Như những tay buôn bán ma túy và các tin tặc giả danh đã phát hiện, Bitcoin không phải là một đồng tiền bí mật nhiệm màu như họ từng nghĩ, và nhiều người đã chuyển sang Monero, một đồng tiền kỹ thuật số hứa hẹn một mức độ ẩn danh cao hơn và khả năng không thể bị truy ra, tất cả gói gọn trong thiết kế của nó. Tuy nhiên, một nhóm các nhà nghiên cứu đã phát hiện ra rằng tính bảo mật của Monero, dù tốt hơn Bitcoin, vẫn không phải là “áo choàng tàng hình” như nhiều người nghĩ.
Monero được thiết kế để trộn lẫn những “đồng” Monero với những giao dịch khác, nhằm khiến bất kỳ ai lần tìm trong blockchain của nó không thể truy dẫn tới bất kỳ đối tượng hay giao dịch nào từ cùng một nguồn. Nhưng trong một báo cáo gần đây, một nhóm những nhà nghiên cứu từ nhiều học viện khác nhau – gồm Princeton, Carnegie Mellon, Đại học Boston, MIT, và Đại học Illinois tại Urban – Champaign – đã chỉ ra những sai sót trong việc trộn lẫn những đồng tiền, khiến cho việc truy dẫn các giao dịch cá nhân vẫn là một việc có thể làm được.
Điều này không chỉ làm cho những người đang lén lút tiêu những đồng Monero ngày nay trở nên lo lắng. Mà nó còn có nghĩa là những chứng cứ cho các giao dịch trước đây, vốn được xem là không-thể-truy-dẫn, đã được ghi dấu vào blockchain của Monero trong nhiều năm tới, và hiện hữu cho bất kỳ ai muốn xem cũng được.
Những sai sót về bảo mật này vốn đặc biệt nghiêm trọng trước khi mã hóa của Monero thay đổi vào tháng 2 năm 2017, theo các nhà nghiên cứu. Nhưng các giao dịch trước thời gian đó vẫn có thể đối mặt với việc bị truy dẫn, và thậm chí ngay cả những giao dịch sau thay đổi đó lại càn dễ bị truy dẫn hơn mức mà những người dùng Monero có thể nghĩ đến. “Quan niệm của nhiều người ngày nay dành cho Monero thật sự quá đơn giản, rằng những giao dịch của họ là riêng tư. Quan niệm đó thật sự rất sai lầm”, theo lời của Andrew Milelr, một nhà nghiên cứu tại Đại học Illinois tại Urbana – Champaign, người đã tham gia nghiên cứu này. “Có những thông tin đã bị lộ ra và không được che dấu bởi cơ chế mã hóa của Monero”.
Báo cáo của những nhà nghiên cứu sẽ được trình bày tại Hội nghị chuyên đề về Công nghệ cải tiến bảo mật (Privacy Enhancing Technologies Symposium) trong tháng 7, sẽ đặc biệt lưu ý đến khoản thời gian từ 7/2016, khi Monero lần đầu được thông qua như một giải pháp thay thế cho Bitcoin bởi chợ đen buôn ma túy trên dark web (vốn trở thành lớn nhất sau giai đoạn này), AlphaBay, và kết thúc vào 2/2017, khi Monero hoàn thành đợt nâng cấp cho hệ thống bảo mật có tên là Ring Confidential Transactions (Mệnh đề bảo mật giao dịch). Có khoảng 200,000 giao dịch Monero xảy ra trong khoảng thời gian đó, theo các nhà nghiên cứu chỉ ra, rất nhiều trong số đó liên quan đến việc buôn bán ma túy bất hợp pháp, hay những khoản thanh toán “nhạy cảm” khác mà người dùng đinh ninh rằng họ không thể bị truy ra.
“Người dùng xem những đảm bảo bảo mật của loại tiền này như một dạng giá trị danh nghĩa của nó”, theo lời của Nicolas Christin, một nhà nghiên cứu chuyên về dark web có đóng góp trong bản báo cáo. “Mọi chỉ dẫn đều cho thấy nhiều người thật sự dùng loại tiền này cho những ứng dụng mà họ cần sự riêng tư. Và những giao dịch mà họ thực hiện rất, rất dễ bị thâm nhập”.
Không quá bí mật
Mặc dù Bitcoin được sử dụng rộng rãi trên dark web và những ứng dụng bất hợp pháp khác như virus ransomware, những tên tội phạm đã bắt đầu nhận thức được rằng nếu chúng không cẩn thận trong việc sử dụng nó, blockchain của Bitcoin có thể xác định danh tính của họ – cũng giống như việc nó đã giúp kết nối gia sản đồ sộ từ thị trường ma túy Silk Road trên dark web đến laptop của người tạo ra nó là Ross Ulbricht, và thậm chí giúp truy dẫn ra các máy chủ của một thị trường khác trên dark web là Hansa. Kết quả là, thế giới ngầm trên mạng đã dần chuyển sang dùng Monero.
Nhưng các nhà nghiên cứu đã chỉ ra hai lỗ hổng trong khả năng chống truy dẫn của Monero, một trong số đó đã được sửa vào bản cập nhật đầu năm 2017, và cái còn lại vẫn tồn tại cho tới ngày nay, ngay cả khi những nhà lập trình của Monero đã tìm cách từng bước khắc phục. Cả hai vấn đề đều liên quan tới cách Monero giấu nguồn gốc thanh toán, chủ yếu bằng cách pha trộn những đồng coin mà người khác dùng với mẫu của một loại đồng coin khác, dùng làm bình phòng, được gọi là “các mixin”.
Các nhà nghiên cứu đã lưu ý một thủ thuật đơn giản cho phép một người quan sát có thế xác định những mixin dùng làm bình phòng cho một đồng coin được dùng trong thực tế. Trong năm đầu của Monero, lấy ví dụ, nó cho phép người dùng có thể từ bỏ lựa chọn bảo vệ quyền riêng tư và dùng đồng coin này mà không cần mixin. Nhưng khi một đồng coin đã đươc tiêu và xác định về sau lại trở thành mixin, nó có thể dễ dàng bị tách ra khỏi hỗn hợp để xác định những đồng coin còn lại. Nếu kết quả là một đồng coin khác bị xác định, và đồng coin đó tự nó được dùng làm mixin cho những giao dịch sau, điều này có thể làm giảm độ ẩn giấu của những giao dịch sau đó nữa.
Các nhà nghiên cứu cũng tìm thấy một vấn đề thứ hai của hệ thống chống truy dẫn của Monero, gắn liền với thời gian của các giao dịch. Trong bất kỳ hỗn hợp nào của một đồng coin thật và các đồng coin giả gói gọn trong một giao dịch, đồng coin thật có khả năng cao là một đồng coin gần nhất được chuyển lên trước giao dịch đó. Trước khi có sự thay đổi gần đây từ các nhà phát triển của Monero, việc phân tích thời gian có thể xác định được đồng coin thật 90% trong mọi lúc, hầu như vô hiệu hóa các biện pháp bảo vệ sự riêng tư của Monero. Sau vài thay đổi về cách thức chọn mixin của nó, thủ thuật này có thể xác định đồng coin thật với tỉ lệ khoảng 45% thời gian – nhưng vẫn thu hẹp phạm vi của đồng coin thật vào hai khả năng, thấp hơn những gì mà hầu hết người dùng Monero muốn.
Dấu vết không thể tẩy xóa
Điều quan trọng cần lưu ý rằng tất cả những điều này chỉ giúp một người điều tra xác định người chi đồng coin, không phải là người nhận, vì Monero che giấu địa chỉ người nhận bằng một kỹ thuật khác gọi là “địa chỉ ẩn giấu”. Nhưng nếu, lấy ví dụ, một người chi trả cho một sàn giao dịch Monero vốn biết rõ danh tính của họ, và sau đó cho một cảnh sát chìm giả dạng như một tay buôn ma túy trên dark web, khoản thanh toán thứ hai có thể dính liên với khoản đầu, và cuối cùng là danh tính của họ. Mối nguy này trở nên hữu hình hơn khi AlphaBay đã bị đóng cửa và các máy chủ của họ bị tịch thu vào hè năm ngoái, giúp cho cảnh sát có thể tìm ra người nhận từ hàng ngàn các giao dịch trong bảy tháng từ lúc AlphaBay chấp nhận Monero trong lúc giai đoạn nó dễ bị truy dẫn nhất. “Bất kỳ ai mong đợi sự riêng tư tại thời điểm đó đều có khả năng bị truy dẫn ra vào lúc này”, theo lời Miller.
Khi báo WIRED liên hệ với nhà phát triển chính của Monero và người phát ngôn của họ là Riccardo Spagni, ông đã trả lời các phát hiện trong nghiên cứu này bằng cách chỉ ra cơ chế địa chỉ ẩn giấu của Monero và Ring Confidential Transactions có giới hạn những giao dịch có thể truy dẫn. Ông cũng nói rằng các nhà phát triển Monero đã nhận thức được những vấn đề mà các nhà nghiên cứu đã chỉ ra trong nhiều năm và đã thực hiện những cải tiến định kỳ và liên tục cho các giao thức của Monero nhằm mục đích ngăn chặn các thiếu sót về tính riêng tư của nó. “Sự riêng tư không phải là điều bạn đạt được, nó là một cuộc chơi mèo-vờn-chuột liên tục đúng nghĩa”, theo Spagni.
Về vấn đề nhận diện đồng coin dựa theo thời điểm giao dịch, Spagni thừa nhận không có giải pháp đơn giản nào. “Có những bước mà chúng tôi có thể thực hiện để tiếp tục cải tiến việc lấy mẫu, nhưng thực tế đây không phải là môt vấn đề có thể giải quyết bằng cách cố đấm ăn xôi”, ông nói “Chúng tôi cần phải có một kế hoạch tốt hơn cho phép chúng tôi lấy được những mẫu [coin] lớn hơn”. Nhưng ông cũng lưu ý rằng càng có nhiều đồng coin giả trong mỗi giao dịch, Monero càng đòi hỏi nhiều phần hơn trong bộ nhớ máy tính của người dùng, và các giao dịch cũng sẽ lâu hơn. “Chúng tôi đang tìm cách để cân bằng”, ông nói.
Tất cả đều có nghĩa rằng Monero sẽ tiếp tục rò rỉ một lượng nhỏ thông tin có thể được sử dụng để chỉ ra những người dùng – ngay cả khi không thể cung cấp được “khẩu súng bốc khói” (smoking gun – bằng chứng xác thực) nào. Mặc dù vậy, các nhà nghiên cứu cảnh báo rằng những rò rỉ thông tin này, tuy nhỏ, nhưng có thể tích tụ dần theo thời gian, và có thể kết hợp với nhiều nguồn dữ liẹu khác để cung cấp thành bằng chứng cụ thể.
Có lẽ, điều kinh khủng hơn cho những người dùng Monero trước bản cải tiến bảo mật, những dấu vết không thể xóa có thể dẫn tới trước cửa nhà họ. Và điều dó cho thấy một vấn đề cơ bản của những đồng tiền kỹ thuật số cung cấp sự riêng tư: Bất kỳ lỗ hổng bảo mật nào được phát hiện trong tương lai đều có thể được áp dụng để hồi tố, cho phép các nhà quan sát có thể “đào mộ” thông tin trên blockchain của loại tiền đấy.
“Bạn có một bản ghi vĩnh viễn về mọi thứ đang diễn ra. Nếu, trên con đường hoạt động, một người nào đó tìm ra lỗ hổng có thể tiết lộ những gì xảy ra trong quá khứ, thì bạn vẫn có thể gặp nguy hiểm từ việc đó”, theo lời Christin từ Carmegie Mellon. “Chúng ta không bao giờ biết được tương lai sẽ ra sao”.
Sn_Nour
Theo Tapchibitcoin.vn
