Στις 3 Μαρτίου 2020, λίγο πριν από το μεσημέρι στην Ουάσιγκτον, DC, ο Stephen Ryan έστειλε σε κάποιον στο Υπουργείο Οικονομικών των ΗΠΑ ένα ευχαριστήριο σημείωμα με μια περίεργη λεπτομέρεια.
Ο Διευθύνων Σύμβουλος και συνιδρυτής της εταιρείας κρυπτονομισμάτων CipherTrace, ο Ryan ήταν ένα από τα 16 στελέχη που παρακολούθησαν μια σύνοδο κορυφής του κλάδου την προηγούμενη μέρα με τον τότε υπουργό Οικονομικών, Steven Mnuchin. Μαζί με την ευγνωμοσύνη του για τη συνάντηση, ο Ryan επισύναψε ένα slide deck που παρουσίαζε τη στρατηγική της CipherTrace για την απομυθοποίηση των κρυπτογραφικών πορτοφολιών. Μεταξύ αυτών των μεθόδων: «γλάστρες με μέλι».
Αυτό το άρθρο είναι μέρος του CoinDesk's Εβδομάδα απορρήτου σειρές.
Το σημείωμα του Ράιαν ήταν μέρος ενός θησαυρού 250 σελίδων με μηνύματα ηλεκτρονικού ταχυδρομείου του Mnuchin που έλαβε το CoinDesk μέσω ενός αιτήματος για το Freedom of Information Act (FOIA). Τμήματα του slide deck του μοιάζουν πολύ με το δημόσιο διαφημιστικό υλικό της CipherTrace. Και αυτά, επίσης, αναφέρουν τα "honeypots" ή τα παρόμοια "crypto money pots", τουλάχιστον από το 2018.
Τι εννοούσε το CipherTrace με αυτούς τους όρους; Η κοινότητα της κυβερνοασφάλειας χρησιμοποιεί τη φράση «honey pot» για να περιγράψει έναν στόχο δόλωμα που συλλέγει πληροφορίες για ανυποψίαστους επιτιθέμενους. Με άλλα λόγια, παγίδα.
Η CipherTrace, την οποία ο γίγαντας πληρωμών Mastercard αγόρασε το περασμένο φθινόπωρο σε άγνωστη τιμή, είναι μέρος μιας βιομηχανίας εξοχικών σπιτιών που παρακολουθεί το σταυροδρόμι των 14 δισεκατομμυρίων δολαρίων ετησίως κρυπτονομισμάτων και εγκληματικότητας. Κοσκινίζοντας εκατομμύρια καθημερινές συναλλαγές που καταγράφονται σε blockchains ή δημόσια λογιστικά βιβλία, εταιρείες όπως οι Chainalysis, TRM Labs και Elliptic αναζητούν κόκκινες σημαίες και παράνομες κινήσεις, επισημαίνοντας ύποπτες διευθύνσεις καθώς πηγαίνουν.
Οι εταιρείες θεωρούν τις υπηρεσίες τους ως απαραίτητες για την ομαλοποίηση της κρυπτογράφησης και την εξάλειψη του εγκλήματος. Οι επικριτές επικρίνουν αυτές τις εταιρείες ιχνηλάτησης ως ναρκωτικά μέσα στην αλυσίδα, παρόλο που εργάζονται κυρίως με δημόσιες πληροφορίες.
Η CipherTrace δεν θα ήταν η πρώτη εταιρεία σε αυτή τη θέση που έβαλε παγίδες με την ελπίδα να συλλάβει πληροφορίες που δεν μπορούν να βρεθούν στην αλυσίδα. Η Chainalysis, ο κορυφαίος προμηθευτής ανίχνευσης κρυπτογράφησης, έχει εδώ και χρόνια έναν ιστότοπο εξερευνητή πορτοφολιών που καταγράφει τις διευθύνσεις IP των επισκεπτών και τους συνδέει με τις διευθύνσεις blockchain που αναζήτησαν. Η εταιρεία αναγνώρισε αυτήν την πρακτική μόλις τον Οκτώβριο, ένα μήνα μετά τη δημοσίευση ενός άρθρου της CoinDesk που εφιστούσε την προσοχή σε αυτήν.
Περισσότεροι από μισή ντουζίνα βετεράνοι της βιομηχανίας κρυπτονομισμάτων είπαν στο CoinDesk ότι δεν είχαν ιδέα τι σήμαινε το CipherTrace με τον όρο «honeypots». Σε μια δήλωση που δόθηκε στο CoinDesk, η εταιρεία με έδρα το Los Gatos της Καλιφόρνια έδωσε τον βασικό ορισμό της ασφάλειας των υπολογιστών χωρίς να εξηγήσει τι σήμαινε στο πλαίσιο της ανάλυσης blockchain.
«Ένα «κρυπτοδοχείο χρημάτων» ή «honeypot» είναι ένας όρος ασφαλείας που αναφέρεται σε έναν μηχανισμό που δημιουργεί μια εικονική παγίδα για να δελεάσει επίδοξους επιτιθέμενους», είπε η CipherTrace, προσθέτοντας ότι τα έγγραφα που αναφέρουν αυτές τις τακτικές είναι παλιά. «Το CipherTrace δεν χρησιμοποιεί πλέον «δοχεία κρυπτογράφησης χρημάτων»», ανέφερε (αν και ο ιστότοπος της εταιρείας διαφημίζει τόσο τα χρήματα όσο και τα δοχεία μελιού από την Πέμπτη).
Η CoinDesk ρώτησε την CipherTrace: «Συλλέγει η εταιρεία σας δεδομένα διευθύνσεων IP για τους σκοπούς της σύνδεσής τους με διευθύνσεις πορτοφολιού;»
Ένας εκπρόσωπος της CipherTrace απάντησε: «Ως εταιρεία που εστιάζει στο απόρρητο, η CipherTrace δεν αντιστοιχίζει δεδομένα IP σε ιδιώτες».
Δεν απάντησε στην ερώτηση του CoinDesk για το αν η CipherTrace αντιστοιχίζει IP σε πορτοφόλια. Το CoinDesk ρώτησε για δεύτερη φορά εάν το CipherTrace αντιστοιχίζει διευθύνσεις IP σε διευθύνσεις πορτοφολιού. Το CipherTrace δεν απάντησε.
Αυτός ο εγκλωβισμός «είναι ένα συχνό ζήτημα στον χώρο της ιδιωτικής ζωής, όταν μιλάμε για αναγνωριστικά δικτύου όπως διευθύνσεις IP.», δήλωσε ο Sean O'Brien, ερευνητής στον τομέα της ασφάλειας στον κυβερνοχώρο. «Οι εταιρείες προσπαθούν να αποστασιοποιηθούν από αυτό που παραδοσιακά θα αποκαλούσατε πληροφορίες προσωπικής ταυτοποίησης λέγοντας ότι οι διευθύνσεις IP είναι κάτι άλλο. Στην πραγματικότητα, είναι απίστευτα χρήσιμα για τον εντοπισμό νοικοκυριών, επιχειρήσεων και ατόμων».
Για παράδειγμα, «αν χρειάζεται να διερευνήσετε μια συναλλαγή Bitcoin που σχετίζεται με ένα ύποπτο έγκλημα στον κυβερνοχώρο, οι διευθύνσεις IP είναι ακριβώς το είδος των πληροφοριών που θα αναζητούσατε», είπε ο O'Brien. «Οι πρώτες υποθέσεις που αφορούν την επιβολή του νόμου και το Διαδίκτυο βασίζονται στις διευθύνσεις IP ως αποδεικτικά στοιχεία, για καλό λόγο. Και, είναι εξίσου χρήσιμα για να παρενοχλούν και να καταδιώκουν τους ανθρώπους όσο και να τους διώκουν».
Ακολουθώντας τα χρήματα
Οι εταιρείες ιχνηλάτησης είναι εδώ και πολύ καιρό μια σημαντική αν και υπο-αναγνωρισμένη δύναμη στη θεσμική πορεία των κρυπτονομισμάτων. Αντιμετωπίζοντας την αντίληψη ότι το bitcoin είναι κατά κύριο λόγο ένα εργαλείο εγκληματικής χρηματοδότησης, αναλύουν τα δεδομένα για να εντοπίσουν το πενιχρό μερίδιο που είναι στην πραγματικότητα.
Η Chainalysis εκτίμησε πρόσφατα ότι το 0.15% των συναλλαγών κρυπτογράφησης το 2021 ήταν παράνομες – μακράν το μικρότερο ποσοστό που έχει καταγραφεί. (Τα «παράνομα» πορτοφόλια συγκέντρωσαν το ρεκόρ των 14 δισεκατομμυρίων δολαρίων πέρυσι, μια φαινομενικά παράδοξη στατιστική που η Chainalysis απέδωσε στην άνθηση της κρυπτογράφησης.)
Η CipherTrace λέει ότι η αποστολή της είναι «να αναπτύξει την οικονομία των κρυπτονομισμάτων καθιστώντας την αξιόπιστη από τις κυβερνήσεις, ασφαλή για μαζική υιοθέτηση και προστατεύοντας τα χρηματοπιστωτικά ιδρύματα από κινδύνους ξεπλύματος κρυπτονομισμάτων».
Από την παρουσίαση που κοινοποιήθηκε στο Υπουργείο Οικονομικών, αυτή η περιγραφή πιθανότατα θα κοινοποιηθεί σε κάθε ανταγωνιστική εταιρεία. Βρίσκεται στο επίκεντρο των ανησυχιών των επικριτών. Οι μαξιμαλιστές της ιδιωτικής ζωής πιστεύουν ότι η ριζικά διαφανής αλλά ψευδώνυμη φύση του Bitcoin θα πρέπει να ρέει ανεξάρτητα από το κράτος και βλέπουν το έργο αυτών των εταιρειών ως προδοσία αυτού του ιδανικού.
"Είναι ένα είδος παραβίασης της ιδιωτικής ζωής των χρηστών, με τον ίδιο τρόπο που μπορεί να παραπονεθείτε για κεντρικές εταιρείες ανάλυσης ιστού που συλλέγουν διευθύνσεις IP και τοποθετούν cookies στους υπολογιστές των ανθρώπων και τους παρακολουθούν από ιστότοπο σε ιστότοπο", δήλωσε ο John Light, ένας μακροχρόνιος κρυπτογράφος. εκπαιδευτικός, συγγραφέας, podcaster και διοργανωτής εκδηλώσεων.
Το On-chain analytics είναι, στον πυρήνα του, ένας αγώνας απόδοσης.
Στους κύκλους της κυβερνοασφάλειας, η απόδοση σημαίνει ταυτοποίηση των δραστών μιας πειρατείας. Στο πλαίσιο της κρυπτογράφησης, αναφέρεται συγκεκριμένα στην πρακτική των μπλοκ αλυσίδων sleuth να συνδέουν ψευδώνυμα διευθύνσεις πορτοφολιών με αναγνωρίσιμους παράγοντες. Αυτοί οι παράγοντες θα μπορούσαν να είναι αδειοδοτημένοι ανταλλακτήρια κρυπτογράφησης ή θεματοφύλακες, επιτιθέμενοι ransomware, αγορές darknet ή κυρώσεις σε άτομα ή οντότητες.
Για παράδειγμα: Οποιοσδήποτε έχει σύνδεση στο διαδίκτυο μπορεί να δει ότι, για παράδειγμα, το πορτοφόλι abc123 μετέφερε 0.5 BTC στο zxy987. αυτές οι πληροφορίες είναι μάλλον άχρηστες από μόνες τους. Ωστόσο, μια βάση δεδομένων ιχνηλάτη μπορεί να τεκμηριώσει ότι το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων των ΗΠΑ έχει αναγνωρίσει ότι το zxy987 ανήκει σε έναν Αφρικανό πολέμαρχο που έχει υποστεί κυρώσεις. Ή θα μπορούσε να δείξει ότι το bitcoin του abc123 κλάπηκε από μια ανταλλαγή.
Αυτές είναι πολύτιμες πληροφορίες για ανταλλακτήρια που θέλουν να κόψουν την παράνομη δραστηριότητα, για χρήστες που θέλουν να διατηρήσουν τα νομίσματά τους καθαρά, για κυβερνήσεις που θέλουν να ακολουθήσουν τα χρήματα. Συνδυάζεται μέσω αυστηρής απόδοσης.
Με δυνητικά εκατομμύρια δολάρια σε ερευνητικά συμβόλαια προς αρπαγή, αυτές οι εταιρείες έχουν έντονη ανάγκη να εξορύξουν νέα δεδομένα απόδοσης. Η CipherTrace, για παράδειγμα, έχει συνάψει 20 συμβόλαια με ομοσπονδιακούς οργανισμούς, αξίας έως και 3.5 εκατομμυρίων δολαρίων, από το 2018, με το πιο πρόσφατο να είναι μια θέση ειδικού μάρτυρα, σύμφωνα με δημόσια αρχεία.
Σε έναν κλάδο που ανταμείβει τους κατασκευαστές λεπτών, λεπτομερών συνόλων δεδομένων απόδοσης – και σε ένα πεδίο όπου οι εγκληματίες διψούν για πληροφορίες που θα τους βοηθήσουν να μην παρατηρήσουν – η φύλαξη της μυστικής σάλτσας απόδοσης είναι πρωταρχικής σημασίας, είπαν δύο μακροχρόνιοι επαγγελματίες.
Ωστόσο, στο email του προς το Υπουργείο Οικονομικών, ο Ryan πρόσφερε μια γεύση «του πώς επιτυγχάνεται η απόδοση κρυπτονομισμάτων». Τα Honeypots αναφέρθηκαν ως μία από τις «ενεργές» στρατηγικές στο slide deck.
Chainalysis: Blockchain Attribution ace
Ο μεγαλύτερος ανταγωνιστής της CipherTrace άρχισε να λειτουργεί τη δική του νέα τεχνική τρία χρόνια πριν.
Η Chainalysis, η οποία ιδρύθηκε το 2014 και αποτιμήθηκε τον Ιούνιο στα 4.2 δισεκατομμύρια δολάρια, είναι το μεγάλο kahuna της βιομηχανίας εντοπισμού. Έχει συγκεντρώσει δεκάδες εκατομμύρια δολάρια σε ομοσπονδιακά συμβόλαια πώλησης λογισμικού που απεικονίζει τη δραστηριότητα εντός της αλυσίδας. Ενώ οποιοσδήποτε έχει σύνδεση στο Διαδίκτυο μπορεί να κοσκινίσει μόνος του τις δημόσιες εγγραφές blockchain, θα χρειαστείτε λίγη βοήθεια για να κατανοήσετε τι βρίσκετε στην τρύπα του κουνελιού.
Ωστόσο, ο πραγματικός επιχειρηματικός άσος του ιχνηλάτη είναι το σύνολο δεδομένων απόδοσης, είπαν τρεις γνώστες του κλάδου. Καμία άλλη εταιρεία δεν έχει συγκεντρώσει τόσο λεπτομερή δεδομένα πορτοφολιού όσο η Chainalysis, ανέφεραν οι πηγές.
Αυτό οφείλεται εν μέρει στο ότι κανένας άλλος ιχνηλάτης δεν έχει τόσο τεράστιο επιχειρηματικό αποτύπωμα. Η Chainalysis παρέχει λογισμικό ανίχνευσης σε 500 «παρόχους υπηρεσιών εικονικών περιουσιακών στοιχείων» ή VASP, όπως τους αποκαλούν οι ρυθμιστικές αρχές. Είναι μια αμοιβαία επωφελής σχέση. Οι επιχειρήσεις λαμβάνουν ισχυρά εργαλεία συμμόρφωσης με κρυπτογράφηση και η Chainalysis προσθέτει τις διευθύνσεις πορτοφολιού τους στην παγκόσμια βάση δεδομένων της. Ωστόσο, δεν ζητά από τους πελάτες δεδομένα για τους πελάτες τους.
«Δεν μπορούμε να μιλήσουμε για όλους τους άλλους προμηθευτές. Είναι πιθανό άλλοι πωλητές να ζητήσουν περισσότερες πληροφορίες. Αλλά η Chainalysis ασχολείται μόνο με δεδομένα συναλλαγών σε επίπεδο υπηρεσίας», εξήγησε η εταιρεία σε μια ανάρτηση ιστολογίου του 2019. Με άλλα λόγια, προσδιορίζει μόνο επιχειρήσεις που γνωρίζει ότι ελέγχει πορτοφόλια, όχι άτομα.
Αλλά αυτή δεν ήταν όλη η ιστορία, και οι πελάτες της Chainalysis και οι δημόσιες πληροφορίες σχετικά με τα πορτοφόλια δεν ήταν οι μόνες πηγές πληροφοριών της εταιρείας.
Σε μια αχρονολόγητη παρουσίαση για την ιταλική αστυνομία που διέρρευσε τον Σεπτέμβριο, μια ομάδα πωλήσεων της Chainalysis περιέγραψε πώς το τεράστιο δίκτυο κόμβων πορτοφολιών Bitcoin και Electrum της εταιρείας καταγράφει πολύτιμα δεδομένα χρηστών, όπως διευθύνσεις IP από τα πορτοφόλια σύνδεσης. Αυτό βοήθησε τους ερευνητές να ακολουθήσουν σημαντικά εγκληματικά στοιχεία, ανέφερε η παρουσίαση.
Η παρουσίαση έριξε επίσης νέο φως στο walletexplorer.com, έναν δημοφιλή εξερευνητή μπλοκ Bitcoin που διευθύνεται από την Chainalysis από το 2015. Σύμφωνα με τα έγγραφα, τα οποία το CoinDesk επαλήθευσε ότι ήταν αυθεντικά, ο ιστότοπος «ξύνει» τις διευθύνσεις IP ύποπτων χρηστών, συνδέοντας το αποτύπωμά τους στο Διαδίκτυο με το διεύθυνση πορτοφολιού. Αυτό το σύνολο δεδομένων παρείχε «σημαντικές ενδείξεις» για την επιβολή του νόμου.
«Δεν ήταν ποτέ μυστικό ότι η Chainalysis κατείχε και διαχειριζόταν το walletexplorer.com. Από το 2015 υπάρχει μια δήλωση στο κάτω μέρος της αρχικής σελίδας ότι ο συγγραφέας του ιστότοπου εργάζεται στην Chainalysis ως αναλυτής και προγραμματιστής», δήλωσε εκπρόσωπος της εταιρείας στο CoinDesk.
Ένα ανοιχτό μυστικό, ίσως, αλλά σχεδόν ένα ανοιχτό βιβλίο. Η Chainalysis σπάνια έδινε την προσοχή στο γεγονός ότι το walletexplorer.com διοχέτευε δεδομένα χρηστών στις άλλες επιχειρηματικές του γραμμές.
Εβδομάδες αφότου το CoinDesk ανέφερε στο walletexplorer.com, ο ιστότοπος υιοθέτησε μια σελίδα αποκάλυψης απορρήτου που διευκρίνιζε, για πρώτη φορά, πώς τα δεδομένα του κατευθύνονται στη σειρά προϊόντων Chainalysis.
«Μοιραζόμαστε πληροφορίες Blockchain και πληροφορίες επισκεπτών με τις άλλες επιχειρηματικές μας γραμμές Chainalysis για να μας βοηθήσουν να παρέχουμε και να βελτιώσουμε αυτές τις υπηρεσίες. Για παράδειγμα, άλλες επιχειρηματικές γραμμές της Chainalysis ενδέχεται να μπορούν να χρησιμοποιήσουν τις πληροφορίες που παρέχουμε για να συνδέσουν καλύτερα μια Διεύθυνση Πορτοφολιού Bitcoin με μια άλλη Διεύθυνση Πορτοφολιού Bitcoin», αναφέρεται στην πολιτική της 14ης Οκτωβρίου.
«Πρόσφατα προσθέσαμε μια σημείωση απορρήτου για να παρέχουμε περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο η Chainalysis χρησιμοποιεί εσωτερικά τις πληροφορίες που συλλέγονται από τον ιστότοπο walletexplorer.com για να βοηθήσουν στη βελτίωση των υπηρεσιών μας», είπε ο εκπρόσωπος.
Τίποτα προσωπικό?
Ενώ παραμένει ασαφές τι ακριβώς κάνουν τα honeypot της CipherTrace, η λέξη προκαλεί ένα σύστημα που υποτίθεται ότι κάνει ένα πράγμα ενώ ενεργοποιεί κάτι άλλο. Ένας ιδιοκτήτης πορτοφολιού που ασχολείται με ένα "honeypot" θα αγνοούσε οριστικά τα απώτερα κίνητρα της υπηρεσίας.
Οι Chainalysis, CipherTrace και Elliptic έχουν δηλώσει προηγουμένως ότι δεν επιδιώκουν να δέσουν άτομα με πορτοφόλια. Η επιχείρησή τους είναι να βοηθούν τις κυβερνήσεις να διερευνήσουν το έγκλημα κρυπτογράφησης και να διατηρούν τις ανταλλαγές συμβατές.
Η έξοδος με άτομα δεν είναι μέρος αυτής της εξίσωσης. Αυτές οι εταιρείες απλώς ακολουθούν τα χρήματα, λένε.
«Η ευφυΐα blockchain που παρέχουμε συνδέει συναλλαγές κρυπτογράφησης με οντότητες πραγματικού κόσμου, όπως ανταλλακτήρια, αγορές σκοτεινού δικτύου και οντότητες υπό κυρώσεις», δήλωσε στο CoinDesk ο Ari Redbord, επικεφαλής νομικών και κυβερνητικών υποθέσεων της TRM Labs.
«Αυτή η ευφυΐα επιτρέπει σε ένα χρηματιστήριο κρυπτογράφησης να ειδοποιείται εάν, για παράδειγμα, επεξεργάζεται μια συναλλαγή που περιλαμβάνει μια διεύθυνση που έχει χρησιμοποιηθεί στο παρελθόν για χρηματοδότηση της τρομοκρατίας», είπε. "Το ίδιο ισχύει για συναλλαγές που εμπλέκονται σε hacks, ransomware, rug pulls και άλλες επιθέσεις που βλάπτουν τους επενδυτές και τους χρήστες κρυπτονομισμάτων."
Αλλά «δεν αποδίδουμε συναλλαγές σε ιδιώτες», είπε ο Redbord για την TRM Labs.
Ομοίως, ο εκπρόσωπος της CipherTrace είπε ότι «δεν αποδίδει δεδομένα πορτοφολιού σε ιδιώτες, με εξαίρεση τις οντότητες που υπόκεινται σε κυρώσεις». Το έκανε πολύ καλά, καυχιόταν σε μια ανάρτηση ιστολογίου του 2019 ότι απέδωσε 72,000 ιρανικές διευθύνσεις IP σε 4.5 εκατομμύρια πορτοφόλια.
Το αν το CipherTrace αποδίδει διευθύνσεις IP σε άλλα πορτοφόλια παραμένει ένα ανοιχτό ερώτημα. Οι κορυφαίες εταιρείες λένε ότι δεν διατηρούν «στοιχεία προσωπικής ταυτοποίησης», απλώς «στοιχεία αναγνώρισης επιχείρησης».
"Το CipherTrace δεν διατηρεί PII, διατηρούμε το BII", δήλωσε ο Διευθύνων Σύμβουλος της CipherTrace, Dave Jevans, σε συνέντευξή του τον Ιούνιο.
«Κατανοούμε, για παράδειγμα, ποιες διευθύνσεις ανήκουν σε ποιο ανταλλακτήριο», είπε. «Αλλά δεν παρακολουθούμε μεμονωμένες πληροφορίες ότι είστε εσείς σε αυτήν τη διεύθυνση. αυτό δεν είναι δουλειά μας. Δεν θέλουμε να το κάνουμε αυτό. Θα καταλάβουμε πού μπαίνουν τα χρήματα, πού βγαίνουν τα χρήματα και μετά εναπόκειται στα δικαστήρια και τις αρχές επιβολής του νόμου», να κάνει τα υπόλοιπα.
Όπως σημείωσε ο O'Brien, ο ερευνητής κυβερνοασφάλειας, ο ορισμός της CipherTrace για τις πληροφορίες προσωπικής ταυτοποίησης φαίνεται να αποκλείει τις διευθύνσεις IP – μαζί με τις φυσικές τοποθεσίες, σύμφωνα με μια από τις αναρτήσεις ιστολογίου της ίδιας της εταιρείας:
Πηγή: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/