% We begin with a literature review of all known metadata attack methods that can be used against Zcash Protocol blockchains. This includes their estimated attack costs and threat model. This paper then describes the "ITM Attack" which is a specific instance of a new class of metadata attacks against blockchains which the author describes as \Metaverse\Attacks.
Документ далее объясняет Sietch в деталях, что было ответом на подобные атаки. Мы надеемся новые знания и теория помогут криптовалютам увеличить их безопасность против очень хорошо финанируемых врагов, включая национальные государства и компании занимающиеся анализом блокчейнов.
Документ далее объясняет Sietch в деталях, что было ответом на подобные атаки. Мы надеемся новые знания и теория помогут криптовалютам увеличить их безопасность против очень хорошо финансируемых врагов, включая национальные государства и компании занимающиеся анализом блокчейнов.
% The paper then explains Sietch in detail, which was a response to these new attacks. We hope this new knowledge and theory helps cryptocoins increase their defenses against very well-funded adversaries including nation states and chain analysis companies.
@ -519,11 +519,11 @@ Hush перешел на принудительную приватность н
% This paper will be concerned with \textbf{transaction graphs}, which we define in the traditional mathematical sense, of a set of nodes with a set of vertices connecting nodes. In cryptocoins these always happen to be directed graphs, since there are always funds which are unspent becoming spent, i.e. a direction associated with each transaction. This direction can be mathematically defined using the timestamp of the transaction. Inputs are unspent at the time of the transaction and become spent after the transaction. Outputs do not exist before the transaction and are unspent after the transaction.
Значительное количество математической истории было посвящённо изучению \textbf{теории графов}, но которая не была применена в анализе блокчейнов, в основном потому, что еще несколько лет назад не существовало блокчейнов для анализа, как и финансовой выгоды от изучения этой информации. Но все очень резко изменилось.
Значительное количество математической истории было уделено изучению \textbf{теории графов}, но которая не была применена в анализе блокчейнов, в основном потому, что еще несколько лет назад не существовало блокчейнов для анализа, как и финансовой выгоды от изучения этой информации. Но все очень резко изменилось.
% There is a great deal of mathematical history devoted to the study of graph theory that has not been applied toblockchain analysis, mostly because there was no blockchains to analyze just a few years ago and there was nofinancial profit in studying the data. That has obviously drastically changed.
Недавно мы обнаружили улучшенное программное обеспечение анализа блокчейна который использует "семантически обогащённые\pp графики транзакций с поисковой системой и расширенными кластероообразованными алгоритмами для создания диаграм о сложных денежных потоках через большое количество адресов \cite{OBitcoinWhereArtThou}.
Недавно мы обнаружили улучшенное программное обеспечение анализа блокчейна который использует "семантически обогащённые\pp графики транзакций с поисковой системой и расширенными кластероообразованными алгоритмами для создания диаграмм о сложных денежных потоках через большое количество адресов \cite{OBitcoinWhereArtThou}.
% Recently we have seen improved blockchain analysis software that employs "semantically enriched" transaction graphs with search engines and advanced clustering algorithms to make user-friendly diagrams about complex money flows thrue many addresses \cite{OBitcoinWhereArtThou}.
@ -611,7 +611,7 @@ Hush перешел на принудительную приватность н
% On ZEC mainnet, newly mined coinbase funds must be sent to a zaddr first, before they can be sent to a transparent address. This seems like a good idea at first, it "increases the anonymity set" by forcing everybody to go into the shielded pool. But all that glitters is not gold.
Практический эффект \textbf{Правила Экранирования} Zcash способствует заражению пула всех защищённых адресов с утечкой метаданных, особенно
с ценновой и временной утечкой метаданных, делая данное Правило фактически бесполезным. В среднем, средства в мейннет ZEC проводят только 1.4 hops ("прыжков-переводов") в защищённом пуле, что по сути, почти все средства проводят только 1 hop ("прыжок-перевод"), чтобы удовлетворить правило, и сразу же отправить обратно на прозрачный адрес. Очень часто точно такое же количество "входит\pp и "выходит\pp в следующем блоке или через один, полностью уничтожая цель zaddrs адресов.
с ценовой и временной утечкой метаданных, делая данное Правило фактически бесполезным. В среднем, средства в мейннет ZEC проводят только 1.4 hops ("прыжков-переводов") в защищённом пуле, что по сути, почти все средства проводят только 1 hop ("прыжок-перевод"), чтобы удовлетворить правило, и сразу же отправить обратно на прозрачный адрес. Очень часто точно такое же количество "входит\pp и "выходит\pp в следующем блоке или через один, полностью уничтожая цель zaddrs адресов.
% The practical effect of the Zcash \textbf{Shielding Rule} is to infect the shielded pool with metadata leakage, specifically value and timing metadata, making it almost useless. On average, funds on ZEC mainnet only spend 1.4 hops in the shielded pool, which is to say, almost all funds only spend 1 hop, to satisfy the rule, and then immediately come out. Very often the exact same amount is going in and coming out in the next block or two, completely defeating the purpose of zaddrs.
@ -623,7 +623,7 @@ Hush перешел на принудительную приватность н
% This means that the history of HUSH and ZEC look different from a blockchain analyst point of view. On ZEC mainnet, all funds which are currently in a transparent address have passed through the shielded pool at least once, usually in a very metadata-leaky way.
Hush отключил переводы на прозрачные адреса на Блоке 340000, и поэтому сейчас единственный вариант отправить средства с прозрачного адреса - это отправить их на zaddrs адреса и никогда не покидать пул защищённых адресов. Zcash продолжает игнорировать принятие zaddr и будет позволять пользователям иметь необязательную (то есть почти нулевую) приватность в дальнейшем неопреденном будущем.
Hush отключил переводы на прозрачные адреса на Блоке 340000, и поэтому сейчас единственный вариант отправить средства с прозрачного адреса - это отправить их на zaddrs адреса и никогда не покидать пул защищённых адресов. Zcash продолжает игнорировать принятие zaddr и будет позволять пользователям иметь необязательную (то есть почти нулевую) приватность в дальнейшем неопределенном будущем.
% When Hush disabled transparent outputs at Block 340000, it made the only option for funds in transparent addresses is to be sent to zaddrs and then never leave the shielded pool. Zcash continues to ignore zaddr adoption and will allow their users to have optional (i.e. very little) privacy into the indefinite future.
@ -653,7 +653,7 @@ Hush отключил переводы на прозрачные адреса н
Данный анализ использует эвристический метод тех транзакций, которые ближе к друг другу и скорее всего связаны, или транзакции образующие подобный временной паттерн. Например, при транзакции в одно и то же время каждый день, или две транзакции, с временным интервалом в 1 час раз в неделю. В публичных (прозрачных) блокчейнах, количество всегда доступно и временной/ценновой анализ имеет большую роль для дальнейшей де-анонимизации. В Протоколе Zcash, у нас есть только тайминг, и только иногда количество. Полностью защищённые $z \rightarrow z$ не имеют какой-либо информации о количестве, в то время как $ z \rightarrow t $ и $ t \rightarrow z $ имеют только частичную количественную информацию.
Данный анализ использует эвристический метод тех транзакций, которые ближе к друг другу и скорее всего связаны, или транзакции образующие подобный временной паттерн. Например, при транзакции в одно и то же время каждый день, или две транзакции, с временным интервалом в 1 час раз в неделю. В публичных (прозрачных) блокчейнах, количество всегда доступно и временной/ценовой анализ имеет большую роль для дальнейшей де-анонимизации. В Протоколе Zcash, у нас есть только тайминг, и только иногда количество. Полностью защищённые $z \rightarrow z$ не имеют какой-либо информации о количестве, в то время как $ z \rightarrow t $ и $ t \rightarrow z $ имеют только частичную количественную информацию.
% This analysis uses the heuristic that transactions that are close together are likely to be related, or transactions that form a similar temporal pattern are related. For instance, if you make a transaction at exactly the same time every day, or two transactions, spaced 1 hour apart once per week. In transparent blockchains, the value is always available and timing/value analysis is very powerful. In Zcash Protocol, we only have the timing, and only sometimes the value. Fully shielded $z \rightarrow z$ have no value info, while $ z \rightarrow t $ and $ t \rightarrow z $ have only partial value information.
@ -674,7 +674,7 @@ Hush отключил переводы на прозрачные адреса н
% Now we consider the de-shielding $ z \rightarrow t $ which can also be considered to be "perfect metadata leakage" in the sense that we definitely know that an exact amount was in a \zaddr which owned that Shielded output and now is in a transparent address. The more common $ z \rightarrow t,z$ with a change address adds uncertainty and we do not know the exact amount going to the shielded change address nor the total amount of value being spent by that \zaddr.
Существуют улучшенные формы Количественного Анализа, такие как \textbf{Danaan-Gift Атаки}, так же известные как \textit{дактилоскопия вредоносной ценности} ("malicious value fingerprinting") \cite{BiryukovFeher}. Предположим, идет отправка определенного количества средств на \textbf{zaddr}, например 0.72345618 и далее наблюдаем, происходит ли транзакция $ z \rightarrow t $, в которой находятся все или большинство этой суммы, возможно слегка изменена из-за страндартной транзакционной комиссии. Данная атака не имеет высокую вероятность работы в любых обстоятельствах, но может быть эффективной "при частом повторении\pppp, т.к ничего не останавливает злоумышленика атаковать вновь и вновь.
Существуют улучшенные формы Количественного Анализа, такие как \textbf{Danaan-Gift Атаки}, так же известные как \textit{дактилоскопия вредоносной ценности} ("malicious value fingerprinting") \cite{BiryukovFeher}. Предположим, идет отправка определенного количества средств на \textbf{zaddr}, например 0.72345618 и далее наблюдаем, происходит ли транзакция $ z \rightarrow t $, в которой находятся все или большинство этой суммы, возможно слегка изменена из-за стандартной транзакционной комиссии. Данная атака не имеет высокую вероятность работы в любых обстоятельствах, но может быть эффективной "при частом повторении\pppp, т.к ничего не останавливает злоумышленника атаковать вновь и вновь.
% There are advanced forms of Value Analysis such as \textbf{Danaan-Gift Attacks}, also known as malicious value fingerprinting \cite{BiryukovFeher}. The basic idea is you can send very specific amounts of funds to a \zaddr such as 0.72345618 and see if a $ z \rightarrow t $ transaction happens which has all or most of these particular values, perhaps modified by a default transaction fee. This attack does not have a high probabilty of working in any one circumstance, but it's like effective to "do on repeat", as nothing stops the attacker from trying again and again.
@ -762,7 +762,7 @@ Hush отключил переводы на прозрачные адреса н
% If any of the above metadata can be "leaked", the attack is a success. We note that this attack is completely passive in it's core, but can be greatly improved by adding active components "to taste". This is why metadata leakage attacks such as this can be thought of a method of analysis or an outright attack.
\textbf{ITM Атака} берет айди (id's) транзакций и \zaddrs как input, или другие OSINT, которые легко найти в Github, Twitter, Discord, Slack, публичных формах, рассылочном списке, IRC и многих других местах. С этой публичной информацией, \textbf{ITM Атака} может перейти с теорически интересной атаки к действительной деанонимизации \zaddr адреса, который соответствует аккаунтам в социальных сетям, емейл адресам, IP адресам, информации о местоположении и не только.
\textbf{ITM Атака} берет айди (id's) транзакций и \zaddrs как input, или другие OSINT, которые легко найти в Github, Twitter, Discord, Slack, публичных формах, рассылочном списке, IRC и многих других местах. С этой публичной информацией, \textbf{ITM Атака} может перейти с теоретически интересной атаки к действительной деанонимизации \zaddr адреса, который соответствует аккаунтам в социальных сетям, емейл адресам, IP адресам, информации о местоположении и не только.
% The \textbf{ITM Attack} takes transaction id's and \zaddrs as input, or other OSINT which is readily available on Github, Twitter, Discord, Slack, public forms, mailing lists, IRC and many other locations. With these public resources, the \textbf{ITM Attack} can bridge the gap from theoretically interesting attack to actually de-anonymizing a \zaddr to it's corresponding social media accounts, email addresses, IP addresses, location data and more.
@ -778,7 +778,7 @@ ITM Атака является дополнительным "слоем\pp ан
% The ITM Attack is an additional "layer" of analysis that can be overlaid on top of all other types of analysis, and in that way it has the potential to "finish" a lot of "partial de-anonymizations", i.e. places where blockchain analysis provides some data, but not enough to fully de-anon. When added to timing analysis, amount analysis and fee analysis, it can identify that certain \zaddrs being involved in many transactions and their approximate input and output values. This data is not available any other way and exact values are not very important.
Если блокчейн аналитик сможет найти транзацию, которая вовлекает не менее 1М USD против нескольких пенни - это наложет курс для дальнейшего расследования и анализа. Идеальная де-анонимизация не требуется и на практике не так важна. Программное обеспечение с использованием информации из ITM анализа даст возможность идентифицировать как outputs транзакции, так и определённые промежутки значений и потенциальные вовлечённые zaddrs из OSINT данных.
Если блокчейн аналитик сможет найти транзакцию, которая вовлекает не менее 1М USD против нескольких пенни - это наложит курс для дальнейшего расследования и анализа. Идеальная де-анонимизация не требуется и на практике не так важна. Программное обеспечение с использованием информации из ITM анализа даст возможность идентифицировать как outputs транзакции, так и определённые промежутки значений и потенциальные вовлечённые zaddrs из OSINT данных.
% If a blockchain analyst can ascertain a transaction involves at least 1M USD in value versus a few pennies of value, that directs the course of analysis and investigation. Perfect de-anonymization is not needed and in practice does not matter. Software enabled with data from ITM analysis will be able to identify transaction outputs as having certain ranges of values and potentially their associated zaddrs from OSINT data.
@ -812,7 +812,7 @@ ITM Атака является дополнительным "слоем\pp ан
% This attack requires storing a lot of intermediate data in addition to the raw blockchain data on disk. Data storage costs are likely the number two expense after computing power. It is possible renting compute power can lower computing expenses but will not lower data storage costs. If one is analyzing a blockchain of $ B $ bytes then a reasonable estimate is that $100*B $ bytes of intermediate storage will be needed to analyze the data and then a highly compressed version of the final useful data can likely be stored in $B\div100$ bytes or less. That is, the final datasize will be much smaller than the input data but our intermediate will likely be two orders of magnitude larger.
Предположим, у нас есть смоделированный искусственный блокчейн на блоке $N$, находящийся в состоянии покоя, аналитик распологает собственным майнинговым хешрейтом для "рывка\pp цепи вперед с помощью собственно\ppp определённых правил консенсуса. Этого можно добиться блокируя все посторонние ноды и подключаясь только к локальному хешрейту.
Предположим, у нас есть смоделированный искусственный блокчейн на блоке $N$, находящийся в состоянии покоя, аналитик располагает собственным майнинговым хешрейтом для "рывка\pp цепи вперед с помощью собственно\ppp определённых правил консенсуса. Этого можно добиться блокируя все посторонние ноды и подключаясь только к локальному хешрейту.
% Assume we have a simulated blockchain at block $N$, held in stasis and the analyst has their own mining hashrate to "push" the chain forward by it's own defined consensus rules. This can be accomplished by blocking all outside nodes and only connecting to the local hashrate.
@ -854,7 +854,7 @@ ITM Атака является дополнительным "слоем\pp ан
\includegraphics[scale=0.9]{itm-zchain.pdf}
Сначала отметим, что удаление zutxo/notes из SaplingMerkleTree не делает транзакции недействительными и
расходование транзакционного output зависит от того, действителен и присутствет ли zutxos.
расходование транзакционного output зависит от того, действителен и присутствует ли zutxos.
% First we note that removing zutxo/notes from the SaplingMerkleTree does not invalidate the transactions and spending a transaction output depends on the zutxos being valid and present.
@ -898,7 +898,7 @@ ITM Атака является дополнительным "слоем\pp ан
ITM Атака основана на том факте, что наиболее распространенная защищённая транзакция в большинстве существующих в настоящее время блокчейнов Zcash Протокола имеет только 2 outputs $T: z \rightarrow z,z$ и основной факт, что если какое-то количество "утраченных\pp метаданных об одном output, если это \textbf{израсходванное} или \textbf{неизрасходованное}, или диапазон данных возможных значений - в этих случаях много метаданных будет получено и для другого output.
ITM Атака основана на том факте, что наиболее распространенная защищённая транзакция в большинстве существующих в настоящее время блокчейнов Zcash Протокола имеет только 2 outputs $T: z \rightarrow z,z$ и основной факт, что если какое-то количество "утраченных\pp метаданных об одном output, если это \textbf{израсходованное} или \textbf{неизрасходованное}, или диапазон данных возможных значений - в этих случаях много метаданных будет получено и для другого output.
% The ITM Attack relies on the fact that the most common shielded transaction on most currently existing Zcash Protocol blockchains have only 2 outputs $T: z \rightarrow z,z$ and the basic fact that if some metadata can be leaked about one output, if it's \textbf{spent} or \textbf{unspent} or it's range of possible values, it provides a lot of metadata on the other output as well.
@ -1018,7 +1018,7 @@ $ z \rightarrow z \rightarrow z $ и так далее. После нескол
% We also note that all Sietch outputs are valid and spendable, they are not "fake" and they are not invalid outputs which are unspendable, because we belive those could be detected and leak metadata. In every sense, from the cryptographic primitives in use to the entropy of the data, Sietch zdust is legitimate and valid shielded transaction data, which makes it so powerful.
\nsection{Мысли о Изъятии Оборудования}%\nsection{Thoughts On Device Seizure}
\nsection{Мысли об Изъятии Оборудования}%\nsection{Thoughts On Device Seizure}
Допустим, Алиса отправила Бобу и Чарли криптовалюту в полностью защищённой транзакции с защищённой сдачей: $ z_A \rightarrow z_B,z_C,z_A $.
@ -1080,7 +1080,7 @@ Sapling Консолидация рекомендуется для средне
% By using Timing and Value Analysis with Shielded Coinbase, an analyst can get a much better estimate on the minimum value a \zaddr likely has and how much funds pass thru it per time interval, as well as txid's to correlate to the \zaddr. These can all be used as inputs to the ITM Attack, as well. Additionally, \zaddr miners open themselves up to dust attacks because their \zaddr is publicly known on the public blockchain, forever.
ZIP-213 - это увлекательное теоретизирование, которое можно реализовать с лучшими свойствами конфиденциальности, но меньшей проверяемостью, то есть с точным знанием того, сколько новых средств добывается в каждом блоке. Принимая во внимание ITM Атаку в частности и атаки Метавселенная Метаданных (Metaverse Metadata) в целом, ZIP-213 не повысит конфиденциальность цепочки блоков, а уменьшит ее, заразив защищённый пул слишком большой утечкой метаданных. По этим многим причинам мир Hush и Komodo игнорирует ZIP-213 и, действительно, игнорирует всё Обновление Сети Heartwood, поскольку оно не имеет функций анонимности.
ZIP-213 - это увлекательное теоретизирование, которое можно реализовать с лучшими свойствами конфиденциальности, но меньшей возможности проведения аудита, то есть с точным знанием того, сколько новых средств добывается в каждом блоке. Принимая во внимание ITM Атаку в частности и атаки Метавселенная Метаданных (Metaverse Metadata) в целом, ZIP-213 не повысит конфиденциальность цепочки блоков, а уменьшит ее, заразив защищённый пул слишком большой утечкой метаданных. По этим многим причинам мир Hush и Komodo игнорирует ZIP-213 и, действительно, игнорирует всё Обновление Сети Heartwood, поскольку оно не имеет функций анонимности.
% ZIP-213 is a fascinating academic exercise which could be implemented with better privacy properties but less auditability, i.e. knowing exactly how much new funds are being mined in each block. Taking into account the ITM Attack in particular and Metaverse Metadata attacks in general, ZIP-213 will not increase the privacy of a blockchain but decrease it by infecting the shielded pool with too much metadata leakage. For these many reasons, Hush and Komodo world are ignoring ZIP-213, and indeed, ignoring the entire Heartwood Network Upgrade, as it has no privacy features.
