TORN:Tornado隐私性观察报告：真的能做到100%不被发现么？_Rainicorn

前言

Tornado.Cash作为以太坊网络上最火的去中心化隐私解决方案，打破了存款人和取款人地址之间的链上链接，做到了交易机密性，保护了用户隐私。越来越多有隐私需求的用户开始使用Tornado.Cash，那Tornado.Cash真正的隐私性到底如何，能做到百分百的安全吗？知道创宇区块链安全实验室将对Tornado.Cash进行多维度分析，探索Tornado.Cash真正的隐私可靠性。Tornado.Cash工作原理

在分析Tornado.Cash之前，我们必须知道Tornado.Cash的工作原理。Tornado.Cash使用智能合约，接收来自一个地址的代币存款，并允许他们从不同的地址提款，并且通过零知识证明阻断了存款地址和提款地址之间的联系，让隐私性得到了保护。其中，匿名池的大小直接决定了Tornado.Cash隐私可靠性的高低，想想如果只有一笔存款进入匿名池，那不管从哪个地址提款，肯定和存款地址是同一个人。感兴趣的读者可以阅读官方文档：how-does-tornado.cash-work。前期准备

Tornado.Cash目前支持ETH及ERC20代币存、提款交易，我们选取了其中交易量最大的ETH进行隐私性分析，提取了2021-11-04日之前，所有Tornado.Cash合约的交易记录，数据如下表所示：

可以看到，在启用代理合约后，大量交易都是通过代理进行，通过匿名池交易量占比图可知，1ETH匿名池和10ETH匿名池是使用最多的匿名池。

a16z在美CFTC诉Ooki DAO案中称：监管应用程序而非协议是双赢选择:11月2日消息，a16z总法律顾问Miles Jennings在推特上表示：“a16z已在美国商品期货交易委员会（CFTC）诉Ooki DAO案中提交了法庭之友简报，并主要关注‘CFTC应该监管应用程序，而不是协议’这一观点的原因，根据美国联邦法案，为非法人团体提供有效服务要求CFTC声称团体的成员具有‘共同的合法目的’，而CFTC并没有声称Ooki DAO有合法的目的，尽管他们确实有一个合法目的，即管理Ooki Protocol。最终，这种方法将使CFTC既能追究不良行为者的责任，又能保护Web3和它的良好行为者。换句话说，这是双赢的。”[2022/11/2 12:09:28]

交易分析

交易分类

对所有交易进行存款、提款归类后，统计了每个地址存/提款总额、次数、最大存/提款金额、最小存/提款金额统计。得到了22714个存款地址，31737个提款地址，其中存/提款总额Top10数据如下：存钱总额Top10

提款地址总额Top10

可以看到，存款地址和提款地址并不是一一对应，也无法知道存款地址和取款地址之间的关系。挖矿地址过滤

Tornado.Cash推出了匿名挖矿激励措施，用于增加匿名池内交易的数量，提高Tornado.Cash整体的隐私可靠性。所以我们第一步便是过滤掉匿名池内的挖矿交易，可以大大降低匿名池内交易数量。通过分析观察，发现挖矿地址有如下特征：挖矿地址会到Tornado.Cash矿池合约地址0x746aebc06d2ae31b71ac51429a19d54e797878e9提取TRON代币；挖矿地址没有隐私保护需求，提款的时候一般直接使用自己钱包地址支付矿工费；挖矿地址一般是常用且交易比较多的老地址；采用该方法获取到1051个满足条件的矿池地址。排除挖矿地址后，存、提款地址数量变化如下：

Gearbox社区发起进行550万美元DAO战略融资提案:6月23日消息，DeFi可组合型杠杆协议Gearbox社区发起以1.5亿美元完全稀释估值（FDV）进行550万美元DAO战略融资提案，目前计划进行投资的机构包括Placeholder、A.Capital Ventures、Galaxy Digital、Zee Prime Capital、Polymorphic Capital、LedgerPrime、Global Coin Research，承诺的投资金额已达565万美元，本轮融资仍将向潜在投资者开放至周末。本轮融资将分配GEAR代币总量的3.766%，并将在锁定一年后再在一年的时间内线性释放。[2022/6/23 1:26:36]

排除挖矿地址后存款总额Top10

排除挖矿地址后取款地址总额Top10

相同地址过滤

存款地址和提款地址相同的交易，没有交易隐私性，所有也可以过滤掉，过滤后数据变化如下：

存款地址总额Top10

PandaDAO针对CultDAO提案事件提出退款方案，将提供7天退款窗口期:4月6日消息，DAO工具研发组织PandaDAO宣布提出退款提案，该提案提议为“以Fomo心态投资PandaDAO”的投资者提供7天退款窗口期。

该提案起因为：PandaDAO在去中心化投资组织CultDAO上发布提案，希望得到后者投资。该提案提出后，PandaDAO在Juicebox上的募资额迅速增加，触发500ETH的募资软顶，并开启24小时募资结束倒计时。此时Cult提案还需要5天才完成，无法及时参与。Panda虽提出提案，表示将预留15个ETH的Token供Cult投资，但双方社区仍由此产生分歧。

截至发稿时，PandaDAO在Juicebox上已累计融资1,929ETH。[2022/4/6 14:07:01]

提款地址总额Top10

过滤中继地址

为了最大化提款地址的隐私性安全性，大部分用户提款时，会选择使用中继器来支付矿工手续费，所以一次提款操作，会有两笔交易。其中一笔小额是支付给中继器的手续费，另外一笔才是真正的提款交易，如下图

我们使用过滤条件：max>0.8|(max<=0.1&max>=0.08)对中继器交易进行过滤，过滤后数据变化如下：

Plato Farm DAO投票通过OEC跨链提案 新版本将支持OEC链:据官方消息，元宇宙模拟经营游戏Plato Farm在2月16日投票通过了跨链OEC网络的提案，根据提案内容，即将上线的Plato Farm新版本游戏将支持OEC链。PlatoFarm本次DAO治理提案是试行版，投票代币采用为MARK，本次投票超过500万枚MARK参与，赞成率达到99.08%。PlatoFarm的治理代币正式上线后DAO投票代币将会更换为PLATO。

Plato Farm新版游戏将在2月18日上线，新版本将会呈现新的UI及新的NPC形象，21号Platofarm游戏和官网支持OEC链。[2022/2/16 9:56:14]

过滤中继地址后的提款地址次数Top10：

同一用户关联地址关系

接下来分析torando交易池里面的地址是否存在关联关系，在分析之前我们首先排除了矿池地址和中继器地址之后再进行分析。分析办法采用直接交易对手分析方式，假设A是充币地址，B是提币地址，A和B之间没有直接关系，但C地址是A的直接交易对手，C地址同时也是B的直接交易对手，那我们可以判定A和B是有关联的，直接交易对手的数据直接从链探查询获取。按地址类型区分可以把关系分为：充币地址与充币地址，提币地址与提币地址以及充币地址与提币地址三类关系，这三类关联关系都适用于不同的场景。1、充币地址与充币地址之间的关系由于tornado只能存0.1ETH、1ETH、10ETH、100ETH，所以在实际转账过程中，可能会出现资金分配，矿工费分配，或者存入之后地址剩余ETH汇集等情况。2、提币地址与提币地址之间的关系在需要提款时，提款地址之间可能也会存在汇集的可能，比如汇集到交易所。3、充币地址和提币地址之间的关系充币地址和提币地址之间是否任然存在关联，这是关键所在，如果是一个非常熟悉隐私交易的黑客，他可能会想尽一切办法来切断关键地址之间的联系，但实际操作过程中因为都是人在操作，难免会有疏忽或者遗漏，可能会留下蛛丝马迹。基于以上三个场景和关联类型的猜想，我们先对100ETH的交易池进行分析。根据直接交易对手数据直接生成相应的关联图第一种情况充币地址与充币地址存在关联关系，以0x0022d8bda338fd7e5c7248f32090252fd6dc11ef为例：

动态 | MakerDAO宣布对抵押DAI的令牌顺序进行投票:据btcmanager.com 6月30日消息，MakerDAO网络的博客文章提出将在7月的最后一周进行投票，以决定即将加入的六个代币的顺序。以下六种ERC-20令牌中可以被用来抵押DAI：Golem（GNT），Augur（REP），Basic Attention Token（BAT），0x（ZRX），OmiseGo（OMG）和DigixDAO（DGD）。

每个抵押品类型将在MKR持有人加入网络之前进行审核和投票。随着网络资产数量的增加，希望增加参与治理流程的独立风险团队的深度，以确保用户的安全和效率不受影响。据悉，Maker网络的主要风险是当CDP清算时，熊市期间可能出现的抵押和承保问题。[2019/6/30]

该地址与多个充币地址间出现过交易对手重叠的情况，链上分析这些地址的关系，可以判断出该地址在对tornado先后充值100ETH和10ETH之后剩余的ETH汇集到了0x6bafcd65f9ad3a99509d8d7d987acfa393db7c39地址中，并由该地址将剩余的0.1ETH也充值到tornado交易池中。第二种情况提币地址与提币地址之间存在关联关系，以0x9c67d8383f1eeb6e2ff2b0d296aa6a51ea2858a1为例：

该地址与多个提币地址之间产生关联关系，这些地址都从tornado100eth的交易池中发起过提币行为，每个地址都提取了1000ETH

并在提币之后都汇集到了0x120cffb605c8127442c2f8515eb25749cce52947地址中

继续分析后续路径可以看到0x120cffb605c8127442c2f8515eb25749cce52947又将ETH进行了多次周转最终到了0x32e9dc9968fab4c4528165cd37b613dd5d229650等地址中，并最终经过Swap将ETH换成其他代币转到了币安等交易所中。

上面两种情况，隐私交易都只在充币端或者提币端之后产生了关联，虽然能够追溯到一些信息，但充币和提币之间的联系还是断开的，那么我们探索第三种情况。正所谓人无完人，再缜密的计划也可能留下线索，如果tornado的使用者在使用时没有完全隔离地址，则通过交易对手的关系是有可能关联上的，以0x167ae15b74cd20482e80f7e425b4ae6d2cc631c4为例。

在上面关联关系中，五个地址都通过直接交易对手0x4278314c1a50da6014e580cbff34fc383b335049进行关联，从而在一定程度上可以将这五个地址的出入金关系建立起来，如果进一步挖掘金额和后续资金流向关系，则可以尝试进一步溯源。在整个试验中，100ETH池子有4132个充币地址，有703个提币地址，清洗出来有直接交易对手重叠的关联地址有2859个，大约占整个地址59%左右，说明大部分人在使用tornado隐私协议的时候，因为使用上的疏忽，并没有做到100%的隐私。挖出关联地址也意味着对tornado的溯源成为一种可能，在获取到大量的关联地址之后可以根据交易所地址的kyc或者ens推特等渠道进一步挖掘真实信息。基于案例验证结果数据

我们从链探的黑客事件库中挖掘历史上发生过的一些安全事件，并筛选出事件中使用了tornado的相关地址按照上述理论进行分析。对KuCoin被盗事件进行分析

直接交易对手关联地址分析

黑客通过8个地址将ETH存入到Tornado100ETH的交易池中，这8个充币地址通过直接交易对手0x23156749a0acefc8f07b9954d181d50084c1519e和0x82e6b31b0fe94925b9cd1473d05894c86f277398进行了关联。而从上面的关联图可以看到由于黑客疏忽，充币地址0x34a17418cec67b82d08cf77a987941f99dc87c6b通过直接交易对手地址0x82e6b31b0fe94925b9cd1473d05894c86f277398和提币地址0xc609b3940be560c8c00e593bea47fb6ecef6b2c6进行了关联。0xc609b3940be560c8c00e593bea47fb6ecef6b2c6只提币2900ETH，可以看到黑客因为0x82e6b31b0fe94925b9cd1473d05894c86f277398中没有足够的矿工费，先后从0xc609b3940be560c8c00e593bea47fb6ecef6b2c6和0x23156749a0acefc8f07b9954d181d50084c1519e中转出过矿工费到0xc609b3940be560c8c00e593bea47fb6ecef6b2c6，而正好充币地址的矿工费也从这两个地址转出过，从而让提币地址和充币地址建立了关联。

继续顺藤摸瓜可以发现，提币出来的ETH又转到了其他地址，在整个链路上继续深入，可以发现ETH被分散发到了很多地址，并有大量的ETH转入了币安的充币地址0x28c6c06298d514db089934071355e5743bf21d60至此，整个链路追踪在币安断开，如果能获取到币安kyc信息便可具体定位人员。

交易所Liquid被盗

发现四个充币地址向100ETH的池子充过币，并且通过直接交易对手0x5578840aae68682a9779623fa9e8714802b59946关联。

FinNexusDeFi项目被盗

发现两个充币地址关联，0x5271b379f3e1954e20791142d734596a3de28efd和0x5ebc7d1ff1687a75f76c3edfabcde89d1c09cd5f都向100eth的池充过ETH，并通过直接对手0xfe381bc045b85e0acd93e85ecfe65ecb0fec2a44关联。

参考文献：《对以太坊用户进行分析和去匿名化》

标签：ETHTORORNTORNmethylethylketoneMOONSTORMRainicorntorn币暴跌崩盘了

BNB价格热门资讯