Vitalik Buterin memuji proyek privasi berfokus pada kepatuhan Railgun karena mencegah penyerang zKLend mencuci dana curian

Pendiri Ethereum Vitalik Buterin memuji Railgun karena berhasil menggagalkan upaya penyerang zkLend untuk mencuci dana curiannya, menunjukkan seperti apa privasi onchain yang patuh, dalam sebuah postingan pada hari Kamis. 

“Ini adalah demonstrasi solid dari mekanisme kolam privasi Railgun yang bekerja dalam praktik, memungkinkan Railgun untuk menghindari melayani hasil kejahatan tanpa menggunakan pengintaian / pintu belakang,” tulis Buterin. 

Langkah ini signifikan mengingat hambatan yang dihadapi banyak proyek privasi dalam kripto — termasuk, dalam beberapa tahun terakhir, upaya terkoordinasi untuk menindak apa yang disebut “mixer” blockchain, termasuk Tornado Cash dan Bitcoin Fog. 

Sementara Bitcoin lahir dari gerakan cypherpunk yang pro-privasi digital, sistem ini saat ini sebagian besar beroperasi hanya karena siapa pun dapat “memeriksa” rantai secara tepercaya. 

Railgun adalah protokol yang memungkinkan pengguna melakukan transaksi anonim di Ethereum dengan menggunakan bukti tanpa pengetahuan dan kolam likuiditas untuk menyembunyikan detail tentang pengirim, penerima, dan jumlah transaksi. 

Namun, tidak seperti kebanyakan “mixer”, Railgun telah menerapkan sistem yang disebut “Bukti Pribadi dari Kepolosan” yang dirancang untuk memblokir dana ilegal dari memasuki kolam privasi. Ketika disetorkan ke Railgun, token secara otomatis disaring terhadap daftar alamat berbahaya yang diketahui. Jika ditemukan memiliki asal yang mencurigakan, token tidak akan diizinkan masuk ke set privasi protokol dan hanya dapat ditarik ke alamat asli.

Tampaknya itulah yang terjadi di Railgun. 

Pada 12 Februari, seorang penyerang mulai mengeksploitasi “bug kesalahan pembulatan” yang tidak diketahui pada protokol pasar uang berbasis Starknet zkLend yang memungkinkannya menarik 3.600 ETH (senilai sekitar $9,5 juta pada saat itu). 

Setelah menggelembungkan saldonya dengan berulang kali menyetor dan menarik wstETH dengan memanipulasi “lending_accumulator,” penyerang menjembatani asetnya ke rantai utama Ethereum dan memindahkannya ke Railgun. 

Karena semua ini sejauh ini terlihat onchain, tim zKLend menghubungi peretas dalam upaya untuk membuatnya mengirim kembali sebagian besar dana dan menyimpan 10% sebagai hadiah “topi putih”.

“Kami secara aktif melacak dana dan mengejar identifikasi peretas, bekerja sama dengan @StarkWareLtd, @StarknetFndn, @zeroshadow_io (sebelumnya @chainalysis Incident Response), Tim Keamanan Binance, dan @HypernativeLabs,” tulis tim tersebut. 

Penyerang belum menerima tawaran tersebut, dan dana tersebut berada di  alamatnya , yang telah ditandai pada sebagian besar pemindai blockchain sebagai terkait dengan serangan zKLend. 

“Dia bisa menggunakan tornado cash (kontrak masih berfungsi) atau mungkin bisa menggunakan KYC palsu untuk mencuci uang melalui CEX… atau mungkin menggunakan bursa non-KYC,” peneliti ancaman blockchain Vladimir S. mengatakan kepada The Block dalam pesan langsung. “Tapi ini sangat tidak mungkin karena alamatnya ditandai di mana-mana. Yang terbaik untuk penyerang adalah mengembalikan uangnya karena jika tidak, biaya untuk transfer mungkin melebihi 90% lol.”

Peretas semakin digagalkan oleh penyelidik onchain yang dapat melacak lompatan blockchain. Sampai batas tertentu, privasi onchain akan meningkatkan ancaman serangan. Namun, proyek seperti Railgun, yang melayani penggunaan “jujur” seperti menganonimkan penggajian dan pembayaran, menawarkan pendekatan jalan tengah. 

Buterin telah menulis tentang kemungkinan alat privasi yang patuh setidaknya sejak 2023 ketika dia ikut menulis makalah penelitian tentang "Kolam Privasi" yang akan menggunakan set privasi yang dikurasi untuk menyaring aktor jahat potensial. 

“Jika Anda tidak setuju dengan filter Railgun, siapa pun bebas untuk melakukan fork dan membuat pool mereka sendiri dengan aturan mereka sendiri, meskipun jika Anda tidak dapat mendapatkan dukungan publik yang cukup luas, Anda akan memiliki set anonimitas yang sangat kecil,” kata Buterin.