The Attack of the Black Marble – BitcoinBlog.de – de blog voor Bitcoin en andere virtuele valuta

In maart werd Monero (XMR) het slachtoffer van een golf van spam. Hierachter zat een specifieke aanval die probeerde de anonimiteit van ringhandtekeningen te doorbreken. Wij leggen uit wat er is gebeurd.

In maart was er een spamaanval op de privacycoin Monero die blijkbaar probeerde transacties iets minder anoniem te maken.

In sommige opzichten vertegenwoordigde de spamgolf de meest geavanceerde poging tot nu toe om de meest geavanceerde anonimiteit van de cryptocurrency te doorbreken. We hebben dus het hoogste hoogtepunt bereikt in de technologische oorlog om privacy, waarbij de tegenstanders, aanvallers en verdedigers elkaar ook met respect behandelen.

Aantal dagelijkse Monero-transacties sinds eind december 2023 volgens BitInfoCharts.com

Het zal voor ons als leken niet gemakkelijk zijn om te begrijpen wat er is gebeurd, maar het is nog steeds een feest. Oppervlakkig gezien is dit wat er gebeurde: begin maart steeg het aantal standaardtransacties van ongeveer 15.000 per dag naar meer dan 100.000, en bleef het grootste deel van de maand op dit niveau. De grootte van de blokken, die elke twee minuten worden gevonden, bereikte een drempel van 300 kilobytes, waarna een dynamisch aanpassingsmechanisme in werking trad, waardoor de grootte van de blokken zachtjes werd vergroot.

De Monero-gemeenschap vermoedt dat het om een ​​‘zwart marmeren’ aanval ging, zoals beschreven door ontwikkelaar Rucknium. Om het in principe te begrijpen, moet je weten dat Monero zogenaamde ringhandtekeningen gebruikt.

Het verschil tussen transacties in Bitcoin en Monero

We moeten hier wat dieper op ingaan: een Bitcoin-transactie neemt een invoer – een zogenaamde UTXO (niet-uitgegeven transactie-uitvoer) – en stuurt deze als uitvoer naar een ontvanger. Met een handtekening bewijst de afzender dat hij eigenaar is van de invoer; De keten van ondertekende invoer verbindt de adressen, waardoor het gemakkelijk wordt om het geldspoor te volgen.

Met Monero wordt deze keten doorbroken. Een zender gebruikt niet één enkele ingang, maar eerder een “ring” van geldige ingangen. Daartoe behoren die van hemzelf, maar ook andere die hij willekeurig op de blockchain selecteert. Met zijn handtekening bewijst de afzender alleen dat hij de sleutel heeft voor één van deze ingangen, maar niet voor welke. De ringmaat geeft aan hoeveel ingangen hij gebruikt. Ze is momenteel standaard 16.

Een Monero-transactie: op de invoerpagina vindt u 16 leden van de ringgroep. Slechts één van hen stuurt daadwerkelijk geld.

De ringhandtekeningen maken het min of meer onmogelijk om de afzender en de ontvanger bij een transactie te identificeren. Ze vormen echter slechts een deel van de privacyset van Monero: stealth-adressen zorgen ervoor dat het adres van de ontvanger onbekend blijft, terwijl zero-knowledge proofs het verzonden bedrag verbergen.

In deze set zijn ringhandtekeningen de zwakste schakel. Dit komt ook door de Black Marble-aanval die in maart werd waargenomen.

Zwart marmer

Als je begrijpt hoe ringhandtekeningen werken, is de Black Marble-aanval gemakkelijk te begrijpen: je spamt de blockchain met transacties om zoveel mogelijk output te krijgen. Deze kunnen vervolgens worden uitgesloten van de ringen van andere transacties, waardoor hun effectieve ringgrootte kleiner wordt.

Een voordeel van de aanval is dat het algoritme dat wordt gebruikt om een ​​portemonnee in de ring te vormen, de voorkeur geeft aan nieuwere outputs.

De naam van de aanval komt van het feit dat het eliminatieproces doet denken aan het trekken van een zwarte knikker door hypergeometrische verdelingen. De specifieke formule is op dit punt te veel wiskunde, maar geeft aan hoe groot de kans van een aanvaller is om andere ringen te verkleinen tot het punt waarop de transactiestroom redelijkerwijs kan worden begrepen.

Zo kun je berekenen wat de effectieve ringmaat was tijdens de spamaanval. Zoals Monero-onderzoeker Rucknium laat zien, daalde het relatief snel van 16 naar vijf of zes, terwijl de aanvaller 75 procent van alle nieuwe output bezat.

In feite kon de aanvaller raden wat de werkelijke invoer van een transactie was met een waarschijnlijkheid van ongeveer één op vijf. Met andere woorden, Monero heeft grotendeels stand gehouden.

Toekomstscenario’s

U kunt nu achterover leunen en uitademen. Rucknium simuleert nog steeds de langetermijnscenario’s. Wat gebeurt er als de aanvaller niet alleen 300 kilobytes vult, maar ook 500, 1000 of 2000? Houden de handtekeningen van de ring nog steeds stand?

Hieruit blijkt dat met de huidige standaardringmaat van 16 de effectieve ringgrootte daalt van 500 kilobyte naar 4 en van rond de 1000 naar twee. Vanaf nu kan een aanvaller veilig raden wie veel transacties heeft verzonden, en zelfs meer met een redelijke waarschijnlijkheid.

Grafiek van nominale en effectieve ringmaat, afhankelijk van de kracht van een Black Marble-aanval. Van het Rucknium-papier.

Als daarentegen de ringgrootte zou worden vergroot naar 40 of 60, zou het nog steeds grotendeels veilig zijn, zelfs met 2000 kilobytes aan spam per blok. Dit zou echter als nadeel hebben dat de transacties aanzienlijk groter zouden worden.

Een van de problemen met de Black Marble-aanval is dat deze relatief goedkoop is. Volgens Rucknium kostte de hele spamgolf slechts tussen de 61,5 en 81,3 Monero (XMR), afhankelijk van welke vergoedingsmodellen de aanvaller gebruikte (wat niet precies kan worden vastgesteld omdat Monero anoniem is). Dat is zo’n 6500-9000 euro, wat niet echt veel is voor een aanval van 23 dagen.

De kosten van een uitgebreidere aanval zullen echter waarschijnlijk aanzienlijk duurder zijn. Want zodra de drempel van 300 kilobyte per blok wordt overschreden, stijgen de kosten aanzienlijk.

Problemen voor gebruikers

De ringsignaturen overleefden de aanval relatief goed. Theoretisch kun je ze breken, maar slechts tijdelijk, en dan moet je veel geld investeren.

Niettemin overweegt de Monero-gemeenschap al om de ringmaat te vergroten naar 64. Bovendien heeft het met ‘Full Chain Membership Proofs’ al een concept achter de hand dat de ringhandtekeningen kan vervangen en dat na de aanval nu eerder dan verwacht, mogelijk over zes tot twaalf maanden, in gebruik zal worden genomen.

Een onaangenamer gevolg van de aanval zou de bruikbaarheid van Monero kunnen beïnvloeden. Veel gebruikers zagen hun transacties vastlopen in de mempool; Aanzienlijk vertraagde bevestigingen vonden gedurende het grootste deel van de maand plaats, soms oplopend tot wel twee uur.

Wat waarschijnlijk nog onaangenamer was, was dat de meeste afgelegen knooppunten hopeloos overbelast waren. Gebruikers die geen volledig knooppunt hebben, koppelen hun portemonnee hieraan. Voor hen was Monero nu bijna onbruikbaar.

Zowel het probleem met externe knooppunten als vertraagde transacties kunnen worden opgelost met betere software, bijvoorbeeld door de berekening van de vergoedingen te verbeteren of de mempool effectiever te bevragen.

Maar een ander probleem is moeilijker op te lossen: de aanvaller creëerde voor een paar duizend euro meer dan drie gigabyte aan outputs – die nooit meer worden verwijderd omdat er geen consensus bestaat over wanneer een output daadwerkelijk is gebruikt. De Monero-blockchain kan met relatief bescheiden hoeveelheden in zo’n mate worden opgeblazen dat bijna elke bewerking erop enorm wordt belemmerd.

Privacy is moeilijk en concurrerend. Het is niet een toestand die men eenmaal heeft bereikt, maar die men voortdurend moet handhaven.