É fato notório que o anonimato da Bitcoin pode ser quebrado de modo trivial, e muitos projetos foram iniciados com o intuito de trazer anonimato àquela moeda digital, visando proteger consumidores e empresas.
A Darkcoin é a primeira moeda digital focada na privacidade. Criada em 2014, A Darkcoin se utiliza de sua tecnologia denominada Darksend para manter seguros os fundos de seus usuários, e tornar o blockchain protegido para o uso quotidiano, para que não venha a ser rastreado em algum momento no futuro. O Darksend usa uma segundo nível de rede conhecido como rede Masternode, a qual provê o serviço de mixing. Por meio dessa tecnologia, os usuários são capazes de alcançar um alto nível de anonimato. O Darksend é trustless, descentralizado, e de uso quase que gratuito.
Por sua vez, o CoinShuffle e o DarkWallet são tecnologias novas visando prover anonimato à rede Bitcoin. O CoinShuffle foi criado por pesquisadores da Universidade do Sarre, dentre eles, Tim Ruffing, Pedro Moreno-Sanchez, e Aniket Kate. Seu artigo científico pode ser encontrado em http://crypsys.mmci.uni-saarland.de/projects/CoinShuffle/coinshuffle.pdf.
A DarkWallet foi criada em 2013 por Amir Taaki e Cody Wilson, mas desde então foi adotada por um grupo de programadores open source.
O problema com a CoinShuffle surge com a necessidade de se devolver o change para os participantes. O change precisa ser tratado com o maior cuidado em situações em que o anonimato é crucial. O change é muito importante pois pode expor a risco o anonimato das transações se o procedimento for incorreto. Isso pode ocorrer através ao se observar o que foi feito com o change após completa a transação anônima.
Ao se criar uma tecnologia de anonimato, faz-se necessário atentar para o fato que o blockchain pode ser rastreado bidirecionalmente. Esse tipo de vulnerabilidade se deve ao fato que, se num dado momento você anonimiza 1BTC, e posteriormente você gasta uma parte desse saldo, mais tarde o change resultante precisará ser mantido separado de quaisquer outras transações identificáveis, sob pena se ser possível simplesmente voltar no tempo através das transações, desde aquela identificável, até chegar àquela que deveria ser anônima.
Segundo o artigo, traduzido:
"O uso do change address é possível com o CoinShuffle: Os participantes podem anunciar change addresses adicionais na fase 1, se eles não contam com um endereço contendo exatamente o valor B ν submetido a mixing. Na fase 5, cada participante adiciona todos os change addresses como outputs no tx da transação de mixing antes de ser assinada. CoinShuffle continuará preservando a impossibilidade de se relacionar os endereços de input aos endereços (regulares) de output de participantes honestos.”
Há dois problemas relacionados ao manejo incorreto do change. Originalmente, Mario Müller (usuário Aswan da DarkcoinTalk) descobriu esse problema no Darksend. Atualmente tal falha foi solucionada no Darksend, que não é mais vulnerável a esse tipo de ataque.
1. Vulnerabilidade da CoinShuffle:
Correlacionamento por meio do Change posterior
Neste exemplo, Alice anonimiza 1,2BTC, os quais vão para 2 outputs, 1BTC e 0,2BTC. Ela então gasta 0,7BTC a partir do output de 1BTC, recebendo o change de 0,3BTC. Esses 0,3BTC então vão para uma fonte identificável, confirmando que Alice também gastou os 0,7BTC na transação anterior.
Para identificar o remetente da transação anônima, basta iniciar pela transação na “Coinbase” e ir voltando no blockchain até você atingir o “Alice envia 0,7BTC anonimamente”. No papel de Coinbase, você sabe que foi seu usuário que recentemente adquiriu algo de forma anônima, quebrando assim o anonimato por completo.
2. Correlacionamento Através do Change:
No segundo exemplo, Alice compra 1,2BTC na Coinbase, e em seguida anonimiza parte desse valor para um output de 1BTC. Ela então gasta esse 1BTC, recebendo um change no valor de 0,3BTC, combina esse change ao change anterior de 0,2BTC.
Ao combinar o change da transação anônima (0,3BTC) ao change que ela recebeu da transação CoinShuffle, pode-se correlacionar todo o histórico anterior e posterior, quebrando-se por completo o anonimato.
Solução:
Todas as falhas apresentadas aqui podem ser solucionadas, mas demandam inputs e outputs denominados. Assim como o Dólar dos Estados Unidos, o qual tem denominações de US$1, US$5, US$10 e US$20, o Darksend usa 0,1DRK, 1DRK, 10DRK e 100DRK. Ao fazer o mixing na rede, os usuários podem enviar e receber apenas essas denominações. Em seguida, as transações são protegidas através da combinação das denominações de modo a que seja pago um valor um pouco acima do necessário.
Por exemplo, se um usuário precisa pagar 1,17DRK de forma anônima, ele utilizará 1DRK + 0,1DRK + 0,1DRK, o que resultará numa transação que pagará exatamente 1.17DRK ao recipiente, pagando uma mining fee de 0,03DRK, eliminando a possibilidade de rastreio com base no change.
3. Vulnerabilidade da DarkWallet:
Quantias Identificáveis por sua Singularidade
Esse mixer foi construído de tal forma que diversos usuários (ou mixing bots ociosos) sejam pareados com outros usuários que desejem enviar recursos em tempo real. É uma tarefa trivial a de se quebrar o anonimato de quaisquer transações feitas através da DarkWallet, por conta dos diferentes valores singulares das quantias nas transações.
Por exemplo:
Nessa transação, 0,05BTC foi enviado através do mixer. Para identificar a origem do dinheiro, basta simplesmente ir somando os valores à direita até que o resultado corresponda a algum dos valores à esquerda.
0,05+0,0499+0,0001(fee) = 0,10BTC.
0,0499+0,05940182+0,0001(fee) = 0,10940182BTC.
Essa tarefa vai se tornando exponencialmente mais difícil na medida que mais usuários são adicionados ao mixer. Entretanto, essas sessões podem ter o anonimato desvelado de maneira retroativa em qualquer momento no futuro.
Transações envolvidas:
https://blockchain.info/tx/4eb3b2f9fe597d0aef6e43b58bbaa7b8fb727e645fa89f922952f3e57ee6d603
https://blockchain.info/tx/1694122b34c8543d01ad422ce600d59f8d8fde495ac9ddd894edc7139aed7617
Solução:
Não há uma solução conhecida para esse problema.
4. Vulnerabilidade do CoinShuffle e do DarkWallet:
Ataque DOS
Tanto o CoinShuffle quanto o DarkWallet são suscetíveis de um ataque DOS em que um usuário malicioso simplesmente recuse assinar a transação final, ou se desconecte durante uma das fases finais. Já que uma assinatura é necessária para que a transação final seja bem sucedida, esse processo pode ser interrompido pela simples recusa em participar.
O DarkWallet e o CoinShuffle apresentaram diferentes sugestões visando a solução desse problema, mas todas essas soluções permitem que ataques iniciais ocorram na rede antes que alguma medida possa ser tomada para passar a proteger a rede.
Solução:
O Darksend usa uma abordagem nova na proteção da rede contra ataques, conhecida como transação colateral. Quando abre uma nova sessão de mixing, o usuário precisa criar uma transação completa e assinada para o Masternode no qual que ele deseje realizar o mix. Uma vez iniciado o processo, o usuário fica então obrigado a completar o processo por meio de respostas às demandas e da completude da sessão de mixing sob pena de ter a transação colateral realizada. Essa solução pode ser vista como algo similar a um depósito feito em garantia, e que no final o depositante mantém seu dinheiro ao agir em conformidade com o contrato.
A Darkcoin é a primeira moeda digital focada na privacidade. Criada em 2014, A Darkcoin se utiliza de sua tecnologia denominada Darksend para manter seguros os fundos de seus usuários, e tornar o blockchain protegido para o uso quotidiano, para que não venha a ser rastreado em algum momento no futuro. O Darksend usa uma segundo nível de rede conhecido como rede Masternode, a qual provê o serviço de mixing. Por meio dessa tecnologia, os usuários são capazes de alcançar um alto nível de anonimato. O Darksend é trustless, descentralizado, e de uso quase que gratuito.
Por sua vez, o CoinShuffle e o DarkWallet são tecnologias novas visando prover anonimato à rede Bitcoin. O CoinShuffle foi criado por pesquisadores da Universidade do Sarre, dentre eles, Tim Ruffing, Pedro Moreno-Sanchez, e Aniket Kate. Seu artigo científico pode ser encontrado em http://crypsys.mmci.uni-saarland.de/projects/CoinShuffle/coinshuffle.pdf.
A DarkWallet foi criada em 2013 por Amir Taaki e Cody Wilson, mas desde então foi adotada por um grupo de programadores open source.
O problema com a CoinShuffle surge com a necessidade de se devolver o change para os participantes. O change precisa ser tratado com o maior cuidado em situações em que o anonimato é crucial. O change é muito importante pois pode expor a risco o anonimato das transações se o procedimento for incorreto. Isso pode ocorrer através ao se observar o que foi feito com o change após completa a transação anônima.
Ao se criar uma tecnologia de anonimato, faz-se necessário atentar para o fato que o blockchain pode ser rastreado bidirecionalmente. Esse tipo de vulnerabilidade se deve ao fato que, se num dado momento você anonimiza 1BTC, e posteriormente você gasta uma parte desse saldo, mais tarde o change resultante precisará ser mantido separado de quaisquer outras transações identificáveis, sob pena se ser possível simplesmente voltar no tempo através das transações, desde aquela identificável, até chegar àquela que deveria ser anônima.
Segundo o artigo, traduzido:
"O uso do change address é possível com o CoinShuffle: Os participantes podem anunciar change addresses adicionais na fase 1, se eles não contam com um endereço contendo exatamente o valor B ν submetido a mixing. Na fase 5, cada participante adiciona todos os change addresses como outputs no tx da transação de mixing antes de ser assinada. CoinShuffle continuará preservando a impossibilidade de se relacionar os endereços de input aos endereços (regulares) de output de participantes honestos.”
Há dois problemas relacionados ao manejo incorreto do change. Originalmente, Mario Müller (usuário Aswan da DarkcoinTalk) descobriu esse problema no Darksend. Atualmente tal falha foi solucionada no Darksend, que não é mais vulnerável a esse tipo de ataque.
1. Vulnerabilidade da CoinShuffle:
Correlacionamento por meio do Change posterior
Neste exemplo, Alice anonimiza 1,2BTC, os quais vão para 2 outputs, 1BTC e 0,2BTC. Ela então gasta 0,7BTC a partir do output de 1BTC, recebendo o change de 0,3BTC. Esses 0,3BTC então vão para uma fonte identificável, confirmando que Alice também gastou os 0,7BTC na transação anterior.
Para identificar o remetente da transação anônima, basta iniciar pela transação na “Coinbase” e ir voltando no blockchain até você atingir o “Alice envia 0,7BTC anonimamente”. No papel de Coinbase, você sabe que foi seu usuário que recentemente adquiriu algo de forma anônima, quebrando assim o anonimato por completo.
2. Correlacionamento Através do Change:
No segundo exemplo, Alice compra 1,2BTC na Coinbase, e em seguida anonimiza parte desse valor para um output de 1BTC. Ela então gasta esse 1BTC, recebendo um change no valor de 0,3BTC, combina esse change ao change anterior de 0,2BTC.
Ao combinar o change da transação anônima (0,3BTC) ao change que ela recebeu da transação CoinShuffle, pode-se correlacionar todo o histórico anterior e posterior, quebrando-se por completo o anonimato.
Solução:
Todas as falhas apresentadas aqui podem ser solucionadas, mas demandam inputs e outputs denominados. Assim como o Dólar dos Estados Unidos, o qual tem denominações de US$1, US$5, US$10 e US$20, o Darksend usa 0,1DRK, 1DRK, 10DRK e 100DRK. Ao fazer o mixing na rede, os usuários podem enviar e receber apenas essas denominações. Em seguida, as transações são protegidas através da combinação das denominações de modo a que seja pago um valor um pouco acima do necessário.
Por exemplo, se um usuário precisa pagar 1,17DRK de forma anônima, ele utilizará 1DRK + 0,1DRK + 0,1DRK, o que resultará numa transação que pagará exatamente 1.17DRK ao recipiente, pagando uma mining fee de 0,03DRK, eliminando a possibilidade de rastreio com base no change.
3. Vulnerabilidade da DarkWallet:
Quantias Identificáveis por sua Singularidade
Esse mixer foi construído de tal forma que diversos usuários (ou mixing bots ociosos) sejam pareados com outros usuários que desejem enviar recursos em tempo real. É uma tarefa trivial a de se quebrar o anonimato de quaisquer transações feitas através da DarkWallet, por conta dos diferentes valores singulares das quantias nas transações.
Por exemplo:
Nessa transação, 0,05BTC foi enviado através do mixer. Para identificar a origem do dinheiro, basta simplesmente ir somando os valores à direita até que o resultado corresponda a algum dos valores à esquerda.
0,05+0,0499+0,0001(fee) = 0,10BTC.
0,0499+0,05940182+0,0001(fee) = 0,10940182BTC.
Essa tarefa vai se tornando exponencialmente mais difícil na medida que mais usuários são adicionados ao mixer. Entretanto, essas sessões podem ter o anonimato desvelado de maneira retroativa em qualquer momento no futuro.
Transações envolvidas:
https://blockchain.info/tx/4eb3b2f9fe597d0aef6e43b58bbaa7b8fb727e645fa89f922952f3e57ee6d603
https://blockchain.info/tx/1694122b34c8543d01ad422ce600d59f8d8fde495ac9ddd894edc7139aed7617
Solução:
Não há uma solução conhecida para esse problema.
4. Vulnerabilidade do CoinShuffle e do DarkWallet:
Ataque DOS
Tanto o CoinShuffle quanto o DarkWallet são suscetíveis de um ataque DOS em que um usuário malicioso simplesmente recuse assinar a transação final, ou se desconecte durante uma das fases finais. Já que uma assinatura é necessária para que a transação final seja bem sucedida, esse processo pode ser interrompido pela simples recusa em participar.
O DarkWallet e o CoinShuffle apresentaram diferentes sugestões visando a solução desse problema, mas todas essas soluções permitem que ataques iniciais ocorram na rede antes que alguma medida possa ser tomada para passar a proteger a rede.
Solução:
O Darksend usa uma abordagem nova na proteção da rede contra ataques, conhecida como transação colateral. Quando abre uma nova sessão de mixing, o usuário precisa criar uma transação completa e assinada para o Masternode no qual que ele deseje realizar o mix. Uma vez iniciado o processo, o usuário fica então obrigado a completar o processo por meio de respostas às demandas e da completude da sessão de mixing sob pena de ter a transação colateral realizada. Essa solução pode ser vista como algo similar a um depósito feito em garantia, e que no final o depositante mantém seu dinheiro ao agir em conformidade com o contrato.
