Эксперт по безопасности утверждает, что пользователи блокчейн-сети SharedCoin могут быть идентифицированы

По словам известного эксперта по безопасности, пользователям Bitcoin , которым необходима серьезная Политика конфиденциальности транзакций, следует избегать популярных сервисов, таких как SharedCoin от Blockchain и других реализаций CoinJoin.

Консультант Кристов ATLAS, автор книги <a href="http://anonymousbitcoinbook.com/">http://anonymousbitcoinbook.com/</a> Анонимный Bitcoinопубликовал сегодня предупреждение о безопасности, в котором говорится, что уязвимости SharedCoin обеспечивают Политика конфиденциальности только от «неквалифицированных экспертов по блокчейну Bitcoin » — и то лишь до тех пор, пока более сложные инструменты анализа не станут достаточно удобными для использования среднестатистическим пользователем.

Генеральный директор Blockchain Николас Кэри заявил, что он удовлетворен исследованием и тем, как оно было проведено:

«Мы тесно общаемся с Кристовым и ценим его усердие. Он серьезно относится к Политика конфиденциальности , и мы тоже».

МонетаПрисоединяйтесь к судоку

Используя созданный им программный инструмент под названием «CoinJoin Sudoku», ATLAS проанализировал тысячи транзакций, идентифицированных как использующие SharedCoin, и определил, что он может выявить связи между конкретными платежами и получателями платежей.

Coinjoin Судоку

Работает путем поиска общего права собственности на множественные входы и выходы транзакций, которые SharedCoin использует для сокрытия личности, группируя их там, где входящие и исходящие суммы совпадают.

Блокчейн

ответил на предупреждениезапись в блогенапоминая клиентам, что SharedCoin и CoinJoin обеспечивают защиту только от «случайных наблюдателей».

«Они не мешают целеустремленному следователю сопоставлять транзакции, а злоумышленнику, имеющему информацию о конкретных адресах, сопоставлять их с конкретными платежами и получателями платежей».

Как работает SharedCoin

Blockchain.info's

SharedCoinсервис представляет собой реализацию с открытым исходным кодомhttps://github.com/blockchain/SharedcoinМонетаПрисоединиться протокол Политика конфиденциальности , часто называемый «миксером».

В то время как транзакции в блокчейне Bitcoin открыты для всеобщего просмотра (по крайней мере, на уровне публичных адресов), SharedCoin соберет группу пользователей, желающих повысить Политика конфиденциальности , и объединит их транзакции в ONE «главную транзакцию» перед ее трансляцией в сеть.

Транзакция, которая затем появится в блокчейне, будет иметь несколько выходов и входов, что предположительно сделает ее бесполезной для анализа.

Клиенты могут выбрать количество повторений процесса SharedCoin: от двух до десяти.

Предлагая пользователям повышенную Политика конфиденциальности , SharedCoin и сервисы микширования надеются лучше защитить всех пользователей, сделав блокчейн Bitcoin в целом менее надежным инструментом для привязки адресов Bitcoin к отдельным лицам.

Потребность в Политика конфиденциальности

Блокчейн официальноначал предлагатьSharedCoin был представлен пользователям в качестве бесплатного сервиса в ноябре прошлого года, примерно в то время, когда Мэтт МеллонПроверка монет' и другие услуги появились, которыеобещал отслеживатьконкретные биткойны и адреса, связанные с подозрительной или другой деятельностью, достойной расследования. Однако он не утверждал, что обеспечивает 100% защиту от таких услуг.

Инструменты смешивания старого стиля (также известные как «тумблеры») пересылали платеж по нескольким разным адресам, чтобы затруднить обнаружение отправителя, обычно на частном сервере или «вне цепочки». Однако такие системы требовали от пользователей доверия, что анонимные операторы просто не конфискуют и не украдут биткоины до того, как они выйдут из миксера.

SharedCoin и сам протокол CoinJoin создали систему, требующую меньшего доверия к оператору, поскольку она использует возможность транзакции Bitcoin иметь несколько входов и выходов.

Обработка транзакций

ATLAS проанализировал 20 000 транзакций в 45 блоках блокчейна Bitcoin и обнаружил, что около 2,6% соответствуют профилю транзакции SharedCoin.

CoinJoin Sudoku выявил группы внутри транзакции с равными суммами (отмечены красным и синим на схеме ниже), затем проверил входные и выходные данные по ONE цифре за раз, чтобы выявить возможные взаимосвязи.

В настоящее время, написал он, новый инструмент все еще неэффективен и требует более 30 часов для завершения анализа на одном процессоре, даже с введенными им ограничениями тестирования. Более тщательная деанонимизация заняла бы гораздо больше времени, хотя и оставалась бы возможной.

«Несмотря на ограничения, инструмент смог сгруппировать 69% входов и 53% выходов одной транзакции».

Благодаря такому типу группировки он мог идентифицировать максимум двух пользователей в рамках одной транзакции.

ATLAS рекомендует всем, кто использует SharedCoin, установить максимальное количество циклов — 10, помня при этом, что даже это не гарантирует 100% Политика конфиденциальности.

Зараза

Блокчейн предоставляет инструмент «Taint Analysis» для проверки отслеживаемости средств и предназначен для оценки эффективности миксеров. Если он работает, пользователи не смогут идентифицировать адреса отправителей в списке.

ATLAS утверждает, что анализ несоответствий является «плохим измерением» для этого, определяя 100% и 50% вероятность связи между выходом и двумя входами, тогда как анализ несоответствий заявлял 4,2% и 4,5% соответственно.

Он планирует выпустить CoinJoin Sudoku как проект с открытым исходным кодом через две недели. Задержка, по его словам, была сделана для того, чтобы предоставить пользователям SharedCoin достаточно времени для принятия мер, необходимых для защиты их Политика конфиденциальности.

Ответ блокчейна

Компания Blockchain сообщила, что выплатила ATLAS вознаграждение (через SharedCoin) за обнаружение уязвимости и сотрудничала с ним для координации графика публикации информации:

«Blockchain.info искренне ценит вдумчивый характер этого Раскрытие информации от члена сообщества Кристова ATLAS. Мы с нетерпением ждем совместной работы с г-ном ATLAS и другими исследователями в области безопасности над будущими улучшениями и усовершенствованиями SharedCoin».





«Как всегда, Blockchain.info стремится к прозрачности, развитию сообщества и улучшению услуг Bitcoin для всех».

Компания пригласила всех посетить ееРепозиторий GitHubдля обзора многочисленных проектов с открытым исходным кодом.

«Если вы хотите по-настоящему скрыть транзакции, SharedCoin и другие реализации CoinJoin не Для вас, они недостаточны и не удобны. SharedCoin обеспечивает базовый уровень улучшенной Политика конфиденциальности транзакций, но T гарантирует анонимности, да это и не было задумано».

Блокчейн рассматривает основную базу пользователей SharedCoin как корпорации, желающие защитить Политика конфиденциальности заработной платы и платежей по счетам, частных лиц, желающих не публиковать данные о зарплатах или чаевых, а также политические и благотворительные организации, защищающие своих спонсоров.

По словам Blockchain, SharedCoin на самом деле «не является сервисом микширования», поскольку он никогда не контролирует и не отправляет какие-либо средства от имени своих пользователей.

Повторяя предупреждение, которое часто дается тем, кто утверждает, что платежная сеть Bitcoin является «анонимной», компания заявила, что любой человек, обладающий достаточным временем, деньгами, мотивацией и вычислительной мощностью, может сопоставлять выходные и входные данные транзакций.

Изображение черезигорь.стеванович/Шаттерсток