Êtes-vous exposé ? Comment Chainalysis a piraté le portefeuille de confidentialité Wasabi Bitcoin

Bien que le réseau Bitcoin soit un enregistrement ouvert permanent des transactions, de nombreux tiers y ont ajouté une fonctionnalité de confidentialité. Un de ces services est Portefeuille Wasabi, qui utilise un protocole de mixage, l'intégration de Tor, et est libre d'utilisation et open source.

Les mélangeurs fonctionnent en « mélangeant » les entrées et les sorties des transactions afin que la relation entre les expéditeurs et les destinataires ne soit pas claire. Ainsi, un degré d'anonymat est fourni en rendant difficile le suivi du flux de fonds.

Dans son livre récemment publié Cryptopians, qui détaille les débuts d'Ethereum, la journaliste Laura Shin affirme que Wasabi Wallet était le maillon faible, ce qui a permis à la société d'analyse de données blockchain Chainalysis de retracer les fonds volés du piratage DAO de 2016.

Comment les pirates ont-ils exploité le DAO ?

Les organisations autonomes décentralisées (DAO) font référence à un fonds décentralisé dans lequel les détenteurs de jetons régissent son fonctionnement par le biais de propositions et de votes. Il n'y a pas de structure hiérarchique, seuls les détenteurs prennent des décisions soutenues par des contrats intelligents.

Le premier DAO créé s'appelait Le DAO et mis en place par Slock.it, que Blockchains LLC a acquis en Juin 2019.

Il a été lancé en 2015 pour lever des fonds pour des projets et des startups Web3.0. En tant que premier du genre, il est devenu un succès retentissant, attirant 12 millions d'ETH d'investissement (150 millions de dollars à l'époque, mais 30.2 milliards de dollars aujourd'hui).

Cependant, les attaquants ont réussi à exploiter un vulnérabilité d'appel récursif, ce qui signifie qu'ils pouvaient retirer des fonds sans que le retrait soit reflété dans le solde du compte. Cela a permis aux pirates de déclencher indéfiniment une boucle de retraits, entraînant la perte de 3.6 millions d'ETH (50 millions de dollars à l'époque, mais 9 milliards de dollars aujourd'hui).

Certains des fonds volés ont été envoyés dans un portefeuille Wasabi pour être lavés. Mais une faille dans la configuration du protocole signifiait que Chainalysis pouvait désanonymiser la fonctionnalité du mélangeur en utilisant des méthodes open source.

Comment Chainalysis a-t-il « cassé » le portefeuille Wasabi de confidentialité Bitcoin ?

Shin affirme que cela a été possible car Wasabi Wallet n'a pas réussi à implémenter pleinement le protocole ZeroLink.

ZéroLink prétend anonymiser complètement les transactions Bitcoin en utilisant une technique de mélange pré-mélange et post-mélange définie. On dit que la fonctionnalité de pré-mélange est facilement implémentée "sans trop de frais généraux". Cependant, ajouter une fonctionnalité post-mix à un portefeuille était une affaire tout à fait plus complexe.

"Les portefeuilles post-mix, d'autre part, ont de fortes exigences en matière de confidentialité, en ce qui concerne la sélection des pièces, la transaction privée et la récupération du solde, l'indexation et la diffusion des entrées et sorties des transactions."

Au lieu de cela, c'est revendiqué que Wasabi Wallet a opté pour une méthode de «chaîne de pelage» qui offre moins de protections, ce qui permet à Chainalysis de suivre les transactions à partir du piratage DAO.

Fait amusant. Wasabi ? jamais implémenté ZeroLink. Ils n'ont même pas failli le faire. Nopara a laissé tomber la balle dès le début et a opté pour la sortie facile: une chaîne de pelage. Chainalysis tourne autour de Wasabi ?. pic.twitter.com/bLmyDt7qip

— TDevD [Pas de KYC, pas de T&C, non ?] (@SamouraiDev) 23 février 2022

En tant que tel, Chainalysis n'a pas "casser" Bitcoin en tant que tel, seulement profiter d'une intégration négligente.

Néanmoins, il y a un discours de plus en plus répandu selon lequel la confidentialité financière, en ce qui concerne la crypto-monnaie, est en quelque sorte erronée. S'il est vrai que la majorité des transactions cryptographiques sont au-dessus de tout, cela n'a pas empêché les autorités d'appliquer des politiques toujours plus strictes.