3. března 2020, těsně před obědem ve Washingtonu, DC, poslal Stephen Ryan někomu z ministerstva financí USA děkovný dopis se zvláštním detailem.
Provozní ředitel a spoluzakladatel společnosti CipherTrace, která se zabývá detekcí kryptoměn, Ryan byl jedním z 16 manažerů, kteří se den předtím zúčastnili průmyslového summitu s tehdejším ministrem financí Stevenem Mnuchinem. Spolu se svou vděčností za setkání Ryan připojil slide deck, který nastínil strategii CipherTrace pro demystifikaci kryptopeněženek. Mezi tyto metody: „medové hrnce“.
Tento článek je součástí CoinDesk's Týden soukromí série.
Ryanova poznámka byla součástí 250stránkového souboru Mnuchinových e-mailů, který CoinDesk získal na základě žádosti o zákon o svobodě informací (FOIA). Části jeho slide decku velmi připomínají veřejné propagační materiály CipherTrace. Tito také odkazovali na „honeypoty“ nebo podobné „krypto peněžní hrnce“ přinejmenším od roku 2018.
Co myslel CipherTrace těmito pojmy? Komunita kybernetické bezpečnosti používá frázi „honey pot“ k popisu návnady, která shromažďuje informace o nic netušících útočníkech. Jinými slovy, past.
CipherTrace, kterou platební gigant Mastercard koupil loni na podzim za nezveřejněnou cenu, je součástí domácího průmyslu, který monitoruje křižovatku kryptoměn a zločinu za 14 miliard dolarů ročně. Firmy jako Chainalysis, TRM Labs a Elliptic prohledávají miliony každodenních transakcí zaznamenaných na blockchainech nebo veřejných účetních knihách a hledají varovné signály a nezákonné pohyby a označují podezřelé adresy za pochodu.
Společnosti považují své služby za nezbytné pro normalizaci kryptoměn a potlačení kriminality. Odpůrci kritizují tyto sledovací firmy jako narcisy v řetězci, i když primárně pracují s veřejnými informacemi.
CipherTrace by nebyla první společností v tomto výklenku, která by nastražila nástrahy v naději, že zachytí informace, které nelze nalézt v řetězci. Chainalysis, přední dodavatel sledování kryptoměn, již roky vlastní stránku průzkumníka peněženek, která zachycuje IP adresy návštěvníků a spojuje je s blockchainovými adresami, které vyhledali. Společnost tuto praktiku přiznala až v říjnu, měsíc poté, co CoinDesk zveřejnil článek, který na ni upozorňoval.
Více než půl tuctu veteránů z kryptoměnového průmyslu CoinDesk řeklo, že nemají ponětí, co CipherTrace znamená „honeypots“. V prohlášení poskytnutém CoinDesk, společnost se sídlem v Los Gatos v Kalifornii, poskytla základní definici počítačové bezpečnosti, aniž by vysvětlila, co to znamená v kontextu analýzy blockchainu.
„‚Kryptoměnový hrnec‘ nebo ‚honeypot‘ je bezpečnostní termín označující mechanismus, který vytváří virtuální past k nalákání potenciálních útočníků,“ uvedl CipherTrace a dodal, že dokumenty zmiňující tyto taktiky jsou staré. „CipherTrace již nepoužívá 'kryptoměnové hrnce',“ uvedlo (ačkoli webové stránky společnosti od čtvrtka nabízely jak hrnce s penězi, tak medem).
CoinDesk se zeptal CipherTrace: "Shromažďuje vaše firma údaje o IP adresách za účelem jejich propojení s adresami peněženky?"
Zástupce CipherTrace odpověděl: „Jako společnost zaměřená na soukromí CipherTrace nemapuje data IP na soukromé osoby.“
Na otázku CoinDesku, zda CipherTrace mapuje IP do peněženek, neodpověděla. CoinDesk se podruhé zeptal, zda CipherTrace mapuje IP adresy na adresy peněženky. CipherTrace neodpověděl.
Taková ostražitost „je častým problémem v oblasti soukromí, když mluvíme o síťových identifikátorech, jako jsou IP adresy,“ řekl Sean O'Brien, výzkumník v oblasti kybernetické bezpečnosti. „Společnosti se snaží distancovat od toho, co byste tradičně nazvali osobně identifikovatelnými informacemi, tím, že IP adresy jsou něco jiného. Ve skutečnosti jsou neuvěřitelně užitečné pro identifikaci domácností, firem a jednotlivců.“
Například: „Pokud potřebujete prošetřit bitcoinovou transakci související s podezřením na kyberzločin, IP adresy jsou přesně ten druh informací, které byste hledali,“ řekl O'Brien. „Nejčasnější případy týkající se vymáhání práva a internetu závisejí na IP adresách jako důkazu, a to z dobrého důvodu. A jsou stejně užiteční k obtěžování a pronásledování lidí jako k jejich stíhání.“
Sledování peněz
Sledovací společnosti jsou již dlouho hlavní, i když nedostatečně uznávanou silou v institucionálním pochodu kryptoměn. Bojují proti domněnce, že bitcoin je primárně kriminálním finančním nástrojem, a analyzují data, aby přesně určili skromný podíl, který ve skutečnosti je.
Chainalysis nedávno odhadla, že 0.15 % krypto transakcí v roce 2021 bylo nezákonných – což je zdaleka nejmenší procento v historii. („Nezákonné“ peněženky loni nashromáždily rekordních 14 miliard dolarů, což je zdánlivě paradoxní údaj, který Chainalysis připisuje prudkému růstu kryptoměn.)
CipherTrace říká, že jejím posláním je „rozvíjet ekonomiku kryptoměn tím, že jim důvěřují vlády, jsou bezpečné pro masové přijetí a chrání finanční instituce před riziky praní kryptoměn“.
Převzato z prezentace sdílené s ministerstvem financí, tento popis by pravděpodobně sdílela každá konkurenční firma. Dostává se k jádru obav odpůrců. Maximalisté v oblasti soukromí věří, že radikálně transparentní, ale pseudonymní povaha Bitcoinu by měla plynout nezávisle na státu, a práci těchto společností považují za zradu tohoto ideálu.
„Je to druh invaze do soukromí uživatelů, stejným způsobem, jakým si můžete stěžovat na centralizované společnosti provádějící analýzu webu, které shromažďují IP adresy a ukládají soubory cookie do počítačů lidí a sledují je z webu na web,“ řekl John Light, dlouholetý kryptoměn. pedagog, spisovatel, podcaster a organizátor akcí.
Analýza v řetězci je ve svém jádru závodem s atribucí.
V kruzích kybernetické bezpečnosti atribuce znamená identifikaci pachatelů hackingu. V kryptokontextu to konkrétně odkazuje na praktiky blockchainových detektivů spojování pseudonymních adres peněženek s identifikovatelnými aktéry. Těmito aktéry mohou být licencované kryptoburzy nebo správci, útočníci ransomwaru, darknetové tržiště nebo sankcionovaní jednotlivci či subjekty.
Například: Každý, kdo má připojení k internetu, může vidět, že například peněženka abc123 přenesla 0.5 BTC na zxy987; tato informace je sama o sobě spíše k ničemu. Ale sledovací databáze může dokumentovat, že americký Úřad pro kontrolu zahraničních aktiv identifikoval zxy987 jako příslušníka sankcionovaného afrického válečníka. Nebo by to mohlo ukázat, že bitcoiny společnosti abc123 byly ukradeny z burzy.
To je cenná informace pro burzy, které chtějí omezit nezákonnou činnost, pro uživatele, kteří chtějí udržovat své coiny čisté, pro vlády, které chtějí peníze sledovat. Schází se prostřednictvím přísné atribuce.
S potenciálně miliony dolarů ve vyšetřovacích kontraktech, které jsou k mání, tyto společnosti naléhavě potřebují těžit nová data o atribuci. CipherTrace například od roku 20 získal 3.5 smluv s federálními agenturami v hodnotě až 2018 milionu dolarů, přičemž nejnovější je podle veřejných záznamů práce odborného svědka.
V odvětví, které odměňuje tvůrce nuancovaných, podrobných, atribučních datových sad – a v oblasti, kde zločinci hladoví po zpravodajských informacích, které jim pomohou uniknout zpozorování – je hlídání tajné omáčky atribuce prvořadé, uvedli dva dlouholetí praktici.
Nicméně ve svém e-mailu ministerstvu financí Ryan nabídl ochutnávku toho, „jak se dosahuje atribuce kryptoměny“. Honeypoty byly uvedeny jako jedna z „aktivních“ strategií ve skluzavce.
Chainalysis: Blockchain atribuční eso
Největší konkurent CipherTrace začal provozovat svou vlastní novou techniku před třemi lety.
Společnost Chainalysis, založená v roce 2014 a oceněná v červnu na 4.2 miliardy dolarů, je velký kahuna v odvětví sledování. Nasbírala desítky milionů dolarů ve federálních kontraktech na prodej softwaru, který vizualizuje aktivitu v řetězci. I když každý s připojením k internetu může sám procházet veřejnými blockchainovými záznamy, budete potřebovat trochu pomoci, abyste pochopili, co najdete v králičí noře.
Ale skutečným obchodním esem traceru je jeho soubor údajů o atribuci, uvedli tři zasvěcenci z oboru. Žádná jiná společnost nenashromáždila tak podrobné údaje o peněžence jako Chainalysis,“ uvedly zdroje.
Je to částečně proto, že žádný jiný sledovač nemá tak masivní obchodní stopu. Chainalysis poskytuje sledovací software 500 „poskytovatelům služeb virtuálních aktiv“ nebo VASP, jak je nazývají regulátoři. Je to oboustranně výhodný vztah. Podniky získávají výkonné nástroje pro dodržování předpisů v oblasti kryptoměn a Chainalysis přidává adresy jejich peněženek do své globální databáze. Nepožaduje však od klientů údaje o jejich zákaznících.
"Nemůžeme mluvit za všechny ostatní prodejce." Je možné, že další prodejci mohou požádat o další informace. Ale Chainalysis se zabývá pouze transakčními daty na úrovni služeb,“ vysvětlila společnost v blogovém příspěvku z roku 2019. Jinými slovy, identifikuje pouze podniky, které zná kontrolní peněženky, nikoli lidi.
Ale to nebyl celý příběh a zákazníci společnosti Chainalysis a veřejné informace o peněženkách nebyly jedinými zdroji informací společnosti.
V nedatované prezentaci pro italskou policii, která unikla v září, obchodní tým Chainalysis popsal, jak rozsáhlá síť uzlů peněženek Bitcoin a Electrum společnosti zachycuje cenná uživatelská data, jako jsou IP adresy, z připojených peněženek. To pomohlo vyšetřovatelům sledovat smysluplné kriminální stopy, uvedla prezentace.
Prezentace také vrhla nové světlo na walletexplorer.com, populárního průzkumníka bitcoinových bloků provozovaného Chainalysis od roku 2015. Podle dokumentů, které CoinDesk ověřil, že jsou autentické, web „seškrabává“ IP adresy podezřelých uživatelů a spojuje jejich internetovou stopu s jejich adresa peněženky. Tato datová sada poskytla „smysluplné vodítka“ pro vymáhání práva.
„Nikdy nebylo tajemstvím, že Chainalysis vlastní a provozuje walletexplorer.com. Od roku 2015 je ve spodní části domovské stránky prohlášení, že autor stránek pracuje v Chainalysis jako analytik a programátor,“ řekl CoinDesk mluvčí společnosti.
Možná otevřené tajemství, ale stěží otevřená kniha. Chainalysis zřídkakdy upozornila na skutečnost, že walletexplorer.com přesouval uživatelská data do svých dalších obchodních linií.
Týdny poté, co CoinDesk informoval o walletexplorer.com, web přijal stránku s informacemi o ochraně osobních údajů, která poprvé vysvětlila, jak se její data dostávají do produktové řady Chainalysis.
„Informace o blockchainu a informace o návštěvnících sdílíme s našimi dalšími obchodními liniemi Chainalysis, abychom mohli tyto služby poskytovat a zlepšovat. Například jiné obchodní linie Chainalysis mohou být schopny využít námi poskytnuté informace k lepšímu propojení jedné adresy bitcoinové peněženky s jinou adresou bitcoinové peněženky,“ stojí v zásadách ze 14. října.
"Nedávno jsme přidali oznámení o ochraně osobních údajů, abychom poskytli více informací o tom, jak Chainalysis interně používá informace shromážděné z webu walletexplorer.com, aby pomohly zlepšit naše služby," řekl mluvčí.
Nic osobního?
I když zůstává nejasné, co přesně medovnice CipherTrace dělají, toto slovo evokuje systém, který má za úkol dělat jednu věc, zatímco spouští něco jiného. Vlastník peněženky, který pracuje s „honeypotem“, by definitivně zapoměl na postranní úmysly služby.
Chainalysis, CipherTrace a Elliptic již dříve uvedly, že se nesnaží připoutat jednotlivce k peněženkám. Jejich podnikáním je pomáhat vládám při vyšetřování krypto-kriminality a udržovat burzy v souladu.
Výlet jednotlivců není součástí této rovnice. Tyto společnosti prostě jdou za penězi, říkají.
„Blockchainová inteligence, kterou poskytujeme, propojuje krypto transakce se skutečnými entitami, jako jsou burzy, darknetové tržiště a sankcionované entity,“ řekl CoinDesk Ari Redbord, vedoucí právních a vládních záležitostí pro TRM Labs.
„Tato inteligence umožňuje, aby kryptoburza byla upozorněna, pokud například zpracovává transakci zahrnující adresu, která byla dříve použita k financování terorismu,“ řekl. "Totéž platí pro transakce spojené s hackováním, ransomware, rug pulls a dalšími útoky, které poškozují kryptoinvestory a uživatele."
Ale „nepřipisujeme transakce jednotlivcům,“ řekl Redbord o TRM Labs.
Podobně zástupce CipherTrace uvedl, že „nepřipisuje údaje z peněženky soukromým osobám, s výjimkou sankcionovaných subjektů“. Udělalo to hojně a v jednom blogovém příspěvku z roku 2019 se pochlubilo tím, že 72,000 milionům peněženek přiřadilo 4.5 XNUMX íránských IP adres.
Otevřenou otázkou zůstává, zda CipherTrace připisuje IP adresy jiným peněženkám. Špičkové společnosti říkají, že neudržují „osobně identifikovatelné informace“, pouze „informace identifikovatelné obchodními subjekty“.
„CipherTrace neuchovává PII, my udržujeme BII,“ řekl generální ředitel CipherTrace Dave Jevans v rozhovoru v červnu.
"Chápeme například, jaké adresy patří ke které burze," řekl. „Ale nesledujeme jednotlivé informace o tom, že jste to vy na této adrese; to není naše věc. To dělat nechceme. Zjistíme, kde peníze přijdou, kde peníze odejdou, a pak je na soudech a orgánech činných v trestním řízení,“ aby se postarali o zbytek.
Jak poznamenal O'Brien, výzkumník v oblasti kybernetické bezpečnosti, podle jednoho z vlastních blogových příspěvků společnosti CipherTrace zřejmě vylučuje IP adresy – spolu s fyzickými umístěními:
Zdroj: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/