CipherTrace от Mastercard использовала «Honeypots» для сбора данных о Криптo

3 марта 2020 года, незадолго до обеда в Вашингтоне, округ Колумбия, Стивен Райан отправил кому-то в Министерстве финансов США благодарственную записку с любопытной подробностью.

Главный операционный директор и соучредитель компании по расследованию Криптовалюта CipherTrace, Райан был ONE из 16 руководителей, которые накануне посетили отраслевой саммит с тогдашним министром финансов Стивеном Мнучином. Вместе со своей благодарностью за встречу Райан приложил слайды, в которых излагалась стратегия CipherTrace по демистификации Криптo . Среди этих методов были «медовые горшки».

Эта статья является частью CoinDeskНеделя Политика конфиденциальности ряд.

Записка Райана была частью 250-страничного сборникаЭлектронные письма Мнучина получено CoinDesk через Request Закона о свободе информации (FOIA). Части его слайдов очень напоминают публичные рекламные материалы CipherTrace. В них также упоминаются «honeypots» или похожие «Криптo money pots» по крайней мере с 2018 года.

Что сделалCipherTraceчто подразумевается под этими терминами?кибербезопасностьсообщество использует фразу «медовый горшок» для описания ложной цели, которая собирает разведданные о ничего не подозревающих нападающих. Другими словами, ловушка.

CipherTrace, которую платежный гигант Mastercard купил прошлой осенью по неизвестной цене, является частью кустарной индустрии, которая отслеживает перекресток Криптовалюта и преступности с оборотом в 14 миллиардов долларов в год. Просеивая миллионы ежедневных транзакций, записанных в блокчейнах или публичных реестрах, такие компании, как Chainalysis,Лаборатории ТРМ и Эллиптическийищите тревожные сигналы и незаконные перемещения, помечая подозрительные адреса по мере их поступления.

Компании позиционируют свои услуги как необходимые для нормализации Криптo и искоренения преступности. Критики критикуют эти отслеживающие фирмы как ончейн-нарков, хотя они в основном работают с публичной информацией.

CipherTrace T первая компания в этой нише, которая расставляет ловушки в надежде захватить информацию, которую T найти в цепочке. Chainalysis, ведущий поставщик Криптo отслеживания, в течение многих лет владеет сайтом-обозревателем кошельков, который захватывает IP-адреса посетителей и связывает их с адресами блокчейна, которые они искали. Компания признано эта практика только в октябре, через месяц после того, как CoinDesk опубликовал статьяпривлекая к этому внимание.

Более полудюжины ветеранов Криптовалюта индустрии сообщили CoinDesk, что они понятия не имеют, что CipherTrace подразумевает под «приманками». В заявлении, предоставленном CoinDesk, компания из Лос-Гатоса, Калифорния, дала базовое определение компьютерной безопасности, не объяснив, что оно означает в контексте анализа блокчейна.

«Криптo денежный горшок» или «медовый горшок» — это термин безопасности, обозначающий механизм, который создает виртуальную ловушку для заманивания потенциальных злоумышленников», — заявила CipherTrace, добавив, что документы, в которых упоминается эта тактика, устарели. «CipherTrace больше не использует «Криптo денежные горшки»», — говорится в сообщении (хотя на веб-сайте компании рекламировались оба варианта). деньги и горшочки с медомпо состоянию на четверг).

CoinDesk спросил CipherTrace: «Собирает ли ваша фирма данные об IP-адресах для целей их привязки к адресам кошельков?»

Представитель CipherTrace ответил: «Как компания, ориентированная на конфиденциальность, CipherTrace не сопоставляет данные IP с частными лицами».

Она не ответила на вопрос CoinDesk о том, сопоставляет ли CipherTrace IP-адреса с кошельками. CoinDesk спросил во второй раз, сопоставляет ли CipherTrace IP-адреса с адресами кошельков. CipherTrace не ответил.

По словам эксперта, такая скрытность «является частой проблемой в сфере Политика конфиденциальности , когда мы говорим о сетевых идентификаторах, таких как IP-адреса». Шон О'Брайен, исследователь кибербезопасности. «Компании пытаются дистанцироваться от того, что вы традиционно называете персонально идентифицируемой информацией, заявляя, что IP-адреса — это что-то другое. На самом деле, они невероятно полезны для идентификации домохозяйств, предприятий и отдельных лиц».

Например, «если вам нужно расследовать транзакцию Bitcoin , связанную с предполагаемым киберпреступлением, IP-адреса — это именно та информация, которую вы будете искать», — сказал О'Брайен. «Самые ранние дела, связанные с правоохранительными органами и Интернетом, основывались на IP-адресах как на доказательствах, и на то есть веские причины. И они так же полезны для преследования и преследования людей, как и для их судебного преследования».

Вслед за деньгами

Компании по отслеживанию уже давно стали крупной, хотя и недооцененной силой в институциональном марше криптовалют. Борясь с восприятием Bitcoin как инструмента криминального Финансы , они анализируют данные, чтобы точно определить мизерную долю, которая на самом деле таковой является.

Недавно был проведен Chainalysis оцененный что 0,15% Криптo транзакций в 2021 году были незаконными — это самый низкий процент за всю историю наблюдений. («Незаконные» кошельки собрали рекордную сумму в 14 миллиардов долларов в прошлом году, что, казалось бы, парадоксально, но Chainalysis связывает это с бурным ростом криптовалют.)

CipherTrace заявляет, что ее миссия — «развивать Криптовалюта экономику, делая ее надежной для правительств, безопасной для массового внедрения и защищая финансовые учреждения от рисков отмывания Криптo ».

Взятое из презентации, предоставленной Министерству финансов, это описание, вероятно, разделяют все конкурирующие фирмы. Оно затрагивает суть беспокойства критиков. Максималисты Политика конфиденциальности считают, что радикально прозрачная, но псевдонимная природа Bitcoin должна FLOW независимо от государства, и они считают работу этих компаний предательством этого идеала.

«Это своего рода вторжение в Политика конфиденциальности пользователей, такое же, как вы могли бы жаловаться на централизованные компании веб-аналитики, которые собирают IP-адреса и размещают файлы cookie на компьютерах пользователей, а затем отслеживают их перемещения с сайта на сайт», — сказал он. Джон Лайт, опытный преподаватель Криптo , писатель, подкастер и организатор мероприятий.

Аналитика в цепочке поставок по своей CORE является гонкой атрибуции.

В кругах кибербезопасностиатрибуция означает идентификацию лиц, совершивших взлом. В контексте Криптo это относится конкретно к практике блокчейн-детективов связывать псевдонимные адреса кошельков с идентифицируемыми субъектами. Этими субъектами могут быть лицензированные Криптo или кастодианы, злоумышленники с программами-вымогателями, торговые площадки даркнета или санкционированные лица или организации.

Например: любой, у кого есть подключение к Интернету, может увидеть, что, скажем, кошелек abc123 перевел 0,5 BTC на zxy987; эта информация сама по себе бесполезна. Но база данных трассировщиков может задокументировать, что Управление по контролю за иностранными активами США идентифицировало zxy987 как принадлежащего санкционированному африканскому полевому командиру. Или она может показать, что Bitcoin abc123 были украдены с биржи.

Это ценная информация для бирж, которые хотят исключить незаконную деятельность, для пользователей, которые хотят KEEP свои монеты чистыми, для правительств, которые хотят Социальные сети за деньгами. Она собирается посредством строгой атрибуции.

С потенциальномиллионы долларовв расследовательских контрактах, которые можно получить, эти компании испытывают острую потребность в добыче новых данных об атрибуции. Например, CipherTrace получила 20 контрактов с федеральными агентствами на сумму до 3,5 миллионов долларов с 2018 года, последний из которых был работой эксперта-свидетеля, согласно публичным записям.

По словам двух опытных специалистов, в отрасли, которая вознаграждает создателей детализированных наборов данных об атрибуции, и в сфере, где преступники жаждут информации, которая поможет им избежать внимания, сохранение Secret ингредиента атрибуции имеет первостепенное значение.

Тем не менее, в своем электронном письме в Министерство финансов Райан предложил продемонстрировать, «как достигается атрибуция Криптовалюта ». Honeypots были указаны в качестве ONE из «активных» стратегий в презентации.

Chainalysis: атрибуция блокчейна

Самый крупный конкурент CipherTrace начал использовать собственную новую технологию три года назад.

Основана в 2014 году и оценена в июне в4,2 миллиарда долларов, Chainalysis — это крупный воротила индустрии отслеживания. Он заработал десятки миллионов долларов на федеральных контрактах, продавая программное обеспечение, визуализирующее активность в цепочке. Хотя любой человек с подключением к Интернету может самостоятельно просеивать общедоступные записи блокчейна, вам понадобится небольшая помощь, чтобы разобраться в том, что вы найдете в кроличьей норе.

Но истинный бизнес-туз трейсера — это его набор данных атрибуции, заявили три отраслевых инсайдера. Ни одна другая компания не накопила такой подробный массив данных о кошельках, как Chainalysis, — заявили источники.

Отчасти это связано с тем, что ни один другой отслеживатель не имеет такого огромного бизнес-отпечатка. Chainalysis предоставляет отслеживающее программное обеспечение 500 «поставщикам услуг виртуальных активов» или VASP, как их называют регуляторы. Это взаимовыгодные отношения. Компании получают мощные инструменты для обеспечения соответствия Криптo , а Chainalysis добавляет адреса их кошельков в свою глобальную базу данных. Однако он не запрашивает у клиентов данные об их клиентах.

«Мы T можем говорить за всех остальных поставщиков. Возможно, другие поставщики могут запросить дополнительную информацию. Но Chainalysis занимается только данными транзакций на уровне обслуживания», — заявила компания. объяснилв сообщении в блоге 2019 года. Другими словами, он идентифицирует только те компании, которые, как он знает, контролируют кошельки, а не людей.

Но это была T вся история, и клиенты Chainalysis и общедоступная информация о кошельках были не единственными источниками информации для фирмы.

В недатированном слайд-шоу для итальянской полиции, которое было слито в сентябре, отдел продаж Chainalysis описал, как обширная сеть узлов кошельков Bitcoin и Electrum компании собирает ценные пользовательские данные, такие как IP-адреса, из подключаемых кошельков. Это помогло следователям Социальные сети значимым криминальным зацепкам, говорится в презентации.

Слайд-шоу также пролило новый свет накошелекexplorer.com, популярный обозреватель блоков Bitcoin , запущенный Chainalysis с 2015 года. Согласно документам, подлинность которых CoinDesk подтвердил, веб-сайт «собирает» IP-адреса подозрительных пользователей, связывая их интернет-след с адресом их кошелька. Этот набор данных предоставил «значимые зацепки» для правоохранительных органов.

«Никогда не было Secret , что Chainalysis владела и управляла кошелекexplorer.com«С 2015 года в нижней части главной страницы размещено заявление о том, что автор сайта работает в Chainalysis аналитиком и программистом», — сообщил представитель компании изданию CoinDesk.

Открытый Secret, возможно, но вряд ли открытая книга. Chainalysis редко привлекал внимание к тому факту, что кошелекexplorer.comперенаправляла пользовательские данные в другие направления своей деятельности.

Недели после CoinDesk сообщили на кошелекexplorer.comна сайте появилась страница с Раскрытие информации о Политика конфиденциальности , на которой впервые подробно разъясняется, каким образом собранные данные попадают в линейку продуктов Chainalysis .

«Мы делимся информацией о блокчейне и информацией о посетителях с другими нашими бизнес-направлениями Chainalysis , чтобы помочь нам предоставлять и улучшать эти услуги. Например, другие бизнес-направления Chainalysis могут использовать предоставляемую нами информацию для лучшего соединения ONE адреса кошелька Bitcoin с другим адресом кошелька Bitcoin », — говорится в сообщении от 14 октября. Политика сказал.

«Недавно мы добавили уведомление о Политика конфиденциальности , чтобы предоставить больше информации о том, как Chainalysis использует внутри компании информацию, собранную из кошелекexplorer.comсайт, чтобы помочь улучшить наши услуги», — сказал представитель.

Ничего личного?

Хотя остается неясным, что именно делают honeypots CipherTrace, это слово вызывает ассоциации с системой, которая якобы делает ONE , запуская что-то другое. Владелец кошелька, взаимодействующий с «honeypot», определенно не будет знать о скрытых мотивах сервиса.

Chainalysis,CipherTrace и Эллиптический все ранее заявляли, что не стремятся привязывать людей к кошелькам. Их бизнес заключается в помощи правительствам в расследовании Криптo и обеспечении соответствия бирж.

Аутинги людей T являются частью этого уравнения. Эти компании просто Социальные сети за деньгами, говорят они.

«Блокчейн-аналитика, которую мы предоставляем, связывает Криптo транзакции с реальными субъектами, такими как биржи, торговые площадки даркнета и санкционированные субъекты», — рассказал CoinDesk Ари Редборд, глава отдела юридических и правительственных связей TRM Labs.

«Эта разведывательная информация позволяет Криптo получать оповещения, если, например, она обрабатывает транзакцию с адресом, который ранее использовался для финансирования терроризма», — сказал он. «То же самое относится к транзакциям, связанным со взломами, программами-вымогателями, кражами и другими атаками, которые наносят вред инвесторам и пользователям Криптo ».

Но «мы не приписываем транзакции отдельным лицам», — сказал Редборд о TRM Labs.

Аналогичным образом представитель CipherTrace заявил, что компания «не приписывает данные кошельков частным лицам, за исключением лиц, находящихся под санкциями». Компания делала это неоднократно, хвастаясь в ONE в 2019 году запись в блогео приписывании 72 000 иранских IP-адресов 4,5 миллионам кошельков.

Вопрос о том, приписывает ли CipherTrace IP-адреса другим кошелькам, остается открытым. Руководство ведущих компаний утверждает, что они T хранят «лично идентифицируемую информацию», а только «бизнес идентифицируемую информацию».

«CipherTrace не хранит персональные данные, мы храним личные данные», — заявил генеральный директор CipherTrace Дэйв Джеванс в интервью в июне.

«Мы понимаем, например, какие адреса принадлежат какой бирже», — сказал он. «Но мы T отслеживаем индивидуальную информацию о том, что это вы по этому адресу; это не наше дело. Мы T хотим этого делать. Мы выясним, куда поступают деньги, куда уходят деньги, а затем дело за судами и правоохранительными органами», чтобы сделать все остальное.

Как отметил О'Брайен, исследователь в области кибербезопасности, определение CipherTrace персонально идентифицируемой информации, по-видимому, исключает IP-адреса, а также физическое местоположение, согласно ONE из сотрудников компании. записи в блоге: