Содержание
Когда торговцы наркотиками из даркнета и анонимные хакеры выяснили, что биткоин какой-то особенной волшебной анонимности не дает, многие перешли на Monero — эта криптовалюта специально спроектирована так, чтобы затруднить отслеживание и обеспечить пользователям как можно более высокий уровень анонимности. Впрочем, одна из исследовательских групп недавно обнаружила, что Monero, конечно, лучше биткоина, но тоже не панацея.
В сети Monero любой платеж перемешивается с другими, так что, исследуя блокчейн системы, нельзя проследить токены до конкретного человека или до предыдущей транзакцией из того же источника.
Тем не менее группа исследователей из ряда ведущих мировых университетов, в том числе Принстона, Университета Карнеги-Меллон, Бостонского университета, Массачусетского технологического института и Университета штата Иллинойс в Урбана-Шампейне, выпустила исслелование, в котором указывает на недостатки алгоритма смешивания, благодаря которым можно отследить отдельные транзакции.
И проблема касается не только тех, кто собирался сегодня расплатиться Monero — рискуют все, кто когда-либо пользовался системой, поскольку все данные платежей навсегда зафиксированы в блокчейне и доступны для анализа.
Исследователи отмечают, что особенно плохо обстояли дела до обновления, выпущенного в феврале 2017 года. Транзакции, проведенные до этого момента, очень уязвимы, но и платежи, совершенные после обновления, также не обеспечивают той конфиденциальности, на которую рассчитывают пользователи системы. Один из авторов статьи, Эндрю Миллер из Университета штата Иллинойс в Урбана-Шампейне, говорит:
«Люди склонные к упрощениям, поэтому они считают, что транзакции Monero гарантируют им анонимность. На самом деле есть открытая информация, которая не шифруется средствами сети».
Миллер также консультирует другую криптовалюту с упором на анонимность, Zcash (EXANTE: ZEC.EXANTE).
В статье, которая будет представлена на посвященной безопасности июльской конференции Privacy Enhancing Technologies Symposium, особое внимание уделяется периоду, начавшемуся в июле 2016 года, когда Monero впервые занял место рядом с биткоином (Bitcoin) на крупнейшем тогда черном рынке наркотиков, AlphaBay, и закончившемуся в феврале 2017 года, когда вышло обновление Ring Confidential Transactions.
Исследователи отмечают, что за этот период произошло около 200 тыс. транзакций Monero, многие из которых, вероятно, связаны с покупкой наркотиков или другими незаконными сделками, и пользователи наверняка чувствовали себя полностью застрахованными от слежки. Николя Кристин, другой соавтор работы, говорит:
«Люди просто поверили в анонимность этой криптовалюты — она действительно используется в случаях, когда конфиденциальность очень важна. При этом транзакции того периода очень, очень уязвимы».
Не так уж безопасно
Хотя биткоин широко использовался и используется для разного рода незаконных
сделок, в том числе именно в этой криптовалюте вирусы-вымогатели предлагают перечислять выкуп, постепенно пользователи стали осознавать, что без должных мер предосторожности блокчейн только помогает идентификации. Именно так поймали создателя Silk Road Росса Ульбрихта и отследили серверы Hansa, другой торговой площадки. В результате онлайн-андерграунд все активнее переходил на Monero.
Теперь же исследователи нашли в этой криптовалюте две уязвимости, и, если одна из них была исправлена в начале 2017 года, то другая по-прежнему присутствует в коде, хотя программисты Monero и пытаются принять меры для исправления ситуации. Обе проблемы связаны с механизмом сокрытия источника платежа — для этого потраченные монеты перемешиваются с монетами-обманками.
Исследователи отмечают, что использование простых приемов позволяет идентифицировать часть обманок. Дело в том, что в первый год существования системы пользователь мог отказаться от защиты и тратить токены напрямую (сегодня в сети Monero для каждой транзакции используется не менее четырех «обманок»).
И тут возникает проблема: когда уже потраченная и известная монета позже становится обманкой, ее можно «узнать» и исключить из микса, что облегчает идентификацию оставшихся монет, которые, в свою очередь, делают менее безопасными следующие смеси, где они участвуют в качестве обманок.
Другая проблема обнаружилась в системе защиты Monero, привязанной к моменту транзакции. В любой комбинации одной реальной монеты и набора обманных токенов, объединенных в транзакцию, реальная, вероятнее всего, оказывается последней монетой, которая куда-то перемещалась перед транзакцией.
До недавнего обновления это предположение позволяло вычислить реальную монету более чем в 90% случаев, сводя на нет все гарантии безопасности.
Теперь, когда принцип смешивания изменился, реальную монету можно вычислить в 45% случаев, что, конечно, все равно гораздо больше, чем хотелось бы пользователям.
Нестираемые отпечатки пальцев
Важно отметить, что эта уязвимость помогает установить отправителя средств, а не их получателя — для сокрытия адреса последнего в Monero используется другая техника под названием «скрытые адреса».
Тем не менее, если некто сначала сделает перевод обменнику Monero, где от него потребуют идентификации, а потом отправит деньги полицейскому, представившемуся продавцом наркотиков, то второй платеж можно будет привязать к первому и идентифицировать личность пользователя.
И это реальная угроза, поскольку площадка AlphaBay была закрыта властями прошлым летом, а ее серверы конфискованы, так что в распоряжении полиции оказались все данные по транзакциям, совершенным в течение семи месяцев, когда система Monero была наиболее уязвима. Миллер говорит: «Любая из транзакций того периода может быть отслежена».
Издание Wired обратилось за комментарием к представителю компании Monero и разработчику Рикардо Спаньи. Он ответил, что «скрытые адреса» и обновление Ring Confidential Transactions сильно ограничивают возможности отслеживания транзакций.
Он также отметил, что разработчики Monero уже много лет знают о проблемах, о которых пишут исследователи, и постоянно работают над улучшением протоколов сети. Спаньи говорит:
«Конфиденциальность не достигается раз и навсегда, это постоянная борьба щита и меча».
Что же касается идентификации монет путем анализа времени транзакций, Спаньи признает, что простого решения у этой проблемы нет. Он поясняет:
«Есть меры, которые можно предпринять для затруднения слежки, но надо признать, что это проблема, которую подпорками не решить. Нам нужна новая схема, которая позволит задействовать в смешивании гораздо больше монет».
Впрочем, он также отмечает, что чем больше монет используется в каждой транзакции, тем больше места на компьютерах пользователей будут занимать данные Monero и тем дольше будут обрабатываться транзакции. Он говорит: «Мы пытаемся найти баланс».
Таким образом, транзакции Monero останутся потенциально отслеживаемыми — пусть это и вопрос вероятностей, а не твердая улика. Впрочем, исследователи предупреждают, что небольшие фрагменты информации могут накапливаться и в сочетании с другими источниками данных со временем образовывать вполне твердую доказательную базу.
Тревожнее всего сейчас пользователям Monero, которые пользовались системой в период ее максимальной уязвимости — в блокчейне навсегда записаны все следы их деятельности. И тут мы сталкиваемся с фундаментальной проблемой конфиденциальности криптовалют:
Любая уязвимость, обнаруженная в будущем, может быть задним числом использована на имеющихся данных, позволяя заинтересованному наблюдателю извлечь из блокчейна любые старые скелеты.
Христин резюмирует: «Существует непрерывная запись всех происходящих изменений, и, если когда-нибудь будет обнаружена уязвимость, прошлое может вас догнать. А что нам принесет будущее, мы знать не можем».