Анонимность транзакций Биткойна оставляет желать лучшего

Анонимность транзакций Биткойна оставляет желать лучшего

Интернет-магазины постоянно сливают данные о ваших покупках. По словам специалистов по кибербезопасности, это облегчает задачу привязки покупателей к их Биткойн-покупкам.

Всё больше интернет-магазинов в качестве способа оплаты предлагают воспользоваться Биткойном. Одна из важнейших особенностей этой технологии — это анонимность: хоть транзакции записываются и публично доступны, связаны они лишь с электронным адресом (прим.ред.: а в случае использования аппаратного кошелька, а не веб-кошелька в духе blockchain.info, транзакции не связаны даже и с емэйлом пользователя). Таким образом, что бы вы не покупали, покупку нельзя проследить прямо до вас.

Кому-то этого хватит, но такая анонимность ни в коем случае не идеальна. Эксперты называют это псевдонимной конфиденциальностью — как у писателей с выдуманным именем. Вы можете оставаться в тени лишь до тех пор, пока ваш литературный псевдоним с вами не связан. Но как только кто-то обнаружит, что именно вы написали всего одну из всех ваших книг, ваша хитрость перестанет работать. Вся ваша писанина под псевдонимом станет известна. Аналогично, как только ваш адрес в сети Биткойн свяжут с вашими личными данными, ваша история покупок будет раскрыта.

Для людей, желающих использовать Биткойн для совершения анонимных покупок, это важный вопрос: насколько легко провести параллели между ними и их Биткойн-транзакциями?

Благодаря работе Стивена Голдфедера (Steven Goldfeder) из Принстонского университета и его коллег, у нас наконец появился ответ. По их словам, даже с дополнительной защитой приватности вроде CoinJoin, сливы информации во время покупок сильно упрощают установление связей между покупателями и совершаемыми ими Биткойн-транзакциями.

Винить нужно веб-трекеры и куки — небольшие куски кода, специально встраиваемые в веб-страницы для отправки информации о действиях пользователей третьим лицам. Распространенные трекеры помогают Google, Facebook и др. отслеживать навигацию по сайту, количество покупок, привычки серфинга и тому подобные вещи. Некоторые трекеры даже отсылают личные данные вроде вашего имени, местоположения и электронной почты.

В итоге, информация о транзакциях оказывается в сети, а правительства, правоохранительные органы и злоумышленники могут её собирать и анализировать.

Голдфедер и Ко задались вопросом, насколько легко эту информацию использовать для нахождения людей по их транзакциям в сети Биткойн. Сам процесс требует прослушки, чтобы узнать персонально идентифицируемую информацию — имя и почту, к примеру — и связать её с конкретным Биткойн-адресом.

Команда начала с составления списка крупных компаний, работающих с Биткойн-транзакциями. В него вошли 130 компаний, включая Microsoft, NewEgg и Overstock.

После чего они изучили, как веб-трекеры по ходу покупки сливают информацию с сайта каждой компании.

Как сказал Голдфегер,

«Мы нашли, что по меньшей мере 53 магазина из 130 передают информацию о платеже как минимум 40 третьим сторонам, чаще всего со страниц «Моя корзина».

Большая часть этого слива намеренная и служит аналитическим и рекламным целям. Но исследователи утверждают, что отсылаются и кое-какие дополнительные данные.

По их словам,

«Мы нашли, что многие сайты сливают (скорее всего, ненамеренно) десяткам трекеров куда более серьезную информацию — конкретную транзакцию в блокчейне.»

Для тех, кто надеется на анонимность своих Биткойн-покупок, это плохие новости. Но даже если конкретная транзакция не обнародована, установить связь можно, используя переданные объём и время покупки.

В этом случае, перехватчику нужно конвертировать сумму покупки в биткойны по курсу на момент покупки, и найти транзакцию с этой суммой и на этот момент. Так и раскрывается пользовательский адрес. Любые другие покупки, совершенные с помощью этого адреса, будет проследить очень легко.

Есть и пара дополнительных факторов, усложняющих этот процесс. В случае, когда веб-трекер может передать только стоимость товара без доставки, полная сумма в биткойнах может быть не очевидна.

Также, возможно, что между просмотром страницы, с которой утекла информация, и собственно покупкой, пройдёт какое-то время. Учитывая, что покупки (транзакции) имеют временные отметки, их сложнее отследить, если неизвестно точное время.

Сумма покупки же обычно дается в местной валюте вроде долларов или фунтов, и конвертируется в биткойны в сам момент покупки. Из-за значительной неустойчивости обменных курсов биткойна, без достоверной информации о времени покупки может быть нелегко узнать её точную стоимость.

Все эти факторы усложняют привязку отдельных лиц к их транзакциям, но это ни в коем случае не исключено.

Как сказали исследователи,

«Мы обнаружили, что образование уникальной связи возможно в 60% случаев в случае выставления реалистичных значений этих параметров».

Есть способы спрятать Биткойн-транзакции получше. Из наиболее известных — CoinJoin, сервис, который объединяет пользователей, желающих совершить схожие покупки, и позволяет им платить вместе. При таком подходе биткойны смешиваются, что усложняет их идентификацию.

Но Голдфедер и Ко указывают, что если кто-то использует CoinJoin, чтобы сделать таким образом несколько покупок, их можно легко отследить:

«Если жертва использует 3 раунда CoinJoin и злоумышленник увидел 2 платежа, он может связать их с кошельком жертвы с точностью до 98%, несмотря на смешивание (миксинг)«.

Есть несколько способов защитить себя инструментами вроде Ghostery, AdBlock Plus, или uBlock Origin. Они полезны, но иногда упускают трекеры, а в других случаях не дают совершить покупку вообще.

По словам Голдфедера и Ко,

«Такая защита может быть довольно эффективной, но она далека от идеала».

Всё это — довольно печальные новости для людей, надеющихся остаться инкогнито в сети. Но в то же время, это музыка для ушей правоохранительных органов, стремящихся отслеживать злостные нарушения закона.

Голдфедер и Ко признают:

«Как практически все деанонимизирующие атаки на криптовалюты, наши методы могут быть использованы для разработки криминалистических инструментов для нужд государственных внутренних органов».

Как и все деанонимизирующие методы, этот имеет как достоинства, так и недостатки.

Статья: arxiv.org/abs/1708.04748 : When the Cookie Meets the Blockchain: Privacy Risks of Web Payments via Cryptocurrencies

Источник: MIT Technology Review



Categories: Безопасность, Видео, Розница, Сервисы, Технологии

Tags: , , , , ,

Leave a Reply

4 Комментарий на "Анонимность транзакций Биткойна оставляет желать лучшего"

  Subscribe  
Notify of
Олег
Гость

Вихревые жидкости функцианируют аналогично биткоину https://vnauke.in.ua/physik/vihrevyie-zhidkosti-funktsianiruyut-analogichno-bitkoinu/

Некто
Гость

Пользуйтесь монеро или зкэш, если вам надо сохранение анонимности, в чём проблема ?

Второй
Гость

В курсе ли авторы, что последние 3 года для покупок все пользуются HD кошельками. Там адреса все одноразовые. Какой адрес собираются привязать лично ко мне?

Алексей
Гость

HD кошельки, помимо платежа, отсылают на новый адрес сдачу самому себе. В следующих транзакциях сдачи, в том числе, тоже участвуют в новых транзакциях. Их можно «кластеризовать», но это все делается постфактум после новых отправок биткойнов и не всегда это может значить, что за кластепом может скрываться одна личность. Например, в примере выше на картинке — облако адресов — может быть просто работодателем, который платит биткойном этому сотруднику. Однако «исследователи» судят однобоко. Они эти адреса тоже присвоили сотруднику. Когда появятся новые сотрудники у того работодателя, они тоже могут попасть под раздачу «анализа» 🙂