暴走時評:加密貨幣被描繪為一種比信用卡還更具匿名特徵且更不可追蹤的支付手段。但是當你真正使用比特幣或其他加密貨幣進行網上購物或作為支付手段的時候,你的隱私又能得到什麼程度的保護呢?最近新發表的一篇論文就揭露了可能帶來的隱私洩露。論文根據多個網站的第三方追蹤系統與區塊鏈相結合設計多種攻擊方式詳細闡述了這種隱私洩露的可能性。
翻譯:Clover
加密貨幣被描繪為一種比信用卡還更具匿名特徵且更不可追蹤的支付手段。那麼如果你使用比特幣或其他加密貨幣在網上購物或進行支付的話,你會擁有多少隱私?在新發表的一篇論文中,我們就揭示了你擁有的隱私可能會非常少。
包括購物網站在內的網站通常每個站點都有數十個第三方追蹤系統。這些第三方會跟蹤支付流量的敏感性細節資訊,例如你新增到購物車的商品及其價格,無論你選擇何種付款方式。至關重要的是,我們發現許多購物網站會向追蹤系統洩露充分的購買資訊,足以使這些追蹤系統能夠將其與區塊鏈上的付款交易形成唯一關聯。而在區塊鏈上,就可以透過很多熟悉的方式來進一步將該交易與你的其他比特幣錢包地址相關聯。你可以使用Adblock Plus和uBlock Origin等瀏覽器擴充套件程式,以及像混幣技術(CoinJoin)這樣的比特幣匿名技術來保護自己。儘管這些措施可能會有所幫助,但是我們發現,這種關聯還是有可能的。
攻擊全部範圍的說明。以三個恰好擁有相同內建追蹤系統的網站為例進行思考。Alice在前兩個網站上進行購買並使用比特幣進行支付,然後再在第三個網站上登入。商家A將交易的比特幣地址二維碼洩露給追蹤系統,商家B洩露購買金額,而商家C則洩露Alice的個人身份資訊(PII)。如今,這種程度的資訊洩露是十分常見的,而且常常也是有意為之的。該追蹤系統會根據Alice瀏覽器儲存在使用者本地終端上的資料(cookie)關聯三筆購買交易。此外,該追蹤系統也獲取了足夠的資訊來唯一地(或接近唯一地)識別比特幣區塊鏈上與兩次購買相對應的貨幣。然而,Alice採取了一些預防措施,在進行購買之前就透過CoinJoin將比特幣存入錢包。因此,每筆交易都無法單獨追溯到Alice的錢包,但是隻有一個錢包同時參與了兩次CoinJoin,因此,便可表明這就是Alice的錢包。
使用隱私測量工具OpenWPM,我們分析了接受比特幣支付的130個電子商務網站,並發現其中53個網站會將交易詳細資訊洩露給追蹤系統。許多(但也不是全部)資訊洩露都是有意為之的,以進行廣告活動與分析。此外,49個網站將個人識別符號洩露給追蹤系統:姓名、電子郵件、使用者名稱等。這種組合就意味著追蹤系統可以將現實世界的身份與比特幣的地址關聯起來。要清楚的是,所有洩露的資料都儲存在數十家追蹤公司的日誌記錄中,並且可以使用過去的採購資料來進行追溯性關聯。
在這些網站的一個分組中,我們首次使用透過CoinJoin匿名技術“組合”的比特幣進行了真正的購買。[1]我們發現一個觀測著我們的兩筆購買交易(這也十分常見)的追蹤系統在80%的時間裡都能夠識別我們的比特幣錢包。我們將在論文中介紹攻擊的全部詳細資訊,以及對其有效性的全面分析。
我們的發現提醒我們,在缺少可證明隱私屬性的系統中可能會始料未及地出現資訊洩露,以及潛在的觸犯隱私的情況發生。當多個這樣的系統相互作用的時候,這種資訊洩露可能會更不易察覺。加密貨幣中的匿名性問題似乎尤為棘手,因為它繼承了資料匿名化(敏感資料必須公開永久的儲存在上)以及匿名通訊(隱私取決於由使用者和應用程式的行為引起的不明顯互動)的最糟糕情況。
[1] 本實驗中,我們進行了1-2輪混合。我們在論文中也提供了證明,雖然較高的混合深度降低了攻擊的有效性,但是並沒有戰勝這種攻擊。此處仍需更加仔細的研究權衡措施。
來源:鉛筆http://chainb.com/?P=Cont&id=5683
