CipherTrace da Mastercard usou 'Honeypots' para reunir informações sobre carteiras Cripto

Em 3 de março de 2020, pouco antes do almoço em Washington, D.C., Stephen Ryan enviou a alguém do Departamento do Tesouro dos EUA uma nota de agradecimento com um detalhe curioso.

O diretor de operações e cofundador da empresa de investigação de Criptomoeda CipherTrace, Ryan foi um dos 16 executivos que compareceram a uma cúpula da indústria no dia anterior com o então Secretário do Tesouro Steven Mnuchin. Junto com sua gratidão pela reunião, Ryan anexou um slide deck que expôs a estratégia da CipherTrace para desmistificar carteiras de Cripto . Entre esses métodos: “potes de mel”.

Este artigo faz parte do CoinDesk’sSemana da Política de Privacidadesérie.

A nota de Ryan fazia parte de um acervo de 250 páginasE-mails de Mnuchin obtido pela CoinDesk por meio de uma Request da Lei de Liberdade de Informação (FOIA). Partes de seu slide deck lembram muito os materiais promocionais públicos da CipherTrace. Esses também fazem referência a “honeypots” ou aos similares “Cripto money pots”, desde pelo menos 2018.

O que fezRastreamento de Cifraquer dizer com esses termos? Ocibersegurançacomunidade usa a frase “honey pot” para descrever um alvo chamariz que coleta inteligência sobre invasores desavisados. Em outras palavras, uma armadilha.

A CipherTrace, que a gigante de pagamentos Mastercard comprou no outono passado por um preço não revelado, faz parte de uma indústria caseira que monitora a encruzilhada de US$ 14 bilhões por ano entre Criptomoeda e crime. Examinando milhões de transações diárias registradas em blockchains, ou livros-razão públicos, empresas como Chainalysis,Laboratórios TRM e Elípticoprocure por sinais de alerta e movimentos ilícitos, identificando endereços suspeitos conforme eles acontecem.

As empresas consideram seus serviços essenciais para normalizar a Cripto e acabar com o crime. Os detratores criticam essas empresas de rastreamento como narcóticos on-chain, embora trabalhem principalmente com informações públicas.

A CipherTrace T seria a primeira empresa neste nicho a armar armadilhas na esperança de capturar informações que T podem ser encontradas na cadeia. A Chainalysis, fornecedora líder de rastreamento de Cripto , possui há anos um site explorador de carteiras que captura os endereços IP dos visitantes e os vincula aos endereços de blockchain que eles pesquisaram. A empresa reconhecido essa prática somente em outubro, um mês após a CoinDesk publicar uma artigochamando a atenção para isso.

Mais de meia dúzia de veteranos da indústria de Criptomoeda disseram à CoinDesk que não tinham ideia do que a CipherTrace queria dizer com “honeypots”. Em uma declaração fornecida à CoinDesk, a empresa sediada em Los Gatos, Califórnia, deu a definição básica de segurança de computador sem explicar o que isso significava no contexto da análise de blockchain.

“Um 'pote de dinheiro Cripto ' ou 'honeypot' é um termo de segurança que se refere a um mecanismo que cria uma armadilha virtual para atrair possíveis invasores”, disse a CipherTrace, acrescentando que os documentos que mencionam essas táticas são antigos. “A CipherTrace não usa mais 'potes de dinheiro Cripto '", disse (embora o site da empresa tenha divulgado ambos dinheiro e potes de mela partir de quinta-feira).

CoinDesk perguntou à CipherTrace: “Sua empresa coleta dados de endereço IP com a finalidade de vinculá-los a endereços de carteira?”

Um representante da CipherTrace respondeu: “Como uma empresa focada em privacidade, a CipherTrace não mapeia dados de IP para indivíduos privados.”

Ela não respondeu à pergunta da CoinDesk sobre se a CipherTrace mapeia IPs para carteiras. A CoinDesk perguntou uma segunda vez se a CipherTrace mapeia endereços IP para endereços de carteira. A CipherTrace não respondeu.

Essa cautela “é um problema frequente no espaço da Política de Privacidade , quando falamos sobre identificadores de rede, como endereços IP”, disse Sean O'Brien, um pesquisador de segurança cibernética. “As empresas tentam se distanciar do que você tradicionalmente chamaria de informações pessoalmente identificáveis dizendo que endereços IP são outra coisa. Na verdade, eles são incrivelmente úteis para identificar lares, empresas e indivíduos.”

Por exemplo, “se você precisa investigar uma transação de Bitcoin relacionada a um crime cibernético suspeito, endereços IP são exatamente o tipo de informação que você estaria procurando”, disse O'Brien. “Os primeiros casos envolvendo a aplicação da lei e a internet dependem de endereços IP como evidência, por um bom motivo. E eles são tão úteis para assediar e perseguir pessoas quanto para processá-las.”

Seguindo o dinheiro

As empresas de rastreamento têm sido uma força importante, embora pouco reconhecida, na marcha institucional da cripto. Lutando contra a percepção de que o Bitcoin é principalmente uma ferramenta de Finanças criminoso, eles analisam os dados para identificar a escassa parcela que realmente é.

Chainalysis recentemente estimado que 0,15% das transações de Cripto em 2021 foram ilícitas – de longe a menor porcentagem já registrada. (Carteiras “ilícitas” acumularam um recorde de US$ 14 bilhões no ano passado, uma estatística aparentemente paradoxal que a Chainalysis atribuiu ao crescimento explosivo das criptomoedas.)

A CipherTrace diz que sua missão é “fazer a economia das Criptomoeda crescer, tornando-a confiável para os governos, segura para adoção em massa e protegendo as instituições financeiras dos riscos de lavagem de Cripto ”.

Tirada da apresentação compartilhada com o Departamento do Tesouro, essa descrição provavelmente seria compartilhada por todas as empresas concorrentes. Ela atinge o cerne das preocupações dos detratores. Os maximalistas da Política de Privacidade acreditam que a natureza radicalmente transparente, mas pseudônima, do Bitcoin deve FLOW independentemente do estado, e eles veem o trabalho dessas empresas como uma traição a esse ideal.

“É uma espécie de invasão de Política de Privacidade dos usuários, da mesma forma que você pode reclamar sobre empresas centralizadas de análise da web que estão coletando endereços IP e colocando cookies nos computadores das pessoas e rastreando-os de site para site”, disse João Luz, um educador de Cripto de longa data, escritor, podcaster e organizador de eventos.

A análise on-chain é, em sua CORE, uma corrida de atribuição.

Nos círculos de segurança cibernética,atribuição significa identificar os perpetradores de um hack. No contexto Cripto , refere-se especificamente à prática dos detetives de blockchain de vincular endereços de carteira pseudônimos a atores identificáveis. Esses atores podem ser exchanges ou custodiantes de Cripto licenciados, invasores de ransomware, mercados darknet ou indivíduos ou entidades sancionados.

Por exemplo: qualquer pessoa com uma conexão de internet pode ver que, digamos, a carteira abc123 transferiu 0,5 BTC para zxy987; essa informação é inútil por si só. Mas um banco de dados rastreador pode documentar que o US Office of Foreign Assets Control identificou zxy987 como pertencente a um senhor da guerra africano sancionado. Ou pode mostrar que o Bitcoin de abc123 foi roubado de uma exchange.

Essas são informações valiosas para exchanges que querem cortar atividades ilícitas, para usuários que querem KEEP suas moedas limpas, para governos que querem Siga o dinheiro. Elas se juntam por meio de atribuição rigorosa.

Com potencialmilhões de dólaresem contratos investigativos em disputa, essas empresas têm uma necessidade aguda de minerar novos dados de atribuição. A CipherTrace, por exemplo, marcou 20 contratos com agências federais, no valor de até US$ 3,5 milhões, desde 2018, o mais recente sendo um trabalho de testemunha especialista, de acordo com registros públicos.

Em um setor que recompensa os criadores de conjuntos de dados de atribuição detalhados e diferenciados — e um campo onde os criminosos estão famintos por inteligência para ajudá-los a passar despercebidos — proteger o Secret da atribuição é primordial, disseram dois profissionais de longa data.

No entanto, em seu e-mail para o Departamento do Tesouro, Ryan ofereceu uma amostra “de como a atribuição de Criptomoeda é alcançada”. Honeypots foram listados como uma das estratégias “ativas” no slide deck.

Chainalysis: ás da atribuição de blockchain

O maior concorrente da CipherTrace começou a operar sua própria técnica inovadora três anos antes.

Fundada em 2014 e avaliada em junho em4,2 mil milhões de dólares, Chainalysis é o grande kahuna da indústria de rastreamento. Ela acumulou dezenas de milhões de dólares em contratos federais vendendo software que visualiza a atividade on-chain. Embora qualquer pessoa com uma conexão de internet possa autoexaminar registros públicos de blockchain, você precisaria de uma ajudinha para entender o que encontrar na toca do coelho.

Mas o verdadeiro trunfo do tracer é seu conjunto de dados de atribuição, disseram três insiders do setor. Nenhuma outra empresa acumulou um tesouro de dados de carteira tão detalhados quanto a Chainalysis', disseram as fontes.

Isso ocorre em parte porque nenhum outro rastreador tem uma pegada comercial tão grande. A Chainalysis fornece software de rastreamento para 500 “provedores de serviços de ativos virtuais”, ou VASP, como os reguladores os chamam. É um relacionamento mutuamente benéfico. As empresas obtêm ferramentas poderosas de conformidade com Cripto , e a Chainalysis adiciona seus endereços de carteira ao seu banco de dados global. No entanto, ela não pede aos clientes dados sobre seus clientes.

“T podemos falar por todos os outros fornecedores. É possível que outros fornecedores peçam mais informações. Mas a Chainalysis está preocupada apenas com dados de transações de nível de serviço”, disse a empresa. explicadoem uma postagem de blog de 2019. Em outras palavras, ele identifica apenas empresas que ele sabe que controlam carteiras, não pessoas.

Mas essa T era toda a história, e os clientes da Chainalysis e as informações públicas sobre carteiras não eram as únicas fontes de informações da empresa.

Em um slideshow sem data para a polícia italiana que vazou em setembro, uma equipe de vendas da Chainalysis descreveu como a vasta rede de nós de carteiras Bitcoin e Electrum da empresa captura dados valiosos do usuário, como endereços IP, de carteiras conectadas. Isso ajudou os investigadores a Siga pistas criminais significativas, disse a apresentação.

A apresentação de slides também lançou uma nova luz sobrewalletexplorer.com, um popular explorador de blocos de Bitcoin executado pela Chainalysis desde 2015. De acordo com os documentos, que a CoinDesk verificou serem autênticos, o site “raspa” endereços IP de usuários suspeitos, vinculando sua pegada de internet com seu endereço de carteira. Este conjunto de dados forneceu “pistas significativas” para a aplicação da lei.

“Nunca foi Secret que a Chainalysis possuía e operava walletexplorer.com. Desde 2015, há uma declaração na parte inferior da página inicial de que o autor do site trabalha na Chainalysis como analista e programador”, disse um porta-voz da empresa ao CoinDesk.

Um Secret aberto, talvez, mas dificilmente um livro aberto. A Chainalysis raramente chamou a atenção para o fato de que walletexplorer.comestava canalizando dados de usuários para suas outras linhas de negócios.

Semanas após CoinDesk relatado sobre walletexplorer.com, o site adotou uma página de Aviso Importante de Política de Privacidade que explicava, pela primeira vez, como seu acervo de dados chega à linha de produtos Chainalysis .

“Compartilhamos Informações de Blockchain e Informações de Visitantes com nossas outras linhas de negócios da Chainalysis para nos ajudar a entregar e melhorar esses serviços. Por exemplo, outras linhas de negócios da Chainalysis podem usar as informações que fornecemos para conectar melhor um Endereço de Carteira Bitcoin a outro Endereço de Carteira Bitcoin ”, informou o comunicado de 14 de outubro. Política disse.

“Mais recentemente, adicionamos um aviso de Política de Privacidade para fornecer mais informações sobre como a Chainalysis usa internamente as informações coletadas do walletexplorer.comsite para ajudar a melhorar nossos serviços”, disse o porta-voz.

Nada pessoal?

Embora ainda não esteja claro exatamente o que os honeypots da CipherTrace fazem, a palavra evoca um sistema que pretende fazer uma coisa enquanto aciona outra. Um dono de carteira se envolvendo com um “honeypot” estaria definitivamente alheio aos motivos ocultos do serviço.

Chainalysis,Rastreamento de Cifra e Elíptico todos declararam anteriormente que não buscam amarrar indivíduos a carteiras. O negócio deles é ajudar governos a investigar crimes de Cripto e manter as exchanges em conformidade.

Expor indivíduos T faz parte dessa equação. Essas empresas simplesmente Siga o dinheiro, dizem.

“A inteligência de blockchain que fornecemos vincula transações de Cripto a entidades do mundo real, como bolsas, mercados darknet e entidades sancionadas”, disse Ari Redbord, chefe de assuntos legais e governamentais da TRM Labs, ao CoinDesk.

“Essa inteligência permite que uma exchange de Cripto seja alertada se, por exemplo, processar uma transação envolvendo um endereço que foi usado anteriormente para financiamento terrorista”, ele disse. “O mesmo se aplica a transações envolvidas em hacks, ransomware, rug pulls e outros ataques que prejudicam investidores e usuários de Cripto .”

Mas “não atribuímos transações a indivíduos”, disse Redbord sobre o TRM Labs.

Da mesma forma, o representante da CipherTrace disse que “não atribui dados de carteira a indivíduos privados, com exceção de entidades sancionadas”. Ela fez isso prolificamente, ostentando em um 2019 postagem de blogde atribuir 72.000 endereços IP iranianos a 4,5 milhões de carteiras.

Se a CipherTrace atribui endereços IP a outras carteiras continua sendo uma questão em aberto. Os altos executivos da empresa dizem que T mantêm “informações pessoalmente identificáveis”, apenas “informações comerciais identificáveis”.

“A CipherTrace não mantém PII, nós mantemos BII”, disse o CEO da CipherTrace, Dave Jevans, em uma entrevista em junho.

“Entendemos, por exemplo, quais endereços pertencem a qual exchange”, ele disse. “Mas T rastreamos informações individuais de que é você neste endereço; isso não é da nossa conta. T queremos fazer isso. Vamos descobrir de onde o dinheiro entra, de onde o dinheiro sai e então cabe aos tribunais e à polícia”, fazer o resto.

Como O'Brien, o pesquisador de segurança cibernética, observou, a definição de informações pessoalmente identificáveis ​​da CipherTrace parece excluir endereços IP – juntamente com localizações físicas, de acordo com um dos próprios postagens de blog: