0xB10C: Някой се опитва да деанонимизира всички адреси на биткойн портфейли

Време за четене на статията:
3 мин.

Според разработчика на мрежово приложение за биткойн под псевдоним 0xB10C, поверителността на личните данни на собствениците на BTC портфейли е застрашена.

Индивид или група, обединени подLinkingLion събира данни за собствениците на биткойн от март 2018 г. и вече е използвал повече от 800 различни IP адреса, за да скрие своите дейности, казва 0xB10C.

LinkingLion установява TCP връзка сБиткойн възел и задейства потвърждение на версията чрез изпращане на съобщението: версия. Съобщенията за версия имат неясни потребителски агенти, като /bitcoinj:0.14.3/Bitcoin Wallet:4.72/, /Classic:1.3.4(EB8)/ или /Satoshi:0.13.2/. Общо LinkingLion използва 118 различни потребителски агента. Почти всички те се появяват в съобщенията за освобождаване с еднаква честота. Тоест, потребителските агенти са избрани от списък и има вероятност да са фалшиви.

„LinkingLion отваря връзки смного възли в биткойн мрежата, използващи четири диапазона от IP адреси, и слуша съобщения за транзакции. Използва IP адреси от три диапазона IPv4/24 и един диапазон IPv6/32 за свързване към слушащи възли в биткойн мрежата. Това може да позволи на LinkingLion да асоциира нови излъчвани транзакции с IP адресите на хоста. Това поведение може да показва, че неизвестен обект(и) се опитва(т) да определи дали конкретен хост е достъпен на конкретен IP адрес. Всички тези диапазони на IP адреси се рекламират от AS54098, LionLink Networks,” пише 0xB10C.

Въз основа на информацията от регистъра на ARIN и RIPE диапазоните принадлежат на различни компании: Fork Networking, Castle VPN, Linama UAB и Data Canopys. 

Fork Networking и Castle VPN саАмерикански компании, собственост на един и същи собственик. Fork Networking предлага услуги за хостинг и колокация, а Castle VPN е VPN доставчик. Linama UAB е литовска компания, която не присъства в Интернет. Data Canopy е американска компания, която предлага облачни и колокационни центрове за данни. Тъй като връзките от тези диапазони на IP адреси имат много подобно поведение, 0xB10C приема, че те са контролирани или наети от LinkingLion.

В приблизително 15% от случаите LinkingLion не го прави веднагазатваря връзката. Вместо това той или прослушва съобщения за инвентаризация, съдържащи транзакции, или изпраща заявка за адрес и прослушва както съобщенията за инвентар, така и адресите. След това затваря връзката в рамките на десет минути.

Информация, която LinkingLion получаваот възел, могат да бъдат разделени на метаданни, инвентар и адреси. Всички връзки научават за метаданните на възела, което включва информация за това кога възелът е наличен или недостъпен, коя версия на софтуера работи на този конкретен възел и кога се актуализира, каква височина на блока счита за най-добра и кога се променя, какви услуги оферти за възел.

0xB10C предложи това по този начинLinkingLion може да записва синхронизацията на транзакцията, за да определи кой възел е получил транзакцията пръв. След това тази информация може да се използва за определяне на IP адреса, свързан с конкретен биткойн адрес. Според 0xB10C, LinkingLion може да използва тази информация, за да обвърже излъчваните транзакции директно към IP адресите.

0xB10C предлага защита на общността отзаплаха за кражба на чувствителни данни чрез създаване на списък за отказ с отворен код, който възлите могат да използват, за да откажат свързването на LinkingLion. Въпреки това, 0xB10C посочва на разработчиците, че LinkingLion може да се опита да заобиколи списъка с ограничения, като промени IP адресите, които в момента използва за свързване. Краткосрочна превантивна мярка би била ръчната забрана на диапазони от IP адреси, използвани от LinkingLion за входящи връзки към хостове. Според 0xB10C единственото постоянно решение на проблема може да бъде промяна на логиката на транзакциите в Bitcoin Core.

Според доклада на Kaspersky Lab за 2022 г. компанията записа
почти 200 000 опита за кражба на данни от портфейли с криптовалута и акаунти на крипто инвеститори.