Av Heidi Wilder, Senior Associate, Coinbase Special Investigations Team
Intro
Bitcoin og mange andre kryptovalutaer blir ofte referert til som pseudonyme. Alle kan se poster i en offentlig hovedbok, men vet ikke nødvendigvis hvem som står bak hver adresse eller transaksjon. Men hvordan ser pseudonymitet ut i praksis? Hvordan spores kryptovalutaer? Og kan du virkelig demaskere noen på blokkjeden? La oss finne det ut.
Den offentlige karakteren til blokkjeder tillater en viss grad av prediktiv analyse, noe som gjør det mulig for forskere å knytte adresser og transaksjoner til enheter og noen ganger enkeltpersoner. Alle kan se på blockchain, men det som gjør en forskjell er nøyaktigheten tolkning av disse offentlige dataene, så vel som bekrefter det med andre typer informasjon samlet eksternt. Når de er kombinert, kan slike data brukes til blockchain-analyse.
Blockchain-analyse er mye brukt for markedsintelligens, trendanalyse og undersøkelser, blant mange nye områder. Hovedmålet med blokkjedeanalyse er navngivelse — knytte spesifikke eiendeler og hendelser til bestemte enheter eller til og med enkeltpersoner.
Å tilskrive eierskap er imidlertid ofte nyansert fordi utenforstående observatører bare kan utlede det avhengig av faktorer som tilgjengelighet og kvaliteten på bevisene. Bevis betyr bevis på at en adresse faktisk tilhører en person eller enhet. Med mindre du eier en adresse selv, er det svært vanskelig å si med absolutt sikkerhet hvem en adresse eies av. Dette er grunnen til at det er mer passende å vurdere blokkjedeanalyse er mer en kunst enn vitenskap.
La oss forstå det grunnleggende om blokkjedeanalyse og finne ut hvorfor attribusjon ofte er mer komplisert enn det ser ut.
Grunnleggende om attribusjon
Kan du fortelle hvilken enhet denne adressen tilhører:
1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ?
Er det en utveksling? Er det et darknet-marked? Eller kanskje en privat (ellers kjent som en unhosted) lommebok? For å svare på dette spørsmålet må vi grave etter noen grunnsannheten.
1. Grunnleggende sannhetsbevis
Et søk etter sannhet starter ofte med vanlig googling eller publikumsbaserte nettsteder som BitcoinAbuse.com:
Nettsteder som BitcoinAbuse.com kan brukes av hvem som helst til å anonymt rapportere BTC-adresser knyttet til mistenkelig aktivitet. Dessverre kan påliteligheten til slik informasjon være svært lav. I følge Blockchain.com, vår interesseadresse mottok over 767 BTC. WalletExplorer.com antyder at denne adressen er knyttet til en stor offshore kryptovalutabørs, som er bekreftet av kommersielle blokkjedeanalyseverktøy.
Faktisk identifiserer kommersielle blokkjedeanalyseverktøy denne adressen som tilhørende en stor offshore kryptovalutabørs.
Så hva med arten av aktiviteten? Er børsbrukeren involvert i løsepengeprogramvare?
Videre forskning kobler denne adressen til en veksler kalt Coinguru.pw:
Coinguru lar brukere bytte mellom ulike kryptovalutaer, uten å oppgi noe mer enn en e-postadresse.
På dette tidspunktet spør du sannsynligvis deg selv: så hvem tilhører denne adressen?
- den mengden rapporterte ransomware-operatøren for BitcoinAbuse?
- En stor offshore kryptovalutabørs?
- Coinguru?
- … alt det ovennevnte?!
Vel, svaret er komplisert.
Vi har førstehånds bevis på 1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ brukes av Coinguru, en utvekslingstjeneste som driver en konto på en stor offshore kryptovalutabørs. Utvekslere som Coinguru bruker ofte større plattformers infrastruktur for å redusere kostnader og få tilgang til likviditet. Vi omtaler disse som nestede tjenester. Disse henvender seg også til brukere som kanskje ikke vil gå bryet med å opprette egne kontoer på en børs. Faktisk kan noen ondskapsfulle aktører bruke disse tjenestene til å utbetale ulovlige midler.
For merkingsformål vil det være tilstrekkelig å si at dette er en børseid adresse. Hvis en regulator eller et rettshåndhevelsesbyrå som undersøker løsepengevarerelaterte transaksjoner bestemmer seg for å spørre om detaljene, vil kryptovalutabørsen henvise dem til Coinguru som vil være best posisjonert for å gi ytterligere informasjon om spesifikke transaksjoner.
2. Beviskvalitet og bevisstandard
Bevis kan variere i kvalitet og blokkjedeanalyse er intet unntak. Noen ganger kan du snuble over en "røykende pistol", men det er mer sannsynlig at du må bruke tid på å bekrefte ufullstendige, omstendelige, fragmenterte eller rett ut villedende bevis. Ikke desto mindre kan selv de svakeste bevisene antyde en bestemt aktivitet eller enhet bak.
Som vi allerede har sett, står publikumsrapporterte kilder som BitcoinAbuse på bunnen av pålitelighetsstigen. Ikke det at de skal være fullt diskontert, men bevis som fører til attribusjon av kryptoadresser samles best direkte fra kilden. Når det gjelder byttetjenester, vil kilden være nettstedet deres som viser en innskuddsadresse.
Den ultimate attribusjonen kommer fra evnen til å samhandle med tjenesten, noe som gir slike bevis den høyeste konfidenspoengsummen. Dette er imidlertid ofte forbudt, spesielt når man etterforsker aktiviteter som terrorfinansiering (TF). I tilfeller som disse skifter forskning inn i verden av åpen kildekodeintelligens (OSINT). Mye kan læres fra aggregatornettsteder, nettfora, chattegrupper, mobilkommunikasjonsplattformer, skjulte domener på Tor-nettverket og informasjonsskraping på en automatisert måte av tredjepartsleverandører. Men selv de beste bevisene er ikke nyttige uten riktige etterforskningsverktøy.
3. Dekonfliktende feilattribusjon
Blokkjedeundersøkelsesverktøy inkluderer blokkjedeanalyseprogramvare, private og åpen kildekodedatabaser, søkemotorer osv. Den beste etterforskningspraksisen er å kombinere en blanding av disse verktøyene, inkludert kommersielt tilgjengelig programvare, og bekrefte bevis ved hjelp av uavhengige kilder. Noen ganger kan imidlertid disse kildene tilby motstridende informasjon.
Tenk for eksempel på denne adressen: 1N9SxKeNvFoBFuFKEDU8yFCwPwoeHqgmhu.
Se for deg en etterforsker som mottar etterretning som knytter denne adressen til salget av materiale for seksuelle overgrep mot barn (CSAM). Attribusjonen av denne adressen vil variere avhengig av hvilket blokkjede-analyseverktøy du konsulterer: noen har det ikke merket i det hele tatt, mens andre tilskriver det en selgertjeneste. Åpen kildekode-forskning bekrefter at denne spesielle tjenesten tillot brukere å laste opp filer og selge dem for ulike kryptovalutaer. Adresser som den ovenfor ble generert for hver bruker og var alle koblet til ulike typer aktivitet, avhengig av hva en individuell bruker kjøpte.
Mens noen opplastinger til denne selgertjenesten har vært godartede, ble noen identifisert som ulovlige, ifølge Internet Watch Foundation (IWF), en ideell organisasjon som bekjemper distribusjonen av CSAM. Etter sigende ble den samme selgertjenesten også brukt til opplasting av løsepengevare-dekrypteringsnøkler. Så, kan interesseadressen tilhøre både en ulovlig leverandør og handelstjenesten? Ja.
Den riktige måten å tilskrive denne tjenesten i et blokkjedeanalyseverktøy vil være å ta alle de kjente adressene knyttet til tjenesten og merke dem deretter. Deretter, som et resultat av å undersøke individuelle adresser og deres relaterte aktiviteter, bør spesifikke etiketter påføres i samsvar med dokumenterte funn. Å merke hele tjenesten som ulovlig vil være en feilaktig tilskrivning. Det kan ha en negativ innvirkning på verktøy og tjenester som er avhengige av blokkjedeanalysedata, for eksempel transaksjonsovervåkingssystemer eller stevninger til rettshåndhevelse, noe som fører til økte falske positive varsler og feilaktige potensielle kunder.
4. De ukjente ukjente
Tilbake i oktober 2019 ble det publisert en medium artikkel med en prangende tittel — “Stor Ethereum-mikser". En russisk dataforsker analyserte ETH-strømmer mellom februar og september 2017 og hevdet at "...68 % av den totale Ethereum-transaksjonsverdien [er] kontrollert av ett system ... midler kommer og går innen én time, og adresser blir aldri brukt igjen." Forskeren brukte mye krefter på å analysere oppførselen til "mikseren", dens transaksjonsmønstre og andelen av totale transaksjoner på tvers av Ethereum over tid. I midten av artikkelen var dette diagrammet:
Legg merke til hvordan de fleste store børser er tilstede på det tidspunktet: Kraken, Poloniex, Bitfinex osv. Kan du gjette hvilken(e) som mangler?
Forhåpentligvis, på dette tidspunktet er det ganske tydelig at en ekstern observatør umulig kan få et fullstendig bilde eller kreve 100 % tillit til attribusjon. Husk at når det gjelder blokkjede, alle er en ekstern observatør, med unntak av adresser du kontrollerer.
Følg med på den andre delen, der vi skal dykke dypere inn i eksempler på hvordan blokkjedeanalyse kan både opplyse og forvirre.
Del 1: Blockchain Analytics er mer en kunst enn vitenskap ble opprinnelig publisert i Coinbase-bloggen på Medium, der folk fortsetter samtalen ved å markere og svare på denne historien.
- Myntsmart. Europas beste Bitcoin og Crypto Exchange.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. FRI TILGANG.
- CryptoHawk. Altcoin Radar. Gratis prøveperiode.
- Source: https://blog.coinbase.com/part-1-blockchain-analytics-is-more-of-an-art-than-science-d168f9c85761?source=rss—-c114225aeaf7—4
- "
- 2019
- Om oss
- Absolute
- adgang
- Ifølge
- Logg inn
- nøyaktig
- tvers
- Aktiviteter
- aktivitet
- adresse
- adresser
- byrå
- Alle
- allerede
- blant
- analyse
- analytics
- Kunst
- Artikkel
- Eiendeler
- Automatisert
- tilgjengelighet
- tilgjengelig
- Grunnleggende
- være
- BEST
- Bitfinex
- blockchain
- BTC
- BTC-adresser
- Kjøpe
- saker
- Kontanter
- barn
- coinbase
- kombinert
- kommersiell
- Kommunikasjon
- selvtillit
- tilkoblet
- kontroll
- Samtale
- Kostnader
- Opprette
- krypto
- cryptocurrencies
- cryptocurrency
- Cryptocurrency Exchange
- Darknet
- dato
- dataforsker
- databaser
- avtale
- dypere
- forskjellig
- distribusjon
- domener
- emalje
- Emery
- muliggjør
- enheter
- spesielt
- ETH
- ethereum
- hendelser
- alle
- utveksling
- Børser
- faktorer
- Mote
- Fundament
- fullt
- finansiering
- midler
- videre
- flott
- nyttig
- Hvordan
- HTTPS
- identifisere
- ulovlig
- Påvirkning
- inkludere
- Inkludert
- økt
- individuelt
- informasjon
- Infrastruktur
- Intelligens
- interesse
- Internet
- etterforskning
- involvert
- IT
- nøkkel
- kjent
- Kraken
- merking
- etiketter
- stor
- Law
- rettshåndhevelse
- ledende
- Fører
- LÆRE
- lært
- Permisjon
- Ledger
- Likviditet
- GJØR AT
- marked
- materiale
- medium
- Kjøpmann
- tankene
- Mobil
- overvåking
- mer
- mest
- Natur
- nettverk
- non-profit
- tilby
- på nett
- åpen
- åpen kildekode
- drift
- Annen
- ellers
- eide
- eierskap
- Ansatte
- bilde
- Plattformer
- Point
- Poloniex
- posisjonert
- positiv
- praksis
- presentere
- privat
- bevis
- gi
- gi
- offentlig
- formål
- kvalitet
- spørsmål
- ransomware
- poster
- redusere
- rapporterer
- forskning
- forskere
- salg
- Vitenskap
- Forsker
- Søk
- Søkemotorer
- selger
- tjeneste
- Tjenester
- Del
- Nettsteder
- So
- Software
- Noen
- mellomrom
- bruke
- starter
- Systemer
- Grunnleggende
- Kilden
- verden
- tid
- Tittel
- verktøy
- verktøy
- Tor
- Transaksjonen
- Transaksjoner
- ultimate
- forstå
- bruke
- Brukere
- verdi
- ulike
- leverandører
- Se
- lommebok
- Se
- Nettsted
- nettsteder
- Hva
- HVEM
- innenfor
- uten
- verden