أصبح مصطلح العملة المشفرة مرادفًا تقريبًا للقرصنة. يبدو كما لو أن هناك عمليات اختراق كبيرة كل أسبوع في البورصات، ومحافظ المستخدمين الفرديين، والعقود الذكية، وسلاسل الكتل العامة التي يجلسون عليها. في كثير من الحالات، تكون نواقل الهجوم واضحة بأثر رجعي: لم يتم اختبار التعليمات البرمجية، وكانت العمليات الداخلية لمنع التصيد الاحتيالي غير موجودة، ولم يتم اتباع معايير التعليمات البرمجية الأساسية، وما إلى ذلك. غالبًا ما لا تؤدي دراسة الاختراقات نفسها إلى الحصول على الكثير من المعلومات المثيرة للاهتمام لأولئك الذين هم على دراية بالفعل الممارسات الأمنية الأساسية.
لكن كل اختراق للعملات المشفرة يتكون من عنصرين أساسيين - هناك الاختراق نفسه، ومن ثم المنهجيات التي يحاول من خلالها المتسلل وأتباعه صرف أموالهم المسروقة. بالنسبة للمدافعين عن الخصوصية، فإن المحاولات المبذولة لإخفاء هوية هذه الأموال هي دراسات حالة مثيرة للاهتمام حول مستويات إخفاء الهوية التي يمكن تحقيقها في شبكات البلوكشين العامة.
ونظرًا لأن الأموال يتم تتبعها عن كثب من قبل وكالات حكومية وكيانات مؤسسية منظمة للغاية وممولة جيدًا، فإنها توفر فرصة للمجتمع لمراقبة فعالية محافظ الخصوصية المختلفة المعنية. إذا لم يتمكن هؤلاء المتسللون من الحفاظ على خصوصيتهم، فما هي فرص أن يتمكن المستخدمون العاديون الذين يبحثون عن الخصوصية في الشبكات العامة من تحقيق ذلك؟
اختراق DAO 2016، حالة نموذجية
عند دراسة هذه الاختراقات والاعتقالات اللاحقة، يصبح من الواضح أنه في معظم الحالات، يرتكب المتسللون أخطاء فادحة عند محاولتهم إخفاء هوية عملاتهم المشفرة. في بعض الحالات، تكون حالات الفشل ناجمة عن أخطاء بسيطة من جانب المستخدم. وفي حالات أخرى، يكون سببها أخطاء في برنامج المحفظة الذي استخدموه أو أخطاء أخرى أقل وضوحًا في مسار تحويل العملة المشفرة إلى أصول حقيقية.
في الآونة الأخيرة، شهدت حالة مثيرة للاهتمام بشكل خاص، وهي اختراق DAO لعام 2016، تطورًا كبيرًا - وهي التحقيق مقالة فوربس تم نشره يحدد هوية الهاكر المزعوم. تقدم العملية التي تم من خلالها التعرف على هذا الشخص بعض الأفكار حول محفظة الخصوصية المستخدمة على نطاق واسع، Wasabi Wallet، وكيف يمكن أن يؤدي الاستخدام غير السليم للبرنامج إلى "خلط" أموال المتسلل المزعوم.
تم ارتكاب أخطاء فادحة
أما بالنسبة لترتيب العمليات، فكانت الخطوة الأولى التي قام بها المتسلل هي تحويل بعض أمواله المسروقة من Ethereum Classic إلى Bitcoin. استخدم المتسلل Shapeshift لتنفيذ عملية المبادلة، والتي كانت توفر في ذلك الوقت سجلاً عامًا كاملاً لجميع التداولات على المنصة. من Shapeshift، انتقلت بعض الأموال إلى Wasabi Wallet. ومن هنا، تسير الأمور إلى أسفل.
بالنسبة لأولئك غير المألوفين، CoinJoin هو لقب لبروتوكول إنشاء المعاملات الخاص الذي يسمح لأطراف متعددة بتجميع أموالهم في معاملة كبيرة بهدف قطع الرابط بين الأموال المتدفقة إلى CoinJoin والأموال المتدفقة من CoinJoin.
بدلاً من المعاملة التي تحتوي على دافع ومدفوع لأمره واحد، تحتوي معاملة CoinJoin على دافعين ومستفيدين متعددين. لنفترض على سبيل المثال أن لديك CoinJoin مع 10 مشاركين - إذا تم إنشاء CoinJoin بشكل صحيح وتم اتباع جميع قواعد التفاعل بشكل صحيح، فإن الأموال التي تتدفق من CoinJoin سيكون لها مجموعة إخفاء الهوية مكونة من 10. أي أي واحد من "المخرجات المختلطة" العشرة "من المعاملة يمكن أن ينتمي إلى أي واحد من "المدخلات غير المختلطة" العشرة (أو أكثر) للمعاملة.
على الرغم من أن CoinJoins يمكن أن تكون أداة قوية جدًا، إلا أن هناك العديد من الفرص للمشاركين لارتكاب أخطاء فادحة تؤدي إلى تدهور كبير أو تقوض تمامًا أي خصوصية قد اكتسبوها من CoinJoin. في حالة متسلل DAO المزعوم، تم ارتكاب مثل هذا الخطأ. كما ستقرأ بعد ذلك، هناك احتمال أن يكون هذا الخطأ خطأ مستخدم، ومع ذلك، من الممكن أيضًا وجود خطأ (منذ إصلاحه) في Wasabi Wallet أدى إلى فشل الخصوصية هذا.
تستخدم محفظة Wasabi بروتوكول زيرو لينك، الذي ينشئ CoinJoins بمخرجات مختلطة ذات قيمة متساوية. ما يعنيه هذا هو أنه يتعين على جميع المستخدمين خلط كمية محددة ومحددة مسبقًا من البيتكوين. أي قيمة أعلى من هذا المبلغ تدخل في CoinJoin يجب أن يتم إرجاعها كعملة بيتكوين غير مختلطة إلى المستخدمين المعنيين.
على سبيل المثال، إذا كان لدى Alice مخرج بيتكوين واحد بقيمة 15، وكان CoinJoin يقبل فقط مخرجات بقيمة 1 Bitcoin، عند إكمال CoinJoin، سيكون لدى Alice ناتج Bitcoin مختلط 1 ومخرج Bitcoin غير مختلط 05. تعتبر عملة البيتكوين 05 "غير مختلطة" لأنه يمكن ربطها بمخرج أليس الأصلي البالغ 15. لا يمكن ربط المخرجات المختلطة مباشرة بالإدخال بعد الآن، وسيكون لها مجموعة إخفاء الهوية تتكون من جميع المشاركين الآخرين في CoinJoin.
للحفاظ على خصوصية CoinJoin، من الضروري ألا ترتبط المخرجات المختلطة وغير المختلطة ببعضها البعض أبدًا. في حالة تجميعها عن طريق الخطأ على blockchain بيتكوين في واحدة أو مجموعة من المعاملات، يمكن للمراقب استخدام تلك المعلومات لتتبع المخرجات المختلطة مرة أخرى إلى مصدرها.
في حالة مخترق DAO، يبدو أنه أثناء عملية استخدام Wasabi Wallet، استخدموا عنوانًا واحدًا في CoinJoins متعددة؛ في حالة واحدة العنوان تم استخدامه كمخرج تغيير غير مختلط، وفي الحالة الثانية تم استخدامه كمخرج مختلط.
يعد هذا خطأً غير معتاد نسبيًا في سياق CoinJoin لأن تقنية الذنب بالارتباط هذه تتطلب معاملة في اتجاه مجرى CoinJoins من أجل "دمج" المخرجات غير المختلطة والمختلطة، وربطها معًا. ولكن في هذه الحالة، لم تكن هناك حاجة لتحليل أي معاملات تتجاوز CoinJoins لأنه تم استخدام نفس العنوان بطرق متضاربة عبر CoinJoins منفصلتين.
في الأساس، هذا الاحتمال موجود بسبب قرار التصميم في برنامج Wasabi Wallet: تستخدم Wasabi Wallet مسار اشتقاق واحد لكل من المخرجات المختلطة وغير المختلطة. يعتبر هذا سوء الممارسة. صرح أحد موظفي Wasabi أن هذا كان لجعل استعادة المحفظة متوافقة مع المحافظ الأخرى، ومع ذلك، BIP84 (وهو مخطط الاشتقاق تستخدم Wasabi Wallet) طريقة قياسية للتعرف على مسار الاشتقاق المخصص لتغيير المخرجات.
تظهر حالات الفشل الناتجة عن اختيار التصميم هذا بشكل بارز عندما يكون لدى المستخدم مثيلان من Wasabi Wallet يعملان في نفس الوقت أثناء استخدام نفس البذرة. في هذا السيناريو، سيكون من الممكن للمثيلين تحديد نفس العنوان بهذه الطريقة المتعارضة عند محاولة تشغيل مزيج من كل مثيل في نفس الوقت. وهذا محذر منه في وثائق رسمية. ومن الممكن أيضًا أن تكون الأخطاء المعروفة في محفظة Wasabi هي السبب.
الوجبات السريعة والاستنتاجات
اذا ما الذي نتعلمه من هذا؟ على الرغم من أن هذا الخطأ في Wasabi ليس نهاية القصة تمامًا، إلا أنه كان بمثابة عنصر حاسم في تعقب المتسلل المزعوم. مرة أخرى، يتم التأكيد مجددًا على إيماننا بأن الخصوصية أمر صعب. لكن من الناحية العملية، لدينا مثال آخر على أهمية منع تلوث المخرجات عند استخدام أدوات الخصوصية، ومدى الحرص على "التحكم في العملة" من قبل المستخدمين والبرامج على حد سواء. ويصبح السؤال: ما نوع بروتوكولات الخصوصية المصممة لتقليل هذا النوع من الهجمات؟
أحد الحلول المثيرة للاهتمام هو CoinSwap، حيث بدلاً من دمج المخرجات في معاملة كبيرة، يمكنك مبادلة المخرجات مع مستخدم آخر. بهذه الطريقة، تقوم بتبادل تاريخ العملات، وليس الانضمام إلى تاريخ العملات. والأمر الأكثر قوة هو أنه إذا تم إجراء CoinSwap في سياق خارج السلسلة (كما يتم تنفيذه بواسطة Mercury Wallet)، فلن تكون هناك مخرجات تغيير غير مختلطة للتعامل معها على الإطلاق.
في حين أن هناك أخطاء مستخدم محتملة يمكن أن تتسبب في "إلغاء تبديل CoinSwap"، يمكن القول إن هذه الأخطاء أكثر وضوحًا للمستخدم النهائي لأن أي دمج للمخرجات بطريقة تنتهك الخصوصية لا يمكن أن يتم إلا عن طريق خلط يتم تبادل المخرجات مع مخرج لم يتم تبديله بعد، بدلاً من دمج مخرجين سبق أن مرا عبر CoinJoin، حيث يتم خلط واحد منهما فقط بالفعل.
محفظة ميركوري هي حاليًا منشأة CoinSwap الوحيدة خارج السلسلة المتاحة للمستخدمين النهائيين. فهو يتيح للمستخدمين قفل عملاتهم المعدنية في بروتوكول الطبقة الثانية (المعروف باسم سلسلة الدولة) ثم مبادلة مخرجاتهم بشكل أعمى مع مستخدمين آخرين لسلسلة الدولة. إنها تقنية مثيرة للاهتمام للغاية وتستحق التجربة لأولئك المهتمين باستكشاف أدوات خصوصية جديدة ذات وظائف مثيرة ومقايضات مقبولة.
احصل على خلاصة يومية عن إلى البيتكوين, الصدمة, NFT و Web3 أخبار من CryptoSlate
إنه مجاني ويمكنك إلغاء الاشتراك في أي وقت.
الحصول على حافة في سوق التشفير؟
كن عضوًا في CryptoSlate Edge وقم بالوصول إلى مجتمع Discord الحصري الخاص بنا ، والمزيد من المحتوى الحصري والتحليل.
تحليل على السلسلة
لقطات الأسعار
المزيد من السياق
المصدر: https://cryptoslate.com/what-can-we-learn-from-studying-hacks-revealing-insights-on-privacy-and-cryptocurrency-movements-after-the-dao-2016-hack/