info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

شناسایی صاحبان حساب‌های بیت‌کوین

خلاصه: بیت‌کوین که معروف‌ترین ارز اینترنتی است با ويژگی‌هایی که به کاربران خود ارایه می‌دهد محبوبیت فراوانی یافته است. یکی از این خصوصیت‌ها مشخص نشدن هویت فرد صاحب حساب است. حال دو پژوهشگر مستقل و دو پژوهشگر از دانشگاه پرینستون نشان داده‌اند که ردیابی آنلاین توسط اشخاص ثالث، اطلاعات کافی را برای شناسایی یک تراکنش در زنجیره‌ی بلوکی فراهم کرده و آن را به کوکی کاربر و  در نهایت به هویت واقعی کاربر ارجاع می‌دهد.

روزبه‌روز تعداد بیشتری  از وب‌سایت‌های فروشگاهی امکان پرداخت از طریق پول‌ رمزشده را فراهم می‌کنند. اما کاربران باید بدانند که این تراکنش‌ها می‌تواند موجب کشف هویتشان شود؛ حتی اگر از تکنیک‌های زنجیره بلوکی (blockchain) مانند CoinJoin برای ناشناخته ماندن استفاده کنند.

دو پژوهشگر مستقل و دو پژوهشگر از دانشگاه پرینستون نشان داده‌اند که ردیابی آنلاین توسط اشخاص ثالث، اطلاعات کافی را برای شناسایی یک تراکنش در زنجیره‌ی بلوکی فراهم کرده و آن را به کوکی کاربر و  در نهایت به هویت واقعی کاربر ربط می‌دهد.

همچنین این محققان بیان نموده‌اند که با ردیابی کوکی‌ها، یک تراکنش می‌تواند به فعالیت‌های آن کاربر در وب وصل شود و براساس تکنیک‌های شناخته‌ شده‌ی خوشه‌بندی آدرس بیت‌کوین نیز، می‌تواند به دیگر تراکنش‌های بیت‌کوینی آن‌ها مرتبط شود.

این نکته هم قابل ذکر است که بسیاری از بازرگانان، اطلاعات شخصی قابل شناسایی کاربران مانند نام یا آدرس ایمیلشان را‌ در اختیار ردیاب‌ها قرار می‌دهند و در این صورت، ردیابی‌ها می‌تواند به راحتی یک تراکنش را به مشخصات و هویت کاربر در وب مرتبط سازند.

تا امروز، ممکن بود تصور شود که استفاده از تکنیک‌های ترکیبی مانند CoinJoin  یا دیگر انواع ترکیبی کوین‌ها، می‌تواند از کشف ارتباط آدرس بیت‌کوین با هویت کاربر جلوگیری کند؛ اما متأسفانه این تصور نادرست است.

به گفته‌ی این محققان اطلاعات اضافی اندکی -از جمله دو (یا بیشتر) تراکنش انجام شده توسط یک موجودیت- برای خنثی کردن اثر ترکیب تکنیک‌ها کافی است. از آنجا که اطلاعات اضافی در بسیاری از نهادهای بالقوه همچون بازرگانی‌ها، دیگر معامله‌کنندگان مانند سایت‌هایی که کمک‌های مالی می‌گیرند، واسطه‌هایی مانند پردازشگرهای پرداخت و شنودکننده‌های بالقوه‌ی شبکه در دسترس است، ردیاب‌های وب را در وضعیت خوبی برای انجام این حمله قرار می‌دهد.

پژوهشگران مذکور، وب‌سایت ۱۳۰ تاجر آنلاین را که امکان پرداخت با بیت‌کوین را دارند، بررسی کرده و دریافتند که :

  • ۵۳ تای آن‌ها، اطلاعات پرداخت را برای اشخاص دیگری فاش می‌کنند (غالباً تعمدی و با اهداف تبلیغاتی یا آماری)
  • ۱۷ تای آن‌ها، آدرس بیت‌کوین‌های دریافتی یا میزان بیت‌کوین پرداخت شده را به شخص سومی  می‌فرستند
  • ۴۳تای آن‌ها، برخی داده‌های مربوط به مبلغ سبد خرید غیر بیت‌کوین را به اشخاص دیگر می فرستند
  • ۴۹تای آن‌ها، برخی اطلاعات شخصی قابل شناسایی را به ۱۳۷ شخص دیگر می‌فرستند و ۲۱تای آن اشخاص ثالث، اطلاعات مربوط به تراکنش‌ها را نیز دریافت می‌کنند

چگونه کاربران می‌توانند از خودشان محافظت کنند؟

استفاده از افزونه‌های مرورگر مانند uBlock Origin، Adblock Plus و Ghostery برای مسدود کردن ردیاب‌ها نمی‌تواند به طور کامل از کاربران محافظت کند. به‌ویژه اگر چیزی که قصد حفاظت در برابر آن را دارند، شنود کننده‌‌ی شبکه و یا پردازشگر پرداخت‌ها باشد. استفاده از روش‌های تلفیقی پیشرفته مانند چندبار مخلوط کردن، تنها کمی مؤثر است.

اکنون، پژوهشگران بر این باورند که رو آوردن به یک پول رمزشده‌ی دیگر می‌تواند گزینه‌ی بهتری باشد. به گفته‌ی آن‌ها «برخلاف رویکرد ناشناختگی بیت‌کوین به عنوان یک پوشش، دیگر پول‌های رمزشده، حریم خصوصی را به سمت پروتکل کشیده و تضمین می‌کنند که تراکنش‌ها کماکان ناشناخته می‌ماند.»

شناخته‌شده‌ترین این‌ها، Zcash  برپایه‌ی پروتکل Zerocash  و نیز،  Monero برپایه‌ی پروتکلCryptonote  هستند. Zcash  سربار محاسباتی بیشتری دارد اما از ویژگی‌های امنیتی قوی‌تری برخوردار است. Monero، دارای پشتیبانی بیشتری از فروشندگان در زمان نوشتن است، اما همچنان از بیت‌کوین و لایت‌کوین (Litecoin) کمتر است و در درجه‌ی اول، روی سایت‌هایی که مخفیانه کالاهای غیرقانونی مبادله می‌کنند ارائه می‌شود. البته اخیراً ضعف‌هایی در  Monero  نیز کشف شده است که ناشناخته ماندن کاربران را به خطر می‌اندازد.