Die ehrliche Version des Pitchs jedes Privatsphäre-Protokolls enthält eine Liste der Angriffe, gegen die es nicht verteidigt. Wir möchten lieber, dass Sie diese Liste jetzt lesen, als sie auf die harte Tour zu entdecken.
SolMask bricht die On-Chain-Verbindung zwischen einer Einzahlung und einer Auszahlung mithilfe von Zero-Knowledge-Beweisen über einem abgeschirmten Pool. Das ist eine reale, mathematisch fundierte Eigenschaft. Was folgt, ist das, was diese Eigenschaft nicht umfasst.
Timing-Korrelation, wenn Sie zu schnell abheben
Die Privatsphäre-Verzögerung ist ein Minimum, keine Empfehlung. Wenn Sie einen markanten Betrag einzahlen und dann denselben Betrag eine Stunde und einen Slot später abheben – genau das Minimum, das das Protokoll erlaubt –, wird ein Beobachter mit einer Stoppuhr und einem Chain-Explorer wahrscheinlich richtig erraten, dass die beiden verknüpft sind. Die Mathematik sagt, die Chain weiß es nicht; das Timing sagt, Sie wissen es.
Ein passiver Timing-Korrelationsangriff kostet im Betrieb nichts. Jeder mit Zugriff auf eine Solana-RPC kann ihn rückwirkend, Tage oder Monate später, ausführen, indem er die öffentliche Liste der Einzahlungen mit der öffentlichen Liste der Auszahlungen abgleicht. Die Verteidigung ist Ihre Wahl der Verzögerung und die Größe der Anonymitätsmenge im Fenster, das Sie abgewartet haben. Das Protokoll kann sie nicht für Sie wählen.
Wenn Ihr Einzahlungsbetrag ungewöhnlich ist (sagen wir 7,3219 SOL), wird das Timing-Problem noch schärfer, weil das Universum plausibel passender Auszahlungen viel enger ist als bei runden Beträgen. Verwenden Sie runde Zahlen, verwenden Sie die längste Verzögerung, die Sie ertragen können, und widerstehen Sie der Versuchung, in dem Moment abzuheben, in dem Ihr Unlock-Slot eintritt.
IP-Tracking auf RPC-Ebene
Wenn Ihr Browser mit einem Solana-RPC-Endpunkt spricht, um Ihre Einzahlungs- oder Auszahlungstransaktion zu bauen, ist Ihre IP-Adresse für den RPC-Betreiber sichtbar. Dasselbe gilt für jeden Indexer, den Ihre Wallet anpingt, den Relayer, durch den Ihre Auszahlung läuft, und jede Drittanbieter-Analytik, die Ihre Wallet leise nach Hause meldet.
Die Blockchain zeichnet keine IPs auf, aber die Infrastruktur, die Ihre Transaktion zur Chain trägt, tut es. Ein entschlossener Gegner, der RPC-Logs von der einzahlenden Wallet und von der frischen Wallet, die abgehoben hat, korrelieren kann, könnte sie verknüpfen, auch wenn die Chain selbst es nicht tut.
Die Verteidigungen hier sind nicht kryptografisch. Sie liegen auf der Netzwerkebene: Routen Sie Ihren Verkehr über Tor oder ein VPN ohne Logs, idealerweise mit unterschiedlichen Exit-Knoten für Ihre Einzahlungs- und Auszahlungssitzungen; vermeiden Sie es, beide Sitzungen direkt hintereinander von derselben IP auszuführen; ziehen Sie eine selbstgehostete RPC oder eine mit dokumentierter Log-Aufbewahrungsrichtlinie in Betracht. Wir liefern die Mathematik; Sie bringen die Netzwerkhygiene mit.
Verknüpfbarkeit der Empfängeradresse
Das wird in Wie Sie eine Empfängeradresse wählen ausführlich behandelt, aber es lohnt sich, es hier zu wiederholen. Wenn die Wallet, an die Sie abheben, irgendeine On-Chain-Historie hat, die sie mit Ihrer realen Identität verbindet – Ihre Börsen-Einzahlungsadresse, Ihre Hauptwallet, Ihre DAO-Wähleradresse –, bricht die Privatsphäre der SolMask-Auszahlung zusammen.
Die Chain weiß nicht, wer Sie sind. Aber sie weiß alles darüber, was jede Adresse je getan hat. Wenn eine Zieladresse aus irgendeinem Grund öffentlich „Ihnen" gehört, ist die Auszahlung an diese Adresse effektiv eine Auszahlung an Ihren Namen.
Eine frische, niemals genutzte Wallet, sauber finanziert, ohne Ihre Ursprungswallet zu berühren, ist die einzige Konfiguration, in der die Kryptografie Ihnen das einbringt, was sie verspricht.
Admin-Kompromittierung in v1
SolMask hat ein Admin-Konto. Der Admin kann das Protokoll im Notfall pausieren, unterstützte Assets hinzufügen oder entfernen, bestimmte Wallets auf Einzahlungsebene sperren (als Teil der Kontrollen für hochriskante Adressen) und angesammelte Gebühren einsammeln. Der Admin kann Ihre Notes nicht entschlüsseln, Ihre Auszahlung nicht verändern, keine bestimmte Einzahlung einfrieren und keine Mittel aus einem Pool extrahieren, ohne dieselbe beweisverifizierende Auszahlungsinstruktion zu durchlaufen, die jeder Nutzer durchläuft.
Aber „Pause" ist ein realer Hebel. Wenn der Admin-Schlüssel kompromittiert wird – oder der Inhaber gezwungen wird –, können Auszahlungen im gesamten Protokoll angehalten werden, bis der Admin wieder handelt. Ihre Mittel gehen in diesem Szenario nicht verloren; sie bleiben im Pool und sind wiederherstellbar, sobald die Pause aufgehoben wird. Sie sind jedoch bis dahin illiquide.
Die Admin-Autorität liegt bei einem Multisig, und die Governance wird mit der Zeit härter. Dimensionieren Sie Ihre Nutzung nach Ihrem Komfort mit der Pause-Befugnis des Admins.
Trusted-Setup-Kompromittierung vor der v2-Zeremonie
Groth16, das Beweissystem, das SolMask verwendet, benötigt ein einmaliges Trusted Setup, um die öffentlichen Parameter zu erzeugen, auf die sich jeder Beweis bezieht. Wenn jemand, der am Setup teilgenommen hat, die geheime Zufälligkeit („toxisches Material") behalten hat, die während der Zeremonie verwendet wurde, könnte diese Person im Prinzip Beweise fälschen und den Pool leeren.
Die Solidität der Zeremonie beruht darauf, dass Beitragende ihre Entropie verwerfen. Ein öffentliches Bitcoin-Block-Beacon dient als Zufalls-Anker und macht die Zeremonie nicht wiederholbar.
Eine öffentliche mehrparteiige Zeremonie – viele unabhängige Teilnehmer – ist geplant, während das Protokoll reift. Eine mehrparteiige Zeremonie verteilt das Vertrauen auf viele unabhängige Beitragende, sodass keine einzelne Partei das Setup kompromittieren kann. Siehe Trusted setup für das Verifikationsverfahren und die Roadmap.
Seitenkanäle, an die wir nicht gedacht haben
Privatsphäresysteme versagen auf kreative Weise. Wir haben getan, was wir konnten, um auf die üblichen Stolperfallen zu testen – Betragsfingerabdrücke, Timing-Lecks, Degradation der Anonymitätsmenge, Replay-Angriffe –, aber die Geschichte dieser Ecke der Kryptografie ist überwiegend die Geschichte unerwarteter Lecks. Wir laden jeden ein, sich unsere Schaltungen, unseren Verifier und unseren Relayer-Code anzuschauen und uns zu sagen, was wir übersehen haben. Wenn Sie etwas finden, melden Sie es bitte vor der Veröffentlichung.
Die Kryptografie ist stark. Was Sie beunruhigen sollte, ist das System um die Kryptografie herum. Nutzen Sie SolMask für die Bedrohungen, für die es gebaut wurde, und nehmen Sie nicht an, dass es mehr abdeckt, als diese Seite einräumt.