Você está exposto? Como Chainalysis quebrou a carteira de privacidade Wasabi Bitcoin

Embora a rede Bitcoin seja um registro aberto permanente de transações, muitos terceiros construíram funcionalidades de privacidade em cima dela. Um desses serviços é Carteira Wasabi, que usa um protocolo de mixagem, integração com Tor, e é de uso gratuito e de código aberto.

Os mixers funcionam “misturando” entradas e saídas de transações para que a relação entre emissores e receptores não seja clara. Assim, um grau de anonimato é fornecido, dificultando o rastreamento do fluxo de fundos.

Em seu livro recém-lançado Cryptopians, que detalha os primeiros dias do Ethereum, a jornalista Laura Shin afirma que a Wasabi Wallet era o elo fraco, resultando na empresa de análise de dados blockchain Chainalysis rastreando fundos roubados do hack DAO de 2016.

Como os hackers exploraram o DAO?

Organizações Autônomas Descentralizadas (DAOs) referem-se a um fundo descentralizado no qual os detentores de tokens governam como ele é executado por meio de propostas e votação. Não há estrutura hierárquica, apenas titulares tomando decisões sustentadas por contratos inteligentes.

O primeiro DAO criado foi chamado The DAO e configurado por slock.it, que a Blockchains LLC adquiriu em junho de 2019.

Foi lançado em 2015 para arrecadar fundos para projetos e startups Web3.0. Como o primeiro de seu tipo, tornou-se um grande sucesso, atraindo 12 milhões de ETH de investimento (US$ 150 milhões na época, mas US$ 30.2 bilhões hoje).

No entanto, os invasores conseguiram explorar um vulnerabilidade de chamada recursiva, o que significa que eles podem sacar fundos sem que a retirada seja refletida no saldo da conta. Isso permitiu que os hackers iniciassem um ciclo de saques indefinidamente, resultando na perda de 3.6 milhões de ETH (US$ 50 milhões na época, mas US$ 9 bilhões hoje).

Alguns dos fundos roubados foram enviados para uma carteira Wasabi para serem lavados. Mas uma falha na configuração do protocolo significava que o Chainalysis poderia desanonimizar a funcionalidade do mixer usando métodos de código aberto.

Como a Chainalysis “quebrou” a privacidade do Bitcoin Wasabi Wallet?

Shin afirma que isso foi possível porque a Wasabi Wallet não implementou totalmente o protocolo ZeroLink.

Link Zero afirma anonimizar totalmente as transações de Bitcoin usando uma técnica de mixagem pré-mistura e pós-mistura definida. Diz-se que a funcionalidade de pré-mistura é facilmente implementada “sem muita sobrecarga”. No entanto, adicionar a funcionalidade de pós-mixagem a uma carteira era um assunto muito mais complexo.

“As carteiras pós-mix, por outro lado, têm fortes requisitos de privacidade, em relação à seleção de moedas, transação privada e recuperação de saldo, indexação e transmissão de entrada e saída de transações.”

Em vez disso, é afirmou que a Wasabi Wallet optou por um método “peel chain” que oferece menos proteções, resultando em Chainalysis sendo capaz de rastrear transações do hack DAO.

Fato engraçado. Wasabi? nunca implementou ZeroLink. Eles nem chegaram perto de fazê-lo. Nopara deixou cair a bola no início e foi para a saída fácil: uma corrente de casca. Chainalysis corre anéis em torno de Wasabi?. pic.twitter.com/bLmyDt7qip

— TDevD [Sem KYC, sem T&C, sem ?] (@SamouraiDev) 23 de fevereiro de 2022

Como tal, Chainalysis não “quebrou” o Bitcoin como tal, apenas aproveitou uma integração descuidada.

No entanto, há uma narrativa crescente de que a privacidade financeira, no que se refere à criptomoeda, está de alguma forma errada. Embora seja verdade que a maioria das transações criptográficas estão acima da mesa, isso não impediu que as autoridades aplicassem políticas cada vez mais rígidas.