Nella battaglia per collegare i criminali del mondo reale ai loro tesori anonimi di bitcoin, Chainalysis ha trovato un vantaggio “significativo”: un sito Web di esplorazione di blocchi che recupera gli indirizzi IP (protocollo Internet) dei visitatori.
Secondo i documenti trapelati esaminati da CoinDesk, Chainalysis, la più grande delle società di tracciamento blockchain, possiede e gestisce walletexplorer.com. Come altri block explorer, il servizio consente a chiunque di visualizzare la cronologia degli indirizzi dei portafogli pubblici di criptovalute. Chainalysis ritiene che i malintenzionati utilizzerebbero il suo sito per controllare le transazioni senza timore di “lasciare un’impronta” sugli scambi di criptovalute, affermano i documenti.
Ma laddove gli scambi – e presumibilmente la maggior parte dei block explorer – non hanno occhi, Chainalysis ha messo gli occhi. Secondo i documenti, esso “raschia” gli indirizzi IP degli utenti sospetti che cadono nell’honeypot di walletexplorer.com.
“Utilizzando questo set di dati siamo stati in grado di fornire alle forze dell’ordine indizi significativi relativi ai dati IP associati a un indirizzo”, affermano i documenti, tradotti dall’italiano. “È anche possibile effettuare una ricerca inversa su qualsiasi indirizzo IP noto per identificare altri indirizzi BTC.”
In tal modo, Chainalysis ha effettivamente utilizzato come arma un sito Web senza pretese senza rivelare i suoi legami. Non si è mai associato pubblicamente a walletexplorer.com, anche se una nota in fondo alla home page del sito afferma che il suo “autore” ora lavora presso Chainalysis. Il sito web è stato creato nel 2014, secondo i documenti di registrazione del sito che non fanno menzione di Chainalysis.
Un portavoce di Chainalysis ha rifiutato di commentare.
I documenti, provenienti da una presentazione non datata di Chainalysis alla polizia italiana che indaga sul dark web, sono apparsi lunedì tardi su DarkLeaks, a sua volta un sito del dark web accessibile solo tramite browser anonimizzati come Tor. CoinDesk ha verificato l’autenticità dei documenti.
La presentazione getta nuova luce sull’intera gamma di strumenti che Chainalysis utilizza per assistere le forze dell’ordine nell’intrappolare attori illeciti. La società è nota principalmente per l’analisi dei dati sulle transazioni disponibili al pubblico anziché per l’utilizzo di sotterfugi.
Ma il suo honeypot funziona, secondo le diapositive trapelate. Chainalysis ha citato un caso del giugno 2020 in cui walletexplorer.com ha catturato l’indirizzo IP di un sospetto ransomware, poche ore dopo che era stato sospettato di aver depositato fondi tramite il banco OTC dell’exchange di criptovalute Huobi.
I documenti mostrano anche che Chainalysis pensa di poter tracciare le transazioni in monero (XMR), che molti considerano la criptovaluta con le più forti difese della privacy.
“Dei casi su cui Chainalysis ha lavorato in collaborazione con le forze dell’ordine, siamo stati in grado di fornire piste utilizzabili in circa il 65% dei casi che coinvolgevano [m]onero”, dicono i documenti.
Justin Ehrenhofer, membro del gruppo di lavoro Monero Space, ha avvertito di non leggere troppo in questa affermazione.
“‘Lead utilizzabili’ è molto non specifico e può significare un’ampia varietà di cose”, ha scritto in un’e-mail a CoinDesk. “Ad esempio, nel migliore dei casi per le forze dell’ordine, può portare a identità reali dietro le transazioni. Tuttavia, può anche riguardare informazioni false, come un’identità falsa/rubata o un indirizzo Tor. Tutti i metadati sono utili nelle indagini e la misura in cui queste informazioni sono estremamente variabili”.
Allo stesso modo la parola “casi” è usata in senso lato, riferendosi a “tutti i casi coinvolti in Chainalysis, incluso Monero, non a transazioni Monero specifiche”, ha scritto Ehrenhofer. “Quindi, se qualcuno utilizzasse Monero ma poi rivelasse anche informazioni esterne alla banda utilizzata, probabilmente si qualificherebbe come un caso di ‘successo’ secondo i parametri di Chainalysis.”
Tuttavia, ha offerto una nota di cautela: “Gli utenti Monero che hanno a cuore la propria privacy dovrebbero sempre utilizzare Monero utilizzando il proprio nodo. Anche se ci sono alcuni nodi Monero remoti disponibili su Tor, è comunque meglio gestirne uno proprio.”
Un altro modo in cui Chainalysis acquisisce i dati degli utenti Bitcoin è eseguendo nodi che verificano le transazioni, confermano i documenti. Ciò consente all’azienda di acquisire fughe di dati su Internet accessibile al pubblico, o Clearnet, dai portafogli SPV (Semplified Payment Verification) degli utenti. Questi servizi sono stati progettati per dare priorità alla facilità di archiviazione rispetto alla sicurezza infallibile (anche se ad essere onesti sono probabilmente più sicuri dei portafogli che si affidano alle API per verificare le transazioni).
“Lo svantaggio di questo design è che quando il portafoglio dell’utente si connette alla rete, vengono rivelate una serie di informazioni: l’indirizzo IP dell’utente, l’intero set di indirizzi nel portafoglio (usati e non utilizzati) e la versione del software del portafoglio, “secondo la presentazione. “Chainalysis gestisce una serie di nodi sulla rete Bitcoin… e se un utente si connette a uno dei nostri nodi, riceviamo le informazioni di cui sopra.”
Questi dati possono essere un vantaggio per gli investigatori. Chainalysis cita il busto della rete di pornografia infantile “Welcome to Video”. Uno dei sospettati in quel caso è stato identificato in parte perché il suo nodo Bitcoin era in esecuzione sulla Clearnet.
In effetti, i clienti governativi si rivolgono a Chainalysis per chiedere aiuto nel rintracciare i nodi. L’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro è uno di questi partner: all’inizio del 2021 ha richiesto il permesso di utilizzare la tecnologia “Rumker” di Chainalysis nel tentativo di sanzionare gli attori crittografici.
Martedì l’OFAC ha emesso la sua prima sanzione contro un exchange di criptovalute per aver facilitato i pagamenti di ransomware.
Il fatto che Chainalysis gestisca i propri nodi di acquisizione dati non sarebbe una sorpresa per i Bitcoiner attenti alla privacy; la comunità lo sospettava da tempo.
“Abbiamo sempre saputo che gestiscono dei nodi: è solo una questione di quali servizi sono connessi”, ha affermato Colin Harper, responsabile dei contenuti presso Luxor Tech, una società di mining di bitcoin.
Tuttavia, la storia illustra il piano d’azione di Chainalysis nel tracciare le criptovalute illecite per i partner delle forze dell’ordine. Non è sufficiente scorrere la cronologia delle transazioni pubbliche. Per avere successo, l’azienda deve accumulare dati.
AGGIORNAMENTO (21 settembre, 19:25 UTC): Aggiunge commenti dal rappresentante della comunità Monero.
AGGIORNAMENTO (21 settembre, 21:15 UTC): Aggiunge la sezione finale sull’uso dei nodi da parte di Chainalysis.