Aunque la red Bitcoin es un registro abierto permanente de las transacciones, muchos terceros han construido una funcionalidad de privacidad sobre ella. Uno de estos servicios es Wasabi Wallet, que utiliza un protocolo mezclador, la integración de Tor, y es de uso gratuito y de código abierto.

Los mezcladores funcionan «mezclando» las entradas y salidas de las transacciones de forma que la relación entre emisores y receptores no está clara. De este modo se proporciona un grado de anonimato al dificultar el seguimiento del flujo de fondos.

En su libro Cryptopians, publicado recientemente, que detalla los primeros días de Ethereum, la periodista Laura Shin afirma que Wasabi Wallet era el eslabón débil, lo que dio lugar a que la empresa de análisis de datos de blockchain Chainalysis rastreara los fondos robados del hack de «The DAO» de 2016.

¿Cómo explotaron los hackers el DAO?

Las Organizaciones Autónomas Descentralizadas (DAO) se refieren a un fondo descentralizado en el que los poseedores de tokens gobiernan su gestión a través de propuestas y votaciones. No existe una estructura jerárquica, sino que los titulares toman decisiones respaldadas por contratos inteligentes.

La primera DAO creada se llamó The DAO y fue creada por Slock.it, que Blockchains LLC adquirió en junio de 2019.

Se lanzó en 2015 para recaudar fondos para proyectos y startups de la Web3.0. Al ser la primera de su tipo, se convirtió en un éxito rotundo, atrayendo 12 millones de ETH de inversión (150 millones de dólares en su momento, pero 30.200 millones de dólares en la actualidad).

Sin embargo, los atacantes consiguieron explotar una vulnerabilidad de llamada recursiva, lo que significaba que podían retirar fondos sin que la retirada se reflejara en el saldo de la cuenta. Esto permitió a los piratas informáticos poner en marcha un bucle de retiradas de fondos de forma indefinida, lo que provocó la pérdida de 3,6 millones de ETH (50 millones de dólares en aquel momento, pero 9.000 millones en la actualidad).

Algunos de los fondos robados se enviaron a una Cartera Wasabi para su lavado. Pero un fallo en la configuración del protocolo hizo que Chainalysis pudiera desanonimizar la funcionalidad del mezclador utilizando métodos de código abierto.

¿Cómo «rompió» Chainalysis el monedero Wasabi de la privacidad de Bitcoin?

Shin afirma que esto fue posible porque Wasabi Wallet no implementó completamente el protocolo ZeroLink.

ZeroLink afirma que anonimiza completamente las transacciones de Bitcoin utilizando una técnica definida de mezcla previa y posterior. Se dice que la funcionalidad de premezcla es fácil de implementar «sin mucha sobrecarga». Sin embargo, añadir la funcionalidad post-mix a un monedero era un asunto totalmente más complejo.

«Los monederos post-mix, por otra parte, tienen fuertes requisitos de privacidad, en lo que respecta a la selección de monedas, la recuperación de transacciones y saldos privados, la indexación y la difusión de las transacciones».

En cambio, se afirma que Wasabi Wallet optó por un método de «peel chain» que ofrece menos protecciones, lo que dio lugar a que Chainalysis pudiera rastrear las transacciones del hackeo del DAO.

Fun fact. Wasabi 🍌 never implemented ZeroLink. They didn't even come close to doing so. Nopara dropped the ball early on and went for the easy out: a peel chain. Chainalysis runs rings around Wasabi 🍌. pic.twitter.com/bLmyDt7qip

— TDevD [No KYC, no T&C, no 🍌] (@SamouraiDev) February 23, 2022

Por lo tanto, Chainalysis no «rompió» Bitcoin como tal, sólo se aprovechó de una integración descuidada.

Sin embargo, hay una narrativa creciente de que la privacidad financiera, en lo que respecta a la criptomoneda, es de alguna manera incorrecta. Si bien es cierto que la mayoría de las transacciones de criptomonedas son legales, eso no ha impedido que las autoridades apliquen políticas cada vez más estrictas.