Op 3 maart 2020, net voor de lunch in Washington, DC, stuurde Stephen Ryan iemand van het Amerikaanse ministerie van Financiën een bedankbriefje met een merkwaardig detail.
De chief operating officer en mede-oprichter van cryptovaluta-speurbedrijf CipherTrace, Ryan was een van de 16 leidinggevenden die de dag ervoor een topconferentie bijwoonden met de toenmalige minister van Financiën, Steven Mnuchin. Naast zijn dankbaarheid voor de ontmoeting, voegde Ryan een slide-deck toe waarin de strategie van CipherTrace voor het ontrafelen van crypto-portefeuilles werd uiteengezet. Onder die methoden: "honingpotten."
Dit artikel maakt deel uit van CoinDesk's Privacyweek series.
Ryan's notitie maakte deel uit van een 250 pagina's tellende schat aan e-mails van Mnuchin, verkregen door CoinDesk via een Freedom of Information Act (FOIA)-verzoek. Delen van zijn slide-deck lijken sterk op het openbare promotiemateriaal van CipherTrace. Ook die verwijzen sinds ten minste 2018 naar 'honeypots' of soortgelijke 'crypto-geldpotten'.
Wat bedoelde CipherTrace met deze termen? De cyberbeveiligingsgemeenschap gebruikt de uitdrukking "honingpot" om een lokmiddel te beschrijven dat informatie verzamelt over nietsvermoedende aanvallers. Met andere woorden, een val.
CipherTrace, dat betalingsgigant Mastercard afgelopen herfst kocht voor een niet nader genoemde prijs, maakt deel uit van een huisindustrie die het $ 14 miljard per jaar kruispunt van cryptocurrency en misdaad in de gaten houdt. Door miljoenen dagelijkse transacties te bladeren die zijn vastgelegd op blockchains of openbare grootboeken, zoeken bedrijven zoals Chainalysis, TRM Labs en Elliptic naar rode vlaggen en illegale bewegingen, waarbij verdachte adressen worden gelabeld.
De bedrijven beschouwen hun diensten als essentieel voor het normaliseren van crypto en het uitroeien van misdaad. Tegenstanders bestempelen deze opsporingsfirma's als on-chain narcs, ook al werken ze voornamelijk met openbare informatie.
CipherTrace zou niet het eerste bedrijf in deze niche zijn dat valstrikken zet in de hoop informatie vast te leggen die niet in de keten te vinden is. Chainalysis, de toonaangevende leverancier van crypto-tracering, heeft jarenlang een wallet-ontdekkingssite gehad die de IP-adressen van bezoekers vastlegt en koppelt aan de blockchain-adressen die ze hebben opgezocht. Het bedrijf erkende deze praktijk pas in oktober, een maand nadat CoinDesk een artikel had gepubliceerd waarin de aandacht werd gevestigd.
Meer dan een half dozijn veteranen uit de cryptocurrency-industrie vertelden CoinDesk dat ze geen idee hadden wat CipherTrace bedoelde met "honeypots". In een verklaring aan CoinDesk gaf het in Los Gatos, Californië gevestigde bedrijf de basisdefinitie van computerbeveiliging zonder uit te leggen wat het betekende in de context van blockchain-analyse.
"Een 'crypto-geldpot' of 'honeypot' is een beveiligingsterm die verwijst naar een mechanisme dat een virtuele val creëert om potentiële aanvallers te lokken," zei CipherTrace, eraan toevoegend dat de documenten waarin deze tactieken worden genoemd, oud zijn. "CipherTrace gebruikt geen 'crypto-geldpotten' meer," zei het (hoewel de website van het bedrijf vanaf donderdag zowel geld- als honingpotten aanbood).
CoinDesk vroeg CipherTrace: "Verzamelt uw bedrijf IP-adresgegevens om ze te koppelen aan portemonnee-adressen?"
Een vertegenwoordiger van CipherTrace antwoordde: "Als een op privacy gericht bedrijf wijst CipherTrace geen IP-gegevens toe aan particulieren."
Ze heeft de vraag van CoinDesk of CipherTrace IP's toewijst aan portemonnees niet beantwoord. CoinDesk vroeg een tweede keer of CipherTrace IP-adressen toewijst aan portemonnee-adressen. CipherTrace heeft niet gereageerd.
Dergelijke ondoorzichtigheid "is een veel voorkomend probleem in de privacyruimte, als we het hebben over netwerk-ID's zoals IP-adressen", zegt Sean O'Brien, een onderzoeker op het gebied van cyberbeveiliging. “Bedrijven proberen afstand te nemen van wat je traditioneel persoonlijk identificeerbare informatie zou noemen door te zeggen dat IP-adressen iets anders zijn. Ze zijn zelfs ongelooflijk handig voor het identificeren van huishoudens, bedrijven en individuen.”
Bijvoorbeeld: "Als u een Bitcoin-transactie moet onderzoeken die verband houdt met een vermoedelijke cybercriminaliteit, zijn IP-adressen precies het soort informatie waarnaar u op zoek bent", zei O'Brien. “De vroegste gevallen van wetshandhaving en internet draaien om een goede reden op IP-adressen als bewijs. En ze zijn net zo nuttig om mensen lastig te vallen en te stalken als om ze te vervolgen.”
Het geld volgen
Het opsporen van bedrijven is lange tijd een belangrijke, zij het onder-erkende kracht geweest in de institutionele mars van crypto. Terugvechtend tegen de perceptie dat bitcoin in de eerste plaats een hulpmiddel voor criminele financiering is, ontleden ze de gegevens om het magere aandeel dat eigenlijk is, vast te stellen.
Chainalysis schatte onlangs dat 0.15% van de cryptotransacties in 2021 illegaal was – verreweg het kleinste percentage ooit. ("Illegale" portemonnees vergaarden vorig jaar een recordhoogte van $ 14 miljard, een schijnbaar paradoxale statistiek die Chainalysis toeschreef aan de bloeiende groei van crypto.)
CipherTrace zegt dat het zijn missie is om "de cryptocurrency-economie te laten groeien door het vertrouwd te maken door regeringen, veilig te maken voor massale acceptatie en financiële instellingen te beschermen tegen witwasrisico's van cryptografie."
Gebaseerd op de presentatie die met het ministerie van Financiën is gedeeld, zou die beschrijving waarschijnlijk door elk concurrerend bedrijf worden gedeeld. Het raakt de kern van de zorgen van tegenstanders. Privacymaximalisten geloven dat het radicaal transparante maar pseudonieme karakter van Bitcoin onafhankelijk van de staat zou moeten stromen, en ze zien het werk van deze bedrijven als een verraad aan dat ideaal.
"Het is een soort inbreuk op de privacy van gebruikers, net zoals je zou kunnen klagen over gecentraliseerde webanalysebedrijven die IP-adressen verzamelen en cookies op de computers van mensen plaatsen en ze van site tot site volgen", zegt John Light, een oude cryptovaluta. opvoeder, schrijver, podcaster en organisator van evenementen.
On-chain analytics is in wezen een attributierace.
In cybersecurity-kringen betekent attributie het identificeren van de daders van een hack. In de crypto-context verwijst het specifiek naar de praktijk van blockchain-speurders om pseudonieme portemonnee-adressen te koppelen aan identificeerbare actoren. Deze actoren kunnen gelicentieerde crypto-uitwisselingen of bewaarders, ransomware-aanvallers, darknet-marktplaatsen of gesanctioneerde personen of entiteiten zijn.
Bijvoorbeeld: iedereen met een internetverbinding kan zien dat portemonnee abc123 bijvoorbeeld 0.5 BTC heeft overgedragen naar zxy987; deze informatie is op zichzelf nogal nutteloos. Maar een tracerdatabase zou kunnen aantonen dat het Amerikaanse Office of Foreign Assets Control zxy987 heeft geïdentificeerd als behorend tot een gesanctioneerde Afrikaanse krijgsheer. Of het kan aantonen dat de bitcoin van abc123 is gestolen van een beurs.
Dat is waardevolle informatie voor beurzen die illegale activiteiten willen stoppen, voor gebruikers die hun munten schoon willen houden, voor overheden die het geld willen volgen. Het komt samen door rigoureuze toeschrijving.
Met potentieel miljoenen dollars aan onderzoekscontracten die voor het grijpen liggen, hebben deze bedrijven een acute behoefte om nieuwe toeschrijvingsgegevens te ontginnen. CipherTrace heeft bijvoorbeeld sinds 20 3.5 contracten gescoord met federale agentschappen, met een waarde tot $ 2018 miljoen, waarvan de meest recente een getuige-deskundige was, volgens openbare registers.
In een industrie die bouwers van genuanceerde, gedetailleerde attributiedatasets beloont - en een veld waar criminelen hongerig zijn naar informatie om hen te helpen aan de aandacht te ontsnappen - is het bewaken van de geheime saus van attributie van het grootste belang, zeiden twee ervaren beoefenaars.
Desalniettemin bood Ryan in zijn e-mail aan het ministerie van Financiën een voorproefje "van hoe cryptocurrency-toewijzing wordt bereikt." Honeypots werden vermeld als een van de "actieve" strategieën in het diaserie.
Chainalysis: Blockchain attributie aas
De grootste concurrent van CipherTrace begon drie jaar eerder met zijn eigen nieuwe techniek.
Chainalysis, opgericht in 2014 en in juni gewaardeerd op $ 4.2 miljard, is de grote kahuna van de traceringsindustrie. Het heeft tientallen miljoenen dollars verdiend aan federale contracten voor de verkoop van software die activiteiten in de keten visualiseert. Hoewel iedereen met een internetverbinding zichzelf door openbare blockchain-records kan bladeren, heb je een beetje hulp nodig om te begrijpen wat je in het konijnenhol vindt.
Maar de echte zakelijke troef van de tracer is de attributiedataset, zeiden drie insiders uit de branche. Geen enkel ander bedrijf heeft een schat aan portefeuillegegevens verzameld die zo gedetailleerd zijn als Chainalysis', aldus de bronnen.
Dat komt deels omdat geen enkele andere tracer zo'n enorme zakelijke voetafdruk heeft. Chainalysis levert traceringssoftware aan 500 'virtual asset service providers' of VASP, zoals regelgevers ze noemen. Het is een wederzijds voordelige relatie. De bedrijven krijgen krachtige crypto-compliancetools en Chainalysis voegt hun portemonnee-adressen toe aan zijn wereldwijde database. Het vraagt klanten echter niet om gegevens over hun klanten.
“We kunnen niet spreken voor alle andere leveranciers. Het is mogelijk dat andere leveranciers om meer informatie vragen. Maar Chainalysis houdt zich alleen bezig met transactiegegevens op serviceniveau", legt het bedrijf uit in een blogpost uit 2019. Met andere woorden, het identificeert alleen bedrijven waarvan het de controleportefeuilles kent, niet mensen.
Maar dat was niet het hele verhaal, en de klanten van Chainalysis en openbare informatie over portemonnees waren niet de enige informatiebronnen van het bedrijf.
In een ongedateerde diavoorstelling voor de Italiaanse politie die in september uitlekte, beschreef een Chainalysis-verkoopteam hoe het enorme netwerk van Bitcoin- en Electrum-portemonneeknooppunten waardevolle gebruikersgegevens vastlegt, zoals IP-adressen van verbindende portefeuilles. Dit hielp onderzoekers om zinvolle criminele aanwijzingen te volgen, aldus de presentatie.
De diavoorstelling wierp ook een nieuw licht op walletexplorer.com, een populaire Bitcoin-blokverkenner die sinds 2015 wordt beheerd door Chainalysis. Volgens de documenten, waarvan CoinDesk heeft geverifieerd dat ze authentiek waren, "schraapt" de website de IP-adressen van verdachte gebruikers, waarbij hun internetvoetafdruk wordt gekoppeld aan hun portemonnee adres. Deze dataset heeft "betekenisvolle aanknopingspunten" opgeleverd voor wetshandhaving.
”Het was nooit een geheim dat Chainalysis de eigenaar en beheerder was van walletexplorer.com. Sinds 2015 staat er onderaan de homepage een verklaring dat de auteur van de site bij Chainalysis werkt als analist en programmeur”, vertelde een woordvoerder van het bedrijf aan CoinDesk.
Een publiek geheim misschien, maar nauwelijks een open boek. Chainalysis vestigde zelden de aandacht op het feit dat walletexplorer.com gebruikersgegevens doorsluisde naar zijn andere bedrijfsonderdelen.
Weken nadat CoinDesk op walletexplor.com had gerapporteerd, nam de website een privacy-openbaarmakingspagina aan die voor het eerst beschreef hoe zijn gegevens in de Chainalysis-productlijn terechtkomen.
“We delen Blockchain-informatie en bezoekersinformatie met onze andere Chainalysis-bedrijfslijnen om ons te helpen die diensten te leveren en te verbeteren. Andere businesslines van Chainalysis kunnen bijvoorbeeld de informatie die we verstrekken gebruiken om het ene Bitcoin Wallet-adres beter te koppelen aan een ander Bitcoin Wallet-adres”, aldus het 14 oktober-gedateerde beleid.
"We hebben recentelijk een privacyverklaring toegevoegd om meer informatie te geven over hoe Chainalysis intern informatie gebruikt die is verzameld van de website walletexplorer.com om onze diensten te helpen verbeteren", aldus de woordvoerder.
Niks persoonlijks?
Hoewel het onduidelijk blijft wat de honeypots van CipherTrace precies doen, roept het woord een systeem op dat beweert het ene te doen terwijl het iets anders activeert. Een portemonnee-eigenaar die zich bezighoudt met een "honeypot" zou zich per definitie niet bewust zijn van de bijbedoelingen van de service.
Chainalysis, CipherTrace en Elliptic hebben allemaal eerder verklaard dat ze niet proberen individuen aan portemonnees te binden. Het is hun taak om overheden te helpen cryptocriminaliteit te onderzoeken en de uitwisselingen compliant te houden.
Uitje individuen is geen onderdeel van die vergelijking. Deze bedrijven volgen gewoon het geld, zeggen ze.
"De blockchain-intelligentie die we bieden, koppelt cryptotransacties aan real-world entiteiten zoals uitwisselingen, darknet-marktplaatsen en gesanctioneerde entiteiten", vertelde Ari Redbord, hoofd juridische en overheidszaken voor TRM Labs, aan CoinDesk.
"Met deze intelligentie kan een crypto-uitwisseling worden gewaarschuwd als het bijvoorbeeld een transactie verwerkt met een adres dat eerder is gebruikt voor terrorismefinanciering", zei hij. "Hetzelfde geldt voor transacties die betrokken zijn bij hacks, ransomware, rugtrekkingen en andere aanvallen die crypto-investeerders en -gebruikers schaden."
Maar "we schrijven geen transacties toe aan individuen", zei Redbord over TRM Labs.
Evenzo zei de vertegenwoordiger van CipherTrace dat het "portemonneegegevens niet toeschrijft aan particulieren, met uitzondering van gesanctioneerde entiteiten." Het heeft dat veelvuldig gedaan en pochte in een blogpost uit 2019 over het toewijzen van 72,000 Iraanse IP-adressen aan 4.5 miljoen wallets.
Of CipherTrace IP-adressen toekent aan andere wallets blijft een open vraag. Topbedrijven zeggen dat ze geen 'persoonlijk identificeerbare informatie' bijhouden, maar 'zakelijk identificeerbare informatie'.
"CipherTrace onderhoudt geen PII, wij onderhouden BII", zei Dave Jevans, CEO van CipherTrace, in een interview in juni.
"We begrijpen bijvoorbeeld welke adressen bij welke beurs horen", zegt hij. “Maar we houden geen individuele informatie bij dat jij het bent op dit adres; dat zijn onze zaken niet. Wij willen dat niet doen. We zullen uitzoeken waar het geld binnenkomt, waar het geld uitgaat en dan is het aan de rechtbanken en wetshandhavers' om de rest te doen.
Zoals O'Brien, de cyberbeveiligingsonderzoeker, opmerkte, lijkt CipherTrace's definitie van persoonlijk identificeerbare informatie IP-adressen uit te sluiten - samen met fysieke locaties, volgens een van de eigen blogposts van het bedrijf:
Bron: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/