Dana 3. marta 2020., neposredno prije ručka u Washingtonu, DC, Stephen Ryan poslao je nekome u Ministarstvu finansija SAD-a zahvalnicu sa zanimljivim detaljima.
Glavni operativni direktor i suosnivač kompanije za istraživanje kriptovaluta CipherTrace, Ryan je bio jedan od 16 rukovodilaca koji su dan ranije prisustvovali industrijskom samitu s tadašnjim ministrom financija Stevenom Mnuchinom. Uz zahvalnost na sastanku, Ryan je priložio slajd špil koji je izložio strategiju CipherTracea za demistifikaciju kripto novčanika. Među tim metodama: "lonci meda".
Ovaj članak je dio CoinDesk-a Sedmica privatnosti serija.
Ryanova bilješka bila je dio gomile Mnuchinovih e-mailova od 250 stranica koje je CoinDesk dobio putem zahtjeva Zakona o slobodi informacija (FOIA). Dijelovi njegovog slajd paluba vrlo liče na CipherTraceove javne promotivne materijale. I oni su pominjali “honeypots” ili slične “lonce za kripto novac” od najmanje 2018.
Šta je CipherTrace mislio pod ovim terminima? Zajednica kibernetičke sigurnosti koristi frazu "lonac meda" da opiše metu mamaca koja prikuplja obavještajne podatke o nesuđenim napadačima. Drugim riječima, zamka.
CipherTrace, koji je platni gigant Mastercard kupio prošle jeseni po nepoznatoj cijeni, dio je kućne industrije koja prati raskršće kriptovaluta i kriminala vrijednog 14 milijardi dolara godišnje. Pregledavajući milione dnevnih transakcija zabilježenih na blockchain-ovima ili javnim knjigama, firme kao što su Chainalysis, TRM Labs i Elliptic traže crvene zastavice i nedozvoljena kretanja, označavajući sumnjive adrese dok odlaze.
Kompanije smatraju da su njihove usluge ključne za normalizaciju kriptovaluta i suzbijanje kriminala. Krivci kritikuju ove firme za praćenje kao narkomane na lancu, iako one prvenstveno rade sa javnim informacijama.
CipherTrace ne bi bila prva kompanija u ovoj niši koja je postavila zamke u nadi da će uhvatiti informacije koje se ne mogu pronaći na lancu. Chainalysis, vodeći dobavljač kripto praćenja, godinama posjeduje web-lokaciju za pretraživanje novčanika koja bilježi IP adrese posjetitelja i povezuje ih s blockchain adresama koje su tražili. Kompanija je priznala ovu praksu tek u oktobru, mjesec dana nakon što je CoinDesk objavio članak koji je skrenuo pažnju na to.
Više od pola tuceta veterana industrije kriptovaluta izjavilo je za CoinDesk da nemaju pojma šta CipherTrace podrazumijeva pod "honeypots". U izjavi dostavljenoj CoinDesku, kompanija sa sjedištem u Los Gatosu, Kalifornija, dala je osnovnu definiciju kompjuterske sigurnosti bez objašnjenja šta to znači u kontekstu analize blockchaina.
'Kriptonovac' ili 'honeypot' je sigurnosni termin koji se odnosi na mehanizam koji stvara virtuelnu zamku da bi namamio potencijalne napadače, rekao je CipherTrace, dodajući da su dokumenti u kojima se pominje ove taktike stari. „CipherTrace više ne koristi 'kripto lonce za novac',” kaže se (iako se na web stranici kompanije od četvrtka reklamiralo i lonce za novac i med).
CoinDesk je pitao CipherTrace: “Da li vaša firma prikuplja podatke o IP adresi u svrhu povezivanja sa adresama novčanika?”
Predstavnik CipherTrace-a je odgovorio: “Kao kompanija koja je fokusirana na privatnost, CipherTrace ne mapira IP podatke privatnim licima.”
Nije odgovorila na CoinDesk-ovo pitanje da li CipherTrace mapira IP adrese u novčanike. CoinDesk je po drugi put pitao da li CipherTrace mapira IP adrese u adrese novčanika. CipherTrace nije odgovorio.
Takva prikrivenost „često je pitanje u prostoru privatnosti, kada govorimo o mrežnim identifikatorima kao što su IP adrese“, rekao je Sean O'Brien, istraživač kibernetičke sigurnosti. „Kompanije pokušavaju da se distanciraju od onoga što biste tradicionalno nazvali ličnim podacima govoreći da su IP adrese nešto drugo. Zapravo, oni su nevjerovatno korisni za identifikaciju domaćinstava, preduzeća i pojedinaca.”
Na primjer, „ako trebate istražiti Bitcoin transakciju u vezi sa sumnjom na sajber kriminal, IP adrese su upravo ona vrsta informacija koju tražite“, rekao je O'Brien. “Najraniji slučajevi koji uključuju provođenje zakona i internet ovise o IP adresama kao dokazima, s dobrim razlogom. I, podjednako su korisni za uznemiravanje i uhođenje ljudi kao i za krivično gonjenje.”
Prateći novac
Kompanije za praćenje dugo su bile glavna, iako nedovoljno priznata sila u institucionalnom maršu kriptovaluta. Boreći se protiv percepcije da je bitcoin prvenstveno alat za kriminalno finansiranje, oni analiziraju podatke kako bi precizno odredili oskudan udio koji zapravo jeste.
Chainalysis je nedavno procijenio da je 0.15% kripto transakcija u 2021. bilo nezakonito – daleko najmanji postotak do sada. („Nedozvoljeni“ novčanici su prošle godine prikupili rekordnih 14 milijardi dolara, što je naizgled paradoksalan podatak koji je Chainalysis pripisao naglom rastu kriptovaluta.)
CipherTrace kaže da je njegova misija da "razvija ekonomiju kriptovaluta tako što će joj vlade vjerovati, sigurno za masovno usvajanje i zaštititi finansijske institucije od rizika od pranja kriptovaluta".
Preuzeto iz prezentacije podijeljene sa Ministarstvom trezora, taj opis bi vjerovatno dijelila svaka konkurentska firma. To je u središtu zabrinutosti klevetnika. Maksimalisti privatnosti vjeruju da bi radikalno transparentna, ali pseudonimna priroda Bitcoina trebala teći nezavisno od države, i vide rad ovih kompanija kao izdaju tog ideala.
“To je svojevrsna invazija na privatnost korisnika, na isti način na koji se možete žaliti na centralizirane kompanije za web analitiku koje prikupljaju IP adrese i stavljaju kolačiće na kompjutere ljudi i prate ih od stranice do web lokacije,” rekao je John Light, dugogodišnji kripto edukator, pisac, podcaster i organizator događaja.
On-chain analitika je, u svojoj srži, trka atribucije.
U krugovima kibernetičke sigurnosti, atribucija znači identificiranje počinitelja hakovanja. U kripto kontekstu, to se posebno odnosi na praksu blockchain tragača da povezuju pseudonimne adrese novčanika sa akterima koji se mogu identificirati. Ovi akteri mogu biti licencirane kripto berze ili čuvari, napadači ransomware-a, darknet tržišta ili sankcionisani pojedinci ili entiteti.
Na primjer: svako ko ima internet vezu može vidjeti da je, recimo, novčanik abc123 prenio 0.5 BTC na zxy987; ova informacija je sama po sebi prilično beskorisna. Ali baza podataka praćenja bi mogla dokumentirati da je američki Ured za kontrolu strane imovine identifikovao zxy987 kao da pripada sankcioniranom afričkom vojskovođi. Ili bi moglo pokazati da je bitcoin abc123 ukraden sa mjenjačnice.
To su vrijedne informacije za berze koje žele da prekinu nezakonite aktivnosti, za korisnike koji žele da održavaju svoje novčiće čistim, za vlade koje žele da prate novac. Ona se spaja kroz rigoroznu atribuciju.
Sa potencijalno milionima dolara u istražnim ugovorima koji se traže, ove kompanije imaju akutnu potrebu da iskopaju nove podatke o atribuciji. CipherTrace je, na primjer, od 20. sklopio 3.5 ugovora sa saveznim agencijama u vrijednosti do 2018 miliona dolara, a posljednji je posao vještaka, prema javnoj evidenciji.
U industriji koja nagrađuje stvaraoce nijansiranih, detaljnih skupova podataka o atribuciji – i polju u kojem su kriminalci gladni obavještajnih podataka kako bi im pomogli da izbjegnu pažnju – čuvanje tajnog sosa atribucije je najvažnije, rekla su dva dugogodišnja praktičara.
Ipak, u svom e-mailu Ministarstvu finansija, Ryan je ponudio okus „kako se postiže atribucija kriptovalute“. Honeypots su navedene kao jedna od “aktivnih” strategija u slajd špilu.
Chainalysis: Blockchain atribucija as
Najveći konkurent CipherTrace-a počeo je koristiti vlastitu novu tehniku tri godine prije.
Osnovan 2014. i procijenjen u junu na 4.2 milijarde dolara, Chainalysis je velika kahuna industrije praćenja. Skupio je desetine miliona dolara u saveznim ugovorima o prodaji softvera koji vizualizira aktivnost na lancu. Iako svako ko ima internet vezu može samostalno pregledati javne blockchain zapise, trebat će vam mala pomoć da shvatite šta ste pronašli u zečjoj rupi.
Ali pravi poslovni as tracera je njegov skup podataka o atribuciji, rekla su tri insajdera iz industrije. Nijedna druga kompanija nije prikupila toliko detaljnih podataka o novčaniku kao Chainalysis', rekli su izvori.
To je dijelom zato što nijedan drugi tragač nema tako veliki poslovni otisak. Chainalysis pruža softver za praćenje za 500 „provajdera usluga virtuelne imovine“ ili VASP, kako ih nazivaju regulatori. To je obostrano koristan odnos. Preduzeća dobijaju moćne alate za usklađenost sa kriptovalutama, a Chainalysis dodaje njihove adrese novčanika u svoju globalnu bazu podataka. Međutim, ne traži od klijenata podatke o njihovim klijentima.
“Ne možemo govoriti u ime svih drugih dobavljača. Moguće je da će drugi dobavljači zatražiti više informacija. Ali Chainalysis se bavi samo podacima o transakcijama na nivou usluge”, objasnila je kompanija u blog postu iz 2019. Drugim rečima, identifikuje samo preduzeća za koje zna da kontrolišu novčanike, a ne i ljude.
Ali to nije bila cijela priča, a klijenti Chainalysisa i javne informacije o novčanicima nisu bili jedini izvori informacija kompanije.
U projekciji slajdova bez datuma za italijansku policiju koja je procurila u septembru, prodajni tim Chainalysis je opisao kako ogromna mreža Bitcoin i Electrum novčanika čvorova kompanije hvata vrijedne korisničke podatke kao što su IP adrese iz povezanih novčanika. Ovo je pomoglo istražiteljima da prate značajne kriminalne tragove, navodi se u prezentaciji.
Slajd šou je takođe bacio novo svetlo na walletexplorer.com, popularni pretraživač Bitcoin blokova koji vodi Chainalysis od 2015. Prema dokumentima, za koje je CoinDesk potvrdio da su autentični, veb lokacija „grebe“ IP adrese sumnjivih korisnika, povezujući njihov otisak na internetu sa njihovim adresa novčanika. Ovaj skup podataka pružio je "smislene tragove" za provođenje zakona.
„Nikada nije bila tajna da je Chainalysis bio vlasnik i upravljao walletexplorer.com. Od 2015. na dnu početne stranice stoji izjava da autor stranice radi u Chainalysisu kao analitičar i programer”, rekao je portparol kompanije za CoinDesk.
Javna tajna, možda, ali jedva otvorena knjiga. Chainalysis je rijetko obraćao pažnju na činjenicu da walletexplorer.com usmjerava korisničke podatke u svoje druge poslovne linije.
Nekoliko sedmica nakon što je CoinDesk izvijestio o walletexplorer.com, web stranica je usvojila stranicu za otkrivanje privatnosti na kojoj je po prvi put objašnjeno kako njeni podaci ulaze u liniju proizvoda Chainalysis.
“Mi dijelimo informacije o Blockchain-u i informacije o posjetiteljima s našim drugim poslovnim linijama Chainalysis kako bi nam pomogli da isporučimo i poboljšamo te usluge. Na primjer, druge poslovne linije Chainalysis-a mogu koristiti informacije koje pružamo za bolje povezivanje jedne adrese Bitcoin novčanika s drugom adresom Bitcoin novčanika”, navodi se u politici od 14. oktobra.
“Nedavno smo dodali obavijest o privatnosti kako bismo pružili više informacija o tome kako Chainalysis interno koristi informacije prikupljene sa web stranice walletexplorer.com kako bismo poboljšali naše usluge,” rekao je glasnogovornik.
Ništa lično?
Iako ostaje nejasno šta tačno rade CipherTrace-ovi honeypots, ova reč evocira sistem koji navodno radi jednu stvar dok pokreće nešto drugo. Vlasnik novčanika koji se bavi “honeypotom” definitivno bi bio nesvjestan skrivenih motiva usluge.
Chainalysis, CipherTrace i Elliptic su prethodno izjavili da ne žele da vežu pojedince za novčanike. Njihov posao je u pomaganju vladama u istrazi kripto kriminala i održavanju usklađenosti razmjena.
Izlasci pojedinaca nisu dio te jednadžbe. Ove kompanije jednostavno prate novac, kažu.
"Blockchain inteligencija koju pružamo povezuje kripto transakcije sa stvarnim subjektima kao što su berze, darknet tržišta i sankcionisani entiteti", rekao je Ari Redbord, šef pravnih i državnih poslova za TRM Labs, za CoinDesk.
“Ova obavještajna informacija omogućava da kripto berza bude upozorena ako, na primjer, obradi transakciju koja uključuje adresu koja je ranije korištena za finansiranje terorizma”, rekao je. “Isto vrijedi i za transakcije uključene u hakove, ransomware, povlačenje tepiha i druge napade koji štete kripto investitorima i korisnicima.”
Ali "mi ne pripisujemo transakcije pojedincima", rekao je Redbord za TRM Labs.
Slično tome, predstavnik CipherTrace-a rekao je da „podatke o novčaniku ne pripisuje privatnim licima, sa izuzetkom sankcionisanih subjekata“. Učinio je to plodno, pohvalivši se u jednom postu na blogu iz 2019. pripisivanjem 72,000 iranskih IP adresa za 4.5 miliona novčanika.
Ostaje otvoreno pitanje da li CipherTrace pripisuje IP adrese drugim novčanicima. Vrhunski predstavnici kompanija kažu da ne čuvaju "lične informacije", već samo "informacije koje se mogu identifikovati".
„CipherTrace ne održava PII, mi održavamo BII“, rekao je izvršni direktor CipherTracea Dave Jevans u intervjuu u junu.
„Razumijemo, na primjer, koje adrese pripadaju kojoj razmjeni“, rekao je. “Ali mi ne pratimo pojedinačne informacije da ste vi na ovoj adresi; to nije naš posao. Ne želimo to da radimo. Shvatićemo gde novac dolazi, gde novac odlazi, a onda je na sudovima i organima za sprovođenje zakona,” da urade ostalo.
Kao što je O'Brien, istraživač kibernetičke sigurnosti, primijetio, čini se da CipherTraceova definicija informacija koje se mogu lično identifikovati isključuje IP adrese – zajedno sa fizičkim lokacijama, prema jednom od postova na blogu kompanije:
Izvor: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/