“窃听攻击”威胁比特币匿名性
摘要:你有没有在丝绸之路2.0或色情网站上用匿名虚拟货币进行消费? 或者,您是否刚刚在 Expedia 上完成了无害的酒店预订? 无论哪种方式,都不要太相信用比特币消费会隐藏你在现实世界中的身份。 卢森堡大学的一项新研究发现,只需两台笔记本电脑和大约 2,000 美元预算的攻击者就可以泄露网络上多达 60% 的比特币客户端的 IP 地址。 该研究的一位作者透露,也许更令人不安的是,这样的攻击可能正在进行中。 全网攻击 该研究报告由卢森堡大学密码学研究小组 CryptoLux 的三名研究人员撰写,描述了一种针对比特币网络的攻击当前连接的比特币测试网络信息,将比特币地址转换为公共 IP 地址。 在这种情况下,可以追踪到用户的家庭住址。 这种攻击只需要掌握相关知识就可以发动,而且成本很低。
“如果我有几台电脑,我们就可以以非常低的成本从办公室发起这种攻击,”该研究的作者之一伊万·普斯托加罗夫 (Ivan Pustogarov) 说。
研究人员还发现,该攻击还可用于阻止匿名洋葱 (Tor) 网络的使用。 此外,攻击还可以“粘附”到交易上,因此可以将在一台机器上执行的多个地址交易组合在一起。
根据 Pustogarov 的说法,这次攻击将针对整个比特币网络,并在给定时间内揭示 11% 的交易。 虽然可以通过更改攻击参数来泄露更多的 IP 地址,但这样做也会暴露攻击者的秘密。
Pustogarov 表示,他已经在比特币网络上测试了这种攻击,并实现了高达 60% 的反匿名率:“攻击可以在 [所有交易] 的 11%-60% 范围内成功,具体取决于攻击者的匿名。要求的水平”。 他补充说,这种类型的攻击每月花费不到 1,500 欧元(约合 2,000 美元)。 攻击可能正在进行根据 Pustogarov 和其他几位合著者的说法,这种针对比特币网络的攻击很可能正在发生,从而暴露看似匿名的比特币交易。
Pustogarov 说:“我运行了多个比特币服务器,我时不时地从同一个 IP 地址获得多个连接当前连接的比特币测试网络信息,我怀疑有人试图这样做。” 但他强调,他没有确凿的证据表明比特币网络正在发生这种攻击,但出于对这种攻击可能性的怀疑,他还是在网上发表了论文。
论文发表在康奈尔学术基金科学与数学论文平台。 (Arxiv.org) 攻击原理 CryptoLux 论文中描述的攻击不同于早期反比特币匿名研究的方法。
早期的论文侧重于对区块链上用户交易的比较分析(Mikeljohn、Ron 和 Shamir 等人),而这种方法依赖于对暴露在比特币网络上的身份信息流的分析。 结果是 CryptoLux 方法允许攻击者实时查看攻击结果。
这是它的工作原理。 当您在比特币网络上进行交易时,您的比特币客户端通常通过连接到八台服务器中的一台来加入比特币网络。 它的初始连接是你的输入节点,每个用户都会有一个唯一的输入节点。
当您的钱包发送比特币以完成交易时,例如在 Expedia.com 上预订酒店,输入节点将该交易转发给比特币网络的其余部分。 研究人员的见解是,验证一组输入节点意味着验证特定的比特币客户端。 这意味着比特币客户端 IP 地址可以按交易进行聚合和分类。
因此,攻击者必须多次连接到比特币网络的服务器。 连接后,攻击者将监听用户客户端与服务器的初始连接,这可能会暴露客户端的IP地址。
由于交易需要通过网络进行,因此会关联到客户端的输入节点。 如果其中一个匹配,攻击者就知道交易源自这个特定的客户端。
攻击者可以采取额外的步骤来阻止托尔网络(Tor)或其他匿名服务连接到比特币网络,以确保暴露真实的 IP 地址。
Pustogarov 说:“即使你在办公室 [与其他用户] 进行交易,由于 8 个不同的输入节点,它也会将你与其他人区分开来。这使我们能够区分使用同一 ISP 的两个人。谁的信息被暴露了?如果 Pustogarov 的预感是正确的,如果有人真的在确认比特币地址,这些攻击者能收集到多少信息?
大多数比特币用户不需要太担心信息被泄露。 在线钱包的用户没有暴露其 IP 地址的风险。 攻击只会显示在线钱包服务器使用的 IP 地址。
Pustogarov 说:“这些客户端不会受到这次攻击的影响,这只会确认网络钱包服务器的 IP 地址。”
不过,他指出,网络钱包的匿名性和安全性仍然不高,用户只能依赖第三方服务。 “他们仍然暴露在外,因为他们信任在线钱包提供商,如果有人想保持匿名,他们就不应该使用这些服务。” 地址挖掘需要运气和耐心。
Pustogarov 解释说,由于大约有 11% 的机会泄露比特币地址(不泄露攻击者的身份),攻击者需要从该特定地址平均监听 10 次比特币交易才能成功。 核心开发者回应那么比特币核心开发者对这篇 Cryptolux 攻击论文的回应是什么? 根据 Bitcoin Core 开发人员 Mike Hearn 的说法,这实际上不会发生。
“我们很早就知道这类攻击,”他说。 随后他在 Bitcointalk 论坛上发布了几种防止这种攻击的措施,同时他还指出,洋葱网络的攻击并不可靠,因为它会引起比特币网络用户的注意,所以这不是一个很好的选择。
“如此明显的攻击对所有对手(用户)来说都不是那么明智,就像情报机构一样,”他说。 比特币的匿名性脆弱 比特币的匿名性近期频频被质疑。 例如,Blockchain 提供的 SharedCoin 服务旨在混淆特定用户的交易。 不过,安全顾问Kristov Atlas提醒大家,最好等这个服务成熟后再使用。 CryptoLux 论文进一步强调了比特币匿名性的弱点。
正如赫恩所指出的:“结合 blockchain.info 提供的 SharedCoin 服务最近运行不正常,人们需要接受一个现实——比特币的匿名性其实并不尽如人意。” Pustogarov 和 Hearn 都表示,核心问题是需要平衡隐私和性能。 例如,Pustogarov 也提供了几种应对反匿名攻击的方案,但每一种方案在提高匿名性的时候都需要牺牲性能。
赫恩总结了比特币技术固有的内在矛盾:“隐私很难,在公共网络上维护隐私更难:比特币公开了所有数据,但用户却想完全保留自己的隐私。这显然是一个很大的挑战。”矛盾,需要大量的技术和智慧来解决。” 原文:编译:小蒙牛 来源:巴比特资讯()
