211service.com
Bitcoin darījumi nav tik anonīmi, kā visi cerēja
Arvien vairāk tiešsaistes tirgotāju tagad piedāvā iespēju norēķināties, izmantojot kriptovalūtu Bitcoin. Viens no šīs tehnoloģijas lielajiem solījumiem ir anonimitāte: darījumi tiek reģistrēti un publiskoti, taču tie ir saistīti tikai ar elektronisko adresi. Tātad, lai ko jūs iegādātos ar saviem bitkoiniem, pirkumu nevar izsekot tieši jums.
Dažiem tas ir ērti, taču anonimitāte nekādā gadījumā nav ideāla. Drošības eksperti to sauc par pseidonīmu privātumu, piemēram, grāmatu rakstīšanu zem nosaukuma. Jūs varat saglabāt savu privātumu, kamēr pseidonīms nav saistīts ar jums. Taču, tiklīdz kāds izveido saiti uz kādu no jūsu anonīmajām grāmatām, viltība tiek atklāta. Visa jūsu rakstīšanas vēsture ar jūsu pseidonīmu kļūst publiska. Tāpat, tiklīdz jūsu personas dati ir saistīti ar jūsu Bitcoin adresi, tiek atklāta arī jūsu pirkumu vēsture.
Tas rada svarīgu jautājumu cilvēkiem, kuri vēlas izmantot Bitcoin, lai veiktu anonīmus pirkumus: cik viegli ir tos saistīt ar viņu Bitcoin darījumiem?
Šodien mēs saņemam atbildi, pateicoties Stīvena Goldfedera darbam Prinstonas universitātē un vairākiem draugiem. Šie puiši saka, ka informācijas noplūde parasto pirkumu laikā ļauj vienkārši saistīt personas ar viņu veiktajiem Bitcoin darījumiem, pat ja pircēji izmanto papildu privātuma aizsardzības līdzekļus, piemēram, CoinJoin.
Galvenie vainīgie ir tīmekļa izsekotāji un sīkfaili — mazi koda fragmenti, kas apzināti iegulti vietnēs, kas nosūta informāciju trešajām pusēm par to, kā cilvēki izmanto vietni. Parastie tīmekļa izsekotāji nosūta informāciju uz Google, Facebook un citiem, lai izsekotu lapas lietojumam, pirkumu summām, pārlūkošanas paradumiem un tā tālāk. Daži izsekotāji pat sūta personu identificējošu informāciju, piemēram, jūsu vārdu, adresi un e-pastu.
Tādā veidā informācija par darījumu noplūst tīmeklī, kur valdības, tiesībaizsardzības iestādes un ļaunprātīgi lietotāji to var viegli savākt un analizēt.
Jautājums, ko Goldfeder un co pēta, ir tas, cik viegli ir izmantot šo informāciju, lai savienotu cilvēkus ar viņu Bitcoin darījumiem. Šim procesam noklausītājam ir jāzina personas personu identificējoša informācija, piemēram, vārds un e-pasts, un pēc tam jāsaista tā ar konkrētu Bitcoin adresi.
Komanda sāka, uzskaitot lielākos tirgotājus, kas atļauj veikt Bitcoin darījumus. Viņi nāca klajā ar 130 no tiem, tostarp Microsoft, NewEgg un Overstock.
Pēc tam viņi pētīja, kā tīmekļa izsekotāji pirkuma procesa laikā nopludina informāciju no katras no šīm vietnēm. Mēs atklājam, ka vismaz 53/130 tirgotāju maksājumu informāciju nopludina vismaz 40 trešajām pusēm, visbiežāk no iepirkumu groza lapām, piemēram, Goldfeder un co.
Lielākā daļa šīs informācijas noplūdes ir tīša reklāmas un analītikas nolūkos. Bet pētnieki arī saka, ka tiek nosūtīta arī papildu informācija. Mēs atklājam, ka daudzās tirgotāju vietnēs ir daudz nopietnāka (un, iespējams, netīša) informācijas noplūde, kas desmitiem izsekotāju tieši atklāj precīzu darījumu blokķēdē.
Tās ir sliktas ziņas cilvēkiem, kuri vēlas saglabāt savus Bitcoin pirkumus anonīmus. Bet pat tad, ja precīzs darījums tiek slēpts, joprojām ir iespējams izveidot saiti, kad noplūde ietver pirkuma summu un laiku.
Tādā gadījumā noklausītājam pirkuma summa ir jāpārvērš Bitcoinos, izmantojot tā brīža valūtas maiņas kursu, un pēc tam blokķēdē jāmeklē darījums par šo summu tajā brīdī. Tas atklāj lietotāja Bitcoin adresi. Jebkuri citi pirkumi, kas veikti, izmantojot šo adresi, ir maznozīmīgi, lai izsekotu.
Ir daži papildu faktori, kas padara šo procesu sarežģītāku. Tīmekļa izsekotājs var atklāt produkta izmaksas, bet neietver piegādi, tāpēc kopējais Bitcoin pirkuma apjoms var nebūt skaidrs.
Var būt arī atšķirība starp laiku, kad lietotājs skatīja lapu, no kuras noplūda informācija (piemēram, norēķinu grozs), un laiku, kad pirkums faktiski tika veikts. Bitcoin pirkumiem ir laika zīmogs, tāpēc kļūst grūtāk tos izsekot, ja laiks nav precīzi zināms.
Pirkuma summa parasti tiek norādīta vietējā valūtā, piemēram, dolāros vai mārciņās, un pēc tam pirkuma brīdī tiek konvertēta Bitcoin. Tā kā Bitcoin maiņas kursi ir ļoti mainīgi, var būt grūti noteikt precīzu Bitcoin vērtību, ja iegādes laiks nav precīzi zināms.
Visi šie faktori apgrūtina personu sasaisti ar viņu Bitcoin darījumiem, taču tas nekādā gadījumā nav neiespējami. Mēs atklājam, ka unikāla saikne ir iespējama vairāk nekā 60% gadījumu šo parametru reālām vērtībām, saka pētnieki.
Ir veidi, kā vēl vairāk slēpt Bitcoin darījumus. Viens no populārākajiem ir CoinJoin, pakalpojums, kas savieno lietotājus, kuri vēlas veikt līdzīgus maksājumus, un pēc tam ļauj viņiem maksāt kopā. Tas sajauc viņu bitkoīnus, padarot tos grūtāk identificēt.
Taču Goldfeders un kolēģi norāda, ka, ja persona izmanto CoinJoin, lai šādā veidā veiktu vairākus pirkumus, tos ir vienkārši saistīt atpakaļ: ja upuris izmanto 3 CoinJoin kārtas un pretinieks ievēro divus upura maksājumus, viņš var tos saistīt. atpakaļ savā makā (neskatoties uz sajaukšanu) ar 98% precizitāti.
Ir vairāki veidi, kā pircēji var sevi aizsargāt, izmantojot tādus rīkus kā Ghostery, AdBlock Plus vai uBlock Origin. Tie ir noderīgi, taču dažkārt var palaist garām izsekotājus un citreiz pilnībā novērst pirkumus. Šāda aizsardzība var būt diezgan efektīva, taču tā ir tālu no ideāla, saka Goldfeder un co.
Tas viss būs nomācoša ziņa cilvēkiem, kuri cer saglabāt savu privātumu tiešsaistē.
Taču tā būs arī mūzika tiesībsargājošo iestāžu ausīm, cerot izsekot nelietīgām darbībām. Tāpat kā praktiski visi deanonimizācijas uzbrukumi kriptovalūtām, mūsu metodes varētu izmantot, lai izveidotu kriminālistikas rīkus tiesībaizsardzības vajadzībām, atzīst Goldfeder un citi.
Un tāpat kā visām deanonimizācijas metodēm, tam būs priekšrocības un trūkumi.
Atsauce: arxiv.org/abs/1708.04748 : Kad sīkfails atbilst blokķēdei: Privātuma riski saistībā ar tīmekļa maksājumiem, izmantojot kriptovalūtas