Журнал "Information Security/ Информационная безопасность" #3, 2023

В случае с LinkingLion академический интерес кажется маловероятным: вряд ли обычный исследова- тель будет финансировать такую масштабную опера- цию в течение нескольких лет, ведь диапазоны IP- адресов и серверы стоят немалых денег. Первоочередной мерой противодействия может стать ручная блокировка диапазонов IP-адресов, используемых LinkingLion, то есть запрет для них входя- щих подключений к узлам. Основная идея Dandelion заключается в том, чтобы затруднить определение источника транзакции в сети блокчейна, что может повы- сить уровень анонимности для отправителей транзак- ций. l список услуг, предоставляе- мых узлом. Временная информация, то есть когда узел объявляет о своем присутствии или обнов- лении инвентарных сведений, особенно актуальна для после- дующего анализа. Поскольку LinkingLion подклю- чается ко многим прослуши- вающимся узлам, он может использовать набор получае- мых сведений для привязки широковещательных транзак- ций к IP-адресам, а значит, потенциально и к пользовате- лям. Около 2% подключений со стороны объекта LinkingLion также просят узел отправить им адреса других узлов сети. Объект, вероятно, использует их для поиска новых адресатов для подключения и увеличения доли охваченных узлов, а также может попытаться распознать топологию сети, отслеживая ретрансляцию транзакций. Остается загадкой, зачем Lin- kingLion открывает несколько кратковременных подключений к одному узлу из нескольких диа- пазонов IP-адресов. Всю инфор- мацию можно было бы извлечь и без многократного открытия и закрытия соединений, не при- влекая внимания исследовате- лей. Впрочем, это вполне можно списать на ошибки в логике рабо- ты самого LinkingLion. Автор исследования впервые лично наблюдал действия Lin- kingLion летом 2022 г., однако объект был активен дольше. Отрывочные сведения, ретро- спективно обнаруживаемые в некоторых отчетах в Интернете, свидетельствуют, что операции LinkingLion проводились как минимум с начала 2018 г. Кто стоит за LinkingLion? Большинство P2P-аномалий, происходящих с открытой сетью биткоина, исходят от частных лиц или компаний, преследую- щих либо академические цели, либо корыстные (например, про- дажа собранных данных другим компаниям и правоохранитель- ным органам). В случае с LinkingLion акаде- мический интерес кажется мало- вероятным: вряд ли обычный исследователь будет финанси- ровать такую масштабную опе- рацию в течение нескольких лет, ведь диапазоны IP-адресов и серверы стоят немалых денег. К тому же академические экс- перименты обычно более лока- лизованы по времени, да и опуб- ликованных по итогам статей пока найти не удалось. Коммерческим компаниям есть смысл платить за инфра- структуру, если они смогут выгодно продать собранные данные или улучшить с их помо- щью свой продукт в сфере блок- чейна. Так что вариант, когда за LinkingLion стоит некая орга- низация, выглядит более прав- доподобным. Что же делать? Первоочередной мерой про- тиводействия может стать руч- ная блокировка диапазонов IP- адресов, используемых Linking- Lion, то есть запрет для них входящих подключений к узлам. Однако это действие не реша- ет проблему полностью, ведь LinkingLion может легко пере- ключиться на новые диапазоны IP-адресов. Основная опасность заключается в том, что по итогам сбора информации со стороны LinkingLion может быть установ- лена высоковероятная связь транзакций и IP-адресов. Чтобы этого не допустить, потребуются изменения в логике первона- чальной трансляции и ретранс- ляции транзакций в сети бит- коина и в ядре Bitcoin Core. Технологическим решением может стать технология Dande- lion, например Dandelion++ или какая-либо из ее модификаций. Dandelion (англ., одуванчик) – это протокол передачи тран- закций в сети блокчейна с целью повышения анонимности и защиты приватности пользо- вателей. Он был разработан в 2017 г. для биткоин-сети, хотя может быть реализован и в дру- гих блокчейнах. Основная идея Dandelion заключается в том, чтобы затруднить определение источ- ника транзакции в сети блок- чейна, что может повысить уро- вень анонимности для отправи- телей транзакций. По умолча- нию, когда транзакция создает- ся, она отправляется на первый узел в сети и начинает свой путь к остальным узлам через прямой маршрут. Это как раз и может делать возможным отсле- живание источника транзакции. Протокол Dandelion модифи- цирует этот процесс: вместо прямой передачи транзакция отправляется на случайно выбранный узел, который назы- вается "стебель" (Stem Phase). Этот узел удерживает транзак- цию на некоторое время и затем, после искусственной вре- менной задержки, передает ее дальше группой узлов вместе, образуя так называемые "колосья" (Fluff Phase). Таким образом, точное место отпра- вителя транзакции становится труднее обнаружить. Dandelion++ используется в блокчейн-сети Monero с 2020 г. Попытка аналогичного внедре- ния в Bitcoin Core так и не увен- чалась успехом, в первую оче- редь из-за сложности и проблем с DoS. Заключение Гипотезы и выводы, приве- денные в исследовании, выгля- дят вполне обоснованными как с технической точки зрения, так и с точки зрения общей картины развития криптосферы. За последние пять лет на рынке анализа блокчейн-транзакций появилось много новых игроков, в том числе и очень крупных. В СМИ то и дело появляются новости об очередном выигран- ном госконтракте или получении дополнительных инвестиций, исчисляемых уже десятками и сотнями миллионов долларов. Причем если анализом биткои- на, эфириума и их форков зани- маются многие компании, то, к примеру, на деанонимизацию и анализ технологии Monero выделялись прямые исследо- вательские гранты на сотни миллионов долларов. Зная также о государственно- частном партнерстве американ- ской компании Chainalysis с ФБР и другими ведомствами, а также доступных сведениях о суще- ствовании модуля интеграции с системой аналитики Palantir (используют спецслужбы, инве- стиционные банки, хедж-фонды), можно предположить, что такой глобальный сбор IP-адресов необходим, как вариант, для массового выявления субъектов с высоким уровнем риска (по AML/CFT) и преступников. Недавно, в 2023 г., один из игроков в блокчейн-аналитике анонсировал применение ИИ для сквозной блокчейн-анали- тики между различными блок- чейнами и токенами. По-види- мому, похожие работы уже ведутся в нашей стране. А зна- чит, не исключено появление новых исследовательских объ- ектов, подобных LinkingLion. l • 67 КРИПТОГРАФИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw