Monero-Privatsphäre in Frage gestellt in Monero CCS Wallet-Verfolgung
Vor nur 65 Tagen wurde ein monero (XMR)-Wallet, das für die Entschädigung von Mitwirkenden vorgesehen war, gehackt. In einer verwirrenden Wendung der Ereignisse kämpft das Monero-Team immer noch mit den mysteriösen Ursprüngen dieses Vorfalls. Eine umfassende Untersuchung ergab, dass nur zwei Personen Kenntnis vom CCS-Wallet Seed hatten.
Das Wallet war auch seit April 2020 aktiv und funktionierte bis zum 1. September reibungslos, als ein Angreifer eine Sequenz von neun Transaktionen ausführte und letztendlich den gesamten Guthaben des CCS-Wallets abräumte. Das anhaltende Rätsel dreht sich darum, wie es dem Angreifer gelungen ist, diese dreiste Tat erfolgreich auszuführen.
In einem Bericht von Moonstone Research wird detailliert beschrieben, wie das Unternehmen eine der Transaktionen des Hackers identifiziert hat, die Ausgaben von allen neun anfänglichen Transaktionen des Hacks enthielt. Obwohl XMR-Transaktionen darauf ausgelegt sind, privat zu sein, enthielt diese Transaktion Ringe, die jeweils eine übereinstimmende Ausgabe von jeder der neun Hack-Transaktionen enthielten. Moonstone ist der Ansicht, dass dies darauf hinweist, dass die Transaktion mit hoher Wahrscheinlichkeit dem Hacker gehört und die Mittel zusammenführt.
Die Analyse dieser ersten Transaktion ermöglichte es Moonstone dann, zwei weitere Transaktionen nachzuverfolgen, die wahrscheinlich vom Hacker ausgeführt wurden und Gelder an eine Börse, einen Service oder einen Vertragspartner senden. Das Unternehmen war jedoch nicht in der Lage, alle abgehobenen XMR nachzuverfolgen, was darauf hinweist, dass einige Gelder bisher nicht verfolgt werden konnten. In dem Bericht wird vermutet, dass die Transaktionen mit der mobilen Wallet Monerujo und ihrer anonymisierenden Funktion “PocketChange” durchgeführt wurden, basierend auf der ungewöhnlich hohen Anzahl von Ausgaben.
“Das Verfolgen von Monero ist nicht so deterministisch wie das Verfolgen von Bitcoin und Ethereum oft ist. Monero-Transaktionen bringen absichtlich Komplexität in ihre Transaktionsgraphen, was zu falsch-positiven Ergebnissen und Mehrdeutigkeiten führt”, heißt es in dem Bericht. Dennoch können Blockchain-Analysen in Verbindung mit anderen Beweisen Leads aufdecken.
Datenschutzexperte: “Dies ist kein Szenario, das auf die meisten Monero-Nutzer zutrifft”
Die Untersuchung von Moonstone zeigt, dass unter bestimmten Umständen XMR-Transaktionen trotz ihrer Datenschutzfunktionen teilweise verfolgt werden können. Der Bericht zeigt jedoch auch, dass es immer noch Grenzen bei der Analyse der komplexen Monero-Blockchain gibt. Diese Entwicklung hat das Interesse der Kryptogemeinschaft geweckt und Diskussionen in verschiedenen sozialen Medienplattformen ausgelöst. “Wow… nicht so privat, wie jeder denkt”, kommentierte eine Person.
“Ich bin beeindruckt, aber auch besorgt darüber, wie Monero-Transaktionen verfolgt werden können”, sagte eine andere Person auf der Social Media-Plattform X.
Dies ist nicht das erste Mal, dass ein Blockchain-Analyseunternehmen seine Fähigkeiten zur Verfolgung von XMR-Transaktionen offengelegt hat. Im Jahr 2020 behauptete Ciphertrace, ein Unternehmen für Blockchain-Überwachung, die “weltweit ersten” Monero-Verfolgungswerkzeuge für Strafverfolgungszwecke entwickelt zu haben.
Es herrscht jedoch weiterhin Skepsis in der Kryptogemeinschaft hinsichtlich des Ausmaßes dieser Möglichkeiten. Damals wurden Zweifel an den Behauptungen von Ciphertrace von Informationen-Sicherheitsingenieur und XMR-Befürworter Seth Simmons und anderen geäußert, und es wurde betont, dass es zusätzliche Beweise geben müsse.
Simmons äußerte auch seine Meinung über die Studie von Moonstone und betonte, dass dieses spezifische Verfolgungsszenario nicht auf den typischen Monero-Nutzer zutrifft. Er besteht darauf, dass XMR grundsätzlich privat bleibt und den meisten Verfolgungsversuchen widersteht. Er erklärte, dass die Verfolgbarkeit auf ungewöhnlichen Umständen beruhte: Private Keys wurden mit einem Überwachungsunternehmen geteilt.
Simmons führte weiter aus, dass aufgrund einer Funktion von Monerujo ein untypischer Onchain-Footprint erstellt wurde und erhebliche Offchain-Metadaten freiwillig zur Verfügung gestellt wurden. Er schlägt vor, dass zukünftige Verbesserungen bei Monero eine solche Verfolgung nahezu unmöglich machen werden, und betont die Notwendigkeit, private Keys nicht zu teilen, unnötigerweise gesamte Wallet-Guthaben zu transferieren und die Offchain-Metadaten-Exposition zu minimieren.
“Die Schwäche von Ring-Signaturen besteht nur bei gezielter Verfolgung mit bekannten (oder ‘vergifteten’) Eingaben, was genau dieses Szenario ist”, schrieb Simmons.
Was denkst du über die Studie von Moonstone und die Skepsis hinsichtlich der Verfolgungsversuche bei Monero? Teile deine Gedanken und Meinungen zu diesem Thema im Kommentarbereich unten mit.