3 年 2020 月 XNUMX 日,就在华盛顿特区的午餐时间之前,斯蒂芬·瑞安(Stephen Ryan)向美国财政部的某人发送了一封感谢信,其中包含一个奇怪的细节。
作为加密货币侦探公司 CipherTrace 的首席运营官和联合创始人,瑞安是前一天与时任财政部长史蒂文·姆努钦一起参加行业峰会的 16 位高管之一。 除了对这次会议的感谢之外,Ryan 还附上了一张幻灯片,展示了 CipherTrace 揭开加密钱包神秘面纱的策略。 在这些方法中:“蜜罐”。
本文是CoinDesk的一部分 隐私周 系列。
Ryan 的笔记是 CoinDesk 通过信息自由法 (FOIA) 请求获得的 250 页 Mnuchin 电子邮件的一部分。 他的幻灯片部分与 CipherTrace 的公开宣传材料非常相似。 至少自 2018 年以来,那些也提到了“蜜罐”或类似的“加密货币罐”。
这些术语的 CipherTrace 是什么意思? 网络安全社区使用“蜜罐”一词来描述一个诱饵目标,该目标收集毫无戒心的攻击者的情报。 换句话说,一个陷阱。
支付巨头万事达卡去年秋天以未公开的价格收购了 CipherTrace,它是监控每年 14 亿美元的加密货币和犯罪十字路口的家庭手工业的一部分。 Chainalysis、TRM Labs 和 Elliptic 等公司通过筛选记录在区块链或公共分类账上的数百万笔日常交易,搜索危险信号和非法活动,并在可疑地址移动时对其进行标记。
这些公司将其服务视为加密货币正常化和杜绝犯罪的必要条件。 批评者抨击这些追踪公司为链上毒枭,尽管他们主要处理公共信息。
CipherTrace 不会是该领域中第一家设置陷阱以捕获无法在链上找到的信息的公司。 领先的加密追踪供应商 Chainalysis 多年来一直拥有一个钱包浏览器站点,该站点捕获访问者的 IP 地址并将其链接到他们查找的区块链地址。 该公司仅在 XNUMX 月才承认这种做法,一个月后 CoinDesk 发表了一篇引起关注的文章。
超过六名加密货币行业资深人士告诉 CoinDesk,他们不知道 CipherTrace 中的“蜜罐”是什么意思。 在提供给 CoinDesk 的一份声明中,这家总部位于加利福尼亚州洛斯加托斯的公司给出了基本的计算机安全定义,但没有解释它在区块链分析中的含义。
“‘加密货币罐’或‘蜜罐’是一个安全术语,指的是一种创建虚拟陷阱以引诱潜在攻击者的机制,”CipherTrace 说,并补充说提到这些策略的文件已经过时了。 “CipherTrace 不再使用‘加密货币罐’了,”它说(尽管截至周四该公司的网站吹捧了钱罐和蜜罐)。
CoinDesk 询问 CipherTrace:“贵公司是否收集 IP 地址数据以将其链接到钱包地址?”
CipherTrace 的一位代表回应说:“作为一家注重隐私的公司,CipherTrace 不会将 IP 数据映射到个人。”
她没有回答 CoinDesk 关于 CipherTrace 是否将 IP 映射到钱包的问题。 CoinDesk 第二次询问 CipherTrace 是否将 IP 地址映射到钱包地址。 CipherTrace 没有回应。
网络安全研究员肖恩·奥布莱恩 (Sean O'Brien) 说,当我们谈论 IP 地址等网络标识符时,这种谨慎“是隐私空间中的一个常见问题”。 “公司试图通过说 IP 地址是另一回事来与传统上称为个人身份信息的信息保持距离。 事实上,它们对于识别家庭、企业和个人非常有用。”
例如,“如果你需要调查与可疑网络犯罪相关的比特币交易,IP 地址正是你要寻找的信息,”O'Brien 说。 “最早涉及执法和互联网的案件都以 IP 地址作为证据,这是有充分理由的。 而且,它们对于骚扰和跟踪人们和起诉他们一样有用。”
跟着钱
长期以来,追踪公司一直是加密货币机构发展中未被充分认识的主要力量。 他们反对比特币主要是一种犯罪金融工具的看法,他们解析数据以查明实际存在的微薄份额。
Chainalysis 最近估计,0.15 年 2021% 的加密交易是非法的——迄今为止是有记录以来的最小百分比。 (“非法”钱包去年积累了创纪录的 14 亿美元,Chainalysis 将这一看似自相矛盾的数据归因于加密货币的蓬勃发展。)
CipherTrace 表示,其使命是“通过让政府信任加密货币经济、安全地大规模采用并保护金融机构免受加密货币洗钱风险来发展加密货币经济。”
从与财政部共享的演示文稿中可以看出,该描述可能会被所有竞争公司共享。 它成为批评者关注的核心。 隐私至上主义者认为,比特币极度透明但匿名的性质应该独立于国家流动,他们认为这些公司的工作是对这一理想的背叛。
“这是对用户隐私的一种侵犯,就像你可能会抱怨集中的网络分析公司收集 IP 地址并将 cookie 放在人们的计算机上并从一个站点到另一个站点跟踪它们一样,”长期加密的 John Light 说教育家、作家、播客和活动组织者。
链上分析的核心是归因竞赛。
在网络安全界,归因意味着识别黑客的肇事者。 在加密上下文中,它专门指区块链侦探将假名钱包地址与可识别的参与者联系起来的做法。 这些参与者可能是获得许可的加密货币交易所或托管人、勒索软件攻击者、暗网市场或受制裁的个人或实体。
例如:任何有互联网连接的人都可以看到,比如钱包 abc123 将 0.5 BTC 转移到 zxy987; 这些信息本身是没有用的。 但追踪数据库可能会记录美国外国资产控制办公室已确定 zxy987 属于受制裁的非洲军阀。 或者它可能表明 abc123 的比特币是从交易所被盗的。
对于想要杜绝非法活动的交易所、想要保持硬币清洁的用户、想要追随资金的政府来说,这是有价值的信息。 它通过严格的归因结合在一起。
由于可能有数百万美元的调查合同可供争夺,这些公司迫切需要挖掘新颖的归因数据。 例如,根据公开记录,自 20 年以来,CipherTrace 已与联邦机构签订了 3.5 份合同,价值高达 2018 万美元,最近的一份是专家证人工作。
两位长期从业者表示,在一个奖励细致入微、详细的归因数据集构建者的行业——以及一个犯罪分子渴望获得情报以帮助他们逃避注意的领域——保护归因秘诀至关重要。
尽管如此,在他给财政部的电子邮件中,Ryan 提供了“如何实现加密货币归属”的体验。 蜜罐被列为幻灯片中的“活跃”策略之一。
Chainalysis:区块链归因王牌
CipherTrace 的最大竞争对手三年前就开始使用自己的新技术。
Chainalysis 成立于 2014 年,4.2 月估值 XNUMX 亿美元,是追踪行业的大咖。 它已经获得了数千万美元的联邦合同,销售可视化链上活动的软件。 虽然任何有互联网连接的人都可以通过公共区块链记录进行自我筛选,但您需要一些帮助才能理解您在兔子洞中发现的内容。
但三位业内人士表示,追踪器真正的商业王牌是其归因数据集。 消息人士称,没有其他公司像 Chainalysis 那样积累了大量的钱包数据。
这部分是因为没有其他追踪器拥有如此庞大的业务足迹。 Chainalysis 向 500 家“虚拟资产服务提供商”或 VASP 提供追踪软件,监管机构称它们为。 这是一种互惠互利的关系。 这些企业获得了强大的加密合规工具,Chainalysis 将他们的钱包地址添加到其全球数据库中。 但是,它不会要求客户提供有关其客户的数据。
“我们不能代表所有其他供应商。 其他供应商可能会要求提供更多信息。 但 Chainalysis 只关心服务级别的交易数据,”该公司在 2019 年的一篇博文中解释道。 换句话说,它只识别它知道控制钱包的企业,而不是人。
但这还不是全部,Chainalysis 的客户以及有关钱包的公开信息并不是该公司唯一的情报来源。
在 XNUMX 月泄露的意大利警方未注明日期的幻灯片中,Chainalysis 销售团队描述了该公司庞大的比特币网络和 Electrum 钱包节点如何从连接的钱包中捕获有价值的用户数据,例如 IP 地址。 报告称,这有助于调查人员追踪有意义的犯罪线索。
幻灯片还揭示了自 2015 年以来由 Chainalysis 运营的流行比特币区块浏览器 walletexplorer.com。根据 CoinDesk 验证的文件是真实的,该网站“抓取”可疑用户的 IP 地址,将他们的互联网足迹与其钱包地址。 该数据集为执法提供了“有意义的线索”。
“Chainalysis 拥有和运营 walletexplorer.com 从来都不是什么秘密。 自 2015 年以来,主页底部有一条声明称,该网站的作者在 Chainalysis 担任分析师和程序员,”公司发言人告诉 CoinDesk。
也许是一个公开的秘密,但几乎不是一本公开的书。 Chainalysis 很少引起人们对 walletexplorer.com 将用户数据汇集到其其他业务线这一事实的关注。
在 CoinDesk 在 walletexplorer.com 上报道几周后,该网站采用了一个隐私披露页面,该页面首次阐明了其数据宝库是如何进入 Chainalysis 产品线的。
“我们与其他 Chainalysis 业务线共享区块链信息和访客信息,以帮助我们提供和改进这些服务。 例如,其他 Chainalysis 业务线可能能够使用我们提供的信息来更好地将一个比特币钱包地址连接到另一个比特币钱包地址,”14 月 XNUMX 日的政策说。
“我们最近添加了一项隐私声明,以提供有关 Chainalysis 如何在内部使用从 walletexplorer.com 网站收集的信息来帮助改进我们的服务的更多信息,”发言人说。
与个人无关?
虽然目前尚不清楚 CipherTrace 的蜜罐究竟做了什么,但这个词唤起了一个声称做一件事同时触发另一件事的系统。 一个使用“蜜罐”的钱包所有者肯定会忘记该服务的不可告人的动机。
Chainalysis、CipherTrace 和 Elliptic 之前都曾表示,他们并不试图将个人与钱包联系起来。 他们的业务是帮助政府调查加密犯罪并保持交易所合规。
外出个人不是这个等式的一部分。 他们说,这些公司只是跟着钱走。
TRM Labs 法律和政府事务负责人 Ari Redbord 告诉 CoinDesk:“我们提供的区块链情报将加密交易与现实世界的实体(例如交易所、暗网市场和受制裁的实体)联系起来。”
“例如,如果加密货币交易所处理涉及以前用于资助恐怖主义的地址的交易,这种情报可以提醒加密货币交易所,”他说。 “这同样适用于涉及黑客、勒索软件、地毯拉扯和其他损害加密投资者和用户的攻击的交易。”
但“我们不会将交易归因于个人,”Redbord 谈到 TRM Labs 时说。
同样,CipherTrace 的代表表示,它“不会将钱包数据归于私人,但受制裁的实体除外。” 它已经做到了这一点,在 2019 年的一篇博客文章中吹嘘将 72,000 个伊朗 IP 地址归属于 4.5 万个钱包。
CipherTrace 是否将 IP 地址归属于其他钱包仍然是一个悬而未决的问题。 公司高层表示,他们不维护“个人身份信息”,只维护“业务身份信息”。
“CipherTrace 不维护 PII,我们维护 BII”CipherTrace 首席执行官 Dave Jevans 在 XNUMX 月份接受采访时表示。
“例如,我们了解哪些地址属于哪个交易所,”他说。 “但我们不会在此地址跟踪您的个人信息; 那不关我们的事。 我们不想那样做。 我们会弄清楚钱从哪里进来,钱从哪里出去,然后由法院和执法部门来完成,”剩下的事情就交给我们了。
正如网络安全研究员 O'Brien 所指出的,根据该公司自己的一篇博客文章,CipherTrace 对个人身份信息的定义似乎不包括 IP 地址以及物理位置:
资料来源:https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/