Анонімність Bitcoin-Over-Tor «можна позбутися за 2500 доларів на місяць»

За словами вчених з Університету Люксембургу, використання Bitcoin через анонімну мережу Tor створює для користувачів більший ризик розкриття їх особистості.

Якщо цього, здавалося б, парадоксального відкриття T , щоб налякати біткойнерів, які люблять конфіденційність, дослідники також визначили, що атака може бути здійснена на «економний» бюджет у розмірі лише 2500 доларів на місяць.

За їх словами, така атака може розкрити особу користувача Bitcoin і Tor і дозволить зловмиснику втручатися в транзакції жертви.

Іван Пустогаров, ONE із двох дослідників, які працюють над цим питанням, пояснив:

«Проблема тут полягає в анонімності. Коли люди підключаються через Tor, вони очікують вищого рівня анонімності... він забезпечує певний рівень анонімності, але порушити це не так вже й важко».

Напад викладено в статті під назвою Bitcoin через Tor — T гарна ідея, написав Пустогаров, докторант на КриптоЛЮКС, дослідницька група криптології Університету Люксембургу, і Алекс Бірюков, доцент, який очолює групу.

Пустогаров сказав, що стаття буде подана на експертну рецензію для презентації на конференції з криптографії та інформаційної безпеки.

«Віртуальна Bitcoin реальність»

Тип маніпуляції, описаний авторами, відомий як a атака «людина посередині».(MitM) і, в разі успіху, може виявити IP-адресу користувача, яка може бути використана для визначення місцезнаходження користувача, і дозволить зловмиснику «склеїти» або співвіднести транзакції, які виконує цей користувач з різних Bitcoin -адрес.

У документі зазначено:

«Зловмисник із низьким ресурсом може отримати повний контроль над потоками інформації між усіма користувачами, які вирішили використовувати Bitcoin через Tor. Зокрема, зловмисник може LINK між собою транзакції користувача незалежно від використовуваних псевдонімів… і для таких… користувачів може бути створена повністю віртуальна реальність Bitcoin ».

Як наслідок, жертва також буде залежати від зловмисника щодо інформації про його транзакції, оскільки вони зможуть затримати або відхилити транзакції чи блокування жертви.

За екстремального сценарію поганий гравець може навіть змусити жертву подумати, що вона отримала Bitcoin, хоча насправді вона цього не отримала (так звана «атака подвійних витрат»), сказав Пустогаров.

Такий вид атаки матиме наслідки для торговців, які прагнуть конфіденційності, наприклад, на Ринки темної мережі. Продавець у темній мережі також ризикує стати жертвою такої атаки з боку конкуруючих компаній або незадоволених клієнтів.

Незважаючи на здатність MitM скомпрометувати Політика конфіденційності жертви, він, однак, не зможе викрасти кошти жертви. Їхній гаманець і транзакції в безпеці, навіть якщо атака була успішно здійснена, підтвердив дослідник, додавши:

«Гаманці безпечні; біткойни неможливо вкрасти. Атака не така велика».

Як працює атака

Пустогаров і Бірюков придумали атаку, зосередившись на маловідомому аспекті протоколу Bitcoin , його вбудованому захисті від атак на відмову в обслуговуванні (DoS). Щоб захистити себе, Bitcoin сервери нараховують бали клієнтам, які надсилають їм проблемні транзакції. Коли клієнт набирає 100 балів, сервер блокує його на 24 години.

В ан попередній папір, також зосередившись на ризиках анонімності в мережі Bitcoin , автори описали спосіб використання цього захисту від DoS, щоб запобігти використанню Tor для підключення до мережі Bitcoin .

Вони пояснили, що коли користувач Tor підключається до мережі Bitcoin , його або її IP-адреса не розкривається. Замість цього Bitcoin сервер бачить адресу підключеного «вузла виходу» Tor, типу сервера. У результаті зловмисник може надіслати через Tor достатньо поганих транзакцій, щоб усі вузли виходу були заборонені мережею Bitcoin .

Автори будують цей підхід у своїй поточній статті. Вони кажуть, що розумний зловмисник міг би налаштувати кілька серверів Bitcoin і вузлів виходу Tor, перш ніж використовувати систему захисту від DoS, щоб заборонити іншим вузлам виходу Tor доступ до мережі Bitcoin .

Коли жертва використовує Tor для підключення до мережі Bitcoin , у неї залишаться лише Bitcoin сервери зловмисника для підключення, оскільки вона була забанена всіма іншими серверами. Зловмисник тепер контролює всю інформацію, що передається користувачеві.

Пустогаров і Бірюков підрахували, що ціна атаки може становити від 2500 до 7200 доларів на місяць. Цей діапазон потрібний, щоб гарантувати достатню пропускну здатність і/або кілька IP-адрес для атак.

За нижньої межі зловмисник може контролювати значну частину пропускної здатності вихідного вузла Tor, дозволяючи йому скеровувати жертву на зловмисний Bitcoin сервер. З такою пропускною здатністю жертві знадобиться в середньому менше трьох хвилин, перш ніж підключитися до Bitcoin сервера, контрольованого зловмисником, сказав Пустогаров.

Виявлення та виправлення

Однак є хороші новини. Пустогаров зазначив, що таку атаку можна відстежити досить легко, створивши програму для перевірки відсотка вузлів виходу Tor, заборонених мережею Bitcoin у будь-який момент часу, пояснивши:

«Якщо хтось вирішить спостерігати, чи здійснюється ця атака, він зможе її виявити негайно».

У документі також описані деякі способи протидії атаці, хоча всі вони вимагають фундаментальних змін у протоколі Bitcoin . Наприклад, систему захисту від DoS можна змінити так, щоб вона працювала лише на половині всіх серверів шляхом випадкового вибору в будь-який момент часу.

Використання Tor для підвищення анонімності з іншими програмами також виявилося проблематичним у деяких випадках. Наприклад, попередні дослідження показали, що використання BitTorrent, популярного децентралізованого протоколу обміну файлами, через Tor призводило до витоку IP-адрес.

«Tor не є панацеєю … і не всі програми однаково добре анонімні в поєднанні з Tor», зазначається в документі.

Пустогаров оптимістично налаштований, що продовження досліджень розвіє міфи про рівень анонімності, який забезпечує цифрова валюта:

«Зараз користувачі та дослідники починають більше розуміти анонімність Bitcoin. Коли я почув про чорні Ринки , такі як Silk Road, які використовують Bitcoin, у мене склалося враження, що Bitcoin анонімний».

Анонімність зображення через Shutterstock