Les utilisateurs de SharedCoin de la blockchain peuvent être identifiés, selon un expert en sécurité

Les utilisateurs de Bitcoin qui ont besoin d' une Politique de confidentialité sérieuse des transactions devraient éviter les services populaires comme SharedCoin de Blockchain et d'autres implémentations de CoinJoin, selon un expert en sécurité bien connu.

Consultant Kristov ATLAS, auteur du livre <a href="http://anonymousbitcoinbook.com/">http://anonymousbitcoinbook.com/</a> Bitcoin anonyme, a publié aujourd'hui un avis de sécurité indiquant que les faiblesses de SharedCoin n'offraient une Politique de confidentialité que vis-à-vis des « examinateurs non qualifiés de la blockchain Bitcoin » - et même dans ce cas, seulement jusqu'à ce que des outils d'analyse plus sophistiqués soient suffisamment conviviaux pour que l'utilisateur moyen puisse les déployer.

Nicolas Cary, PDG de Blockchain, a déclaré qu'il était satisfait de la recherche et de la manière dont elle a été menée :

Nous avons été en contact étroit avec Kristov et apprécions sa diligence. Il prend la Politique de confidentialité très au sérieux, et nous aussi.

CoinJoin Sudoku

À l'aide d'un outil logiciel qu'il a lui-même créé, appelé « CoinJoin Sudoku », ATLAS a analysé des milliers de transactions identifiées comme utilisant SharedCoin et a déterminé qu'il pouvait identifier des relations entre des paiements spécifiques et des bénéficiaires.

Sudoku Coinjoin

fonctionne en recherchant la propriété commune des multiples entrées et sorties de transaction que SharedCoin utilise pour masquer l'identité, en les regroupant là où les montants entrants et sortants correspondent.

Blockchain

a répondu à l'avertissement avec unarticle de blograppelant aux clients que SharedCoin et CoinJoin offrent une protection uniquement contre les « observateurs occasionnels ».

« Ils n’empêchent pas un enquêteur déterminé de corréler des transactions ou un adversaire disposant d’informations sur des adresses spécifiques de les corréler à des paiements et des bénéficiaires spécifiques. »

Comment fonctionne SharedCoin

Blockchain.info

SharedCoinLe service est une implémentation open sourcehttps://github.com/blockchain/Sharedcoin duCoinJoin protocole de Politique de confidentialité , et est souvent appelé « mixeur ».

Alors que les transactions sur la blockchain Bitcoin sont ouvertes à tous (au moins au niveau de l'adresse publique), SharedCoin rassemblera un groupe d'utilisateurs souhaitant augmenter la Politique de confidentialité et joindre leurs transactions en une ONE « transaction principale » avant de la diffuser sur le réseau.

La transaction qui apparaît alors sur la blockchain aurait plusieurs sorties et entrées, la rendant supposément inutile pour l'analyse.

Les clients peuvent sélectionner le nombre de fois qu'ils souhaitent répéter le processus SharedCoin, entre deux et dix.

Tout en offrant une Politique de confidentialité améliorée aux utilisateurs, SharedCoin et les services de mixage espèrent mieux protéger tous les utilisateurs en faisant de la blockchain Bitcoin un outil globalement moins fiable pour connecter les adresses Bitcoin aux individus.

Besoin d' Politique de confidentialité

Blockchain officiellementa commencé à offrirSharedCoin en tant que service gratuit pour ses utilisateurs en novembre dernier, à l'époque où Matt Mellon «Validation des pièces' et d'autres services sont apparus, quipromis de suivreBitcoins et adresses spécifiques liés à des activités suspectes ou dignes d'enquête. Cependant, l'entreprise ne prétendait pas offrir une protection à 100 % contre de tels services.

Les anciens outils de mixage (également appelés « tumblers ») transféraient un paiement à plusieurs adresses différentes afin de rendre l'émetteur difficile à trouver, généralement sur un serveur privé, ou « hors chaîne ». Ces systèmes exigeaient cependant que les utilisateurs soient certains que des opérateurs anonymes ne confisqueraient pas ou ne voleraient pas les bitcoins avant leur sortie du mixeur.

SharedCoin et le protocole CoinJoin lui-même ont fourni un système qui nécessitait moins de confiance dans l'opérateur, en tirant parti de la capacité d'une transaction Bitcoin à avoir plusieurs entrées et sorties.

Analyser les transactions

ATLAS a analysé 20 000 transactions sur 45 blocs de la chaîne de blocs Bitcoin et a constaté qu'environ 2,6 % correspondaient au profil d'une transaction SharedCoin.

CoinJoin Sudoku a identifié des groupes au sein d'une transaction avec des montants égaux (marqués en rouge et en bleu dans le diagramme ci-dessous), puis a examiné les entrées et les sorties un chiffre à la fois pour identifier les relations possibles.

Actuellement, écrit-il, le nouvel outil reste inefficace et nécessite plus de 30 heures pour effectuer l'analyse sur un seul processeur, malgré les limitations de test qu'il a introduites. Une désanonymisation plus poussée prendrait beaucoup plus de temps, même si elle reste possible.

« Malgré cette limitation, l’outil a pu regrouper 69 % des entrées et 53 % des sorties d’une même transaction. »

Grâce à ce type de regroupement, il pourrait identifier un maximum de deux utilisateurs au sein de cette transaction.

ATLAS a recommandé à toute personne utilisant SharedCoin de définir le nombre de cycles au maximum 10, tout en gardant à l'esprit que même cela ne garantissait pas une Politique de confidentialité à 100 %.

Entacher

La blockchain propose un outil d'analyse des souillures pour tester la traçabilité des fonds et évaluer l'efficacité des mélangeurs. Si cet outil fonctionne, les utilisateurs ne devraient pas pouvoir identifier les adresses d'envoi dans la liste.

ATLAS affirme que l'analyse de contamination est une « mauvaise mesure » pour cela, identifiant une probabilité de 100 % et 50 % de relation entre une sortie et deux entrées, là où l'analyse de contamination avait revendiqué respectivement 4,2 % et 4,5 %.

Il prévoit de lancer CoinJoin Sudoku en tant que projet open source dans deux semaines. Ce report, a-t-il expliqué, vise à donner aux utilisateurs de SharedCoin le temps nécessaire pour prendre les mesures nécessaires à la protection de leur Politique de confidentialité.

Réponse de la blockchain

Blockchain a révélé avoir payé une prime à ATLAS (via SharedCoin) pour avoir découvert la vulnérabilité et avoir travaillé avec lui pour coordonner un calendrier de publication des informations :

Blockchain.info apprécie sincèrement la pertinence de cette Déclaration de transparence de Kristov ATLAS, membre de la communauté. Nous sommes impatients de collaborer avec M. ATLAS et d'autres chercheurs en sécurité sur les futures améliorations de SharedCoin.





« Comme toujours, Blockchain.info s'engage en faveur de la transparence, de la communauté et de l'amélioration des services Bitcoin pour tous. »

L'entreprise a invité tout le monde à visiter sonDépôt GitHubpour passer en revue ses nombreux projets open source.

Si vous souhaitez véritablement masquer vos transactions, SharedCoin et les autres implémentations de CoinJoin ne sont pas Pour vous; ils ne sont ni suffisants ni pratiques. SharedCoin offre un niveau de Politique de confidentialité de base pour les transactions, mais ne garantit T l'anonymat, et ce n'était pas prévu.

La blockchain a vu la principale base d'utilisateurs de SharedCoin comme étant des entreprises souhaitant protéger la Politique de confidentialité des salaires et des paiements de factures, des particuliers souhaitant ne pas afficher les relevés de salaires ou de pourboires, et des organisations politiques et caritatives protégeant leurs donateurs.

Selon Blockchain, SharedCoin n'est en fait « pas un service de mixage » car il ne contrôle ni n'envoie jamais de fonds au nom de ses utilisateurs.

Répétant un avertissement souvent adressé à quiconque prétend que le réseau de paiement Bitcoin est « anonyme », la société a déclaré que toute personne disposant de suffisamment de temps, d'argent, de motivation et de puissance de calcul pourrait corréler les sorties et les entrées des transactions.

Image viaigor.stevanovic/Shutterstock