэхдээ крипто хакер бүр нь хоёр үндсэн бүрэлдэхүүн хэсэгтэй байдаг - хакерууд нь өөрөө, дараа нь хакер болон тэдний бүлэглэлүүд хулгайлсан олзоо мөнгө болгохыг оролддог аргачлалууд юм. Хувийн нууцыг хамгаалагчдын хувьд эдгээр санг нэрээ нууцлах оролдлого нь олон нийтийн блокчэйн сүлжээн дэх нэрээ нууцлах түвшний сонирхолтой жишээнүүдийн судалгаа юм.

Санхүүжилтийг өндөр зохион байгуулалттай, сайн санхүүжүүлдэг төрийн байгууллагууд болон аж ахуйн нэгжүүд нягт нямбай хянаж байдаг тул олон нийтэд нууцлалын түрийвчний үр нөлөөг ажиглах боломжийг олгодог. Хэрэв эдгээр хакерууд хувийн нууц хэвээр үлдэж чадахгүй бол нийтийн сүлжээнд нууцлалыг эрэлхийлж буй дундаж хэрэглэгчид үүнд хүрэх боломж хэр байдаг вэ? 

DAO 2016 хакердсан нь үлгэр жишээ тохиолдол юм

Эдгээр хакерууд болон дараагийн баривчилгааг судлахад ихэнх тохиолдолд хакерууд криптовалютын нэрээ нууцлахыг оролдохдоо маш чухал алдаа гаргадаг нь тодорхой болсон. Зарим тохиолдолд алдаа нь энгийн хэрэглэгчийн алдаанаас болдог. Бусад тохиолдолд тэдгээр нь тэдний ашиглаж байсан түрийвчний программ хангамжийн алдаа эсвэл криптовалютыг бодит хөрөнгө болгон хөрвүүлэх замд илэрхий бус бусад алдаанаас үүдэлтэй байдаг. 

Саяхан 2016 оны DAO хакердсан нэгэн онцгой сонирхолтой хэрэг гарсан нь мөрдөн байцаалтын ажиллагаа юм. Forbes сэтгүүл Хакер гэж сэжиглэгдсэн этгээдийг тодорхойлсон нийтлэл хэвлэгджээ. Энэ хүнийг олж тогтоох үйл явц нь нууцлалын хэтэвч болох Wasabi Wallet болон программ хангамжийн зохисгүй хэрэглээ нь хакерын сэжигтний хөрөнгийг хэрхэн "хослуулах" байдалд хүргэж болох талаар зарим ойлголтыг өгдөг. 

Маш чухал алдаа гаргасан

Үйл ажиллагааны дарааллын тухайд хакерын эхний алхам нь Ethereum Classic-аас хулгайлсан хөрөнгөө биткойн болгон хөрвүүлэх явдал байв. Хакер Shapeshift программыг солилцохын тулд свопыг гүйцэтгэсэн бөгөөд тухайн үед платформ дээрх бүх арилжааны бүртгэлийг нийтэд ил болгож байсан. Shapeshift-ээс зарим санг Wasabi Wallet руу шилжүүлсэн. Эндээс бүх зүйл уруудаж байна.  

Танихгүй хүмүүсийн хувьд CoinJoin нь CoinJoin руу орж буй мөнгө болон CoinJoin-ээс гарч буй хөрөнгийн хоорондын холбоог таслах зорилгоор олон тал өөрийн хөрөнгөө нэгтгэн томоохон гүйлгээ хийх боломжийг олгодог тусгай гүйлгээний барилгын протоколын нэр юм.

Нэг төлөгч болон төлбөр авагчтай гүйлгээний оронд CoinJoin-ийн гүйлгээ нь олон төлбөр төлөгч, хүлээн авагчтай байдаг. Жишээлбэл, танд 10 оролцогчтой CoinJoin байна гэж хэлээрэй — хэрвээ CoinJoin зөв хийгдсэн, харилцан үйлчлэлийн бүх дүрмийг зөв дагаж мөрдвөл CoinJoin-ээс гадагш урсах сан нь 10-н нэрээ нууцлах багцтай байх болно. өөрөөр хэлбэл 10 "холимог гаралтын аль нэг нь байна. "Гүйлгээнээс 10 (эсвэл түүнээс дээш)" Unix "-ын аль нэг нь гүйлгээнд хамаарна. 

CoinJoins нь маш хүчирхэг хэрэгсэл байж болох ч оролцогчдод CoinJoin-ээс олж авсан аливаа хувийн нууцыг ихээхэн доройтуулж эсвэл бүрмөсөн алдагдуулах ноцтой алдаа гаргах олон боломж бий. DAO хакерын тухайд ийм алдаа гарсан. Дараа нь та унших болно, энэ алдаа нь хэрэглэгчийн алдаа байж магадгүй, гэхдээ Wasabi Wallet-д энэхүү нууцлалын доголдолд хүргэсэн (зассанаас хойш) алдаа гарсан байх магадлалтай. 

Wasabi Wallet ашигладаг ZeroLink протокол, энэ нь CoinJoins-ийг ижил утгатай холимог гаралттай бүтээдэг. Энэ нь юу гэсэн үг вэ гэвэл бүх хэрэглэгчид зөвхөн тодорхой, урьдчилан тогтоосон хэмжээний биткойныг холих шаардлагатай гэсэн үг юм. CoinJoin-д орох хэмжээнээс дээш байгаа аливаа утгыг холбогдох хэрэглэгчдэд биткойны хольцгүй хэлбэрээр буцааж өгөх ёстой.

Жишээлбэл, Алис ганц .15 биткойны гаралттай бөгөөд CoinJoin нь зөвхөн .1 биткойны үнэ цэнтэй гаралтыг хүлээн авдаг бол CoinJoin дууссаны дараа Алис .1 холимог биткойны гаралт, .05 холигдоогүй биткойны гаралттай байх болно. .05 биткойныг "холихгүй" гэж үздэг, учир нь энэ нь Алисын анхны гаралттай .15-тай холбоотой байж болно. Холимог гаралтыг цаашид оролттой шууд холбох боломжгүй бөгөөд CoinJoin-ийн бусад бүх оролцогчдоос бүрдсэн нэрээ нууцлах багц байх болно. 

CoinJoin-ийн нууцлалыг хадгалахын тулд холимог болон холимог бус гаралтууд хэзээ ч бие биетэйгээ холбогдохгүй байх шаардлагатай. Хэрэв тэдгээр нь санамсаргүй байдлаар биткойн блокчэйн дээр нэг буюу багц гүйлгээнд нэгтгэгдсэн тохиолдолд ажиглагч эдгээр мэдээллийг ашиглан холимог гаралтыг эх сурвалж руугаа буцаах боломжтой. 

DAO хакерын хувьд Wasabi Wallet-ийг ашиглах явцад тэд олон CoinJoins-д нэг хаяг ашигласан нь харагдаж байна; нэг тохиолдолд хаяг нь хольцгүй өөрчлөлтийн гаралт болгон ашигласан бол хоёр дахь тохиолдолд холимог гаралт болгон ашигласан.

Энэ нь CoinJoin-ийн хүрээнд харьцангуй ер бусын алдаа юм, учир нь энэхүү гэм буруугийн аргачлал нь CoinJoins-ийн доод урсгалын гүйлгээг хольж, хольсон гаралтыг хооронд нь холбож, хооронд нь холбохыг шаарддаг. Гэхдээ энэ тохиолдолд ижил хаягийг хоёр тусдаа CoinJoin-д зөрчилдсөн байдлаар ашигласан тул хоёр CoinJoin-ээс бусад гүйлгээнд дүн шинжилгээ хийх шаардлагагүй болно. 

Үндсэндээ Wasabi Wallet программ хангамжийн дизайны шийдвэрийн улмаас ийм боломж бий: Wasabi Wallet нь холимог болон холимог гаралтын аль алинд нь нэг үүсмэл замыг ашигладаг. Үүнийг авч үздэг муу дасгал. Энэ нь түрийвчний засварыг бусад түрийвчтэй нийцтэй болгох зорилготой гэж Васабигийн ажилтан хэлсэн боловч BIP84 (энэ нь гарал үүслийн схем Wasabi Wallet ашигладаг) нь гаралтыг өөрчлөхөд зориулагдсан үүсмэл арга замыг таних стандарт аргатай байдаг.

Хэрэглэгч нэг үрийг ашиглаж байхдаа Wasabi Wallet-ийн хоёр тохиолдол зэрэг ажиллаж байх үед энэхүү дизайны сонголтоос үүдэлтэй алдаанууд хамгийн тод харагддаг. Энэ тохиолдолд инстанц бүрээс холимгийг нэгэн зэрэг ажиллуулахыг оролдох үед хоёр тохиолдол энэ зөрчилдөөнтэй ижил хаягийг сонгох боломжтой. Үүнээс сэргийлэхийг анхааруулж байна албан ёсны бичиг баримт. Мөн Wasabi Wallet-ийн мэдэгдэж буй алдаанууд буруутан байсан байж магадгүй юм.

Тайлбар ба дүгнэлт

Тэгэхээр бид үүнээс юу сурах вэ? Васабигийн энэхүү алдаа нь түүхийн төгсгөл биш ч гэсэн энэ нь сэжиглэгдсэн хакерыг илрүүлэхэд чухал бүрэлдэхүүн хэсэг болсон. Бидний хувийн нууцыг хадгалах нь хэцүү гэсэн итгэл үнэмшил дахин нотлогдсон. Гэхдээ практик дээр бид нууцлалын хэрэгслийг ашиглахдаа гаралтын бохирдлоос урьдчилан сэргийлэхийн ач холбогдлын тухай, мөн хэрэглэгчид болон программ хангамжийн аль алинд нь "зоосны хяналт" хэрхэн шаарддагийг харуулсан өөр нэг жишээ бий. Энэ төрлийн халдлагыг багасгахын тулд ямар төрлийн нууцлалын протоколууд хийгдсэн бэ гэдэг асуулт гарч ирнэ. 

Сонирхолтой шийдэл бол CoinSwap бөгөөд гаралтыг нэгтгэхийн оронд өөр хэрэглэгчтэй гүйлгээ хийдэг. Ийм байдлаар та зоосны түүхтэй нэгдэх биш харин зоосны түүхийг сольж байна. Илүү хүчтэйгээр, хэрэв CoinSwap нь сүлжээнээс гадуурх нөхцөлд хийгдсэн бол (Меркури түрийвч хэрэгждэг шиг) ямар ч холимог өөрчлөлтийн гаралт огт байхгүй. 

Хэдийгээр CoinSwap-ийг "солигдоход" хүргэж болзошгүй хэрэглэгчийн алдаа байж болох ч эдгээр алдаанууд нь эцсийн хэрэглэгчдэд илүү ойлгомжтой байх болно, учир нь нууцлалыг зөрчих замаар гаралтыг нэгтгэх нь зөвхөн нэгийг тодорхой холих замаар л хийж болно. CoinJoin-ээр аль хэдийн нэвтэрсэн хоёр гаралтыг нэгтгэхийн оронд гаралтыг хараахан сольж амжаагүй байгаатай нь сольсон бөгөөд тэдгээрийн зөвхөн нэг нь холилдсон байна.

Мөнгөн ус түрийвч Одоогоор эцсийн хэрэглэгчдэд хүртээмжтэй CoinSwap сүлжээнээс гадуурх цорын ганц хэрэгсэл юм. Энэ нь хэрэглэгчдэд зоосон мөнгөө XNUMX-р түвшний протоколд (statechain гэгддэг) түгжиж, дараа нь төрийн гинжин хэлхээний бусад хэрэглэгчидтэй гаралтаа сохроор солих боломжийг олгодог. Энэ бол маш сонирхолтой техник бөгөөд сэтгэл хөдөлгөм ажиллагаатай, хүлээн зөвшөөрөгдөх боломж бүхий нууцлалын шинэ хэрэгслүүдийг судлах сонирхолтой хүмүүст туршиж үзэх нь зүйтэй юм.