Av Heidi Wilder, Senior Associate, Coinbase Special Investigations Team
intro
Bitcoin och många andra kryptovalutor kallas ofta pseudonyma. Alla kan se poster i en offentlig reskontra, men vet inte nödvändigtvis vem som ligger bakom varje adress eller transaktion. Men hur ser pseudonymitet ut i praktiken? Hur spåras kryptovalutor? Och kan du verkligen avslöja någon på blockkedjan? Låt oss ta reda på.
Blockkedjornas offentliga karaktär möjliggör en viss grad av prediktiv analys, vilket gör det möjligt för forskare att associera adresser och transaktioner med enheter och ibland individer. Vem som helst kan titta på blockchain, men det som gör skillnad är exaktheten tolkning av dessa offentliga uppgifter, samt bekräftar det med andra typer av information som samlas in externt. En gång kombinerad sådan data kan användas för blockchain-analys.
Blockchain-analys används i stor utsträckning för marknadsintelligens, trendanalys och undersökningar, bland många nya områden. Huvudsyftet med blockkedjeanalys är attribution — koppla specifika tillgångar och händelser till särskilda enheter eller till och med individer.
Att tillskriva ägande är dock ofta nyanserat eftersom utomstående observatörer bara kan sluta sig till det beroende på faktorer som tillgänglighet och kvalitet på bevisen. Bevis betyder bevis på att en adress verkligen tillhör en individ eller enhet. Om du inte äger en adress själv är det mycket svårt att med absolut säkerhet säga vem en adress ägs av. Det är därför det är mer passande att överväga blockkedjeanalys mer av en konst än vetenskap.
Låt oss förstå grunderna i blockkedjeanalys och lära oss varför attribution ofta är mer komplicerat än det ser ut.
Grundläggande tillskrivning
Kan du berätta vilken enhet den här adressen tillhör:
1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ?
Är det ett utbyte? Är det en darknet-marknad? Eller kanske en privat (annan känd som en ovärderad) plånbok? För att svara på denna fråga måste vi gräva efter några grundsanning.
1. Grundläggande sanningsbevis
Ett sökande efter sanning börjar ofta med vanlig googling eller publikbaserade sajter som BitcoinAbuse.com:
Webbplatser som BitcoinAbuse.com kan användas av vem som helst för att anonymt rapportera BTC-adresser kopplade till misstänkt aktivitet. Tyvärr kan tillförlitligheten för sådan information vara mycket låg. Enligt Blockchain.com, vår intresseadress fick över 767 BTC. WalletExplorer.com innebär att denna adress är kopplad till en stor offshore kryptovalutabörs, vilket bekräftas av kommersiella blockkedjeanalysverktyg.
Faktum är att kommersiella blockchain-analysverktyg identifierar denna adress som tillhörande en stor offshore kryptovalutabörs.
Så hur är det med verksamhetens karaktär? Är utbytesanvändaren involverad i ransomware?
Ytterligare forskning kopplar denna adress till en växlare som kallas Coinguru.pw:
Coinguru tillåter användare att byta mellan olika kryptovalutor, vilket inte ger något mer än en e-postadress.
Vid det här laget frågar du dig förmodligen: så vem tillhör den här adressen?
- den BitcoinAbuse publiken rapporterade ransomware-operatören?
- En stor offshore kryptovalutabörs?
- Coinguru?
- …alla ovanstående?!
Tja, svaret är komplicerat.
Vi har förstahandsbevis för 1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ används av Coinguru, en växlingstjänst som driver ett konto på en stor offshore kryptovalutabörs. Växlare som Coinguru använder ofta större plattformars infrastruktur för att minska kostnaderna och få tillgång till likviditet. Vi kallar dessa kapslade tjänster. Dessa vänder sig också till användare som kanske inte vill göra sig besväret med att skapa sina egna konton på en börs. Faktum är att vissa skändliga aktörer kan använda dessa tjänster för att ta ut olagliga medel.
För märkningsändamål skulle det räcka att säga att detta är en börsägd adress. Om en tillsynsmyndighet eller en brottsbekämpande myndighet som undersöker ransomware-relaterade transaktioner beslutar sig för att fråga om detaljerna, kommer kryptovalutabörsen att hänvisa dem till Coinguru som skulle vara bäst positionerad för att ge ytterligare information om specifika transaktioner.
2. Beviskvalitet och bevisstandard
Bevisen kan variera i kvalitet och blockkedjeanalys är inget undantag. Ibland kan du snubbla över en "rökningspistol", men det är mer troligt att du kommer att behöva lägga tid på att bekräfta ofullständiga, indicier, fragmenterade eller rakt ut missvisande bevis. Ändå kan även de svagaste bevisen antyda en viss aktivitet eller enhet bakom den.
Som vi redan har sett står publikrapporterade källor som BitcoinAbuse på botten av tillförlitlighetsstegen. Inte för att de ska diskonteras helt, men bevis som leder till tilldelning av kryptoadresser samlas bäst in direkt från källan. När det gäller växlingstjänster skulle källan vara deras webbplats som visar en insättningsadress.
Den ultimata attributionen kommer från förmågan att interagera med tjänsten, vilket ger sådana bevis den högsta konfidenspoängen. Detta är dock ofta förbjudet, särskilt när man utreder aktiviteter som terrorfinansiering (TF). I fall som dessa skiftar forskningen in i världen av öppen källkodsintelligens (OSINT). Mycket kan läras från aggregatorwebbplatser, onlineforum, chattgrupper, mobila kommunikationsplattformar, dolda domäner på Tor-nätverket och informationsskrapning på ett automatiserat sätt av tredjepartsleverantörer. Men även de bästa bevisen är inte till hjälp utan lämpliga undersökningsverktyg.
3. Avvikande feltilldelning
Blockchain-utredningsverktyg inkluderar blockkedjeanalysprogramvara, privata och öppen källkodsdatabaser, sökmotorer, etc. Den bästa undersökningsmetoden är att kombinera en blandning av dessa verktyg, inklusive kommersiellt tillgänglig programvara, och bekräfta bevis med hjälp av oberoende källor. Ibland kan dock dessa källor erbjuda motstridig information.
Tänk till exempel på den här adressen: 1N9SxKeNvFoBFuFKEDU8yFCwPwoeHqgmhu.
Föreställ dig en utredare som tar emot underrättelser som kopplar denna adress till försäljningen av material för sexuella övergrepp mot barn (CSAM). Tillskrivningen av denna adress kommer att variera beroende på vilket blockkedjeanalysverktyg du konsulterar: vissa har det inte alls märkt, medan andra tillskriver det en handelstjänst. Forskning med öppen källkod bekräftar att just denna tjänst tillät användare att ladda upp filer och sälja dem för olika kryptovalutor. Adresser som den ovan genererades för varje användare och var alla kopplade till olika typer av aktiviteter, beroende på vad en enskild användare köpte.
Även om vissa uppladdningar till den här handelstjänsten har varit godartade, identifierades vissa som olagliga, enligt Internet Watch Foundation (IWF), en ideell organisation som bekämpar distributionen av CSAM. Enligt uppgift användes samma handelstjänst också för uppladdning av ransomware-dekrypteringsnycklar. Så, kan adressen av intresse tillhöra både en olaglig försäljare och handelstjänsten? Ja.
Det korrekta sättet att tillskriva denna tjänst i ett blockchain-analysverktyg skulle vara att ta alla kända adresser som är associerade med tjänsten och märka dem därefter. Sedan, som ett resultat av att undersöka enskilda adresser och deras relaterade aktiviteter, bör specifika etiketter appliceras i enlighet med dokumenterade resultat. Att märka hela tjänsten som olaglig skulle vara en felaktig tillskrivning. Det kan negativt påverka verktyg och tjänster som är beroende av blockkedjeanalysdata, såsom transaktionsövervakningssystem eller stämningar för brottsbekämpning, vilket leder till ökade falska positiva varningar och felaktiga leads.
4. De okända okända
Tillbaka i oktober 2019 publicerades en mediumartikel med en flashig titel - "Enorma Ethereum Mixer”. En rysk dataforskare analyserade ETH-flöden mellan februari och september 2017 och hävdade att "...68 % av det totala transaktionsvärdet för Ethereum [styrs] av ett system... Medel kommer och går inom en timme, och adresser används aldrig igen." Forskaren lade ner mycket arbete på att analysera beteendet hos "mixern", dess transaktionsmönster och andel av totala transaktioner över Ethereum över tiden. I mitten av artikeln var detta diagram:
Lägg märke till hur de flesta stora börser är närvarande: Kraken, Poloniex, Bitfinex, etc. Kan du gissa vilken eller vilka som saknas?
Förhoppningsvis är det vid det här laget ganska uppenbart att en extern observatör omöjligt kan få en fullständig bild eller hävda 100% förtroende för tillskrivning. Tänk på att när det gäller blockchain, alla är en extern observatör, med undantag för adresser du kontrollerar.
Håll ögonen öppna för den andra delen, där vi kommer att dyka djupare in i exempel på hur blockkedjeanalyser både kan upplysa och förvirra.
Del 1: Blockchain Analytics är mer av en konst än vetenskap publicerades ursprungligen i Coinbase-bloggen på Medium, där människor fortsätter konversationen genom att lyfta fram och svara på denna berättelse.
- Myntsmart. Europas bästa bitcoin- och kryptobörs.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. FRI TILLGÅNG.
- CryptoHawk. Altcoin radar. Gratis provperiod.
- Source: https://blog.coinbase.com/part-1-blockchain-analytics-is-more-of-an-art-than-science-d168f9c85761?source=rss—-c114225aeaf7—4
- "
- 2019
- Om oss
- Absolut
- tillgång
- Enligt
- Konto
- exakt
- tvärs
- aktiviteter
- aktivitet
- adress
- adresser
- byrå
- Alla
- redan
- bland
- analys
- analytics
- Konst
- Artikeln
- Tillgångar
- Automatiserad
- tillgänglighet
- tillgänglig
- Grunderna
- Där vi får lov att vara utan att konstant prestera,
- BÄST
- Bitfinex
- blockchain
- BTC
- BTC-adresser
- Uppköp
- fall
- Kontanter
- barn
- coinbase
- kombinerad
- kommersiella
- Kommunikation
- förtroende
- anslutna
- kontroll
- Konversation
- Kostar
- Skapa
- crypto
- cryptocurrencies
- kryptovaluta
- Cryptocurrency Exchange
- darknet
- datum
- datavetare
- databaser
- behandla
- djupare
- olika
- fördelning
- domäner
- smärgel
- möjliggör
- enheter
- speciellt
- ETH
- ethereum
- händelser
- alla
- utbyta
- Utbyten
- faktorer
- Mode
- fundament
- full
- finansiering
- fonder
- ytterligare
- stor
- hjälp
- Hur ser din drömresa ut
- HTTPS
- identifiera
- olaglig
- Inverkan
- innefattar
- Inklusive
- ökat
- individuellt
- informationen
- Infrastruktur
- Intelligens
- intresse
- Internet
- Undersökningen
- involverade
- IT
- Nyckel
- känd
- kraken
- märkning
- Etiketter
- Large
- Lag
- brottsbekämpning
- ledande
- Leads
- LÄRA SIG
- lärt
- Lämna
- Ledger
- Likviditet
- GÖR
- marknad
- Materialet
- Medium
- Merchant
- emot
- Mobil
- övervakning
- mer
- mest
- Natur
- nät
- ideell organisation
- erbjudanden
- nätet
- öppet
- öppen källkod
- drift
- Övriga
- annat
- ägd
- ägande
- Personer
- Bild
- Plattformar
- Punkt
- poloniex
- placerad
- positiv
- praktiken
- presentera
- privat
- bevis
- ge
- tillhandahålla
- allmän
- syfte
- kvalitet
- fråga
- Ransomware
- register
- minska
- rapport
- forskning
- forskare
- Till Salu
- Vetenskap
- Forskare
- Sök
- Sökmotorer
- sälja
- service
- Tjänster
- Dela
- Områden
- So
- Mjukvara
- någon
- utrymmen
- spendera
- startar
- System
- Grunderna
- källan
- världen
- tid
- Titel
- verktyg
- verktyg
- Tor
- transaktion
- Transaktioner
- slutliga
- förstå
- användning
- användare
- värde
- olika
- försäljare
- utsikt
- plånbok
- Kolla på
- Webbplats
- webbsidor
- Vad
- VEM
- inom
- utan
- världen