Биткойн-криминалистика для деанонимизации криптомиксеров и транзакций CoinJoin

В отличие от алгоритмов, люди всегда оставляют следы. Биткойн по природе публичен, история его транзакций может быть легально просмотрена кем угодно. И хотя пользовательские публичные адреса в блокчейне не дают возможность идентификации конкретных лиц, стоящих за каждой операцией, но технологии анализа развиваются, и они все эффективнее позволяют связывать адреса с личностями. Поэтому со временем появились технологии разрыва связей между транзакциями – миксеры, тумблеры и CoinJoin.

Автор: Александр Подобных, руководитель Санкт-Петербургского РО АРСИБ, руководитель Комитета по безопасности цифровых активов и противодействию мошенничеству, судебный эксперт

Миксеры, тумблеры и CoinJoin

В широком смысле миксинг (микширование) монет может означать любую деятельность, связанную с обфускацией финансовых средств и заменой их другими. Применительно к криптовалютам под миксингом обычно подразумеваются услуги третьей стороны, которая принимает средства пользователей и за небольшую комиссию возвращает криптомонеты, уже не имеющие связи с отправленными. Эти сервисы известны как тумблеры или миксеры. Безопасность и анонимность таких централизованных сервисов, конечно, сомнительна, ведь пользователь не получает гарантии возврата своих средств и их валидности. Фактически в процессе миксинга пользователь временно отказывается от контроля над своими средствами, надеясь получить обратно монеты, не связанные с отданными. Кроме того, выполняющая миксинг сторона может логировать IP- и биткойн-адреса, а это угрожает конфиденциальности пользователей.

Более высокую степень несвязанности предоставляет интересный подход, называемый CoinJoin. Он заключается в объединении средств нескольких пользователей в одну транзакцию. Так как входы объединяются, становится невозможно однозначно связать конкретный выход транзакции с каким-либо входом. После транзакций CoinJoin никакие свидетельства не могут гарантированно доказать связь пользователя с его предыдущими транзакциями. Таким образом, CoinJoin служит чем-то вроде черного ящика для миксинга монет, скрывающего связь между старыми и новыми владельцами криптосредств.

Многие решения CoinJoin являются децентрализованной альтернативой микшерам. Несмотря на то что в схеме может присутствовать координатор, пользователям не нужно отказываться от временной потери контроля над своими средствами.

Новейшие реализации CoinJoin позволяют пользователям надежно объединять свои входные данные с десятками других, обеспечивая высокую степень несвязности. Например, в середине 2019 г. была успешно выполнена транзакция с сотней участников.

Сам факт существования CoinJoin достаточен для того, чтобы поставить под сомнение методы анализа криптотранзакций. В большинстве случаев можно понять, что был использован CoinJoin, но нельзя узнать, кому какие средства были переведены.

В оценке киберпреступности ЕС за 2020 г. сервисы кошельков, использующие концепции CoinJoin, такие как Wasabi и Obscuro, были признаны главной угрозой наряду с хорошо зарекомендовавшими себя централизованными микшерами [2].

Obscuro, поддерживая децентрализованную службу микширования, к тому же использует антифорензивные методы, например аппаратные среды доверенного выполнения (TEE) для защиты своих операций от операционной среды. Содержимое защищенного анклава шифруется и хранится в оперативной памяти, теоретически оставляя минимальные артефакты на диске системы, в которой он работает. Obscuro использует защищенный анклав Intel SGX System Secure Enclave для отделения данных приложений от остальной части системы. Исследователи назвали эту и аналогичные технологии TEEs BANKLAVES (банклавы).

Почему используются криптомиксеры?

Большинство пользователей сервисов микширования используют их с целью конфиденциальности. Такая конфиденциальность важна тем, кто по различным причинам хочет совершать финансовые операции анонимно.

Небольшой процент пользователей миксеров являются киберпреступниками. Они используют сервисы смешения, чтобы скрыть связь между криптокошельками, которые используются ими для сбора незаконной прибыли, и криптокошельками, с которых они переводят средства на криптофиатные биржи. Таким образом они стремятся избежать срабатывания предупреждений в антифрод-системах, связанных с отмыванием денежных средств. В июле 2022 г. около 10% всех криптовалют, принадлежащих незаконным сервисам, были отмыты именно через миксеры.

Биткойн-криминалистика

Для биткойн-криминалистики важно, что координатор CoinJoin имеет представление о пользовательской информации, которая может позволить cвязать входные данные с пользователем. Это открывает возможность обнаружения значимых артефактов (свидетельств), если инфраструктура криптосервиса будет подвергнута криминалистическому анализу.

В мае 2019 г. голландская служба финансовой информации и расследований (FIOD) в тесном сотрудничестве с Европолом и властями Люксембурга конфисковала шесть серверов Bestmixer.io, контролирующих потоки Bitcoin, Bitcoin Cash и Litecoin.

Изъятие серверов злоумышленников и надлежащее восстановление информации помогают обеспечить значительную степень раскрытия анонимности этих транзакций. Если исследователям известны биткойн-адреса, принадлежащие как интересующему лицу, так и стороннему сервису микширования, они могут идентифицировать транзакции между ними.

В 2021 г. сотрудники Эдинбургского университета Нейпира опубликовали исследование [3], описывающее инструментарий и методологию для анализа сервисов смешивания биткойнов, доступ к которым был получен после судебного изъятия. Они изучили, какие реальные, общедоступные инструменты и методы раскрываются криминалистически, а также проанализировали источники артефактов, которые потребуют дальнейшего академического внимания.

Тестовая среда упомянутых кошельков была развернута на виртуальных машинах, затем использовался ряд инструментов компьютерно-технической экспертизы для исследования созданных виртуальных образов на наличие значимых артефактов. Задействованные инструменты смогли восстановить широкий спектр криминалистических свидетельств и позволили обнаружить, что сетевые активности и файлы системных журналов являются полезными источниками свидетельств для деанонимизации служб микширования.

Наиболее эффективные методы защиты от криминалистической экспертизы, используемые службами микширования, включали шифрование данных при передаче и в состоянии покоя. Obscuro микшировал в защищенном анклаве, но последующая запись этих данных на диск в зашифрованных артефактах сделала это микширование избыточным и привело к компрометации данных.

Инструменты анализа транзакций

Исследователи использовали различные наборы криминалистических инструментов, а затем по результатам их работы выполнялся поиск конкретных криминалистических артефактов. Преимущество в том, что для поиска значимых доказательств можно применять множество инструментов, предоставляющих расширенные возможности: захват файлов и потоков данных, анализ сигнатур и более глубокий синтаксический анализ конкретных приложений.

1. Autopsy, один из основных инструментов цифровой криминалистики с открытым исходным кодом, позволяющий анализировать жесткие диски, смартфоны, флеш-карты и т.д.
2. FTK Imager, программное обеспечение с открытым исходным кодом, которое было выбрано за его мощную способность монтировать и анализировать файлы образов.
3. AXIOM, платный комплексный набор инструментов, позволяющий захватывать снепшоты устройств, обрабатывать образы для восстановления данных, он предоставляет аналитические инструменты.
4. Для анализа и исследования сетевого трафика использовался инструмент Wireshark, а для исследования снепшотов памяти – LIME и Volatility.

На сегодняшний день доступны экспертные инструменты для анализа транзакций и кластеризации адресов, которые превращают криптотранзакции в простую визуализацию, подкрепленную точными данными об атрибуции адресов.

Заключение

По состоянию на 2022 г. в России запрещено использование криптовалют в качестве средства платежа, но при этом по-прежнему растут криптофинансовые потоки и незаконные финансовые сервисы на теневом рынке, в том числе и миксеры криптовалют. Между тем в Евросоюзе уже создан регулирующий орган AMLA, которому поручен прямой надзор за криптобизнесом.

При столкновении с биткойн-миксером, разработанным для сокрытия источника биткойнов и личности пользователей, правоохранительным органам требуется специфический набор навыков и инструментов для отслеживания средств, совершенно отличный от соответствующего комплекта для сбора криминалистических доказательств в случае более традиционных форм отмывания денежных средств. Кроме того, пока еще проведено мало исследований, направленных на рассмотрение и изучение криминалистического анализа сервисов смешивания биткойнов.

Аналитические платформы уже достаточно развиты для того, чтобы видеть все криптотранзакции. Примером является программное обеспечение Chainalysis для обеспечения соответствия требованиям в сфере оборота криптовалют. В России для этих целей работает платформа КОСАтка.

Не следует забывать, что использование Tor в Wasabi, как правило, помогает в решении проблем конфиденциальности и безопасности, но субъекты угроз, ищущие биткойн-трафик, могут и действительно нацеливаются на узлы Tor в попытках украсть средства или раскрыть пользователей.

В ближайшем будущем стоит ожидать появления криминалистических инструментов с применением поддельных нод Tor и дистанционным сбором свидетельств с хостов и облачных ресурсов для нужд криминалистической экспертизы.

1. https://academy.binance.com/ru/articles/coin-mixing-and-coinjoins-explained 
2. https://www.europol.europa.eu/cms/sites/default/files/documents/internet_organised_crime_threat_assessment_iocta_2020.pdf 
3. https://www.napier.ac.uk/~/media/worktribe/output-2817546/ablockchain-framework-in-post-quantum-decentralization-accepted-version.pdf