Europol über Wasabi-Mixer: “Es sieht nicht gut aus.”
Wasabi-Blüte. Bild von titanium22 via flickr.com. Lizenz: Creative Commons
Europol widmet eine Ausgabe der Cyber Bits dem Mixer Wasabi. Die Wallet wurde im Lauf der vergangenen Monate immer beliebter bei Kriminellen – und die Ermittler scheinen nicht in der Lage zu sein, die Transaktionen zu deanonymisieren. Rund 30 Prozent der Wasabi durchlaufenden Bitcoins stammen aus Darknetmarkets.
Die Cyberermittler von Europol beschäftigen sich schon lange mit Methoden, mit denen Transaktionen mit Bitcoin und andere Kryptowährungen verschleiert werden. Besonders Sorge bereitet den Polizisten derzeit offenbar der Aufstieg eines neuen Instruments, um Coins zu mixen: Die Wallet Wasabi. Zumindest deutet eine neue Ausgabe der “Cyber Bits” dies an.
Europol bemerke, so der Bericht, eine steigende Anzahl von Ermittlungen, bei denen man auf die Wasabi Wallet stoße. Diese Wallet implementiere “eine sehr effektive Methode, um Bitcoins durch Coinjoin zu mixen.” Wasabi behaupte, die Methode erzeuge mathematisch beweisbare Anonymität. Da Wasabi zudem eine Open-Source-Software ist, die Bitcoins nicht-treuhänderisch verwaltet, greifen die in der EU geltenden Anti-Geldwäsche-Regularien nicht.
Neben dem Mixen von Bitcoins durch Coinjoin hat Wasabi zahlreiche weitere Privacy-Maßnahmen implementiert. So sorgen etwa blinde Signaturen dafür, dass auch die Betreiber von Wasabi-Servern nicht in der Lage sind, Inputs und Outputs zu verbinden; die von Wasabi benutzten Blockfilter ermöglichen eine Light-Wallet, bei der aber anders als bei den Bloom-Filter-basierten Light Wallets keine Verbindung von IP-Adressen und Bitcoin-Adressen möglich ist. Weil Wasabi schließlich Tor als Standard benutzt, um mit dem Server zu kommunizieren, hat dieser keine IP-Adressen, die die Ermittler abholen könnten.
Wasabi macht seinen Job, die Privatsphäre der User zu schützen, also ziemlich gut. Dies macht die Wallet immer beliebter. Seit sie im Herbst 2018 in Betrieb ging, liefen schon mehr als 110.000 Bitcoins – also gut eine halbe Milliarde Euro – durch den Service. Das Volumen scheint dabei zuzunehmen, allein in den vergangenen drei Wochen wurden Bitcoins im Wert von 50 Millionen US-Dollar in Wasabi deponiert. Ein Drittel davon stammt offenbar aus Darknetmärkten, was ein relativ hoher Anteil krimineller Gelder ist, da zum Vergleich nur ein Prozent aller Bitcoin-Transaktionen mit Darkentmärkten in Verbindung stehen.
Tatsächlich scheint es in den meisten Fällen unmöglich zu sein, Wasabi-Transaktionen zu deanonymisieren. Nur wenn die User Fehler machen, wird es möglich sein. Allerdings können die üblichen Blockchain-Analysetools relativ gut herausfinden, wann eine Transaktion Wasabi benutzt. Das könnte bedeuten, dass diejenigen, die ihre Bitcoins mit Wasabi mixen – und sie damit vermutlich in Kontakt zu Coins aus kriminellen Quellen bringen – riskieren, ins Fadenkreuz der Strafverfolgung zu gelangen. Denn wenn man die Transaktionen nicht durch einen Algorithmus zerlegen kann, bleibt nur die Möglichkeit, die Urheber der einzelnen Inputs zu identifizieren und von diesen die Information zu verlangen, welche Outputs ihnen gehören. Ob dies gemacht wird oder nicht und ob es überhaupt erlaubt wäre, ist mir allerdings nicht bekannt.
Wasabi ist so bedeutsam, dass der Bericht ankündigt, in einer kommenden Ausgabe der Cyber Bits vertieft darüber zu berichten. Als “Spoiler” verrät diese Ausgabe schon mal das: “Es sieht nicht gut aus.”
Der komplette Report ist übrigens hier verfügbar, werde mich evtl. noch ausführlicher dazu äußern, aber gerade im Stress…
https://www.tbstat.com/wp/uploads/2020/06/Europol-Wasabi-Wallet-Report.pdf
Das größte Problem optionaler Privatsphäre ist, dass sie kaum jemand nutzt (siehe zCash) und damit setzt man sich einer ziemlich großen Gefahr aus, dass ein großer Teil der Inputs direkt mit kriminellen Handlungen verbunden werden kann. Im Durchschnitt sind das wohl 30%, aber es können auch deutlich mehr sein, denn die Sprünge in der Nutzung von Wasabi Coinjoins sind gewaltig und korrelieren oft eindeutig mit Hacks, Exit Scams & Co. Man weiß nicht, wie viele verschiedene User tatsächlich an einem Coinjoin teilnehmen und blödestenfalls ist der eigene Input der einzig “saubere”. Eine KYC Exchange mit Chainanalyse wird den Output mit hoher Wahrscheinlichkeit einfrieren und Nachweise über die Quelle verlangen, wenn im CoinJoin ein paar Hops zuvor eindeutig fast nur geflaggte Coins vorhanden sind.
Bei schwacher Nutzung leidet auch das Anonymitätsset und Wasabi steuert bei Bedarf nach eigenen Angaben sogar selbst Liquidität bei um die Nutzer Experience zu verbessern, was einer Sybil Attacke gleicht, wenn man selbst den einzigen “realen” Input gestellt hat. Zudem sind die 0,1BTC Stückelungen für die meisten User einfach zu hoch, aber andererseits sind kleinere Stückelungen bei den BTC Fees + Mixing Fees für die meisten Anwendungen einfach zu hoch. Wenn jemand z.B. 2BTC per Wasabi splittet, bekommt er abzüglich Fee 20 x 0,1BTC raus. Für eine “anonyme” Transaktion von z.B. 0,41BTC nutzt man 5 davon als Input und bekommt 0,09BTC als Change, diese ist aber eindeutig mit der Transaktion verknüpfbar und müsste erst wieder durch einen CoinJoin laufen (bei dem sie wiederum mit einem zweiten Change verknüpft werden muss, was einen Link erstellt, da der Input minimal 0,1BTC betragen muss). So sieht übrigens eine typische Wasabi CoinJoin Tx aus:
https://www.blockchain.com/de/btc/tx/663079747844bf887a7347fab67beffa127144d142e6576e580c484c25fa2729
Wenn man diese ganzen Dinge beachtet und weiß, was man tut (UTXO “Hygiene”), ist Wasabi aktuell die beste Möglichkeit, die Verknüpfung seiner Coins und Transaktionen zu unterbinden. Die Features sind schon beachtlich und ziemlich gut durchdacht, aber es ist ein Profi Tool und bei falscher Handhabe ist die Zahlung der Adult Seite trotzdem mit der Zahlung seiner Domain verknüpfbar. In diesem Europol Report wird das auch beschrieben, dass bei richtiger Nutzung eine Linkbarkeit nicht mehr gegeben ist.
Oder man nutzt Bisq und wechselt sie in Monero, wonach man diese problemlos auf einer Exchange seines Vertrauens in “saubere” BTC wechselt (oder auch nicht und nutzt nur bei Bedarf z.B. xmr.to für gezielte BTC Zahlungen, ganz ohne Linkbarkeit).
Bleibt die Skalierbarkeit, wenn es mehr Nutzung erfahren würde, denn für jede Transaktion, die getätigt wird, entsteht ein massiver OnChain Overhead und selbst der Gründer von Wasabi Wallet behauptet, dass Wasabi im Vergleich zu Privacy Coins nur ein temporärer Hack ist und OnChain Privatsphäre bei Bitcoin durch steigende Gebühren in Zukunft nicht mehr machbar ist:
https://twitter.com/nopara73/status/1147497731147149312
Übrigens zu optionaler Privatsphäre, Chainalysis hat erst vor ein paar Tagen sein Tracking auf zCash und Dash ausgeweitet:
https://blog.chainalysis.com/reports/introducing-chainalysis-investigation-compliance-support-dash-zcash
Noch ein Nachtrag, da ich Samourai Wallet gar nicht erwähnt habe und diese stehen seit einiger Zeit im “Krieg” ähnlich BTC und deren Abspaltungen:
https://twitter.com/stephanlivera/status/1269997886466490369
Ob ein großer CoinJoin oder viele kleine wie bei Samourais Whirlpool CoinJoin besser sind, kann ich leider nicht beurteilen, aber klar ist, dass diese ganzen Transaktionen für immer in der Blockchain einsichtbar bleiben und wie im Europol Report auch erwähnt, etliche Gruppen an Methoden arbeiten, sie besser deanonymisieren zu können. Die ganzen Punkte, die ich oben aufgelistet habe, wiegen bei beiden Systemen in etwa gleich stark, eine genaue Auseinandersetzung wäre dann eher ein Thema im Umfang einer Masterarbeit.
Der Wasabi Gründer ist zumindest so weit ehrlich, dass dies maximal ein temporärer Hack ist und Confidential Transactions bzw. andere Techniken von “Privacy Coins” auf Dauer nicht ersetzen kann.
Da mir das Thema Privatsphäre nicht erst seit Bitcoin oder Monero wichtig ist, sondern ich bereits gefühlt vor 20 Jahren mit Proxies, Torrents, Tor, I2p etc. experimentiert habe, musste ich mir den Unterschied zwischen Samourai und Wasabi tatsächlich genauer ansehen, daher noch ein Nachtrag für Interessierte.
Wasabi nutzt einen großen Coinjoin mit über 100 Outputs und meist etwas weniger Inputs, da diese größer sein dürfen und dann gestückelt werden. Die Outputs sind alle entweder etwa 0,1; 0,2; 0,4; 0,8; 1,6 BTC, es sind keine genauen Beträge sondern leicht randomisiert, damit es wahrscheinlich nicht auf den ersten Blick auffällt, dass der Output aus einem CoinJoin stammen muss. Dazu kommen noch eventuelle Changes die kleiner sind als 0,1 BTC.
Samourai Whirlpool nutzt mehrere kleine CoinJoins hintereinander und hat verschieden große Pools, die auch für kleine Beträge nutzbar sind, es gibt derzeit drei Pools für 0,01; 0,05; 0,5 BTC Outputs. Die Outputs sind immer exakt gleich, bei den Inputs habe ich beobachtet, dass zwei Inputs die OnChain Fee bezahlen, drei Inputs exakt gleich sind wie die Outputs. Bei jedem Anonymisierungsvorgang bezahlt man 5% des Pool Outputs Gebühr ( https://support.samourai.io/article/81-understanding-pools-and-pool-fees ) + OnChain Gebühren für jeden Cycle und kann dann so viele CoinJoins wie man möchte hintereinander ausführen lassen (lässt sich konfigurieren, dauert dann eben länger). Das ist vergleichbar mit “Churning” bei Monero, indem man seine UTXO an sich selbst sendet (oder jemanden anders, ist ja bei Monero nicht unterscheidbar). Mit jedem Cycle erhöht sich das Anonymitätslevel, bei Monero mit aktueller Ring Größe 11 auf 11^n. Mit 3 Hops sind es also 1331, bei Samourai benötigt man 4-5 Cycles um 625 respektive 3125 zu erreichen, je höher das Anon-Set werden soll, klafft die Lücke weiter auseinander und für jeden einzelnen Output und jeden Cycle sind OnChain Fees fällig, die sich bei Bitcoin schnell summieren.
Fazit: Privatsphäre dürfte mit entsprechender Anzahl an Cycles bei Samourai besser sein als bei Wasabi (obwohl man diese damit theoretisch manuell machen könnte, aber dann wirds richtig kompliziert mit UTXO Hygiene, weil man Outputs verbinden muss), aber die Gebühren sind außerhalb von kriminellen Machenschaften durch nichts mehr zu rechtfertigen.
Wasabi wird von Samurai gerne kritisiert. Sie arbeiten aber grade an einem neuen Mix Protokoll:https://github.com/zkSNACKs/WabiSabi
Danke für den Hinweis, gibt es dazu mehr als die (mittlerweile archivierte) Readme?
https://github.com/zkSNACKs/WabiSabi/issues/26
Man muss bei solchen Protokollen immer beachten, was der “Hub”, der das Mixing organisiert zwar untrusted funktioniert, aber welche Metadaten / Schlüsse er ziehen kann. Wasabi behauptet zwar, dass dessen Code auch Open Source sei, aber wer weiß schon, was auf einem Server wirklich läuft? Die Kunst liegt in der Gestaltung des Protokolls, dass der Server nachweislich nicht tracken könnte als das, was am Ende auf der Blockchain landet, denn ggf. könnte der Betreiber z.B. per Gag-Order in den USA zum Logging aller Transaktionen gezwungen werden, ohne dies preisgeben zu dürfen…
Man muss unter Releases gucken. Da generiert der Bot immer die neueste Version der Disertation wenn Änderungen gemacht wurden.
https://github.com/zkSNACKs/WabiSabi/releases , Da gibt es das PDF zum herunterladen wenn man nicht latex lesen will 🙂
Dazu dann ein Analysetool zu bestehenden CoinJoins:
https://github.com/nopara73/Dumplings
und mehr oder weniger wöchentliche Sessions wo sie sich über neue Forschung unterhalten:
https://github.com/zkSNACKs/WasabiResearchClub/
Ja der Koordinator ist eine kritische Komponente und muss so unwissend und machtöps wie möglich gestaltet werden. Aber ich denke das is den Beteiligten genau klar wie der Konkurrenz bei JoinMarket, Whirlpool und was es da noch gibt.
Danke für die weiterführenden Links!
Ich wundere mich langsam, warum sich nopara73 und alle anderen Beteiligten so viele Gedanken machen, Privacy auf ein Protokoll zu bringen, welches “by Design” alles andere aber nicht dafür geschaffen ist. Die Ansätze sind spannend und auch teilweise raffiniert, aber sie blähen den Platzbedarf auf der Blockchain dermaßen auf, dass selbst die 13kB Transaktionen bei Monero vor Bulletproof wahrscheinlich noch effizient waren. Zusammen mit einer ohnehin vollen Blockgröße ist das doch nur noch Wahnsinn.
Aber mir ist andererseits klar: Das sind profitorientierte Start-Ups und Bitcoin genießt noch den Netzwerkeffekt des First-Movers, so dass man in absehbarer Zeit wohl noch genug damit verdienen kann weil man Tainted Coins kaum noch irgendwo losbekommt…
Es ist Mal wieder das Block Size Limit, welches seit 10 Jahren nicht erhöht wurde und wenn man von 1MB damals ausgeht, müssten das nach Nielsen’s Law heute ca. 60MB entsprechen, aber es sind immer noch 1MB. Damals waren 360p das höchste der Gefühle, heute ist auch 4K möglich…
Die Privatsphäre auf Protokollebene ist ein weiterer Aspekt und Stealth Adressen + Confidential Transactions sind seit Jahren bekannt. Egal, man braucht heute einen Master in Informatik und sich verrenken, dass der Kopf unterm Arsch ist, damit man einigermaßen Privatsphäre bekommt…
Wo entsteht der erhöhte Platzbedarf?
Wenn wir mehre Transaktionen mit mehreren Ein und Ausgängen ausserhalb der Blockchain zu einer zusammenfassen, entspricht dann nicht die gesamt Transaktion in ihrer Größe maximal der Summe der Transaktionen die einzeln vorher veröffentlich worden wären? Abgesehen davon dass man es vermutlich ohne Privacy Gewinn nicht gemacht hätte und das man hier auch Bezahlungen mit reinmischen kann.
Wenn wir nun Taproot und vor allem Schnorrsignaturen mit reinnehmen, ist eine gemeinsame Transaktion mehrererer Leute kleiner als die Summe einzelner Transaktionen die jeder selbst unterschrieben hat.
Dazu nehme man die Möglichkeit mehrere kleinere Inputs zu konsolidieren da es ja keine festen Denominationen gibt. Damit sollte dann theoretisch der Platzbedarf so gar kleiner werden der gesamten Chain, je nach Verhalten der Nutzer.
Bei Samourai durchläuft ein Mixing Vorgang bei “guter” Privacy Einstellung afaik 6 Cycles mit je 5 Inputs und 5 Outputs und jede dieser Transaktionen ist knapp 1kB groß, für jede Stückelung. Wenn jemand also für 1 BTC den 0,05 BTC Pool nimmt, nimmt er mit 20 Stückelungen an je 6 Cycles zu je 1kB teil, da allerdings noch 4 andere bei jedem Cycle dabei sind, ist der Overhead “nur” noch bei etwa 24kB. Und das ist tatsächlich reiner Overhead, denn man hat noch keine Transaktion durchgeführt, lediglich die Nachverfolgbarkeit seiner Coins verschleiert und hat jetzt lauter 0,05 BTC Outputs + ggf. übriggebliebene ungemixte Change, die man vielleicht noch durch den 0,01 BTC Pool jagen will (mit entsprechendem Overhead). Die Gebühren dafür sind auch jenseits von Gut und Böse:
https://twitter.com/janowitz/status/1270591847379931136
Interessant dabei ist, dass die “Cycles” jeweils von zwei “frischen” Transaktionen gespeist werden, die die OnChain Fee übernehmen und drei, die bereits einen oder mehrere Cycles durchlaufen haben, Beispiel:
https://www.blockchain.com/btc/tx/9c2d7ffce38d3e8bdf7fbc61802fe8474d207647aaa421da58f3356414982ff0
Wenn User also mehr als im Schnitt 2,5 Cycles wählen, um eine einigermaßen gute Unverfolgbarkeit zu erhalten, müssen die Betreiber selbst Liqudität beisteuern, was Wasabi eigenen angaben ja auch tut.
Bei Wasabi ist der Overhead durch einen einzelnen großen Coinjoin tatsächlich geringer, aber immer noch vorhanden, was auch der Wasabi-Gründer napara73 zugibt.
Schnorr und Taproot werden in kleinem Ausmaß helfen, aber die Optimierungen sind nicht exorbitant, allerdings wohl eher bei großen CoinJoins wie Wasabi sie hat, als bei hintereinander geschachtelten wie bei Samourai.
Lieber Christoph, hier hängt mein Kommentar scheinbar wieder irgendwo im Spam fest, weil ich ein paar Links eingefüght habe… #76844
Was für ein Vertipper… *eingefügt.
Habe ihn gefunden.
Merci <3
Würde ich nicht genau sowas veröffentlichen, um der Masse weisszumachen, dass Wasabi uns so viele Probleme bereitet ?
Btw. gibts zum Thema utxo Hygiene noch weiterführende Lektüre ?
grüsse john