Los usuarios de SharedCoin de Blockchain pueden ser identificados, afirma un experto en seguridad

Los usuarios de Bitcoin que necesitan una Privacidad seria en sus transacciones deberían evitar servicios populares como SharedCoin de Blockchain y otras implementaciones de CoinJoin, según un conocido experto en seguridad.

Consultor Kristov ATLAS, autor del libro <a href="http://anonymousbitcoinbook.com/">http://anonymousbitcoinbook.com/</a> Bitcoin anónimo, publicó hoy un aviso de seguridad diciendo que las debilidades en SharedCoin ofrecían Privacidad solo para "examinadores no calificados de la cadena de bloques de Bitcoin " - e incluso entonces, solo hasta que se crearan herramientas de análisis más sofisticadas que fueran lo suficientemente fáciles de usar para que el usuario promedio pudiera implementarlas.

El director ejecutivo de Blockchain, Nicolas Cary, dijo que estaba satisfecho con la investigación y la forma en que se manejó:

Hemos mantenido una estrecha comunicación con Kristov y valoramos su diligencia. Él se toma muy en serio la Privacidad , y nosotros también.

Sudoku de CoinJoin

Utilizando una herramienta de software que él mismo creó y llamada 'CoinJoin Sudoku', ATLAS analizó miles de transacciones identificadas como que usaban SharedCoin y determinó que podía identificar relaciones entre pagos específicos y beneficiarios.

Sudoku de unión de monedas

funciona buscando la propiedad común de las múltiples entradas y salidas de transacciones que SharedCoin utiliza para ocultar la identidad, agrupándolas donde los montos entrantes y salientes coinciden.

Cadena de bloques

Ha respondido a la advertencia con unentrada de blogrecordando a los clientes que SharedCoin y CoinJoin ofrecen protección sólo contra "observadores ocasionales".

"No impiden que un investigador determinado correlacione transacciones, ni que un adversario con información sobre direcciones específicas las correlacione con pagos y beneficiarios específicos".

Cómo funciona SharedCoin

Blockchain.info

Moneda compartidaEl servicio es una implementación de código abierto de https://github.com/blockchain/SharedcoinCoinJoin protocolo de Privacidad y a menudo se le denomina "mezclador".

Si bien las transacciones en la cadena de bloques de Bitcoin están abiertas para que todos las vean (al menos a nivel de dirección pública), SharedCoin reunirá a un grupo de usuarios que deseen aumentar la Privacidad y unirá sus transacciones en una "transacción maestra" antes de transmitirla a la red.

La transacción que luego aparece en la cadena de bloques tendría múltiples salidas y entradas, lo que supuestamente la haría inútil para el análisis.

Los clientes pueden seleccionar el número de veces que desea repetir el proceso de SharedCoin, entre dos y diez.

Si bien ofrecen mayor Privacidad a los usuarios, SharedCoin y los servicios de mezcla esperan proteger mejor a todos los usuarios al hacer que la cadena de bloques de Bitcoin , en general, sea una herramienta menos confiable para conectar direcciones de Bitcoin a individuos.

Necesidad de Privacidad

Blockchain oficialmentecomenzó a ofrecerSharedCoin se lanzó como un servicio gratuito para sus usuarios en noviembre pasado, aproximadamente al mismo tiempo que Matt Mellon's 'Validación de monedas' y aparecieron otros servicios queprometió rastrearBitcoins y direcciones específicas relacionadas con actividades sospechosas o que requieren investigación. Sin embargo, no afirmó ofrecer protección total contra dichos servicios.

Las herramientas de mezcla más antiguas (también conocidas como "tumblers") enviaban un pago a varias direcciones diferentes para dificultar la localización del originador, generalmente en un servidor privado o fuera de la cadena. Sin embargo, estos sistemas requerían la confianza de los usuarios de que operadores anónimos no confiscarían ni robarían los bitcoins antes de que salieran del mezclador.

SharedCoin, y el propio protocolo CoinJoin, proporcionaron un sistema que requería menos confianza en el operador, al aprovechar la capacidad de una transacción de Bitcoin de tener múltiples entradas y salidas.

Procesando transacciones

ATLAS analizó 20.000 transacciones en 45 bloques de la cadena de bloques de Bitcoin y descubrió que alrededor del 2,6 % se ajustaba al perfil de una transacción de SharedCoin.

CoinJoin Sudoku identificó grupos dentro de una transacción con cantidades iguales (marcados en rojo y azul en el diagrama a continuación) y luego examinó las entradas y salidas un dígito a la vez para identificar posibles relaciones.

Actualmente, escribió, la nueva herramienta sigue siendo ineficiente y requiere más de 30 horas para completar el análisis en un solo procesador, incluso con las limitaciones de prueba que introdujo. Una desanonimización más exhaustiva llevaría mucho más tiempo, aunque seguía siendo posible.

A pesar de la limitación, la herramienta logró agrupar el 69% de las entradas y el 53% de las salidas de una sola transacción.

Mediante este tipo de agrupación, podría identificar un máximo de dos usuarios dentro de esa transacción.

ATLAS recomendó a cualquiera que use SharedCoin que establezca el número de ciclos en el máximo de 10, aunque recordó que incluso esto no garantiza el 100% de Privacidad.

Mancha

Blockchain ofrece una herramienta de "Análisis de Corrupción" para comprobar la trazabilidad de los fondos y está diseñada para evaluar la eficacia de los mezcladores. Si funciona, los usuarios no deberían poder identificar las direcciones de envío en la lista.

ATLAS dice que el análisis de contaminación es una "medición pobre" para esto, identificando una probabilidad del 100% y del 50% de relación entre una salida y dos entradas, cuando el análisis de contaminación había afirmado un 4,2% y un 4,5% respectivamente.

Planea lanzar CoinJoin Sudoku como proyecto de código abierto en dos semanas. El retraso, según explicó, se debe a que los usuarios de SharedCoin tengan tiempo suficiente para tomar las medidas necesarias para proteger su Privacidad.

Respuesta de blockchain

Blockchain reveló que le pagó a ATLAS una recompensa (a través de SharedCoin) por encontrar la vulnerabilidad y que había trabajado con él para coordinar un cronograma para publicar la información:

Blockchain.info agradece sinceramente la atenta Aviso legal del miembro de la comunidad Kristov ATLAS. Esperamos colaborar con el Sr. ATLAS y otros investigadores de seguridad en futuras mejoras de SharedCoin.





"Como siempre, Blockchain.info está comprometido con la transparencia, la comunidad y la mejora de los servicios de Bitcoin para todos".

La empresa invitó a todos a visitar surepositorio de GitHubpara revisar sus numerosos proyectos de código abierto.

Si desea ocultar realmente las transacciones, SharedCoin y otras implementaciones de CoinJoin no son Para ti; no son suficientes ni convenientes. SharedCoin proporciona un nivel básico de Privacidad mejorada para las transacciones, pero no garantiza el anonimato ni fue su intención.

Blockchain consideró que la principal base de usuarios de SharedCoin eran corporaciones que deseaban proteger la Privacidad de sus nóminas y pagos de facturas, individuos que no deseaban mostrar registros de salarios o propinas, y organizaciones políticas y caritativas que protegían a sus donantes.

SharedCoin, dice Blockchain, en realidad "no es un servicio de mezcla" ya que nunca controla ni envía fondos en nombre de sus usuarios.

Repitiendo una advertencia que a menudo se da a cualquiera que afirma que la red de pago de Bitcoin es "anónima", la compañía dijo que cualquier persona con suficiente tiempo, dinero, motivación y poder de cómputo podría correlacionar las entradas y salidas de las transacciones.

Imagen víaigor stevanovic/Shutterstock