CipherTrace від Mastercard використовувала «Honeypots» для збору Крипто гаманця Intel

3 березня 2020 року, незадовго до обіду у Вашингтоні, округ Колумбія, Стівен Раян надіслав комусь із міністерства фінансів США подяку з цікавою подробицею.

Головний операційний директор і співзасновник Криптовалюта фірми CipherTrace, Раян був ONE із 16 керівників, які напередодні відвідали галузевий саміт разом із тодішнім міністром фінансів Стівеном Мнучіном. Разом зі своєю вдячністю за зустріч Раян додав слайд-колоду, у якій викладено стратегію CipherTrace щодо демістифікації Крипто . Серед цих методів: «горщики з медом».

Ця стаття є частиною CoinDesk Тиждень Політика конфіденційності серії.

Записка Райана була частиною 250-сторінкової колекції Електронні листи Мнучіна отримано CoinDesk через Request Закону про свободу інформації (FOIA). Частини його слайдів дуже нагадують публічні рекламні матеріали CipherTrace. Вони також згадують «приманки» або подібні «Крипто » принаймні з 2018 року.

Що зробив CipherTrace мають на увазі ці терміни? The кібербезпека співтовариство використовує фразу «медовий горщик» для опису приманки, яка збирає інформацію про нічого не підозрюючих нападників. Іншими словами, пастка.

CipherTrace, який платіжний гігант Mastercard придбав восени минулого року за нерозголошену ціну, є частиною кустарної промисловості, яка відстежує перехрестя Криптовалюта та злочинності з оборотом 14 мільярдів доларів на рік. Просіюючи мільйони щоденних транзакцій, зареєстрованих у блокчейнах або публічних книгах, такі фірми, як Chainalysis, Лабораторії TRM і Еліптичний пошук червоних прапорців і незаконних переміщень, позначення підозрілих адрес по ходу руху.

Компанії вважають свої послуги необхідними для нормалізації Крипто та викорінення злочинності. Недоброзичливці критикують ці розшукові фірми як мережевих наркоманів, хоча вони в основному працюють із публічною інформацією.

CipherTrace T була б першою компанією в цій ніші, яка встановлює пастки в надії захопити інформацію, яку T знайти в мережі. Chainalysis, провідний постачальник Крипто відстеження, протягом багатьох років володіє сайтом дослідника гаманців, який фіксує IP-адреси відвідувачів і пов’язує їх із адресами блокчейнів, які вони шукали. Компанія визнав ця практика лише в жовтні, через місяць після публікації CoinDesk стаття привертаючи до нього увагу.

Понад півдюжини ветеранів Криптовалюта індустрії сказали CoinDesk, що вони не мали уявлення про те, що CipherTrace має на увазі під «приманками». У заяві, наданій CoinDesk, компанія з Лос-Гатоса, штат Каліфорнія, надала базове визначення комп’ютерної безпеки, не пояснюючи, що воно означає в контексті аналізу блокчейну.

«Крипто горщик» або «приманка» — це термін безпеки, який стосується механізму, який створює віртуальну пастку для заманювання потенційних зловмисників», — сказав CipherTrace, додавши, що документи, у яких згадується ця тактика, старі. «CipherTrace більше не використовує «Крипто горщики»», — сказано в ньому (хоча веб-сайт компанії рекламував обидва гроші і горщики для меду станом на четвер).

CoinDesk запитав CipherTrace: «Чи збирає ваша фірма дані про IP-адреси для зв’язування їх з адресами гаманців?»

Представник CipherTrace відповів: «Як компанія, яка зосереджена на конфіденційності, CipherTrace не відображає IP-дані приватним особам».

Вона не відповіла на запитання CoinDesk про те, чи CipherTrace відображає IP-адреси на гаманці. CoinDesk запитав вдруге, чи CipherTrace зіставляє IP-адреси з адресами гаманців. CipherTrace не відповів.

Така хитрість «є частою проблемою в просторі Політика конфіденційності , коли ми говоримо про мережеві ідентифікатори, такі як IP-адреси». Шон О’Брайен, дослідник кібербезпеки. «Компанії намагаються дистанціюватися від того, що ви традиційно називаєте особистою інформацією, кажучи, що IP-адреси — це щось інше. Фактично, вони неймовірно корисні для ідентифікації домогосподарств, підприємств і окремих осіб».

Наприклад, «якщо вам потрібно розслідувати транзакцію Bitcoin, пов’язану з підозрюваним кіберзлочином, IP-адреси — це саме та інформація, яку ви шукаєте», — сказав О’Брайен. «Найперші справи, пов’язані з правоохоронними органами та Інтернетом, не безпідставно спираються на IP-адреси як докази. І вони настільки ж корисні, щоб переслідувати людей і переслідувати їх, як і переслідувати їх».

За грошима

Компанії з відстеження протягом тривалого часу були основною, хоча й недостатньо визнаною силою в інституційному марші криптовалюти. Борючись із уявленням про те, що Bitcoin – це передусім інструмент кримінального Фінанси , вони аналізують дані, щоб визначити мізерну частку, яка є насправді.

Chainalysis нещодавно оцінюється що 0,15% Крипто транзакцій у 2021 році були незаконними – на сьогоднішній день найменший відсоток за всю історію. (Минулого року «незаконні» гаманці зібрали рекордні 14 мільярдів доларів, здавалося б, парадоксальна статистика, яку Chainalysis пояснює бурхливим зростанням криптовалюти.)

CipherTrace каже, що його місія полягає в тому, щоб «розвивати Криптовалюта економіку, забезпечуючи довіру урядів, безпечну для масового впровадження та захищаючи фінансові установи від ризиків відмивання Крипто ».

Цей опис, узятий із презентації, надісланої Міністерству фінансів, ймовірно, поділиться кожною конкуруючою фірмою. Це стає основною проблемою недоброзичливців. Максималісти Політика конфіденційності вважають, що радикально прозора, але псевдонімна природа біткойна має FLOW незалежною від держави, і вони вважають роботу цих компаній зрадою цього ідеалу.

«Це свого роду вторгнення в Політика конфіденційності користувачів, так само, як ви можете скаржитися на компанії централізованої веб-аналітики, які збирають IP-адреси, розміщують файли cookie на комп’ютерах людей і відстежують їх від сайту до сайту», – сказав Джон Лайт, давній Крипто , письменник, подкастер і організатор заходів.

Аналітика в ланцюжку — це, за своєю CORE, гонка атрибуції.

У колах кібербезпеки атрибуція означає ідентифікацію виконавців злому. У Крипто контексті це стосується практики блокчейн-детективів, які пов’язують псевдонімні адреси гаманців із ідентифікованими акторами. Ці суб’єкти можуть бути ліцензованими Крипто чи зберігачами, зловмисниками, які вчиняють атаки з програмами-вимагачами, ринками даркнету або фізичними чи юридичними особами, які перебувають під санкціями.

Наприклад: будь-хто, хто має підключення до Інтернету, може побачити, що, скажімо, гаманець abc123 переказав 0,5 BTC на zxy987; сама по собі ця інформація досить марна. Але база даних трасування може задокументувати, що Управління з контролю за іноземними активами США ідентифікувало zxy987 як належного африканському воєначальнику, який потрапив під санкції. Або це може показати, що Bitcoin abc123 було вкрадено з біржі.

Це цінна інформація для бірж, які хочуть припинити незаконну діяльність, для користувачів, які хочуть KEEP свої монети в чистоті, для урядів, які хочуть Соціальні мережі за грошима. Це поєднується завдяки суворій атрибуції.

З потенційно мільйони доларів у розслідувальних контрактах, які можна отримати, ці компанії мають гостру потребу в пошуку нових даних про атрибуцію. Наприклад, з 2018 року CipherTrace уклала 20 контрактів із федеральними агентствами на суму до 3,5 мільйона доларів США, останньою з яких, згідно з публічними даними, є робота свідка-експерта.

У галузі, яка винагороджує розробників деталізованих наборів даних про атрибуцію, а також у сфері, де злочинці прагнуть розвідки, яка допоможе їм не бути поміченими, охорона Secret атрибуції має першорядне значення, кажуть двоє давніх практиків.

Тим не менш, у своєму електронному листі до Міністерства фінансів Райан запропонував спробувати, «як досягається атрибуція Криптовалюта ». Honeypots були вказані як ONE з «активних» стратегій у слайд-коду.

Chainalysis: ас з атрибуції блокчейну

Найбільший конкурент CipherTrace почав використовувати власну новаторську техніку три роки тому.

Заснований у 2014 році та оцінений у червні в 4,2 мільярда доларів, Chainalysis — це велика мережа в галузі відстеження. Він зібрав десятки мільйонів доларів у федеральних контрактах на продаж програмного забезпечення, яке візуалізує діяльність у мережі. Хоча будь-хто, хто має підключення до Інтернету, може самостійно переглядати публічні записи блокчейну, вам знадобиться невелика допомога, щоб зрозуміти, що ви знаходите в кролячій норі.

Але справжнім бізнес-тузом трасувальника є його набір даних атрибуції, кажуть троє інсайдерів галузі. Жодна інша компанія не зібрала стільки детальних даних гаманців, як Chainalysis», – сказали джерела.

Частково це тому, що жоден інший трейсер не має такого масштабного бізнес-сліду. Chainalysis надає програмне забезпечення для відстеження 500 «постачальникам послуг віртуальних активів» або VASP, як їх називають регулятори. Це взаємовигідні відносини. Компанії отримують потужні інструменти відповідності Крипто , а Chainalysis додає адреси їхніх гаманців до своєї глобальної бази даних. Однак він не вимагає від клієнтів даних про своїх клієнтів.

«Ми T можемо говорити за всіх інших постачальників. Можливо, інші постачальники можуть попросити додаткову інформацію. Але Chainalysis стурбований лише даними про транзакції на рівні обслуговування», — йдеться в повідомленні компанії пояснив у дописі в блозі 2019 року. Іншими словами, він ідентифікує лише ті підприємства, які, як йому відомо, контролюють гаманці, а не людей.

Але це T все, і клієнти Chainalysis та публічна інформація про гаманці були не єдиними джерелами інформації для компанії.

У недатованому слайд-шоу для італійської поліції, яке просочилося у вересні, відділ продажів Chainalysis описав, як велика мережа гаманців компанії Bitcoin і Electrum збирає цінні дані користувачів, такі як IP-адреси, з підключених гаманців. Це допомогло слідчим Соціальні мережі значущими кримінальними слідами, йдеться в презентації.

Слайд-шоу також проливає нове світло walletexplorer.com, популярний дослідник блоків Bitcoin , яким керує Chainalysis з 2015 року. Згідно з документами, автентичність яких підтверджено CoinDesk , веб-сайт «зчищає» IP-адреси підозрілих користувачів, пов’язуючи їхній слід в Інтернеті з адресою гаманця. Цей набір даних надав «вагомі підказки» для правоохоронних органів.

«Ніколи не було Secret , що Chainalysis володіє та керує компанією walletexplorer.com. З 2015 року в нижній частині домашньої сторінки є заява про те, що автор сайту працює в Chainalysis як аналітик і програміст», — сказав CoinDesk представник компанії.

Можливо, відкритий Secret, але навряд чи відкрита книга. Chainalysis рідко звертав увагу на той факт walletexplorer.com спрямовував дані користувачів до інших напрямків свого бізнесу.

Через кілька тижнів після CoinDesk повідомили на walletexplorer.com, веб-сайт запровадив сторінку Повідомлення Політика конфіденційності , яка вперше пояснює, як його скарбниця даних проходить у лінійку продуктів Chainalysis .

«Ми ділимося інформацією про блокчейн та інформацією про відвідувачів з іншими нашими бізнес-напрямками Chainalysis, щоб допомогти нам надавати та покращувати ці послуги. Наприклад, інші бізнес-напрямки Chainalysis можуть використовувати інформацію, яку ми надаємо, щоб краще з’єднати ONE адресу гаманця Bitcoin з іншою адресою гаманця Bitcoin », – йдеться в заяві від 14 жовтня. Політика сказав.

«Нещодавно ми додали повідомлення про Політика конфіденційності , щоб надати більше інформації про те, як Chainalysis внутрішньо використовує інформацію, зібрану з walletexplorer.com веб-сайт, щоб допомогти покращити наші послуги», – сказав речник.

Нічого особистого?

Хоча залишається незрозумілим, що саме роблять honeypots CipherTrace, це слово викликає систему, яка нібито виконує ONE дію, запускаючи щось інше. Власник гаманця, який працює з «приманкою», точно не помічає прихованих мотивів служби.

Chainalysis, CipherTrace і Еліптичний усі раніше заявляли, що не прагнуть прив’язати людей до гаманців. Їхній бізнес полягає в тому, щоб допомагати урядам розслідувати Крипто злочини та підтримувати відповідність бірж.

Прогулянки з людьми T є частиною цього рівняння. Кажуть, ці компанії просто Соціальні мережі за грошима.

«Надані нами дані блокчейну пов’язують Крипто транзакції з реальними суб’єктами, такими як біржі, ринки даркнету та санкції», — сказав CoinDesk Арі Редборд, голова відділу юридичних і державних питань TRM Labs.

«Ці розвідувальні дані дозволяють Крипто отримувати сповіщення, якщо, наприклад, вона обробляє транзакцію з адресою, яка раніше використовувалася для фінансування тероризму», — сказав він. «Те ж саме стосується транзакцій, пов’язаних зі зломами, програмами-вимагачами, перетягуванням килимів та іншими атаками, які завдають шкоди Крипто і користувачам».

Але «ми не приписуємо транзакції окремим особам», — сказав Редборд про TRM Labs.

Подібним чином представник CipherTrace сказав, що він «не приписує дані гаманця приватним особам, за винятком осіб, які перебувають під санкціями». Він зробив це плідно, похвалившись в ONE 2019 році публікація в блозі приписування 72 000 іранських IP-адрес 4,5 мільйонам гаманців.

Питання, чи приписує CipherTrace IP-адреси іншим гаманцям, залишається відкритим. Керівництво вищої компанії каже, що вони зберігають T «особисту інформацію», а лише «ділову інформацію».

«CipherTrace не підтримує ідентифікаційну інформацію, ми підтримуємо BII», — сказав генеральний директор CipherTrace Дейв Джеванс в інтерв’ю в червні.

«Ми розуміємо, наприклад, які адреси до якої біржі належать», — сказав він. «Але ми T відстежуємо індивідуальну інформацію про те, що це ви за цією адресою; це не наша справа. Ми T хочемо цього робити. Ми розберемося, куди надходять гроші, куди вони виходять, а потім суди та правоохоронні органи», щоб зробити все інше.

Як зазначив О'Брайен, дослідник кібербезпеки, визначення CipherTrace інформації, яка дозволяє ідентифікувати особу, виключає IP-адреси разом із фізичним розташуванням, згідно з ONE із власних даних компанії. публікації в блозі: