- Регистрация
- 31.12.2019
- Сообщения
- 7,535
- Реакции
- 36
Безопасное использование криптовалют на примере биткойна.
Я надеюсь, что это будет самая скучная статья в конкурсе и она никому не понравится. Тут нет картинок и мало шуток. А те шутки что есть – скучные. Статья предоставляется исключительно для образовательных целей. Автор просит не пользоваться информацией для нарушения любых законов любых стран и призывает всех жить дружно, честно и счастливо.
Биткойн, она же первая криптовалюта, не является анонимной. Это означает, что при желании можно отследить всю информацию по транзакциям – ИП, даты, суммы, контрагентов.
Информация в блокчейне биткойна хранится буквально вечно. Например, в 2021 году Минюст США предъявил обвинение миксеру за отмывание биткойнов c 2011 года. (justice dot gov/opa/pr/individual-arrested-and-charged-operating-notorious-darknet-cryptocurrency-mixer) на основе анализа блокчейна.
Возможно ли скрыть информацию о своих транзакциях от условного оппонента? Да, и в этой статье я расскажу о знакомых мне способах начиная с самых простых и заканчивая самыми изощренными.
Для достижения цели, нужно эту цель собственно задать. Чем более четко и детально задана цель, тем более вероятно ее достижение. (en.wikipedia dot org/wiki/SMART_criteria).
Иными словами, когда мы хотим скрыть информацию о своих транзакциях очень поможет четкое понимание – от кого. Запомнив это, движемся дальше.
Чтобы хранить биткойы, нужна программа - кошелек. Видов кошельков великое множество, но мы рассмотрим три основных, самых важных качества.
1. «Кастодиальные» кошельки Это кошельки, создатели которых хранят у себя приватные ключи к средствам клиентов. Пример – blockchain dot com или централизованные биржи binance dot com. Обычно у них простое устройство кошельков, удобные инструменты доступа и восстановления утерянного доступа. Из минусов – возможное хищение средств (exit scam), блокировка средств, отслеживание операций клиентов.
Такие кошельки возможно будут полезными непрофессиональным пользователям криптовалют, хранящие небольшие суммы.
Профессионалам же следует искать некастодиальные кошельки (пример electrum dot org или bitcoin dot org/en/bitcoin-core/), которые не предоставляют доступ средтсв клиентов своим создателям.
2. «Проприоритарные» кошельки. Когда у кошелька закрытых от публики исходный код, их иногда называют «проприоритарным». Это означает, что клиентам нужно довериться создателям кошелька или какому то стороннему аудиту. Иначе не исключено нраличие случайных ошибок или осознанных бекдоров. Примером является (jaxx dot io) или централизованные биржи (binance dot com)
Также как и кастодиальные кошельки, проприоритарные возможно пригодятся непрофессионалам с небошльими суммами.
Профессионалам следует использовать кошельки с открытыми исходным кодом. (примеры electrum dot org или bitcoin dot org/en/bitcoin-core/),
3. «Легкие» кошельки. Эти кошельки быстры в использовании, так как не скачивают список всех транзакции блокчейна. Блокчейн может занимать сотни гигабайт, по состоянию на май 2021 блокчейн Биткойна занимает около 350 гигабайт. Легкие кошельки обращаются к серверам, где хранится блокчейн (так называемая «полная нода») и запрашивают информацию только по необходимым пользователю транзакциям.
Однако, достоинства выливаются и в недостаток. Если сервер с блокчейном («полная нода») контролируется оппонентом, то он может получить информацию об ИП клиента и его транзакциях.
Как решить эту проблему?
Первый способ – это не пользоваться легкими кошельками. Можно взять ВПС за 10 долларов и там развернуть полную ноду. В таком случае, другие ноды не смогут отследить связку ИП+транзакций клиента. Но это требует времени и технических знаний.
Второй способ – Это использовать отдельные кошельки (не адреса одного кошелька, а именно кошельки – wallet.dat) и отдельные ИП для каждого кошелька. Популярный способ – использование ТОР.
Если ваш оппонент контролирует узлы ТОР, то он может вычислить ваш ИП. Например, в России используется система СОРМ которая фиксирует информацию о доступах. Россия, увы, не самая технически развитая страна поэтому не удивительно что по крайней мере у США есть аналогичная система.
Это означает, что при пользовании легкими кошельками, наиболее безопасно будет использовать связку ТОР+прокси (или сокс, или ССШ-сокс, или ВПН с ограничением) в стране недружественной к оппонент; и в идеале последнее звено цепочки это одноразовый мобильный телефон зарегистрированный на специально обученных (иногда – мертвых) людей.
Итак, у нас есть кошелек и мы научились им пользоваться безопасно. Теперь мы дождались счасливого момента, когда на наш кошелек откуда-то пришли биткойны, много биткойнов. Помня, что биткойн не анонимен и оппонент не должен отследить наши транзакции, мы будем действовать дальше.
Чтобы сделать операции анонимными, нам нужно прервать цепочнку транзакций. Иными словами, нужно сделать так чтобы опонент, анализирующий блокчейн не смог вычислить наши операции.
Для этого, есть несколько способов.
1. Менять блокчейны (т.н. «chain hop») это когда с помощью обменников или бирж меняется биткойн на другую криптовалюту.
Мы понимаем, что оппонент может иметь авторитет запросить информацию у создателя обменнника или биржи и ее получит. Поэтому, это имеет смысл только при перехода на криптовалюты повышенной приватности – монеро, zcash sapling, dash.
При выборе криптовалют повышенной приватности, надо иметь ввиду две ключевых характеристики. Первая, это отсутсвие информации о ее взломе (внимательный читатель воскликнет, что «это же очевидно» и я соглашусь, но для полноты картины я был вынужден это указать). Второе, это объем торгов по ней – чем больше людей и денег в ней, тем больше вероятность «скрыться в толпе». Для простоты, можно использовать данные о капитализации (coinmarketcap dot com) криптовалют, где она больше там и надежнее.
2. Разделять крупные суммы и избегать шаблонного поведения. Предположим на минутку, что наш оппонент– не полный кретин, и знает про свойства криптовалют типа монеро.
Но он понимает, что если вам пришло 100к и вы разделили на два куска по 50к за минусом процентов обменников и пошли их выводить – значит, вы проиграли. Говоря иначе, софт для анализа этих операций ищет какие то соответствия по дате времени и суммам операций.
Таким образом, чтобы сохранить анонимность нужно дробить сумму на как можно мелкие, избегать работать в одно и то же время (чтобы оппонент не вычислил ваш часовой пояс) и использовать все озвученные выше способы защиты своей конфиденциальности.
В рамках нашей постоянной рубрики «это же очевидно» напомню – дробить следует суммы только в криптовалютах повышенной приватности. В противном случае, нужно использовать миксеры.
3. Использовать миксеры, но с некоторыми оговорками. Миксеры бывают двух видов – кастодиальные и не кастодиальные.
Читатели, которых я не распугал своей любовью к заковыристым словами помнят, что кастодиальный это тот, кто имеет доступ к средствам клиентов. Еще такие миксеры называют «централизованными». Они используют ветки на форумах, чтобы люди видели как давно они работают и что нет жалоб. Также используют подписи при операциях микширования чтобы у клиента было доказательство, что он им перевел деньги.
Звучит неплохо? Наверное. Но недостатки довольно значительные: первое это возможный exit scam, по простому кидок клиента. Второе – мы не можем знать доподлинно, хранит ли миксер информацию или нет.
Таким образом мы включаем рубильник «параноя» на максимум и видим, кака наяву, как наш оппонент с авторитетом берет владельца миксера за жабры и получает всю историю микшированных транзакций.
И да, услуги людей, которые предлагают микширование на форумах - по сути тот же кастодиальный миксер, со всеми вытекающими рисками.
Некастодиальные миксеры еще называются «децентрализованные», иногда CoinJoin, по механизму работы.
Суть этой работы – одинаковые суммы большого количества клиентов сливаются в одной операции, и опоннент не может сразу понять где чьи деньги.
Единственный работающий пример – wasabiwallet dot io. Они не имеют доступа к средствам клиентов, поэтому exit scam исключен. Также их софт имеет открытый исходных код. Все, можно микшировать на всю котлету? Сначала прочтите о недостатках:
1) По состоянию на май 2021 года, Coinjoin операции видны в блокчейне оппоненту. Если у нас в CoinJoin транзакции 10 участников, мы увидим в блокчейне multisig операцию с 10 подписями.
Этот недостаток с большой долей вероятности будет исправлен в 2021 году обновлением сети Биткойна (название «Taproot»), который, среди прочего, делает Coinjoin операции не отличимыми от обычных.
2) Как следствие предыдущего пункта, биржи и обменники видят что деньги пришли из миксера или ушли в миксер. Все чаще такие транзакции помечаются как высокорискованные. Результат? Блокировка средств, отказ в обслуживании, запрос дополнительных доказательств происхождения средств.
3) Недостаток именно Wasabi – он не очень быстрый. Микширование происходит один раз в час. Сумма для микширования фиксированная - 0.1 биткойн за раз – иначе говоря, он микширует со скоростью не быстрее 0.1 биткойн в час.
Теперь я бы хотел рассказать о нескольких способах обмена криптовалют.
1. Централизованные биржи (бинанс и и тд). Эти биржи в большинстве случаев пытаются идентифицировать своих клиентов (т.н. KYC/AMG процедуры). Если наша задача – обфускация транзакций, то мы бы покупали доступы на биржи, оформленные на специально обученных людей. Недостаток этого способа – специально обученный человек может овладеть нашими честно заработанными средствами а также наш оппонент с авторитетом может получить информацию обо всех наших транзакциях у биржи.
2. Нецентрализованные биржи. Эти биржи не пытаются выяснить, кто их клиент. Большинство таких бирж работают в одном блокчейне (как правило – Эфириума). Но я знаю одну биржу, которая меняет приватные криптовалюты на обычные это incognito dot org. Они работают через приложение – можно или на специально выделенный телефон поставить, или же поставить приложение на симулятор андройда типа Bluestacks через цепочку соксов.
3. Обменники. Суть их работы – делать то же, что и централизованные биржи но без идентификации клиентов. Обменники можно находить по bestchange dot ru где они отсортированы по отзывам и курсам. Лично я не вижу большого смысла пользоваться ими, но это работающий инструмент про который нужно сказать.
Таким образом, сегодня вы узнали об основных способах защиты своей конфиденциальности при работе с криптовалютами.
Я благодарю всех, кто нашел в себе силы добраться до конца статьи и буду рад ответить на любые вопросы.
Автор: rampagex
Я надеюсь, что это будет самая скучная статья в конкурсе и она никому не понравится. Тут нет картинок и мало шуток. А те шутки что есть – скучные. Статья предоставляется исключительно для образовательных целей. Автор просит не пользоваться информацией для нарушения любых законов любых стран и призывает всех жить дружно, честно и счастливо.
Биткойн, она же первая криптовалюта, не является анонимной. Это означает, что при желании можно отследить всю информацию по транзакциям – ИП, даты, суммы, контрагентов.
Информация в блокчейне биткойна хранится буквально вечно. Например, в 2021 году Минюст США предъявил обвинение миксеру за отмывание биткойнов c 2011 года. (justice dot gov/opa/pr/individual-arrested-and-charged-operating-notorious-darknet-cryptocurrency-mixer) на основе анализа блокчейна.
Возможно ли скрыть информацию о своих транзакциях от условного оппонента? Да, и в этой статье я расскажу о знакомых мне способах начиная с самых простых и заканчивая самыми изощренными.
Для достижения цели, нужно эту цель собственно задать. Чем более четко и детально задана цель, тем более вероятно ее достижение. (en.wikipedia dot org/wiki/SMART_criteria).
Иными словами, когда мы хотим скрыть информацию о своих транзакциях очень поможет четкое понимание – от кого. Запомнив это, движемся дальше.
Чтобы хранить биткойы, нужна программа - кошелек. Видов кошельков великое множество, но мы рассмотрим три основных, самых важных качества.
1. «Кастодиальные» кошельки Это кошельки, создатели которых хранят у себя приватные ключи к средствам клиентов. Пример – blockchain dot com или централизованные биржи binance dot com. Обычно у них простое устройство кошельков, удобные инструменты доступа и восстановления утерянного доступа. Из минусов – возможное хищение средств (exit scam), блокировка средств, отслеживание операций клиентов.
Такие кошельки возможно будут полезными непрофессиональным пользователям криптовалют, хранящие небольшие суммы.
Профессионалам же следует искать некастодиальные кошельки (пример electrum dot org или bitcoin dot org/en/bitcoin-core/), которые не предоставляют доступ средтсв клиентов своим создателям.
2. «Проприоритарные» кошельки. Когда у кошелька закрытых от публики исходный код, их иногда называют «проприоритарным». Это означает, что клиентам нужно довериться создателям кошелька или какому то стороннему аудиту. Иначе не исключено нраличие случайных ошибок или осознанных бекдоров. Примером является (jaxx dot io) или централизованные биржи (binance dot com)
Также как и кастодиальные кошельки, проприоритарные возможно пригодятся непрофессионалам с небошльими суммами.
Профессионалам следует использовать кошельки с открытыми исходным кодом. (примеры electrum dot org или bitcoin dot org/en/bitcoin-core/),
3. «Легкие» кошельки. Эти кошельки быстры в использовании, так как не скачивают список всех транзакции блокчейна. Блокчейн может занимать сотни гигабайт, по состоянию на май 2021 блокчейн Биткойна занимает около 350 гигабайт. Легкие кошельки обращаются к серверам, где хранится блокчейн (так называемая «полная нода») и запрашивают информацию только по необходимым пользователю транзакциям.
Однако, достоинства выливаются и в недостаток. Если сервер с блокчейном («полная нода») контролируется оппонентом, то он может получить информацию об ИП клиента и его транзакциях.
Как решить эту проблему?
Первый способ – это не пользоваться легкими кошельками. Можно взять ВПС за 10 долларов и там развернуть полную ноду. В таком случае, другие ноды не смогут отследить связку ИП+транзакций клиента. Но это требует времени и технических знаний.
Второй способ – Это использовать отдельные кошельки (не адреса одного кошелька, а именно кошельки – wallet.dat) и отдельные ИП для каждого кошелька. Популярный способ – использование ТОР.
Если ваш оппонент контролирует узлы ТОР, то он может вычислить ваш ИП. Например, в России используется система СОРМ которая фиксирует информацию о доступах. Россия, увы, не самая технически развитая страна поэтому не удивительно что по крайней мере у США есть аналогичная система.
Это означает, что при пользовании легкими кошельками, наиболее безопасно будет использовать связку ТОР+прокси (или сокс, или ССШ-сокс, или ВПН с ограничением) в стране недружественной к оппонент; и в идеале последнее звено цепочки это одноразовый мобильный телефон зарегистрированный на специально обученных (иногда – мертвых) людей.
Итак, у нас есть кошелек и мы научились им пользоваться безопасно. Теперь мы дождались счасливого момента, когда на наш кошелек откуда-то пришли биткойны, много биткойнов. Помня, что биткойн не анонимен и оппонент не должен отследить наши транзакции, мы будем действовать дальше.
Чтобы сделать операции анонимными, нам нужно прервать цепочнку транзакций. Иными словами, нужно сделать так чтобы опонент, анализирующий блокчейн не смог вычислить наши операции.
Для этого, есть несколько способов.
1. Менять блокчейны (т.н. «chain hop») это когда с помощью обменников или бирж меняется биткойн на другую криптовалюту.
Мы понимаем, что оппонент может иметь авторитет запросить информацию у создателя обменнника или биржи и ее получит. Поэтому, это имеет смысл только при перехода на криптовалюты повышенной приватности – монеро, zcash sapling, dash.
При выборе криптовалют повышенной приватности, надо иметь ввиду две ключевых характеристики. Первая, это отсутсвие информации о ее взломе (внимательный читатель воскликнет, что «это же очевидно» и я соглашусь, но для полноты картины я был вынужден это указать). Второе, это объем торгов по ней – чем больше людей и денег в ней, тем больше вероятность «скрыться в толпе». Для простоты, можно использовать данные о капитализации (coinmarketcap dot com) криптовалют, где она больше там и надежнее.
2. Разделять крупные суммы и избегать шаблонного поведения. Предположим на минутку, что наш оппонент– не полный кретин, и знает про свойства криптовалют типа монеро.
Но он понимает, что если вам пришло 100к и вы разделили на два куска по 50к за минусом процентов обменников и пошли их выводить – значит, вы проиграли. Говоря иначе, софт для анализа этих операций ищет какие то соответствия по дате времени и суммам операций.
Таким образом, чтобы сохранить анонимность нужно дробить сумму на как можно мелкие, избегать работать в одно и то же время (чтобы оппонент не вычислил ваш часовой пояс) и использовать все озвученные выше способы защиты своей конфиденциальности.
В рамках нашей постоянной рубрики «это же очевидно» напомню – дробить следует суммы только в криптовалютах повышенной приватности. В противном случае, нужно использовать миксеры.
3. Использовать миксеры, но с некоторыми оговорками. Миксеры бывают двух видов – кастодиальные и не кастодиальные.
Читатели, которых я не распугал своей любовью к заковыристым словами помнят, что кастодиальный это тот, кто имеет доступ к средствам клиентов. Еще такие миксеры называют «централизованными». Они используют ветки на форумах, чтобы люди видели как давно они работают и что нет жалоб. Также используют подписи при операциях микширования чтобы у клиента было доказательство, что он им перевел деньги.
Звучит неплохо? Наверное. Но недостатки довольно значительные: первое это возможный exit scam, по простому кидок клиента. Второе – мы не можем знать доподлинно, хранит ли миксер информацию или нет.
Таким образом мы включаем рубильник «параноя» на максимум и видим, кака наяву, как наш оппонент с авторитетом берет владельца миксера за жабры и получает всю историю микшированных транзакций.
И да, услуги людей, которые предлагают микширование на форумах - по сути тот же кастодиальный миксер, со всеми вытекающими рисками.
Некастодиальные миксеры еще называются «децентрализованные», иногда CoinJoin, по механизму работы.
Суть этой работы – одинаковые суммы большого количества клиентов сливаются в одной операции, и опоннент не может сразу понять где чьи деньги.
Единственный работающий пример – wasabiwallet dot io. Они не имеют доступа к средствам клиентов, поэтому exit scam исключен. Также их софт имеет открытый исходных код. Все, можно микшировать на всю котлету? Сначала прочтите о недостатках:
1) По состоянию на май 2021 года, Coinjoin операции видны в блокчейне оппоненту. Если у нас в CoinJoin транзакции 10 участников, мы увидим в блокчейне multisig операцию с 10 подписями.
Этот недостаток с большой долей вероятности будет исправлен в 2021 году обновлением сети Биткойна (название «Taproot»), который, среди прочего, делает Coinjoin операции не отличимыми от обычных.
2) Как следствие предыдущего пункта, биржи и обменники видят что деньги пришли из миксера или ушли в миксер. Все чаще такие транзакции помечаются как высокорискованные. Результат? Блокировка средств, отказ в обслуживании, запрос дополнительных доказательств происхождения средств.
3) Недостаток именно Wasabi – он не очень быстрый. Микширование происходит один раз в час. Сумма для микширования фиксированная - 0.1 биткойн за раз – иначе говоря, он микширует со скоростью не быстрее 0.1 биткойн в час.
Теперь я бы хотел рассказать о нескольких способах обмена криптовалют.
1. Централизованные биржи (бинанс и и тд). Эти биржи в большинстве случаев пытаются идентифицировать своих клиентов (т.н. KYC/AMG процедуры). Если наша задача – обфускация транзакций, то мы бы покупали доступы на биржи, оформленные на специально обученных людей. Недостаток этого способа – специально обученный человек может овладеть нашими честно заработанными средствами а также наш оппонент с авторитетом может получить информацию обо всех наших транзакциях у биржи.
2. Нецентрализованные биржи. Эти биржи не пытаются выяснить, кто их клиент. Большинство таких бирж работают в одном блокчейне (как правило – Эфириума). Но я знаю одну биржу, которая меняет приватные криптовалюты на обычные это incognito dot org. Они работают через приложение – можно или на специально выделенный телефон поставить, или же поставить приложение на симулятор андройда типа Bluestacks через цепочку соксов.
3. Обменники. Суть их работы – делать то же, что и централизованные биржи но без идентификации клиентов. Обменники можно находить по bestchange dot ru где они отсортированы по отзывам и курсам. Лично я не вижу большого смысла пользоваться ими, но это работающий инструмент про который нужно сказать.
Таким образом, сегодня вы узнали об основных способах защиты своей конфиденциальности при работе с криптовалютами.
Я благодарю всех, кто нашел в себе силы добраться до конца статьи и буду рад ответить на любые вопросы.
Автор: rampagex