Nella battaglia per LINK i criminali del mondo reale ai loro tesori anonimi Bitcoin , Chainalysis ha trovato un vantaggio "significativo": un sito Web di esplorazione dei blocchi che estrae gli indirizzi IP (Internet Protocol) dei visitatori.

Secondo i documenti trapelati esaminati da CoinDesk, Chainalysis, la più grande delle aziende di tracciamento blockchain, possiede e gestisce portafoglioexplorer.com. Come altri block explorer, il servizio consente a chiunque di visualizzare la cronologia degli indirizzi dei wallet pubblici Criptovaluta . Chainalysis stima che i malintenzionati utilizzerebbero il suo sito per controllare le transazioni senza timore di "lasciare un'impronta" sugli exchange Cripto , si legge nei documenti.

Ma laddove gli exchange, e presumibilmente la maggior parte degli esploratori di blocchi, non hanno occhi, Chainalysis ha puntato i suoi occhi. "Raschia" gli indirizzi IP degli utenti sospetti che cadono nell'honeypot di portafoglioexplorer.comsecondo i documenti.

"Utilizzando questo set di dati siamo stati in grado di fornire alle forze dell'ordine indizi significativi relativi ai dati IP associati a un indirizzo", si legge nei documenti, tradotti dall'italiano. "È anche possibile condurre una ricerca inversa su qualsiasi indirizzo IP noto per identificare altri indirizzi BTC ".

Così facendo, Chainalysis ha di fatto trasformato in un'arma un sito web modesto senza rivelare i suoi legami. Non si è mai associato pubblicamente a portafoglioexplorer.com, sebbene una nota in fondo alla homepage del sito dica che il suo "autore" ora lavora presso Chainalysis. Il sito web è stato creato nel 2014, secondo documenti di registrazione del sito che non menzionano Chainalysis.

Un portavoce di Chainalysis ha rifiutato di commentare.

I documenti, da una presentazione non datata Chainalysis alla polizia italiana che indaga sul dark web, sono apparsi lunedì sera su DarkLeaks, a sua volta un sito del dark web accessibile solo tramite browser anonimi come Tor. CoinDesk ha verificato l'autenticità dei documenti.

La presentazione getta nuova luce sull'intera gamma di strumenti che Chainalysis utilizza per assistere le forze dell'ordine nell'incastrare gli attori illeciti. L'azienda è principalmente nota per l'analisi dei dati sulle transazioni disponibili al pubblico, piuttosto che per l'uso di sotterfugi.

Ma il suo honeypot funziona, secondo la slide deck trapelata. Chainalysis ha citato un caso di giugno 2020 in cui portafoglioexplorer.com hanno rubato l'indirizzo IP di un sospettato di ransomware, poche ore dopo essere stati sospettati di aver depositato fondi tramite lo sportello OTC (over-the-counter) dell'exchange di Cripto Huobi.

'Demixare' Monero

I documenti mostrano anche che Chainalysis ritiene di poter tracciare le transazioni in Monero (XMR), che molti considerano la Criptovaluta con le più forti difese Privacy .

"Nei casi su cui Chainalysis ha lavorato in collaborazione con le forze dell'ordine, siamo stati in grado di fornire indizi utilizzabili in circa il 65% dei casi che coinvolgono [m]onero", si legge nei documenti.

Justin Ehrenhofer, membro del gruppo di lavoro Monero Space, ha messo in guardia dal dare troppa importanza a questa affermazione.

"'Lead utilizzabili' è molto generico e può significare un'ampia varietà di cose", ha scritto in un'e-mail a CoinDesk. "Ad esempio, nei casi migliori per le forze dell'ordine, può portare a identità reali dietro le transazioni. Tuttavia, può anche riguardare informazioni false, come un'identità falsa/rubata o un indirizzo Tor. Tutti i metadati sono utili nelle indagini e la misura in cui queste informazioni sono estremamente variabili".

Allo stesso modo, la parola "casi" è usata in senso lato, riferendosi a "tutti i casi coinvolti in Chainalysis, incluso Monero, non transazioni Monero specifiche", ha scritto Ehrenhofer. "Quindi, se qualcuno ha utilizzato Monero ma poi ha anche rivelato informazioni fuori BAND che sono state utilizzate, ciò si qualificherebbe probabilmente come un caso di 'successo' secondo la misura di Chainalysis".

Tuttavia, ha offerto una nota di cautela: "Gli utenti Monero che hanno a cuore la propria Privacy dovrebbero sempre usare Monero tramite il proprio nodo. Sebbene ci siano alcuni nodi Monero remoti disponibili su Tor, è comunque meglio gestirne uno proprio".

Guerrieri dei nodi

Un altro modo in cui Chainalysis cattura i dati degli utenti Bitcoin è eseguendo nodi che verificano le transazioni, confermano i documenti. Ciò consente all'azienda di catturare le perdite di dati su Internet accessibile al pubblico, o clearnet, dai portafogli di verifica dei pagamenti semplificati (SPV) degli utenti. Questi servizi sono stati progettati per dare priorità alla facile archiviazione rispetto alla sicurezza infallibile (anche se per essere onesti sono presumibilmente più sicuri dei portafogli che si basano sulle API per verificare le transazioni).

"Lo svantaggio di questo design è che quando il portafoglio utente si connette alla rete, vengono rivelate diverse informazioni: l'indirizzo IP dell'utente, l'insieme completo di indirizzi nel portafoglio (utilizzati e non utilizzati) e la versione del software del portafoglio", secondo la presentazione. "Chainalysis esegue una serie di nodi sulla rete Bitcoin ... e se un utente si connette a ONE dei nostri nodi, riceviamo le informazioni di cui sopra".

Questi dati possono essere una manna per gli investigatori. Chainalysis cita il “Benvenuti al video"arresto di un'organizzazione di pornografia infantile. ONE dei sospettati in quel caso è stato identificato in parte perché il suo nodo Bitcoin era in esecuzione sulla clearnet.

In effetti, i clienti governativi si rivolgono a Chainalysis per farsi aiutare a rintracciare i nodi. L'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro è ONE di questi partner: ha richiesto l'autorizzazione all'inizio del 2021 per utilizzare la tecnologia "Rumker" di Chainalysis nel tentativo di sanzionare gli attori Cripto .

Martedì l'OFAC ha pubblicato il suoprima sanzione in assoluto contro un exchange Cripto per aver facilitato i pagamenti ransomware.

Il fatto che Chainalysis gestisca i propri nodi di acquisizione dati non sarebbe una sorpresa per i Bitcoiner attenti alla privacy: la comunità lo sospetta da tempo.

"Abbiamo sempre saputo che si tratta di nodi in esecuzione: è solo una questione di quali servizi sono connessi", ha affermato Colin Harper, responsabile dei contenuti presso Luxor Tech, una società di mining Bitcoin .

Tuttavia, la storia illustra il piano di gioco di Chainalysis nel tracciare le Cripto illecite per i partner delle forze dell'ordine. Non è sufficiente setacciare le cronologie delle transazioni pubbliche. Per avere successo, l'azienda deve accumulare da sola tesori di dati.

AGGIORNAMENTO (21 settembre, 18:25 UTC):Aggiunge dettagli suportafoglioexplorer.comnel sesto paragrafo.

AGGIORNAMENTO (21 settembre, 19:25 UTC):Aggiunge commenti del rappresentante della comunità Monero .

AGGIORNAMENTO (21 settembre, 21:15 UTC):Aggiunge la sezione finale sull'uso dei nodi da parte Chainalysis.