Giải pháp cho Ethereum Dust Attack: Người dùng chủ động tiêu hủy tài sản bị ô nhiễm

Các biện pháp trừng phạt gần đây đối với Tornado Cash và cuộc tranh luận tiếp theo xung quanh việc kiểm duyệt, rửa tiền và trừng phạt xã hội đã đặt ra một số vấn đề quan trọng mà cộng đồng Ethereum cần giải quyết.

Tôi đề xuất một giải pháp đơn giản, hợp lý cho một phần nhỏ của vấn đề: cung cấp cho người dùng Ethereum một cách chủ động để tự bảo vệ mình khỏi các sự cố vô cớ liên quan đến tiền bị đánh cắp hoặc tài khoản có liên quan đến khủng bố.

giới thiệu nền

Vào ngày 8 tháng 8 năm 2022, Bộ Tài chính Hoa Kỳ đã công bố các lệnh trừng phạt đối với Tornado Cash. Cho đến nay, bộ trộn tiền điện tử này đã được sử dụng để làm xáo trộn nguồn gốc của hơn 7 tỷ đô la tiền điện tử. Chỉ riêng trong năm 2022, 74,6% số tiền bị đánh cắp (~300.160 ETH) trên mạng Ethereum đã được rửa thông qua Tornado Cash.

Sau thông báo này, một cơn bão về cách cân bằng mạng tự do, công bằng và cởi mở với sự tuân thủ của chính phủ và những nỗ lực có thiện chí nhằm tách biệt các khoản tiền bị đánh cắp hoặc liên quan đến khủng bố đã quét qua hệ sinh thái ethereum.

Trong khi cuộc tranh luận rộng hơn xung quanh việc kiểm duyệt trình xác thực và việc cắt giảm xã hội thu hút hầu hết sự chú ý, một điểm yếu rõ ràng nhưng nguy hiểm trong thanh toán blockchain cũng đã xuất hiện.

véc tơ tấn công

Một kết quả thú vị của việc nghiên cứu cách Ethereum, Bitcoin và các mạng chuỗi khối khác hoạt động là các giao dịch chỉ cần được ký bởi người gửi tiền.

Không ai ngờ rằng việc nhận tiền sẽ làm giảm giá trị của ví.

Vì các giao dịch không yêu cầu phê duyệt đối xứng (người nhận và người gửi phê duyệt đồng thời), nên có thể tấn công đơn giản vào các địa chỉ công cộng. Một tài khoản độc hại có thể làm ô nhiễm một địa chỉ khác chỉ bằng cách gửi tiền đã bị gắn cờ tiêu cực (bị đánh cắp, hỗn hợp, liên quan đến khủng bố, v.v.). Một cuộc tấn công như vậy xảy ra chỉ vài ngày sau khi chính phủ Hoa Kỳ đàn áp Tornado Cash.

Một hacker đã gửi 0,1 ETH đến một số sàn giao dịch tiền điện tử lớn (Binance, Kraken, Gate.io) và tài khoản ETH của người nổi tiếng (Justin Sun, Jimmy Fallon, Dave Chappelle) trong một "cuộc tấn công bụi"

khủng bố kinh tế

Không khó để tưởng tượng các cuộc tấn công nghiêm trọng hơn của các quốc gia hoặc các nhóm khủng bố khi tiền điện tử trở thành một phần trung tâm của cơ sở hạ tầng và tài chính toàn cầu.

Điều đáng lo ngại là tổ chức khủng bố ISIS, Al Qaeda hoặc một kẻ thù nước ngoài có thể đóng băng tài sản của ví mục tiêu bằng cách đơn phương liên kết chính nó với ví mục tiêu. Một cuộc tấn công bụi quy mô lớn sẽ kích hoạt các cơ chế chống rửa tiền của ngân hàng, khiến toàn bộ ngành bị đóng cửa trong nhiều tuần.

Thậm chí đáng lo ngại hơn, bất kỳ nỗ lực có mục đích tốt nào nhằm xác định, giám sát hoặc cách ly các tài khoản độc hại đều có thể trở thành vũ khí của khủng bố kinh tế hoặc tống tiền.

Hãy tưởng tượng một kế hoạch tống tiền như thế này: Tin tặc mua một lượng nhỏ (100 ETH) tài sản của Bắc Triều Tiên hoặc Hezbollah và giữ nó như một thùng chứa plutonium (một nguyên tố phóng xạ), đe dọa châu Âu đóng băng các hoạt động kinh doanh tài sản và ngân hàng trừ khi họ lặng lẽ trả tiền chuộc .

Chúng tôi cần một cách đơn giản và chủ động để người dùng Ethereum tự bảo vệ mình khỏi các cuộc tấn công độc hại và khôi phục địa chỉ của họ ngay lập tức.

giải pháp

Thay vì thay đổi hệ thống giao dịch một chữ ký của Ethereum thành một hệ thống thỏa thuận người gửi/người nhận phức tạp hơn và chậm hơn, tôi đề xuất rằng chúng ta nên áp dụng quy trình khôi phục các tài khoản đã nhận được tiền bị nhiễm độc.

Khi người dùng/doanh nghiệp nhận được khoản tiền không mong muốn hoặc sau đó phát hiện ra rằng họ đã nhận được khoản thanh toán từ tài khoản bị đánh cắp, họ có thể dọn sạch tài khoản của mình theo hai bước:

1. Phá hủy ETH bị nhiễm độc bằng cách gửi nó đến một địa chỉ trống (0x00...000)

2. Đính kèm hàm băm/ID giao dịch của tài sản bị phá hủy vào bản ghi nhớ

Bước thứ hai rất quan trọng vì người dùng/doanh nghiệp có thể không phát hiện ra sự cố cho đến sau nhiều giao dịch. Ngoài ra, nếu ví có khối lượng giao dịch cao, nguồn tiền (tiêu hủy mục tiêu) cũng có thể không rõ ràng.

sử dụng

Để phương pháp bảo mật tài khoản người dùng này thực sự hoạt động, nó cần được cộng đồng Ethereum, các nhà cung cấp phân tích trên chuỗi và cơ quan thực thi pháp luật hình sự của chính phủ (cuối cùng) chấp nhận.

Trong vài tuần tới, tôi sẽ làm việc với đối tác Vivek Raman của mình để xã hội hóa ý tưởng này với các thành viên cốt lõi của cộng đồng Ethereum và một số công ty phân tích trên chuỗi (Elliptic, Chainalysis, SlowMist, v.v.). Cuối cùng, nếu khái niệm này được thông qua, chúng tôi cũng sẽ nói chuyện với OFAC, FinCEN, FBI.

Cải tiến được đề xuất:

Giao diện người dùng thân thiện có thể được tạo liên kết với EtherScan/Memo.

Tạo một địa chỉ hủy dành riêng cho các bản sửa lỗi thay vì một địa chỉ trống.