3 marca 2020 r., tuż przed południem w Waszyngtonie, Stephen Ryan wysłał pracownikowi Departamentu Skarbu USA list z podziękowaniami zawierający ciekawy szczegół.
Dyrektor operacyjny i współzałożyciel firmy CipherTrace zajmującej się wykrywaniem kryptowalut, Ryan był jednym z 16 dyrektorów, którzy poprzedniego dnia wzięli udział w szczycie branżowym wraz z ówczesnym sekretarzem skarbu Stevenem Mnuchinem. Wraz z podziękowaniami za spotkanie Ryan załączył serię slajdów przedstawiających strategię CipherTrace mającą na celu demistyfikację portfeli kryptowalutowych. Wśród tych metod: „miodarki”.
Ten artykuł jest częścią serii Tygodnia Prywatności CoinDesk.
Notatka Ryana była częścią 250-stronicowego zbioru e-maili od Mnuchina, otrzymanych przez CoinDesk na wniosek ustawy o wolności informacji (FOIA). Części twojego slajdu wyglądają bardzo podobnie do publicznych materiałów promocyjnych CipherTrace. Od co najmniej 2018 roku odnosiły się one również do „honeypotów” lub rymowanych „garnków kryptowalut”.
Co CipherTrace miał na myśli, mówiąc o tych terminach? Społeczność zajmująca się cyberbezpieczeństwem używa wyrażenia „garnek miodu” do opisania celu-wabika, który zbiera informacje o niczego niepodejrzewających atakujących. Innymi słowy: pułapka.
CipherTrace, który gigant płatniczy Mastercard kupił jesienią ubiegłego roku za nieujawnioną cenę, jest częścią chałupnictwa, który pilnuje skrzyżowania kryptowalut i przestępczości o wartości 14 miliardów euro rocznie. Przeglądając miliony codziennych transakcji rejestrowanych w łańcuchach bloków lub księgach publicznych, firmy takie jak Chainalytic, TRM Labs i Elliptic szukają sygnałów ostrzegawczych i nielegalnego ruchu, sygnalizując na bieżąco podejrzane adresy.
Firmy postrzegają swoje usługi jako niezbędne do normalizacji kryptowalut i wyeliminowania przestępczości. Krytycy potępiają te firmy śledzące jako sieciowych handlarzy narkotyków, mimo że zajmują się oni głównie informacjami publicznymi.
CipherTrace nie byłaby pierwszą firmą w tej niszy, która zastawiła pułapki w nadziei na przechwycenie niewykrywalnych informacji w łańcuchu. Chainalytic, wiodący dostawca usług śledzenia kryptowalut, od lat posiada witrynę do eksploracji portfeli, która przechwytuje adresy IP odwiedzających i łączy je z wyszukiwanymi przez nich adresami blockchain. Firma przyznała się do tej praktyki dopiero w październiku ubiegłego roku, miesiąc po opublikowaniu przez CoinDesk artykułu zwracającego na nią uwagę.
Ponad pół tuzina weteranów branży kryptowalut powiedziało CoinDesk, że nie mają pojęcia, co CipherTrace rozumie przez „miodowe garnki”. W oświadczeniu przekazanym CoinDesk firma z Los Gatos w Kalifornii podała podstawową definicję bezpieczeństwa komputerowego, nie wyjaśniając, co to oznacza w kontekście analizy blockchain.
„Słoik kryptograficzny” lub „słoik miodu” to termin bezpieczeństwa, który odnosi się do mechanizmu, który tworzy wirtualną pułapkę w celu zwabienia potencjalnych napastników” – powiedział CipherTrace, dodając, że dokumenty wspominające o takich taktykach są stare. . „CipherTrace nie używa już„ słoików z pieniędzmi kryptograficznymi ”” – powiedział (chociaż strona internetowa firmy reklamuje zarówno pieniądze, jak i honeypoty od czwartku).
CoinDesk zapytał CipherTrace: „Czy Twoja firma zbiera dane adresowe IP w celu powiązania ich z adresami portfela?”
Przedstawiciel CipherTrace odpowiedział: „Jako firma zorientowana na prywatność, CipherTrace nie przypisuje danych IP do osób fizycznych”.
Nie odpowiedziałem na pytanie CoinDesk: Czy CipherTrace przypisuje adresy IP do portfeli. CoinDesk po raz drugi zapytał, czy CipherTrace mapuje adresy IP na adresy portfeli. CipherTrace nie odpowiedział.
Taka nieufność „jest częstym problemem w przestrzeni prywatności, kiedy mówimy o identyfikatorach sieciowych, takich jak adresy IP” — powiedział Sean O'Brien, badacz cyberbezpieczeństwa. „Firmy próbują zdystansować się od tego, co tradycyjnie nazywają danymi osobowymi, mówiąc, że adresy IP to coś innego. W rzeczywistości są niezwykle przydatne do identyfikacji domów, firm i osób.
Na przykład „jeśli chcesz zbadać transakcję bitcoin powiązaną z podejrzeniem cyberprzestępstwa, adresy IP są dokładnie tym rodzajem informacji, których szukasz” – powiedział O'Brien. „Wczesne sprawy dotyczące Internetu i organów ścigania opierały się na adresach IP jako dowodach, nie bez powodu. I są one tak samo przydatne do nękania i prześladowania ludzi, jak i do ich ścigania.
podążając za pieniędzmi
Firmy śledzące od dawna stanowią główną, choć niedocenianą, siłę w marszu instytucji kryptograficznych. Walcząc ze zmęczonym przekonaniem, że bitcoin jest przede wszystkim przestępczym narzędziem finansowym, analizują dane, aby określić, która część jest naprawdę rzadka.
Chainalysis niedawno oszacował, że 0,15% transakcji kryptograficznych w 2021 r. było nielegalnych, co jest zdecydowanie najniższym odsetkiem w historii. („Nielegalne” portfele zgromadziły w zeszłym roku rekordową kwotę 14 miliardów euro, co jest pozornie paradoksalną statystyką, którą Chainalysis przypisuje błyskawicznemu wzrostowi kryptowaluty).
CipherTrace stwierdza, że jego misją jest „rozwój gospodarki kryptowalutowej poprzez obdarzenie jej zaufaniem rządów, zabezpieczenie jej do masowej adopcji oraz ochrona instytucji finansowych przed ryzykiem prania pieniędzy kryptograficznych”.
Opis ten, zaczerpnięty z dokumentów udostępnionych Ministerstwu Skarbu, prawdopodobnie byłby udostępniany przez wszystkie konkurencyjne firmy. Znajduje się to w centrum zainteresowania krytyków. Maksymaliści prywatności uważają, że radykalnie przejrzysty, ale pseudonimowy charakter Bitcoina powinien być niezależny od państwa, a pracę tych firm postrzegają jako zdradę tego ideału.
„To swego rodzaju inwazja na prywatność użytkowników, w taki sam sposób, w jaki można narzekać na scentralizowane firmy zajmujące się analizą sieci, które zbierają adresy IP i umieszczają pliki cookie na komputerach ludzi oraz śledzą je „od witryny do witryny” – powiedział John Light, wieloletni kryptograf , pedagog, pisarz, podcaster i organizator wydarzeń.
Analityka on-chain jest w swej istocie wyścigiem o atrybucję.
W kręgach zajmujących się cyberbezpieczeństwem atrybucja polega na identyfikacji sprawców włamania. W kontekście kryptografii odnosi się to w szczególności do praktyki algorytmów blockchain polegających na łączeniu pseudonimowych adresów portfeli z możliwymi do zidentyfikowania podmiotami. Podmioty te mogą być licencjonowanymi depozytariuszami lub giełdami kryptowalut; osoby atakujące oprogramowaniem ransomware; rynki ciemnej sieci; lub osoby lub podmioty objęte sankcjami.
Na przykład: każdy, kto ma połączenie z Internetem, może zobaczyć, że na przykład portfel abc123 przesłał 0.5 BTC do zxy987; ta informacja sama w sobie jest bezużyteczna. Jednak baza danych śledzenia może udokumentować, że amerykańskie Biuro Kontroli Aktywów Zagranicznych zidentyfikowało zxy987 jako należące do afrykańskiego watażki objętego sankcjami. Może też wskazywać, że bitcoin abc123 został skradziony z giełdy.
Jest to cenna informacja dla giełd, które chcą ograniczyć nielegalną działalność, dla użytkowników, którzy chcą utrzymać swoje monety w czystości, dla rządów, które chcą śledzić pieniądze. Łączy się to poprzez rygorystyczne przypisanie.
Ponieważ stawką są potencjalnie wielomilionowe kontrakty na ankiety, firmy te muszą pilnie pozyskać nowe dane dotyczące atrybucji. Na przykład CipherTrace podpisał od 20 r. 3.5 umów z agencjami federalnymi o wartości do 2018 mln euro, przy czym według rejestrów publicznych ostatnia z nich dotyczyła opinii biegłych.
W branży, która nagradza twórców dopracowanych i szczegółowych zestawów danych dotyczących atrybucji, oraz w dziedzinie, w której przestępcy są głodni informacji wywiadowczych, które pomogą im uniknąć uwagi, zachowanie tajemnicy atrybucji jest sprawą najwyższej wagi, stwierdziło dwóch praktyków.
Niemniej jednak w swoim e-mailu do Ministerstwa Skarbu Ryan dał pewien wgląd w to, „jak odbywa się alokacja kryptowalut”. Honeypoty zostały wymienione jako jedna z „aktywnych” strategii w pokazie slajdów.
Analiza w łańcuchu: as atrybucji Blockchain
Największy konkurent CipherTrace zaczął wydobywać własną nową technikę trzy lata temu.
Założona w 2014 roku i wyceniana w czerwcu ubiegłego roku na 4200 miliarda dolarów, Chainalytic jest wielkim kahuną branży śledzenia. Zarobił dziesiątki milionów dolarów na federalnych kontraktach sprzedaży oprogramowania, które wizualizują aktywność w łańcuchu. Chociaż każdy, kto ma połączenie z Internetem, może przeglądać publiczne rejestry w łańcuchu bloków, potrzebujesz małej pomocy w zrozumieniu, co znajdziesz w króliczej norze.
Jednak prawdziwą zaletą modułu śledzącego jest zbiór danych dotyczących atrybucji, stwierdziło trzech ekspertów branżowych. Żadna inna firma nie zgromadziła tak dużej ilości szczegółowych danych dotyczących portfela jak Chainalytic” – podają źródła.
Dzieje się tak częściowo dlatego, że żaden inny tracker nie ma tak ogromnego zasięgu komercyjnego. Chainalysis dostarcza oprogramowanie śledzące 500 „dostawcom usług wirtualnych aktywów” lub VASP, jak nazywają ich organy regulacyjne. Jest to relacja korzystna dla obu stron: firmy dysponują potężnymi narzędziami do zapewniania zgodności z krypto, a Chainalysis dodaje adresy ich portfeli do swojej globalnej bazy danych. Jednak nie prosi klientów o dane o swoich klientach.
„Nie możemy wypowiadać się w imieniu wszystkich pozostałych dostawców. Inni dostawcy mogą poprosić o więcej informacji. Ale Chainalytic interesuje się jedynie danymi transakcyjnymi na poziomie usług” – wyjaśniła firma w poście na blogu z 2019 r. Innymi słowy, identyfikuje tylko firmy, o których portfelach kontrolnych wie, a nie ludzi.
Ale to nie była cała historia, a klienci Chainalytic i informacje o portfelu publicznym nie były jedynymi źródłami informacji firmy.
W niedatowanym pokazie slajdów dla włoskiej policji, który wyciekł we wrześniu ubiegłego roku, zespół biznesowy Chainalytic opisał, w jaki sposób rozległa sieć węzłów portfeli Bitcoin i Electrum przechwytuje cenne dane użytkowników, takie jak adresy IP podłączonego portfela. Jak wynika z akt, pomogło to śledczym w poszukiwaniu znaczących tropów przestępczych.
Pokaz slajdów rzucił również nowe światło na walletexplorer.com, popularną wyszukiwarkę bloków bitcoin, prowadzoną przez Chainalysis od 2015 roku. Zgodnie z dokumentami, które CoinDesk potwierdził jako autentyczne, witryna „zdrapuje” adresy IP podejrzanych użytkowników, łącząc ich Internet . odcisk palca na adres portfela. Ten zestaw danych dostarczył „znaczących wskazówek” dla organów ścigania.
„Nigdy nie było tajemnicą, że Chainalysis jest właścicielem i operatorem walletexplorer.com; od 2015 roku na dole strony głównej znajduje się oświadczenie, że autor witryny pracuje w Chainalysis jako analityk i programista”,...