摘要:你在丝绸之路2.0或者色情网站上用匿名虚拟货币进行了一些消费?又或者,你只是在Expedia网上完成了一次无伤大雅的酒店预订?无论哪种方式,不要过于相信使用比特币消费就隐藏了你现实世界的身份。
来自卢森堡大学的一项新研究发现,攻击者利用两台笔记本以及大约2000美元的预算就可以至多揭露网络上60%的比特币客户端IP地址。或许更令人不安的是,这种攻击可能正在进行,该研究报告的作者之一透露。
全网络攻击
该研究报告由卢森堡大学密码学研究小组CryptoLux的三名研究人员所写,报告描述了一种比特币网络的攻击方式,它可将比特币地址转换成公网IP地址,在某些情况下就可以追查到用户的家庭地址。这种攻击只需要掌握相关的知识就可以发动,而且成本很低。
“如果我有几台电脑,我们可以从办公室就发动这种攻击,成本非常低,”该研究报告的作者之一Ivan Pustogarov说。
研究人员还发现,该攻击还可用于防止匿名洋葱头(Tor)网络的使用。此外,攻击还可‘黏合’于交易,因此在一台机器上执行的多地址交易可以组合在一起。
据Pustogarov所说,攻击将针对整个比特币网络,并在给定时间内揭露11%的交易。虽然可以通过改变攻击参数的方式揭示更多的IP地址,但这样做的同时也会暴露出攻击者的秘密。
Pustogarov表示,他已经测试了这种比特币网络攻击,并最高取得了60%的反匿名率:
“攻击成功的范围可以在11%-60%之间[所有交易],这取决于攻击者匿名要求的程度”。
这种类型的攻击一个月的成本都不到1500欧元(约合2000美元),他还说。
攻击可能进行中
据Pustogarov和其他几个合著者描述,这种比特币网络攻击很可能正在发生,他们正在揭露那些看似匿名的比特币交易。
“我运行了好几个比特币服务器,然后时不时地会收到来自同一IP地址的多个连接,我怀疑有人正在试图进行这种攻击”Pustogarov说。但他强调自己并没有确凿的证据表明这种针对比特币网络的攻击正在进行,但出于怀疑这种攻击发生的可能性,他还是在网上发表了他的论文。
该论文发表在了康奈尔大学学术资助科学和数学论文平台上。(Arxiv.org)
攻击原理
CryptoLux论文中所描述的攻击与早期反比特币匿名研究的方法有所不同。
早期的论文中侧重于对用户在区块链交易的对比分析(米克尔约翰,罗恩和沙米尔等人),而这种方法依赖于对比特币网络暴露身份信息流量的分析,其结果就是CryptoLux方法可以让攻击者实时查看攻击结果。
下面就是它的攻击原理。当你在比特币网络上进行了一笔交易时,你的比特币客户端通常通过连接到八台服务器加入比特币网络。其初始连接为你的输入节点,每个用户都会有一个独特的输入节点。
当你的钱包发送一笔比特币完成交易后,比如说在Expedia.com上预定了一个酒店,输入节点会将该交易转发到比特币网络的其余部分节点。研究人员的见解是确认一组输入节点意味着就是确认一个特定的比特币客户端。这意味着,比特币客户端IP地址可以通过交易进行聚合归类。
因此,攻击者必须多次连接比特币网络的服务器,一旦连接上后,攻击者就会监听用户客户端和服务器之间的初始连接,如此就可能暴露出客户端的IP地址。
由于交易需要通过网络进行,它们会和客户端的输入节点产生关联。如果其中有一个匹配,那么攻击者就会知晓这笔交易起源于这个特定的客户端。
攻击者可以采取额外步骤防止洋葱头(Tor)网络或者其它匿名服务连接到比特币网络,以确保暴露出真正的IP地址。
“即使你是在办公室进行的交易[有其它用户的状况下],因为8个输入节点的不同区分了你和其它人。这能够让我们区分出两个使用同一英特网服务提供商的人”Pustogarov表示。
谁的信息暴露了?
如果说Pustogarov的预感是正确的,假如真有人在确认比特币地址的话,那么这些攻击者到底能够收集到多少信息呢?
大部分比特币用户不用过于担心信息被暴露,在线钱包的用户并不会暴露IP地址的风险,攻击只会显示在线钱包服务器所使用的IP地址。
“那些客户端不会受此攻击影响,这种攻击只能确认网络钱包服务器的IP地址”Pustogarov说。
不过,他指出在线钱包的匿名信和安全性仍旧不高,用户们只能寄托信任于第三方服务。
“他们还是暴露的,因为他们信任了在线钱包提供商,如果说有人想要保持匿名,他们就不该使用这些服务。”
该CryptoLux攻击无法针对特定目标用户进行攻击,如果攻击者想要对特定地址进行挖掘的话则需要运气和耐心。
由于揭露一个比特币地址大约有11%的机会(不暴露攻击者身份情况下),攻击者平均需要监听这个特定地址10笔比特币交易才能成功,Pustogarov解释说。
核心开发者的回应
那么关于这个Cryptolux攻击的论文,比特币核心开发者的回应是什么呢?据比特币核心开发者Mike Hearn所说,这其实什么都不会发生。
“我们早就知道这类攻击了,”他说。他随后在Bitcointalk论坛上发表了几个可以防止这种攻击的措施,而且他还指出攻击防止洋葱头网络的事也不太靠谱,因为这样会引起比特币网络用户的注意,因此这并不是一个很好的选择。
“这么明显的攻击对于所有对手(用户)来说并不是那么明智,这就好比情报局一样”他说。
比特币的匿名性是脆弱的
比特币的匿名性最近频遭质疑。例如Blockchain提供的SharedCoin服务,其目的是混淆特定用户进行的交易,然而安全顾问Kristov Atlas提醒大家最好等这种服务成熟后再去使用。而 CryptoLux论文则进一步强调了比特币匿名性的弱点。
正如Hearn指出的:
“结合blockchain.info提供的SharedCoin服务近期无法正常工作的情况来看,人们需要接受一个现实 —— 比特币的匿名性其实并不如人意。”
匿名性问题成为了比特币潜在的核心问题,Pustogarov 以及Hearn都表示需要权衡隐私和性能之间的平衡。例如Pustogarov也提供几种应对反匿名攻击的方案,但每个方案在提升匿名性时需要以牺牲性能为代价。
Hearn则总结了比特币技术所包含的本质上的矛盾:
“保持隐私是困难的,而想要在公共网络上保持住隐私更是难上加难:比特币公开了所有的数据,然而用户们却又希望完全保持住隐私。这明显存有很大的矛盾,这需要大量的技术和智慧来解决。”
原文:
http://www.coindesk.com/eavesdropping-attack-can-unmask-60-bitcoin-clients/ 编译:小蒙牛 稿源:巴比特资讯(
www.8btc.com)
Veilcoin 隐匿币(X13算法)---匿名语音电话功能币(总量240万) 6月22日
Talkcoin(聊天币) 互联网去中心化的开始,第一个去中心化匿名聊天和投票的加密货币(钱包每日在线率超过比特币)
已推出MaidSafe去中心化互联网----确保网络内用户以尽可能低的成本共享资源,保护个人隐私及数据。
尚未推出Permacoin 微软研究院与美国马里兰大学联合提出。存储公开的档案数据,去中心化分布系统,对抗各种威胁。
尚未推出