Na batalha para LINK criminosos do mundo real aos seus tesouros anônimos de Bitcoin , a Chainalysis encontrou uma vantagem "significativa": um site explorador de blocos que coleta endereços de protocolo de internet (IP) dos visitantes.

De acordo com documentos vazados revisados ​​pela CoinDesk, a Chainalysis, a maior das empresas de rastreamento de blockchain, possui e opera walletexplorer.com. Como outros exploradores de blocos, o serviço permite que qualquer um visualize o histórico de endereços de carteiras públicas de Criptomoeda . A Chainalysis calcula que os maus atores usariam seu site para verificar transações sem medo de “deixar uma 'pegada'” nas exchanges de Cripto , disseram os documentos.

Mas onde as bolsas – e presumivelmente a maioria dos exploradores de blocos – não têm olhos, a Chainalysis fixou seus olhos. Ela “'raspa' os endereços IP de usuários suspeitos” que caem no honeypot de walletexplorer.comde acordo com os documentos.

“Usando esse conjunto de dados, fomos capazes de fornecer à polícia pistas significativas relacionadas aos dados de IP associados a um endereço”, dizem os documentos, traduzidos do italiano. “Também é possível conduzir uma pesquisa reversa em qualquer endereço de IP conhecido para identificar outros endereços de BTC .”

Ao fazer isso, a Chainalysis efetivamente transformou um site modesto em uma arma sem revelar seus laços. Ela nunca se associou publicamente a walletexplorer.com, embora uma nota na parte inferior da página inicial do site diga que seu “autor” agora trabalha na Chainalysis. O site foi criado em 2014, de acordo com documentos de registro do site que não fazem menção à Chainalysis.

Um porta-voz da Chainalysis não quis comentar.

Os documentos, de uma apresentação sem data da Chainalysis para a polícia italiana investigando a dark web, apareceram na noite de segunda-feira no DarkLeaks, um site da dark web acessível somente por navegadores anonimizadores como o Tor. A CoinDesk verificou a autenticidade dos documentos.

O slide deck lança uma nova luz sobre a gama completa de ferramentas que a Chainalysis usa para auxiliar a polícia a capturar atores ilícitos. A empresa é conhecida principalmente por analisar dados de transações disponíveis publicamente em vez de usar subterfúgios.

Mas seu honeypot funciona, de acordo com o slide deck vazado. Chainalysis citou um caso de junho de 2020 em que walletexplorer.com pegou o endereço IP de um suspeito de ransomware – horas depois de ele ser suspeito de depositar fundos no balcão (OTC) da corretora de Cripto Huobi.

'Desmisturando' Monero

Os documentos também mostram que a Chainalysis acredita que pode rastrear transações em Monero (XMR), que muitos consideram a Criptomoeda com as mais fortes defesas de Política de Privacidade .

“Dos casos em que a Chainalysis trabalhou em colaboração com as autoridades policiais, conseguimos fornecer pistas úteis em aproximadamente 65% dos casos envolvendo [m]onero”, dizem os documentos.

Justin Ehrenhofer, membro do grupo de trabalho Monero Space, alertou para não dar muita importância a essa afirmação.

“'Leads utilizáveis' é muito inespecífico e pode significar uma grande variedade de coisas”, ele escreveu em um e-mail para a CoinDesk. “Por exemplo, no melhor dos casos para a aplicação da lei, pode levar a identidades reais por trás das transações. No entanto, também pode estar relacionado a informações falsas, como uma identidade falsa/roubada ou um endereço Tor. Todos os metadados são úteis em investigações, e a extensão em que essas informações são extremamente variáveis.”

Da mesma forma, a palavra “casos” é usada amplamente, referindo-se a “todos os casos envolvendo Chainalysis, incluindo Monero, não transações específicas de Monero ”, escreveu Ehrenhofer. “Então, se alguém usou Monero , mas também revelou informações fora da BAND que foi usada, isso provavelmente se qualificaria como um caso de 'sucesso' pela medida de Chainalysis.”

No entanto, ele ofereceu uma nota de cautela: “Os usuários do Monero que se importam com sua Política de Privacidade devem sempre usar o Monero usando seu próprio nó. Embora existam alguns nós remotos do Monero disponíveis no Tor, ainda é melhor executar o seu próprio.”

Guerreiros do nó

Outra maneira pela qual a Chainalysis captura dados de usuários de Bitcoin é executando nós que verificam transações, confirmam os documentos. Isso permite que a empresa capture vazamentos de dados na internet de acesso público, ou clearnet, de carteiras de verificação de pagamento simplificada (SPV) dos usuários. Esses serviços foram projetados para priorizar o armazenamento fácil em vez da segurança infalível (embora, para ser justo, eles sejam indiscutivelmente mais seguros do que carteiras que dependem de APIs para verificar transações).

“A desvantagem desse design é que quando a carteira do usuário se conecta à rede, uma variedade de informações é revelada - o endereço IP do usuário, o conjunto completo de endereços na carteira (usados ​​e não usados) e a versão do software da carteira”, de acordo com o slide deck. “A Chainalysis executa uma série de nós na rede Bitcoin ... e se um usuário se conecta a um de nossos nós, recebemos as informações acima.”

Esses dados podem ser uma bênção para os investigadores. Chainalysis cita o “Bem-vindo ao vídeo” prisão de rede de pornografia infantil. Um dos suspeitos naquele caso foi identificado em parte porque seu nó Bitcoin estava rodando na clearnet.

De fato, clientes governamentais recorrem à Chainalysis para obter ajuda para rastrear nós. O Office of Foreign Assets Control (OFAC) do Departamento do Tesouro é um desses parceiros: ele solicitou permissão no início de 2021 para utilizar a tecnologia “Rumker” da Chainalysis em um esforço para sancionar atores de Cripto .

Na terça-feira, o OFAC emitiu seuprimeira sanção contra uma exchange de Cripto por facilitar pagamentos de ransomware.

O fato de a Chainalysis executar seus próprios nós de captura de dados não seria uma surpresa para os Bitcoiners preocupados com a privacidade; a comunidade já suspeitava disso há muito tempo.

“Sempre soubemos que eles estavam executando nós - é apenas uma questão de quais serviços eles estão conectados”, disse Colin Harper, chefe de conteúdo da Luxor Tech, uma empresa de mineração de Bitcoin .

Ainda assim, a história ilustra o plano de jogo da Chainalysis em rastrear Cripto ilícitas para parceiros de aplicação da lei. Não é suficiente vasculhar históricos de transações públicas. Para ter sucesso, a empresa deve acumular tesouros de dados por si mesma.

ATUALIZAÇÃO (21 de setembro, 18:25 UTC):Adiciona detalhes sobrewalletexplorer.comno sexto parágrafo.

ATUALIZAÇÃO (21 de setembro, 19:25 UTC):Adiciona comentários do representante da comunidade Monero .

ATUALIZAÇÃO (21 de setembro, 21:15 UTC):Adiciona a seção final sobre o uso de nós no Chainalysis.