Կրիպտոարժույթ տերմինը գրեթե դարձել է հակերության հոմանիշ: Թվում է, թե ամեն շաբաթ տեղի են ունենում զարմանալիորեն մեծ հաքերներ բորսաներում, առանձին օգտատերերի դրամապանակներում, խելացի պայմանագրերում և հանրային բլոկչեյններում, որոնց վրա նրանք նստած են: Շատ դեպքերում հարձակման վեկտորները հետադարձ հայացքով ակնհայտ են. կոդը չստուգված էր, ֆիշինգը կանխելու ներքին գործընթացները բացակայում էին, հիմնական կոդի ստանդարտները չեն պահպանվում և այլն: Ինքնին հաքերն ուսումնասիրելը հաճախ շատ հետաքրքիր տեղեկություններ չի հավաքի նրանց համար, ովքեր արդեն ծանոթ են դրան: անվտանգության հիմնական պրակտիկաները.
Բայց յուրաքանչյուր կրիպտո հաքեր ունի երկու հիմնական բաղադրիչ. կա հենց հաքերն ու այն մեթոդաբանությունը, որով հաքերն ու նրանց համախոհները փորձում են կանխիկացնել իրենց գողացված ավարը: Գաղտնիության ջատագովների համար այս միջոցները անանուն դարձնելու փորձերը հետաքրքիր դեպքի ուսումնասիրություններ են հանրային բլոկչեյն ցանցերում հասանելի անանունության մակարդակներում:
Քանի որ միջոցները ուշադիր հետևվում են բարձր կազմակերպված և լավ ֆինանսավորվող պետական գործակալությունների և կորպորատիվ կազմակերպությունների կողմից, դրանք հնարավորություն են տալիս համայնքին դիտարկել տարբեր գաղտնիության դրամապանակների արդյունավետությունը: Եթե այս հաքերները չկարողանան գաղտնի մնալ, ի՞նչ հնարավորություններ կան, որ հանրային ցանցերում գաղտնիություն փնտրող սովորական օգտվողները կկարողանան հասնել դրան:
DAO 2016-ի հաքերը՝ օրինակելի դեպք
Այս հաքերները և դրան հաջորդած ձերբակալությունները ուսումնասիրելիս պարզ է դառնում, որ շատ դեպքերում հաքերները կարևոր սխալներ են թույլ տալիս՝ փորձելով անանուն դարձնել իրենց կրիպտոարժույթը: Որոշ դեպքերում խափանումները օգտատիրոջ պարզ սխալների մեղքն են: Այլ դեպքերում դրանք առաջանում են դրամապանակի ծրագրային ապահովման վրիպակների կամ այլ ոչ ակնհայտ սխալ քայլերի պատճառով՝ կրիպտոարժույթը իրական աշխարհի ակտիվների վերածելու ճանապարհին:
Վերջերս զգալի զարգացում ունեցավ հատկապես հետաքրքիր դեպքը՝ 2016 թվականի DAO-ի հաքերային հարձակումը. Forbes- ի հոդվածը հրապարակվել է, որը պարզում է ենթադրյալ հաքերի ինքնությունը: Գործընթացը, որով այս անձը ճանաչվել է, որոշակի պատկերացումներ է տալիս լայնորեն օգտագործվող գաղտնիության դրամապանակի՝ Wasabi Wallet-ի և այն մասին, թե ինչպես է ծրագրաշարի ոչ պատշաճ օգտագործումը կարող է հանգեցնել ենթադրյալ հաքերների միջոցների «դեմիքսմանը»:
Կատարվել են քննադատական սխալներ
Ինչ վերաբերում է գործողությունների կարգին, ապա հաքերի առաջին քայլը Ethereum Classic-ից իրենց գողացված միջոցների մի մասը բիթքոյնի վերածելն էր: Հաքերն օգտագործել է Shapeshift-ը՝ փոխանակումը կատարելու համար, որն այն ժամանակ ապահովում էր հարթակի բոլոր գործարքների ամբողջական հանրային գրառումը: Shapeshift-ից միջոցների մի մասը տեղափոխվեց Wasabi Wallet: Այստեղից ամեն ինչ ցած է գնում:
Նրանց համար, ովքեր ծանոթ չեն, CoinJoin-ը հատուկ գործարքների կառուցման արձանագրության անվանումն է, որը թույլ է տալիս բազմաթիվ կողմերին համախմբել իրենց միջոցները խոշոր գործարքի մեջ՝ նպատակ ունենալով խզել կապը CoinJoin-ում հոսող միջոցների և CoinJoin-ից դուրս եկող միջոցների միջև:
Գործարքի փոխարեն, որն ունի մեկ վճարող և վճարող, CoinJoin գործարքն ունի բազմաթիվ վճարողներ և վճարողներ: Օրինակ, դուք ունեք CoinJoin 10 մասնակիցների հետ. եթե CoinJoin-ը ճիշտ է կառուցված, և փոխգործակցության բոլոր կանոնները ճիշտ են պահպանվում, CoinJoin-ից դուրս եկող միջոցները կունենան 10 անանունության հավաքածու: այսինքն՝ 10 «խառը արդյունքներից որևէ մեկը»: Գործարքից կարող է պատկանել գործարքի 10 (կամ ավելի) «չխառնված մուտքերից» որևէ մեկին:
Թեև CoinJoins-ը կարող է լինել շատ հզոր գործիք, մասնակիցների համար կան բազմաթիվ հնարավորություններ՝ թույլ տալու կարևոր սխալներ, որոնք էականորեն նսեմացնում կամ ամբողջությամբ խաթարում են ցանկացած գաղտնիություն, որը նրանք կարող էին ձեռք բերել CoinJoin-ից: Ենթադրյալ DAO հաքերի դեպքում նման սխալ է թույլ տրվել. Ինչպես կկարդաք հաջորդիվ, կա հավանականություն, որ այս վրիպակը եղել է օգտատիրոջ սխալը, սակայն հնարավոր է նաև, որ Wasabi Wallet-ում եղել է վրիպակ (քանի որ շտկվել է), որը հանգեցրել է այս գաղտնիության ձախողմանը:
Wasabi Wallet-ն օգտագործում է ZeroLink արձանագրություն, որը կառուցում է CoinJoins հավասար արժեքի խառը ելքերով։ Սա նշանակում է, որ բոլոր օգտատերերից պահանջվում է խառնել միայն որոշակի, կանխորոշված քանակությամբ Bitcoin: Այդ գումարից բարձր ցանկացած արժեք, որը մտնում է CoinJoin, պետք է վերադարձվի որպես չխառնված Bitcoin համապատասխան օգտվողներին:
Եթե, օրինակ, Alice-ն ունի մեկ 15 Bitcoin արտադրանք, և CoinJoin-ն ընդունում է միայն 1 Bitcoin արժեքի ելքեր, CoinJoin-ի ավարտից հետո Alice-ը կունենա 1 խառը բիթքոյնի արդյունք և 05 չխառնված Bitcoin արտադրանք: .05 բիթքոյնը համարվում է «չխառնված», քանի որ այն կարող է կապված լինել Ալիսի սկզբնական արդյունքի հետ՝ .15: Խառը ելքը այլևս չի կարող ուղղակիորեն կապված լինել մուտքագրման հետ և կունենա անանունության հավաքածու, որը կազմված է CoinJoin-ի բոլոր մյուս մասնակիցներից:
CoinJoin-ի գաղտնիությունը պահպանելու համար հրամայական է, որ խառը և չխառնված ելքերը երբեք միմյանց հետ կապված չլինեն: Այն դեպքում, երբ դրանք պատահաբար համախմբվում են բիթքոինի բլոկչեյնում մեկ կամ մի շարք գործարքների մեջ, դիտորդը կարող է օգտագործել այդ տեղեկատվությունը խառը ելքերը դեպի իրենց աղբյուրը հետևելու համար:
DAO հաքերի դեպքում, թվում է, որ Wasabi Wallet-ի օգտագործման գործընթացում նրանք օգտագործել են մեկ հասցե բազմաթիվ CoinJoins-ում. մի դեպքում հասցեն օգտագործվել է որպես չխառնված փոփոխության ելք, երկրորդ դեպքում՝ որպես խառը ելք։
Սա համեմատաբար անսովոր սխալ է CoinJoin-ի համատեքստում, քանի որ մեղքի առնչությամբ այս տեխնիկան պահանջում է CoinJoins-ից ներքև գտնվող գործարք՝ չխառնված և խառը ելքերը «միաձուլելու»՝ դրանք միմյանց հետ կապելու համար: Բայց այս դեպքում երկու CoinJoins-ից դուրս ոչ մի գործարք չի պահանջվում վերլուծել, քանի որ նույն հասցեն օգտագործվել է հակասական եղանակներով երկու առանձին CoinJoin-ներում:
Սկզբունքորեն, այս հնարավորությունը գոյություն ունի Wasabi Wallet ծրագրաշարի նախագծման որոշման պատճառով. Wasabi Wallet-ը օգտագործում է մեկ ածանցյալ ուղի ինչպես խառը, այնպես էլ չխառնված ելքերի համար: Սա համարվում է վատ պրակտիկա. Wasabi-ի աշխատակիցներից մեկը նշել է, որ դա նպատակ է ունեցել դրամապանակի վերականգնումը համատեղելի դարձնել այլ դրամապանակների հետ, սակայն BIP84-ը (որը դերիվացիայի սխեմա Wasabi Wallet-ի օգտագործումը) ունի ստանդարտ եղանակ՝ ճանաչելու ածանցյալ ուղին, որը նշանակված է ելքերը փոխելու համար:
Դիզայնի այս ընտրության արդյունքում առաջացած ձախողումները առավել ցայտուն են երևում, երբ օգտատերը միաժամանակ աշխատում է Wasabi Wallet-ի երկու օրինակ՝ օգտագործելով նույն սերմը: Այս սցենարում, երկու օրինակների համար հնարավոր կլինի ընտրել նույն հասցեն այս հակասական եղանակով, երբ միաժամանակ փորձում են յուրաքանչյուր օրինակից միքս գործարկել: Այս մասին նախազգուշացվում է պաշտոնական փաստաթղթերն. Հնարավոր է նաև, որ մեղավորը եղել են Wasabi Wallet-ի հայտնի սխալները:
Վերլուծություններ և եզրակացություններ
Այսպիսով, ի՞նչ ենք մենք սովորում սրանից: Թեև Wasabi-ի հետ կապված այս սխալը պատմության ավարտը չէ, այն գործեց որպես կարևոր բաղադրիչ ենթադրյալ հաքերին հետևելու համար: Եվս մեկ անգամ վերահաստատվում է մեր համոզմունքը, որ գաղտնիությունը դժվար է: Բայց գործնականում մենք ունենք ևս մեկ օրինակ, թե որքան կարևոր է ելքային աղտոտումը կանխելու գաղտնիության գործիքներն օգտագործելիս, և թե որքան զգույշ «մետաղադրամների հսկողություն» է պահանջվում օգտատերերի և ծրագրաշարի կողմից: Հարց է առաջանում, թե ինչպիսի՞ գաղտնիության արձանագրություններ են նախատեսված՝ նվազագույնի հասցնելու այս դասի հարձակումը:
Հետաքրքիր լուծումներից մեկը CoinSwap-ն է, որտեղ արդյունքները մեծ գործարքի մեջ միավորելու փոխարեն, դուք փոխանակում եք արդյունքները մեկ այլ օգտվողի հետ: Այս կերպ դուք փոխանակում եք մետաղադրամների պատմությունները, այլ ոչ թե միանում մետաղադրամների պատմություններին: Ավելի հզոր է, եթե CoinSwap-ն արվում է շղթայից դուրս համատեքստում (ինչպես իրականացվում է Mercury Wallet-ի կողմից), ընդհանրապես չկան անխառն փոփոխության արդյունքներ, որոնց հետ պետք է զբաղվել:
Թեև կան օգտագործողի հնարավոր սխալներ, որոնք կարող են հանգեցնել CoinSwap-ի «փոխանակման», այս սխալները, հավանաբար, շատ ավելի ակնհայտ են վերջնական օգտագործողի համար, քանի որ ելքերի ցանկացած միաձուլում գաղտնիությունը խախտող եղանակով կարող է կատարվել միայն բացահայտորեն խառնելով: Փոխանակված արդյունքը մեկի հետ, որը դեռ չի փոխվել, ի տարբերություն երկու ելքերի միաձուլման, որոնք արդեն անցել են CoinJoin-ով, որոնցից միայն մեկն է իրականում խառնված:
Mercury Դրամապանակ ներկայումս միակ արտաշղթայական CoinSwap-ն է, որը հասանելի է վերջնական օգտագործողներին: Այն թույլ է տալիս օգտվողներին փակել իրենց մետաղադրամները երկու շերտի արձանագրության մեջ (հայտնի է որպես պետական շղթա) և այնուհետև կուրորեն փոխանակել իրենց արդյունքները պետական շղթայի այլ օգտվողների հետ: Դա շատ հետաքրքիր տեխնիկա է և արժե փորձարկել նրանց համար, ովքեր ցանկանում են բացահայտել գաղտնիության նոր գործիքները հետաքրքիր ֆունկցիոնալությամբ և ընդունելի փոխզիջումներով:
Ստացեք ձեր ամենօրյա ամփոփագիրը Bitcoin, defi, NFT և Web3- ը նորություններ CryptoSlate-ից
Այն անվճար է, և ցանկացած ժամանակ կարող եք չեղարկել բաժանորդագրությունը:
Ստացեք Սայր Կրիպտո շուկայում.
Դարձեք CryptoSlate Edge-ի անդամ և մուտք գործեք մեր բացառիկ Discord համայնք, ավելի բացառիկ բովանդակություն և վերլուծություն:
Շղթայական վերլուծություն
Գնային լուսանկարներ
Ավելի շատ ենթատեքստ
Միացեք հիմա $ 19 / ամիս Ուսումնասիրեք բոլոր առավելությունները
Աղբյուրը՝ https://cryptoslate.com/what-can-we-learn-from-studying-hacks-revealing-insights-on-privacy-and-cryptocurrency-movements-after-the-dao-2016-hack/