У боротьбі за LINK реальних злочинців із їхніми анонімними скарбницями Bitcoin Chainalysis знайшов «важливу» перевагу: веб-сайт із блокуванням, який збирає адреси інтернет-протоколу (IP) відвідувачів.

Відповідно до витоку документів, розглянутих CoinDesk, Chainalysis, найбільша з фірм з відстеження блокчейнів, володіє та керує walletexplorer.com. Як і інші дослідники блоків, сервіс дозволяє будь-кому переглядати історію публічних адрес гаманців Криптовалюта . Згідно з документами, Chainalysis вважає, що зловмисники використовували б його сайт для перевірки транзакцій, не боячись «залишити «слід»» на Крипто .

Але там, де біржі – і, мабуть, більшість дослідників блоків – не дивляться, Chainalysis націлився. Він «збирає» IP-адреси підозрілих користувачів, які потрапляють у приманку walletexplorer.com за документами.

«Використовуючи цей набір даних, ми змогли надати правоохоронним органам значущі підказки, пов’язані з IP-даними, пов’язаними з адресою», — йдеться в документах, перекладених з італійської. «Також можна провести зворотний пошук будь-якої відомої IP-адреси, щоб ідентифікувати інші адреси BTC ».

Роблячи це, Chainalysis фактично використала непривабливий веб-сайт як зброю, не розкриваючи його зв’язків. Він ніколи публічно не асоціювався з walletexplorer.com, хоча в примітці внизу домашньої сторінки сайту зазначено, що його «автор» зараз працює в Chainalysis. Сайт створений у 2014 році, згідно документи про реєстрацію сайту які не згадують Chainalysis.

Представник Chainalysis відмовився від коментарів.

Документи, починаючи з недатованої презентації Chainalysis для італійської поліції, яка розслідує темну мережу, з’явилися ввечері в понеділок на DarkLeaks, яка сама є темною веб-сторінкою, доступною лише через анонімні браузери, такі як Tor. CoinDesk перевірив справжність документів.

Слайд-колода проливає нове світло на весь спектр інструментів, які використовує Chainalysis , щоб допомогти правоохоронним органам виловлювати злочинців. Компанія в першу чергу відома тим, що аналізує загальнодоступні дані транзакцій, а не використовує хитрощі.

Але, згідно з витоком слайдів, його приманка працює. Chainalysis процитував випадок у червні 2020 року walletexplorer.com викрали IP-адресу підозрюваного у програмі-вимагачі – через кілька годин після того, як його запідозрили у внесенні коштів через позабіржовий відділ (OTC) Крипто Huobi.

«Деміксування» Monero

Документи також показують, що Chainalysis вважає, що може відстежувати транзакції в Monero (XMR), яку багато хто вважає Криптовалюта з найсильнішим захистом Політика конфіденційності .

«Зі справ, над якими Chainalysis працював у співпраці з правоохоронними органами, ми змогли надати корисні підказки приблизно в 65% випадків, пов’язаних із [m]onero», — йдеться в документах.

Джастін Еренгофер, член робочої групи Monero Space, попередив, що не варто занадто багато читати в цій заяві.

«Використані потенційні клієнти» дуже неспецифічні та можуть означати багато речей», — написав він в електронному листі CoinDesk. "Наприклад, у найкращих випадках для правоохоронних органів це може призвести до реальних ідентифікацій, що стоять за транзакціями. Однак це також може стосуватися неправдивої інформації, такої як підроблена/викрадена ідентичність або адреса Tor. Усі метадані корисні в розслідуваннях, і ступінь, до якого ця інформація є надзвичайно змінною".

Так само слово «випадки» використовується широко, посилаючись на «всі випадки, пов’язані з Chainalysis, включаючи Monero, а не на конкретні транзакції Monero », — написав Еренхофер. «Отже, якщо хтось використав Monero , але потім також розкрив BAND , яка була використана, це, ймовірно, буде кваліфіковано як «успішний» випадок за мірками Chainalysis».

Тим не менш, він висловив застереження: «Користувачі Monero , які піклуються про свою Політика конфіденційності , повинні завжди використовувати Monero , використовуючи власний вузол. Хоча є деякі віддалені вузли Monero , доступні через Tor, все ж найкраще запустити свій власний».

Вузлові воїни

Ще один спосіб, у який Chainalysis збирає дані користувача Bitcoin, — це запуск вузлів, які перевіряють транзакції, підтверджують документи. Це дозволяє компанії фіксувати витоки даних у загальнодоступному Інтернеті або Clearnet із гаманців користувачів із спрощеною перевіркою платежів (SPV). Ці сервіси були розроблені, щоб віддати перевагу простому сховищу над надійною безпекою (хоча, чесно кажучи, вони, можливо, більш безпечні, ніж гаманці, які покладаються на API для перевірки транзакцій).

«Недоліком цього дизайну є те, що коли гаманець користувача підключається до мережі, відкривається різноманітна інформація — IP-адреса користувача, повний набір адрес у гаманці (використаних і невикористовуваних) і версія програмного забезпечення гаманця», — йдеться в слайдах. «Chainalysis запускає низку вузлів у мережі Bitcoin ... і якщо користувач підключається до ONE з наших вузлів, ми отримуємо наведену вище інформацію».

Ці дані можуть стати благом для слідчих. Chainalysis цитує «Ласкаво просимо до відеоONE із підозрюваних у цій справі був ідентифікований частково через те, що його Bitcoin вузол працював у клірнеті.

Дійсно, державні клієнти звертаються до Chainalysis за допомогою у відстеженні вузлів. Управління контролю за іноземними активами Міністерства фінансів (OFAC) є ONE із таких партнерів: на початку 2021 року воно попросило дозволу на використання технології «Rumker» Chainalysis, щоб накласти санкції на Крипто .

У вівторок OFAC оприлюднив його перша в історії санкція проти Крипто за сприяння платежам програм-вимагачів.

Те, що Chainalysis використовує власні вузли збору даних, не стане сюрпризом для біткойнерів, які зосереджені на конфіденційності; спільнота давно про це підозрювала.

«Ми завжди знали, що вони працюють з вузлами — справа лише в тому, до яких сервісів вони підключені», — сказав Колін Харпер, керівник відділу контенту Luxor Tech, компанії з видобутку Bitcoin .

Тим не менш, історія ілюструє план гри Chainalysis щодо відстеження незаконної Крипто для партнерів з правоохоронних органів. Недостатньо переглядати загальнодоступні історії транзакцій. Щоб досягти успіху, компанія повинна сама накопичувати дані.

ОНОВЛЕННЯ (21 вересня, 18:25 UTC): Додає подробиці про walletexplorer.com в абзаці шостому.

ОНОВЛЕННЯ (21 вересня, 19:25 UTC): Додає коментарі від представника спільноти Monero .

ОНОВЛЕННЯ (21 вересня, 21:15 UTC): Додає останній розділ про використання вузлів Chainalysis.