Ktoś próbuje zdeanonimizować adresy portfeli bitcoin od 2018 roku
Według twórcy aplikacji dla sieci Bitcoin, który pisze pod pseudonimem 0xB10C zagrożona jest prywatność danych osobowych posiadaczy portfeli BTC. Osoba lub grupa pod nazwą LinkingLion zbiera dane o właścicielach Bitcoinów od marca 2018 roku.
„LinkingLion nawiązuje połączenie TCP z węzłem bitcoin i inicjuje weryfikację wersji, wysyłając wiadomość: Komunikaty o wersji mają niejasne programy klienckie, takie jak /bitcoinj:0.14.3/Bitcoin Wallet:4.72/, /Classic:1.3.4(EB8)/ lub /Satoshi:0.13.2/. W sumie LinkingLion używał 118 różnych agentów użytkownika. Prawie wszystkie z nich pojawiają się w informacjach o wydaniu z tą samą częstotliwością”.
An entity I call LinkingLion, active since 2018 and on a Monero banlist, is opening connections to many clearnet Bitcoin nodes. Its presumably attempting to link transactions to node IPs. Maybe a chain analysis company trying to enhance its product?https://t.co/W4PDoln3p3
— 0xB10C (@0xB10C) March 28, 2023
Oznacza to, że programy klienckie są wybierane z listy i prawdopodobnie są fałszywe. „LinkingLion otwiera połączenia z wieloma węzłami w sieci Bitcoin przy użyciu czterech zakresów adresów IP i nasłuchuje ogłoszeń o transakcjach.
Wykorzystuje adresy IP z trzech zakresów IPv4/24 i jednego zakresu IPv6/32 do łączenia się z węzłami nasłuchowymi w sieci Bitcoin. Może to pozwolić LinkingLion na powiązanie nowych transakcji emisji z adresami IP hosta. Takie zachowanie może wskazywać, że nieznane osoby próbują ustalić, czy określony węzeł jest osiągalny pod określonym adresem IP. Wszystkie te zakresy adresów IP są ogłaszane przez AS54098, LionLink Networks”, pisze 0xB10C.
Na podstawie informacji z rejestrów ARIN i RIPE zakresy są własnością różnych firm: Fork Networking, Castle VPN, Linama UAB i Data Canopys. Fork Networking i Castle VPN to amerykańskie firmy należące do tego samego właściciela.
Fork Networking oferuje usługi hostingowe i kolokacyjne, a Castle VPN jest dostawcą VPN. Linama UAB to litewska firma, która nie jest reprezentowana w Internecie. Data Canopy to amerykańska firma oferująca centra danych w chmurze i kolokacji. Ponieważ połączenia z tych zakresów adresów IP zachowują się bardzo podobnie, 0xB10C założył, że były kontrolowane lub dzierżawione przez LinkingLion.
W około 15% przypadków LinkingLion nie zamyka natychmiast połączenia. Zamiast tego albo nasłuchuje komunikatów inwentaryzacyjnych zawierających transakcje, albo wysyła żądanie adresu i nasłuchuje zarówno komunikatów inwentaryzacyjnych, jak i adresowych. Następnie zamyka połączenie w ciągu dziesięciu minut. Informacje, które LinkingLion otrzymuje z węzła, można podzielić na metadane, zasoby i adresy.
Wszystkie połączenia dowiadują się o metadanych węzła, które obejmują informacje o tym, kiedy węzeł jest dostępny lub niedostępny, jaka wersja oprogramowania działa na tym konkretnym węźle i kiedy się aktualizuje, jaką wysokość bloku uważa za najlepszą i kiedy się zmienia, jakie usługi oferuje węzeł.
0xB10C zasugerował, że w ten sposób LinkingLion mógłby rejestrować synchronizację transakcji w celu określenia, który węzeł otrzymał transakcję jako pierwszy. Informacje te można następnie wykorzystać do określenia adresu IP powiązanego z konkretnym adresem bitcoin.
Według 0xB10C, LinkingLion może wykorzystać te informacje do powiązania transakcji emisji bezpośrednio z adresami IP. 0xB10C proponuje ochronę społeczności przed groźbą kradzieży prywatności poprzez utworzenie otwartej listy blokad, której węzły mogą używać do blokowania połączeń LinkingLion.
0xB10C ostrzega programistów, że LinkingLion może próbować ominąć listę odrzuconych, zmieniając adresy IP, których obecnie używa do łączenia. Krótkoterminowym środkiem zapobiegawczym może być ręczne wyłączenie zakresów adresów IP używanych przez LinkingLion dla połączeń przychodzących do hostów. Według 0xB10C jedynym trwałym rozwiązaniem problemu może być zmiana logiki transakcji w Bitcoin Core.
Comments (No)