Идентифицировать владельцев биткоин кошельков проще чем кажется. Если они совершают ошибки.

В России в законодательную практику уже ввели понятие криптовалюты. И если вы думаете, что отследить биткоин транзакции сложнее банковских, то вы ошибаетесь. Ведь вся история операций, то есть блокчейн, в биткоине полностью открыта, а следовательно каждая совершенная операция видна всему сообществу. Однако адрес и количество биткоинов на нем - это всего лишь набор знаков. Для того, чтобы узнать кто стоит за тем или иным коешлько, надо провести аналогии. И, поверьте, их предостаточно.

Биткоин зачастую используется на торговых площадках даркнета. Все операции с биткоином регистрируется в блокчейне. Однако подлинная идентичность адресов остается запутанной. Но бывает, что адреса могут быть сгруппированы и в дальнейшем ассоцированы с их владельцем(ами) посредством анализа шаблонов поведения и общедоступной онлайн-информации, полученной из внешних источников.

Анализ общих поведенческих шаблонов на основе блокчейна, в том числе эвристики однократных модификаций и общих расходов, используется для кластеризации биткойнов в виде эдакой системы "голосов" для ассоциации адресов биткойнов, тогда как данные вне цепочки обычно используются для подтверждения полученных результатов.

Недавно опубликованная статья представляет анализ транзакций и адресов биткойна, связанных с торговлей на рынках даркнет, и предлагает новый подход, который можно использовать для идентификации адресов биткойна, используемых продавцами и покупателями в криптомаркетах.

Подход основан на кластеризации адресов, которая представляет собой процесс прогнозирования владения несколькими адресами одним пользователем. Точность результатов была улучшена с помощью подхода, основанного на выше упомянутой системе "голосовании", которая использует несколько меток для адресов, принадлежащих одному и тому же пользователю.

Чтобы понять этот подход, приведем пример Адама, пользователя Tor, который бдит конфиденциальность, в следующем гипотетическом сценарии:

1 - Адам имеет учетную запись в социальной сети (например, Twitter) и покупает биткойны с помощью традиционного браузера, который также используется для доступа к его учетной записи Twitter. Купленный биткойн сохраняется в биткойн-адрес A.

2 - Адам использует браузер Tor для доступа к рынку даркнета и производит оплату по адресу поставщика P, чтобы купить один из продуктов,.

Хотя первый шаг включает неанонимный просмотр страниц, Адам ожидает, что его действия на шаге 2 будут анонимными, поскольку он использует Tor и биткойны. Транзакция биткойнов A-> P приводит к утечке данных, которые могут быть использованы злоумышленником, например, Джуди, чтобы связать Адама с рынком даркнета следующим образом:

1- Джуди регулярно сканирует public.com для проверки общедоступных пользовательских профилей.

2- Джуди регулярно сканирует скрытые сервисы Tor и хранит доступные страницы.

3- Джуди регулярно анализирует просканированные данные в поисках адресов биткойноа.

4- Джуди регулярно анализирует блокчейн в поисках транзакций между пользователями и адресами, связанными с рынками даркнета .

5- Джуди находит биткойн-адрес Адама А и связывает его со своей учетной записью в Twitter через данные из public.com.

6- Джуди находит биткойн-адрес P по данным из private.onion.

7- Джуди находит транзакцию с биткойнами A -> P и таким образом идентифицирует, что Адам потратил биткойны на рынке даркнета.

Метод сбора данных:

Ниже описано, как собирались онлайновые идентификаторы торговых площадок Tor, других скрытых сервисов и публичных адресов биткойнов.

Скрытые сервисы Tor не могут быть проиндексированы традиционными поисковыми системами, но их можно изучить через сервисы индексации даркнета, например, Ahmia, веб-сайт Clearnet. Могут использоваться другие поисковые системы темной сети, но доступ к ним осуществляется через браузер Tor. Эти поисковые системы могут сканировать целевые страницы скрытых сервисов или веб-сайты большого количества onion доменов. Как правило, некоторые скрытые сервисы Tor публично размещают свои адреса биткойноa на своих целевых страницах для получения платежей. Эти адреса могут быть получены путем простой загрузки этих страниц и поиска адресов биткойнов с помощью регулярных выражений, поскольку адрес биткойна состоит из кодированного в base-58 идентификатора из 26–35 шестнадцатеричных символов.

Анонимность и гибкость транзакции является одним из основных факторов, который привлекает к работе поставщиков и покупателей даркнета в сети. Большинство пользователей darknet используют "левые" идентификаторы онлайн. Через эти идентификаторы можно проанализировать активность. Например, на Silk Road продавец Donagal использовал псевдонимы «XX» и «Xanax King», а продавец биткойнов Faiella использовал псевдоним «BTCKing». Кроме того, более 80% пользователей darknet используют более двух псевдонимов. Владелец Шелкового пути Росс Ульбрихт использовал псевдонимы «Ужасный пират Робертс», «Шелковый путь» и «DPR». Можно деанонимировать пользователя криптомаркета путем поиска связей между несколькими псевдонимами.

Одна из главных ошибок, приведшая к аресту Ульбрихта, вдохновителя Шелкового пути, заключается в том, что он разместил в своем профиле LinkedIn данные о своем рынке \ многомиллионными долларами.

Чтобы идентифицировать долгосрочные адреса биткойн, используемые скрытыми сервисами Tor, авторы статьи проанализировали выборку данных с середины 2015 года. Анализ показал, что очень немногие сервисы Tor публично размещали свои адреса биткойнов на страницах своих веб-сайтов. Таким образом, исследование было сфокусировано на периоде времени, когда размещение долгосрочных адресов биткойнов было относительно распространенной практикой (2010-2016). Автоматический и ручной поиск позволил получить 105 биткойн-адресов, которые могли быть связаны со скрытыми сервисами Tor. Таким образом, любой биткойн-адрес, отправляющий средства на эти 105 адресов, означает, что их владелец выполнял какую-то деятельность в сети Tor.

С другой стороны, пользователи биткойнов иногда публикуют свои адреса в социальных сетях по разным причинам, в том числе получают платежи, предлагают различные услуги или выражают гордость за то, что являются частью сообщества. Онлайн-доступ к биткойн-адресам может подвергнуть их владельцев риску отслеживания транзакций и кластеризации адресов. Более того, некоторые пользователи даже раскрывают личную информацию вместе со своими биткойн-адресами, что упрощает их деанонимизацию.

Адреса биткойн, а также связанные с ними идентификационные данные владельцев в Интернете могут быть получены с помощью обхода и анализа их профилей или через собственный API социальной сети. В этом исследовании адреса и личные данные пользователей были собраны через Twitter.

Использовались данные потока Twitter Decahose, которые ранее собирались в период с 11 декабря 2013 года по 30 декабря 2014 года. Decahose дает 10% случайную выборку в реальном времени всех твитов, опубликованных через потоковое соединение. Этот набор данных был выбран потому, что целью было найти адреса биткойнов, связанных с пользователями Твиттера, которые могли быть связаны с адресами биткойн скрытых сервисов Tor. До 2016 года пользователи и скрытые сервисы Tor были довольно распространенной практикой публичного размещения своих долгосрочных биткойн-адресов. Сбор данных позволил получить 10 ТБ файлов JSON, которые включали 5 миллиардов твитов. В дополнение к своему текстовому контенту каждый твит включает информацию об общедоступном профиле его автора, которая часто включает адрес пользователя в биткойнах. Чтобы получить твиты, содержащие адреса биткойнов, был отсканирован весь набор данных, а твиты, содержащие соответствующие данные, были сохранены, в результате чего получено 509 173 твитов. После этого был проведен еще один проход согласованных твитов, чтобы связать их с уникальными адресами биткойнов. Из 509 173 совпавших твитов было идентифицировано 4183 уникальных биткойн-адресов и сетевых идентификаторов, где адреса идентификаторов появились в 165 различных твитах.

Это исследование доказывает, что использование биткойн транзакций на рынках даркнет или других скрытых сервисов Tor может привести к утечке данных, которые могут быть использованы для деанонимизации пользователей. Это представляет значительную угрозу для пользователей даркнета, так как они активно полагаются на Tor для продвижения своей анонимности при совершении сделок на торговых площадках даркнета. Деанонимизация возможна из-за недобросовестного подхода продавца к организации безопасности инфраструктуры. В частности, посредством анализа исторических транзакций блокчейна злоумышленник может деанонимировать пользователей, которые раньше размещали свои адреса биткойнов в Интернете в социальных сетях, и связывать их с пользователями рынка даркнет и скрытыми сервисами Tor, которые размещали свои адреса на страницах скрытых сервисов.

Эксперименты, проведенные в рамках этого исследования, могут успешно связать многих пользователей Twitter с различными скрытыми сервисами Tor, включая рынки даркнетов. Используя информацию, полученную из их общедоступных профилей в социальных сетях, было доказано, что анонимность пользователей darknet может быть нарушена. Результаты этого исследования имеют одно важное значение: адреса биткойнов необходимо часто менять, поскольку они всегда являются слабым звеном в процессе транзакций, что может использоваться для деанонимизации пользователей и связывания их с незаконными действиями, происходящими в сети Tor.

А вывод прост: котлеты отдельно, мухи отдельно. Если вы ведете темный бизнес, то не надо "светить" свои кошели и даже расплачиваться с них с незнакомыми контрагентами. Старайтесь использовать как можно больше не связанных между собой кошельков и миксеры. Надо понимать вот что: есть адреса для работы и есть адреса для отдыха. Аккумулируйте наличку на рабочих адресах, сливайте ее доступными вам методами, но старайтесь избежать таких ситуаций, когда вы ассоциируете свой рабочий кошелек с чем то, что может быть личным.

Чтобы быть в курсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/joinchat/AAAAAEN6RYDtq2uLaMOeLQ