Честная версия любой презентации протокола приватности включает список атак, от которых он не защищает. Мы предпочитаем, чтобы Вы прочли этот список сейчас, а не обнаружили его на собственном горьком опыте.
SolMask разрывает ончейн-связь между депозитом и выводом, используя ZK-доказательства поверх защищённого пула. Это реальное, математически обоснованное свойство. Далее — что это свойство не включает.
Корреляция по времени, если Вы выводите слишком быстро
Задержка приватности — это минимум, а не рекомендация. Если Вы вносите примечательную сумму, а затем выводите ту же сумму через час и один слот — точный минимум, который позволяет протокол, — наблюдатель с секундомером и обозревателем блокчейна, вероятно, верно догадается, что эти два события связаны. Математика говорит, что блокчейн не знает; тайминг говорит, что Вы знаете.
Пассивная атака корреляции по времени ничего не стоит для запуска. Любой, у кого есть доступ к RPC Solana, может провести её задним числом, через дни или месяцы, сопоставив публичный список депозитов и публичный список выводов. Защита — Ваш выбор задержки и размер набора анонимности в окне Вашего ожидания. Протокол не может выбрать их за Вас.
Если сумма Вашего депозита необычна (скажем, 7,3219 SOL), проблема тайминга становится ещё острее, потому что множество правдоподобно совпадающих выводов гораздо уже, чем для круглых сумм. Используйте круглые числа, используйте максимально длинную задержку, которую можете вытерпеть, и избегайте искушения вывести в момент наступления слота разблокировки.
Отслеживание IP на уровне RPC
Когда Ваш браузер общается с RPC-эндпоинтом Solana, чтобы собрать Вашу транзакцию депозита или вывода, Ваш IP-адрес виден оператору RPC. То же относится к любому индексатору, который пингует Ваш кошелёк, к релейеру, через который маршрутизируется Ваш вывод, и к любой сторонней аналитике, к которой Ваш кошелёк потихоньку обращается.
Блокчейн не записывает IP, но инфраструктура, доставляющая Вашу транзакцию в блокчейн, записывает. Решительный противник, способный сопоставить логи RPC с кошелька, делавшего депозит, и с нового кошелька, делавшего вывод, может связать их, хотя сам блокчейн этого не делает.
Защита здесь не криптографическая. Она живёт на сетевом уровне: маршрутизируйте трафик через Tor или не логирующий VPN, в идеале используя разные выходные узлы для сессий депозита и вывода; избегайте проведения обеих сессий подряд с одного IP; рассмотрите использование собственного RPC или провайдера с задокументированной политикой хранения логов. Мы предоставляем математику; Вы приносите сетевую гигиену.
Связываемость адреса получателя
Это подробно разбирается в как выбрать адрес получателя, но заслуживает повторения здесь. Если кошелёк, на который Вы выводите, имеет хоть какую-то ончейн-историю, связывающую его с Вашей реальной личностью — Ваш биржевой депозитный адрес, Ваш основной кошелёк, Ваш адрес для голосования в DAO, — приватность вывода SolMask рушится.
Блокчейн не знает, кто Вы. Но он знает всё о том, что когда-либо делал каждый адрес. Если целевой адрес публично «Ваш» по любой причине, вывод на этот адрес — фактически вывод на Ваше имя.
Новый, никогда не использованный кошелёк, чисто пополненный без касания Вашего исходного кошелька, — единственная конфигурация, в которой криптография покупает Вам то, на что претендует.
Компрометация администратора в v1
В SolMask есть административный аккаунт. Администратор может приостановить протокол в экстренной ситуации, добавить или удалить поддерживаемые активы, заблокировать конкретные кошельки на уровне депозита (как часть контроля адресов высокого риска) и сметать накопленные комиссии. Администратор не может расшифровать Ваши ноты, изменить Ваш вывод, заморозить конкретный депозит или извлечь средства из пула без прохождения той же инструкции вывода с проверкой доказательства, которую использует каждый пользователь.
Но «пауза» — реальный рычаг. Если ключ администратора скомпрометирован — или его держателя принудили, — выводы могут быть остановлены по всему протоколу до тех пор, пока администратор не возобновит работу. Ваши средства не теряются в этом сценарии; они остаются в пуле, восстанавливаемые после снятия паузы. Однако они нелеквидны до этого момента.
Административные полномочия принадлежат мультиподписи, а управление со временем ужесточается. Масштабируйте использование под Ваш комфорт с правом администратора на паузу.
Компрометация доверенной настройки до церемонии v2
Groth16, система доказательств, которую использует SolMask, требует одноразовой доверенной настройки для генерации публичных параметров, на которые ссылается каждое доказательство. Если кто-либо из участников настройки сохранил секретную случайность («токсичные отходы»), использованную во время церемонии, этот человек в принципе мог бы подделывать доказательства и опустошить пул.
Надёжность церемонии зависит от того, что участники уничтожают свою энтропию. Публичный маяк блока Bitcoin служит якорем случайности и делает церемонию невоспроизводимой.
Публичная многосторонняя церемония — множество независимых участников — запланирована по мере развития протокола. Многосторонняя церемония распределяет доверие между множеством независимых участников, так что ни одна сторона в одиночку не может скомпрометировать настройку. См. Trusted setup для процедуры проверки и плана развития.
Боковые каналы, о которых мы не подумали
Системы приватности отказывают творческими способами. Мы сделали что могли, чтобы протестировать стандартные подводные камни — отпечатки сумм, утечки тайминга, деградацию набора анонимности, атаки повторного воспроизведения, — но история этого уголка криптографии — это в основном история неожиданных утечек. Мы приглашаем кого угодно посмотреть на наши схемы, наш верификатор и код релейера и сказать нам, что мы упустили. Если найдёте что-то, пожалуйста, сообщите до публикации.
Криптография сильна. Беспокоиться стоит о системе вокруг криптографии. Используйте SolMask для угроз, для которых он создан, и не предполагайте, что он покрывает больше, чем признано на этой странице.