3 марта 2020 года, незадолго до обеда в Вашингтоне, округ Колумбия, Стивен Райан отправил кому-то из министерства финансов США благодарственное письмо с любопытной подробностью.
Главный операционный директор и соучредитель компании по расследованию криптовалюты CipherTrace, Райан был одним из 16 руководителей, которые накануне посетили отраслевой саммит с тогдашним министром финансов Стивеном Мнучиным. Помимо своей благодарности за встречу, Райан приложил слайд-презентацию, в которой изложена стратегия CipherTrace по разоблачению криптокошельков. Среди этих методов: «медовые горшочки».
Эта статья является частью CoinDesk's Неделя конфиденциальности серии.
Заметка Райана была частью 250-страничного набора электронных писем Мнучина, полученных CoinDesk по запросу Закона о свободе информации (FOIA). Части его презентации очень похожи на общедоступные рекламные материалы CipherTrace. Они также ссылаются на «приманки» или аналогичные «банки с криптовалютой», по крайней мере, с 2018 года.
Что CipherTrace имел в виду под этими терминами? Сообщество кибербезопасности использует фразу «медовый горшок» для описания цели-приманки, которая собирает информацию о ничего не подозревающих злоумышленниках. Другими словами, ловушка.
CipherTrace, которую платежный гигант Mastercard приобрел прошлой осенью по неизвестной цене, является частью надомной индустрии, которая отслеживает перекресток криптовалюты и преступности с оборотом в 14 миллиардов долларов в год. Просматривая миллионы ежедневных транзакций, зарегистрированных в блокчейнах или публичных реестрах, такие фирмы, как Chainalysis, TRM Labs и Elliptic, ищут тревожные сигналы и незаконные перемещения, помечая подозрительные адреса по мере их поступления.
Компании считают свои услуги необходимыми для нормализации криптовалюты и искоренения преступности. Недоброжелатели критикуют эти фирмы по отслеживанию как сетевых наркоторговцев, хотя они в основном работают с публичной информацией.
CipherTrace не будет первой компанией в этой нише, которая ставит ловушки в надежде получить информацию, которую нельзя найти в сети. Chainalysis, ведущий поставщик крипто-отслеживания, в течение многих лет владеет сайтом обозревателя кошельков, который фиксирует IP-адреса посетителей и связывает их с адресами блокчейна, которые они искали. Компания признала эту практику только в октябре, через месяц после того, как CoinDesk опубликовала статью, в которой обратила на это внимание.
Более полудюжины ветеранов криптовалютной индустрии заявили CoinDesk, что понятия не имеют, что CipherTrace подразумевает под «приманками». В заявлении, предоставленном CoinDesk, компания из Лос-Гатоса, штат Калифорния, дала базовое определение компьютерной безопасности, не объяснив, что оно означает в контексте анализа блокчейна.
«Криптовалютный горшок» или «приманка» — это термин безопасности, относящийся к механизму, который создает виртуальную ловушку для заманивания потенциальных злоумышленников», — сказал CipherTrace, добавив, что документы, в которых упоминается эта тактика, устарели. «CipherTrace больше не использует «криптовалютные горшки»», — говорится в сообщении (хотя на веб-сайте компании по состоянию на четверг рекламировались как деньги, так и медовые горшки).
CoinDesk спросил CipherTrace: «Собирает ли ваша фирма данные об IP-адресах, чтобы связать их с адресами кошельков?»
Представитель CipherTrace ответил: «Как компания, ориентированная на конфиденциальность, CipherTrace не сопоставляет IP-данные с частными лицами».
Она не ответила на вопрос CoinDesk о том, сопоставляет ли CipherTrace IP-адреса с кошельками. CoinDesk во второй раз спросил, сопоставляет ли CipherTrace IP-адреса с адресами кошельков. CipherTrace не ответил.
Такая осторожность «является частой проблемой в области конфиденциальности, когда мы говорим о сетевых идентификаторах, таких как IP-адреса», — сказал Шон О'Брайен, исследователь кибербезопасности. «Компании пытаются дистанцироваться от того, что вы традиционно называете информацией, позволяющей установить личность, говоря, что IP-адреса — это что-то другое. На самом деле, они невероятно полезны для идентификации домохозяйств, предприятий и отдельных лиц».
Например, «если вам нужно расследовать транзакцию биткойнов, связанную с подозрением в киберпреступлении, IP-адреса — это именно та информация, которую вам нужно искать», — сказал О'Брайен. «Самые ранние дела, связанные с правоохранительными органами и Интернетом, основаны на использовании IP-адресов в качестве доказательства по уважительной причине. И они так же полезны для преследования и преследования людей, как и для их судебного преследования».
После денег
Компании по отслеживанию долгое время были основной, хотя и недооцененной силой в институциональном марше криптографии. Борясь с мнением, что биткойн — это в первую очередь инструмент криминального финансирования, они анализируют данные, чтобы точно определить скудную долю, которая на самом деле такова.
Недавно Chainalysis подсчитала, что 0.15% криптовалютных транзакций в 2021 году были незаконными — это самый низкий процент за всю историю наблюдений. («Незаконные» кошельки накопили рекордно высокие 14 миллиардов долларов в прошлом году, казалось бы, парадоксальная статистика, которую Chainalysis связывает с бурным ростом криптовалюты.)
CipherTrace заявляет, что его миссия состоит в том, чтобы «развивать криптовалютную экономику, делая ее надежной для правительств, безопасной для массового внедрения и защищая финансовые учреждения от рисков отмывания криптовалюты».
Это описание, взятое из презентации, переданной Министерству финансов, вероятно, разделит каждая конкурирующая фирма. Это становится причиной беспокойства недоброжелателей. Максималисты конфиденциальности считают, что радикально прозрачная, но псевдонимная природа Биткойна должна действовать независимо от государства, и они рассматривают работу этих компаний как предательство этого идеала.
«Это своего рода вторжение в частную жизнь пользователей, точно так же, как вы можете жаловаться на централизованные компании веб-аналитики, которые собирают IP-адреса и размещают файлы cookie на компьютерах людей и отслеживают их с сайта на сайт», — сказал Джон Лайт, давний специалист по криптографии. педагог, писатель, подкастер и организатор мероприятий.
Ончейн-аналитика — это, по сути, гонка атрибуции.
В кругах кибербезопасности атрибуция означает идентификацию виновных в взломе. В криптоконтексте это конкретно относится к практике сыщиков блокчейна связывать псевдонимные адреса кошельков с идентифицируемыми субъектами. Этими субъектами могут быть лицензированные криптобиржи или хранители, злоумышленники с программами-вымогателями, торговые площадки даркнета или лица или организации, находящиеся под санкциями.
Например: Любой, у кого есть подключение к Интернету, может увидеть, что, скажем, кошелек abc123 перевел 0.5 BTC на zxy987; эта информация бесполезна сама по себе. Но база данных трассировщиков может задокументировать, что Управление по контролю за иностранными активами США идентифицировало zxy987 как принадлежащего африканскому военачальнику, находящемуся под санкциями. Или это может показать, что биткойн abc123 был украден с биржи.
Это ценная информация для бирж, которые хотят пресечь незаконную деятельность, для пользователей, которые хотят сохранить свои монеты в чистоте, для правительств, которые хотят следить за деньгами. Он объединяется благодаря строгой атрибуции.
Имея потенциально миллионы долларов в виде контрактов на проведение расследований, эти компании испытывают острую потребность в добыче новых данных об атрибуции. CipherTrace, например, заключила 20 контрактов с федеральными агентствами на сумму до 3.5 млн долларов с 2018 года, последним из которых, согласно общедоступным данным, была работа в качестве свидетеля-эксперта.
В отрасли, которая вознаграждает создателей детализированных, подробных наборов данных атрибуции, и в сфере, где преступники жаждут разведданных, которые помогут им избежать внимания, сохранение секретного соуса атрибуции имеет первостепенное значение, говорят два давних специалиста.
Тем не менее, в своем электронном письме в Министерство финансов Райан предложил попробовать, «как достигается атрибуция криптовалюты». Приманки были указаны как одна из «активных» стратегий на слайде.
Chainalysis: первоклассная атрибуция блокчейна
Крупнейший конкурент CipherTrace за три года до этого начал использовать свою собственную новую технику.
Компания Chainalysis, основанная в 2014 году и оцененная в июне в 4.2 млрд долларов, является крупнейшей компанией в индустрии отслеживания. Он получил десятки миллионов долларов в виде федеральных контрактов на продажу программного обеспечения, которое визуализирует деятельность в сети. В то время как любой, у кого есть подключение к Интернету, может самостоятельно просматривать общедоступные записи блокчейна, вам понадобится небольшая помощь, чтобы понять, что вы найдете в кроличьей норе.
Но настоящим бизнес-асом трассировщика является его набор данных атрибуции, сказали три инсайдера отрасли. Источники сообщили, что ни одна другая компания не накопила столько данных о кошельках, как Chainalysis.
Это отчасти потому, что ни один другой трейсер не имеет такого огромного присутствия в бизнесе. Chainalysis предоставляет программное обеспечение для отслеживания 500 «поставщикам услуг виртуальных активов» или VASP, как их называют регулирующие органы. Это взаимовыгодные отношения. Предприятия получают мощные инструменты для соблюдения криптографических требований, а Chainalysis добавляет адреса их кошельков в свою глобальную базу данных. Однако он не запрашивает у клиентов данные об их клиентах.
«Мы не можем говорить за всех других поставщиков. Возможно, другие поставщики могут запросить дополнительную информацию. Но Chainalysis занимается только данными транзакций на уровне обслуживания», — объяснила компания в сообщении в блоге 2019 года. Другими словами, он идентифицирует только те компании, которые, как ему известно, контролируют кошельки, а не людей.
Но это была не вся история, и клиенты Chainalysis и общедоступная информация о кошельках были не единственными источниками информации для фирмы.
В недатированном слайд-шоу для итальянской полиции, просочившемся в сентябре, отдел продаж Chainalysis описал, как обширная сеть узлов кошельков Bitcoin и Electrum собирает ценные пользовательские данные, такие как IP-адреса, из подключенных кошельков. В презентации говорится, что это помогло следователям отследить важные уголовные версии.
Слайд-шоу также пролило новый свет на walletexplorer.com, популярный обозреватель блоков биткойнов, которым управляет Chainalysis с 2015 года. Согласно документам, подлинность которых подтверждена CoinDesk, веб-сайт «счищает» IP-адреса подозрительных пользователей, связывая их интернет-след адрес кошелька. Этот набор данных предоставил правоохранительным органам «значимые зацепки».
«Никогда не было секретом, что Chainalysis владеет и управляет walletexplorer.com. С 2015 года внизу главной страницы есть заявление о том, что автор сайта работает в Chainalysis в качестве аналитика и программиста», — сообщил CoinDesk представитель компании.
Секрет полишинеля, возможно, но вряд ли открытая книга. Chainalysis редко обращала внимание на тот факт, что walletexplorer.com направлял пользовательские данные в другие направления своей деятельности.
Через несколько недель после того, как CoinDesk сообщила на walletexplorer.com, веб-сайт принял страницу раскрытия информации о конфиденциальности, на которой впервые было изложено, как его данные попадают в линейку продуктов Chainalysis.
«Мы делимся информацией о блокчейне и информацией о посетителях с другими нашими бизнес-направлениями Chainalysis, чтобы помочь нам предоставлять и улучшать эти услуги. Например, другие бизнес-направления Chainalysis могут использовать предоставленную нами информацию, чтобы лучше связать один адрес биткойн-кошелька с другим адресом биткойн-кошелька», — говорится в политике от 14 октября.
«Недавно мы добавили уведомление о конфиденциальности, чтобы предоставить больше информации о том, как Chainalysis использует информацию, собранную с веб-сайта walletexplorer.com, для улучшения наших услуг», — сказал представитель.
Ничего личного?
Хотя остается неясным, что именно делают приманки CipherTrace, это слово напоминает систему, которая должна делать одно, а запускать что-то другое. Владелец кошелька, взаимодействующий с «приманкой», определенно не заметит скрытых мотивов службы.
Chainalysis, CipherTrace и Elliptic ранее заявляли, что не стремятся привязывать людей к кошелькам. Их бизнес заключается в том, чтобы помогать правительствам расследовать криптовалютные преступления и поддерживать соответствие бирж.
Выход людей не является частью этого уравнения. Эти компании просто гонятся за деньгами, говорят они.
«Информация о блокчейне, которую мы предоставляем, связывает крипто-транзакции с реальными объектами, такими как биржи, торговые площадки даркнета и объекты, находящиеся под санкциями», — сказал CoinDesk Ари Редборд, глава юридического и государственного отдела TRM Labs.
«Эта информация позволяет криптообмену быть предупрежденным, если, например, он обрабатывает транзакцию с использованием адреса, который ранее использовался для финансирования терроризма», — сказал он. «То же самое относится к транзакциям, связанным со взломом, программами-вымогателями, мошенничеством и другими атаками, которые наносят ущерб криптоинвесторам и пользователям».
Но «мы не приписываем транзакции отдельным лицам», — сказал Редборд о TRM Labs.
Точно так же представитель CipherTrace заявил, что «не приписывает данные кошелька частным лицам, за исключением организаций, находящихся под санкциями». Он делал это довольно часто, хвастаясь в одном из сообщений в блоге 2019 года, что 72,000 4.5 иранских IP-адресов приписаны XNUMX миллионам кошельков.
Остается открытым вопрос, приписывает ли CipherTrace IP-адреса другим кошелькам. Высшее руководство компаний говорит, что они не хранят «информацию, позволяющую установить личность», а хранят только «информацию, позволяющую установить личность».
«CipherTrace не поддерживает PII, мы храним BII», — сказал генеральный директор CipherTrace Дэйв Джеванс в интервью в июне.
«Мы понимаем, например, какие адреса принадлежат какой бирже», — сказал он. «Но мы не отслеживаем индивидуальную информацию о том, что это вы по этому адресу; это не наше дело. Мы не хотим этого делать. Мы выясним, куда поступают деньги, куда они уходят, а дальше дело за судами и правоохранительными органами», — сделает все остальное.
Как отметил О'Брайен, исследователь в области кибербезопасности, определение информации, позволяющей установить личность, CipherTrace, по-видимому, исключает IP-адреса — наряду с физическим местоположением, согласно одному из собственных сообщений в блоге компании:
Источник: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/