Bitcoin-transacties zijn niet zo anoniem als iedereen had gehoopt

Een toenemend aantal online verkopers biedt nu de mogelijkheid om te betalen met de cryptocurrency Bitcoin. Een van de grote beloften van deze technologie is anonimiteit: de transacties worden geregistreerd en openbaar gemaakt, maar ze zijn alleen gekoppeld aan een elektronisch adres. Dus wat je ook koopt met je bitcoins, de aankoop is niet specifiek naar jou te herleiden.





Dit is handig voor sommigen, maar de anonimiteit is zeker niet perfect. Beveiligingsexperts noemen het pseudonieme privacy, zoals het schrijven van boeken onder een nom de plume. U kunt uw privacy behouden zolang het pseudoniem niet aan u is gekoppeld. Maar zodra iemand de link naar een van je anonieme boeken maakt, wordt de list onthuld. Je hele schrijfgeschiedenis onder je pseudoniem wordt openbaar. Evenzo, zodra uw persoonlijke gegevens zijn gekoppeld aan uw Bitcoin-adres, wordt ook uw aankoopgeschiedenis onthuld.

Dat roept een belangrijke vraag op voor mensen die Bitcoin willen gebruiken om anonieme aankopen te doen: hoe gemakkelijk is het om ze te koppelen aan hun Bitcoin-transacties?

Vandaag krijgen we een antwoord dankzij het werk van Steven Goldfeder aan de Princeton University en een aantal vrienden. Deze jongens zeggen dat de manier waarop informatie lekt tijdens gewone aankopen het eenvoudig maakt om individuen te koppelen aan de Bitcoin-transacties die ze doen, zelfs wanneer kopers aanvullende privacybeschermingen gebruiken, zoals CoinJoin.



De belangrijkste boosdoeners zijn webtrackers en cookies: kleine stukjes code die opzettelijk zijn ingesloten in websites die informatie naar derden sturen over de manier waarop mensen de site gebruiken. Common Web-trackers sturen informatie naar Google, Facebook en anderen om paginagebruik, aankoopbedragen, surfgedrag, enzovoort bij te houden. Sommige trackers sturen zelfs persoonlijk identificeerbare informatie zoals uw naam, adres en e-mail.

Op deze manier lekt informatie over een transactie op het web, waar overheden, wetshandhavingsinstanties en kwaadwillende gebruikers deze gemakkelijk kunnen verzamelen en analyseren.

De vraag die Goldfeder en co onderzoeken is hoe gemakkelijk het is om deze informatie te gebruiken om mensen te verbinden met hun Bitcoin-transacties. Dit proces vereist dat de afluisteraar de persoonlijk identificeerbare informatie van een persoon kent, bijvoorbeeld naam en e-mail, en die vervolgens koppelt aan een specifiek Bitcoin-adres.



Het team begon met het opsommen van grote handelaren die Bitcoin-transacties toestaan. Ze bedachten er 130, waaronder Microsoft, NewEgg en Overstock.

Vervolgens onderzochten ze hoe webtrackers tijdens het aankoopproces informatie van elk van deze sites lekken. We stellen vast dat ten minste 53/130 van de handelaren betalingsinformatie lekt naar in totaal ten minste 40 derde partijen, meestal via winkelwagenpagina's, zeggen Goldfeder en co.

De meeste van deze informatielekken zijn opzettelijk bedoeld voor reclame- en analysedoeleinden. Maar de onderzoekers zeggen ook dat er wat extra informatie wordt verzonden. We merken dat veel handelswebsites veel serieuzere (en waarschijnlijk onbedoelde) informatielekken hebben die de exacte transactie op de blockchain direct onthullen aan tientallen trackers, zeggen ze.



Dat is slecht nieuws voor mensen die hun Bitcoin-aankopen anoniem willen houden. Maar zelfs wanneer de exacte transactie verborgen wordt gehouden, is het nog steeds mogelijk om de link te maken wanneer het lek het bedrag en het tijdstip van de aankoop omvat.

In dat geval moet de afluisteraar het aankoopbedrag omzetten in Bitcoins met behulp van de wisselkoers van dat moment en vervolgens in de blockchain zoeken naar een transactie van dat bedrag op dat moment. Dit onthult het Bitcoin-adres van de gebruiker. Alle andere aankopen die met dat adres zijn gedaan, zijn dan triviaal om op te sporen.

Er zijn een aantal extra factoren die dit proces lastiger maken. De webtracker kan de kosten van het product lekken, maar exclusief verzendkosten, dus de totale Bitcoin-aankoop is mogelijk niet duidelijk.



Er kan ook een gat zijn tussen het moment waarop de gebruiker de pagina heeft bekeken waarvan de informatie is gelekt, bijvoorbeeld het winkelwagentje, en het moment waarop de aankoop daadwerkelijk is gedaan. Bitcoin-aankopen hebben een tijdstempel, dus het wordt moeilijker om ze op te sporen als de tijd niet nauwkeurig bekend is.

Het aankoopbedrag wordt meestal gegeven in een lokale valuta zoals dollars of ponden en vervolgens omgezet in Bitcoin op het moment van aankoop. Vanwege de grote variabiliteit in Bitcoin-wisselkoersen, kan het moeilijk zijn om de exacte Bitcoin-waarde te berekenen als de aankooptijd niet nauwkeurig bekend is.

Al deze factoren maken het moeilijker om individuen te koppelen aan hun Bitcoin-transacties, maar het is zeker niet onmogelijk. We vinden dat een unieke koppeling mogelijk is in meer dan 60% van de gevallen voor realistische waarden van deze parameters, zeggen de onderzoekers.

Er zijn manieren om Bitcoin-transacties verder te verbergen. Een van de meest populaire is CoinJoin, een service die gebruikers verbindt die soortgelijke betalingen willen doen en ze vervolgens samen laat betalen. Dit vermengt hun bitcoins, waardoor het moeilijker wordt om ze te identificeren.

Maar Goldfeder en co wijzen erop dat als een persoon CoinJoin gebruikt om meerdere aankopen op deze manier te doen, het eenvoudig is om ze terug te koppelen: als het slachtoffer 3 rondes CoinJoin gebruikt en de tegenstander observeert twee van de betalingen van het slachtoffer, hij kan ze koppelen terug naar haar portemonnee (ondanks het mengen) met een nauwkeurigheid van 98%.

Er zijn verschillende manieren waarop kopers zichzelf kunnen beschermen met tools zoals Ghostery, AdBlock Plus of uBlock Origin. Deze zijn handig, maar kunnen soms trackers missen en op andere momenten aankopen volledig voorkomen. Dergelijke verdedigingen kunnen behoorlijk effectief zijn, maar ze zijn verre van perfect, zeggen Goldfeder en co.

Dit alles zal deprimerend nieuws zijn voor mensen die hun privacy online willen behouden.

Maar het zal ook als muziek in de oren klinken van wetshandhavingsinstanties die snode activiteiten willen volgen. Zoals vrijwel alle deanonimiseringsaanvallen op cryptocurrencies, kunnen onze technieken worden gebruikt om forensische tools te bouwen voor gebruik door wetshandhavers, geven Goldfeder en co toe.

En zoals alle deanonimiseringstechnieken zal dat voor- en nadelen hebben.

Referentie: arxiv.org/abs/1708.04748 : Wanneer de cookie de blockchain ontmoet: privacyrisico's van webbetalingen via cryptocurrencies

zich verstoppen