Am 3. März 2020, kurz vor Mittag in Washington, D.C., schickte Stephen Ryan jemandem vom US-Finanzministerium einen Dankesbrief mit einem merkwürdigen Detail.
Ryan, Chief Operating Officer und Mitbegründer des Kryptowährungs-Detektivunternehmens CipherTrace, war einer von 16 Führungskräften, die am Tag zuvor an einem Branchengipfel mit dem damaligen Finanzminister Steven Mnuchin teilnahmen. Zusammen mit seiner Dankbarkeit für das Treffen fügte Ryan eine Folienpräsentation bei, die die Strategie von CipherTrace zur Entmystifizierung von Krypto-Wallets darlegte. Zu diesen Methoden gehören: „Honey Pots“.
Dieser Artikel ist Teil von CoinDesk Datenschutzwoche Serie.
Ryans Notiz war Teil einer 250-seitigen Sammlung von Mnuchins E-Mails, die CoinDesk im Rahmen einer Anfrage des Freedom of Information Act (FOIA) erhalten hatte. Teile seines Foliendecks ähneln stark den öffentlichen Werbematerialien von CipherTrace. Auch diese beziehen sich seit mindestens 2018 auf „Honeypots“ oder ähnliche „Krypto-Geldtöpfe“.
Was meinte CipherTrace mit diesen Begriffen? Die Cybersicherheits-Community verwendet den Begriff „Honey Pot“, um ein Lockziel zu beschreiben, das Informationen über ahnungslose Angreifer sammelt. Mit anderen Worten: eine Falle.
CipherTrace, das der Zahlungsriese Mastercard letzten Herbst zu einem nicht genannten Preis gekauft hat, ist Teil einer Heimindustrie, die die Schnittstelle zwischen Kryptowährung und Kriminalität im Wert von 14 Milliarden US-Dollar pro Jahr überwacht. Unternehmen wie Chainalysis, TRM Labs und Elliptic durchforsten täglich Millionen von Transaktionen, die auf Blockchains oder öffentlichen Hauptbüchern aufgezeichnet werden, und suchen nach Warnsignalen und illegalen Bewegungen und kennzeichnen dabei verdächtige Adressen.
Die Unternehmen betrachten ihre Dienste als wesentlich für die Normalisierung von Kryptowährungen und die Bekämpfung der Kriminalität. Kritiker beschimpfen diese Suchfirmen als On-Chain-Drogen, obwohl sie hauptsächlich mit öffentlichen Informationen arbeiten.
CipherTrace wäre nicht das erste Unternehmen in dieser Nische, das Fallstricke legt, in der Hoffnung, Informationen zu erbeuten, die nicht in der Kette zu finden sind. Chainalysis, der führende Anbieter von Krypto-Tracing, betreibt seit Jahren eine Wallet-Explorer-Site, die die IP-Adressen der Besucher erfasst und sie mit den gesuchten Blockchain-Adressen verknüpft. Das Unternehmen erkannte diese Praxis erst im Oktober an, einen Monat nachdem CoinDesk einen Artikel veröffentlicht hatte, der darauf aufmerksam machte.
Mehr als ein halbes Dutzend Veteranen der Kryptowährungsbranche sagten gegenüber CoinDesk, sie hätten keine Ahnung, was CipherTrace mit „Honeypots“ meinte. In einer gegenüber CoinDesk bereitgestellten Erklärung gab das in Los Gatos, Kalifornien, ansässige Unternehmen die grundlegende Definition der Computersicherheit an, ohne zu erklären, was sie im Kontext der Blockchain-Analyse bedeutet.
„Ein ‚Krypto-Geldtopf‘ oder ‚Honeypot‘ ist ein Sicherheitsbegriff, der sich auf einen Mechanismus bezieht, der eine virtuelle Falle schafft, um potenzielle Angreifer anzulocken“, sagte CipherTrace und fügte hinzu, dass die Dokumente, in denen diese Taktiken erwähnt werden, alt seien. „CipherTrace verwendet keine ‚Krypto-Geldtöpfe‘ mehr“, hieß es (obwohl auf der Website des Unternehmens am Donnerstag sowohl Geld- als auch Honigtöpfe angepriesen wurden).
CoinDesk fragte CipherTrace: „Erfasst Ihr Unternehmen IP-Adressdaten, um sie mit Wallet-Adressen zu verknüpfen?“
Ein Vertreter von CipherTrace antwortete: „Als datenschutzorientiertes Unternehmen ordnet CipherTrace keine IP-Daten Privatpersonen zu.“
Sie beantwortete nicht die Frage von CoinDesk, ob CipherTrace IPs den Wallets zuordnet. CoinDesk fragte ein zweites Mal, ob CipherTrace IP-Adressen Wallet-Adressen zuordnet. CipherTrace hat nicht geantwortet.
Solche Zurückhaltung „ist ein häufiges Problem im Bereich der Privatsphäre, wenn wir über Netzwerkkennungen wie IP-Adressen sprechen“, sagte Sean O'Brien, ein Cybersicherheitsforscher. „Unternehmen versuchen, sich von dem zu distanzieren, was man traditionell als persönlich identifizierbare Informationen bezeichnen würde, indem sie sagen, dass IP-Adressen etwas anderes seien. Tatsächlich sind sie unglaublich nützlich für die Identifizierung von Haushalten, Unternehmen und Einzelpersonen.“
„Wenn Sie beispielsweise eine Bitcoin-Transaktion im Zusammenhang mit einer mutmaßlichen Cyberkriminalität untersuchen müssen, sind IP-Adressen genau die Art von Informationen, nach denen Sie suchen würden“, sagte O'Brien. „Die ersten Fälle im Zusammenhang mit Strafverfolgungsbehörden und dem Internet basieren aus gutem Grund auf IP-Adressen als Beweismittel. Und sie sind genauso nützlich, um Menschen zu belästigen und zu verfolgen, wie um sie strafrechtlich zu verfolgen.“
Dem Geld folgen
Aufspürungsunternehmen sind seit langem eine wichtige, wenn auch unterschätzte Kraft im institutionellen Vormarsch der Kryptowährung. Sie wehren sich gegen die Vorstellung, dass Bitcoin in erster Linie ein Instrument zur Kriminalfinanzierung sei, und analysieren die Daten, um den geringen Anteil zu ermitteln, der tatsächlich vorhanden ist.
Chainalysis schätzte kürzlich, dass 0.15 % der Kryptotransaktionen im Jahr 2021 illegal waren – bei weitem der niedrigste Prozentsatz seit Beginn der Aufzeichnungen. („Illegale“ Wallets haben letztes Jahr eine Rekordsumme von 14 Milliarden US-Dollar angehäuft, eine scheinbar paradoxe Zahl, die Chainalysis auf das boomende Wachstum der Kryptowährungen zurückführt.)
CipherTrace sagt, seine Mission bestehe darin, „die Kryptowährungswirtschaft auszubauen, indem man ihr das Vertrauen der Regierungen sichert, sie für eine Masseneinführung sicher macht und Finanzinstitute vor den Risiken der Kryptowäsche schützt.“
Aus der Präsentation mit dem Finanzministerium geht hervor, dass diese Beschreibung wahrscheinlich von jedem konkurrierenden Unternehmen geteilt wird. Es trifft den Kern der Bedenken der Kritiker. Datenschutz-Maximalisten glauben, dass die radikal transparente, aber pseudonyme Natur von Bitcoin unabhängig vom Staat funktionieren sollte, und sie betrachten die Arbeit dieser Unternehmen als Verrat an diesem Ideal.
„Es ist eine Art Verletzung der Privatsphäre der Benutzer, genauso wie man sich über zentralisierte Webanalyseunternehmen beschweren könnte, die IP-Adressen sammeln, Cookies auf den Computern der Leute ablegen und sie von Site zu Site verfolgen“, sagte John Light, ein langjähriger Krypto-Experte Pädagoge, Autor, Podcaster und Veranstalter.
On-Chain-Analysen sind im Kern ein Attributionswettlauf.
In Cybersicherheitskreisen bedeutet Attribution die Identifizierung der Täter eines Hacks. Im Krypto-Kontext bezieht es sich speziell auf die Praxis von Blockchain-Experten, pseudonyme Wallet-Adressen mit identifizierbaren Akteuren zu verknüpfen. Bei diesen Akteuren kann es sich um lizenzierte Krypto-Börsen oder Depotbanken, Ransomware-Angreifer, Darknet-Marktplätze oder sanktionierte Einzelpersonen oder Organisationen handeln.
Zum Beispiel: Jeder mit einer Internetverbindung kann sehen, dass beispielsweise die Brieftasche abc123 0.5 BTC an zxy987 übertragen hat; Diese Informationen sind für sich genommen eher nutzlos. Eine Tracer-Datenbank könnte jedoch dokumentieren, dass das US Office of Foreign Assets Control zxy987 als Eigentum eines sanktionierten afrikanischen Kriegsherrn identifiziert hat. Oder es könnte zeigen, dass die Bitcoins von abc123 von einer Börse gestohlen wurden.
Das sind wertvolle Informationen für Börsen, die illegale Aktivitäten unterbinden wollen, für Benutzer, die ihre Münzen sauber halten wollen, für Regierungen, die das Geld im Auge behalten wollen. Es kommt durch eine strenge Zuschreibung zustande.
Da potenziell Millionen von Dollar an Ermittlungsaufträgen zu gewinnen sind, besteht für diese Unternehmen ein dringender Bedarf, neue Zuordnungsdaten zu ermitteln. CipherTrace beispielsweise hat seit 20 3.5 Verträge mit Bundesbehörden im Wert von bis zu 2018 Millionen US-Dollar abgeschlossen, zuletzt als Sachverständiger, wie aus öffentlichen Aufzeichnungen hervorgeht.
In einer Branche, die Entwickler von differenzierten, detaillierten Attributionsdatensätzen belohnt – und in einem Bereich, in dem Kriminelle nach Informationen hungern, die ihnen helfen, unbemerkt zu bleiben – sei die Wahrung des Attributionsgeheimnisses von größter Bedeutung, sagten zwei langjährige Praktiker.
Dennoch gab Ryan in seiner E-Mail an das Finanzministerium einen Vorgeschmack darauf, „wie die Zuordnung von Kryptowährungen erreicht wird“. Honeypots wurden im Foliendeck als eine der „aktiven“ Strategien aufgeführt.
Chainalysis: Blockchain-Attributions-Ass
Der größte Konkurrent von CipherTrace begann drei Jahre zuvor mit dem Einsatz seiner eigenen neuartigen Technik.
Chainalysis wurde 2014 gegründet und hatte im Juni einen Wert von 4.2 Milliarden US-Dollar. Es ist der größte Kahuna der Tracing-Branche. Es hat Bundesverträge im Wert von mehreren zehn Millionen Dollar für den Verkauf von Software eingesammelt, die Aktivitäten in der Kette visualisiert. Während jeder mit einer Internetverbindung die Aufzeichnungen der öffentlichen Blockchain selbst durchsuchen kann, benötigen Sie ein wenig Hilfe, um herauszufinden, was Sie im Kaninchenbau finden.
Aber der wahre geschäftliche Trumpf des Tracers ist sein Attributionsdatensatz, sagten drei Brancheninsider. Den Quellen zufolge hat kein anderes Unternehmen einen so detaillierten Fundus an Wallet-Daten angehäuft wie Chainalysis.
Das liegt zum Teil daran, dass kein anderer Tracer eine so große geschäftliche Präsenz hat. Chainalysis stellt Tracing-Software für 500 „Virtual Asset Service Providers“ oder VASP, wie die Regulierungsbehörden sie nennen, bereit. Es ist eine für beide Seiten vorteilhafte Beziehung. Die Unternehmen erhalten leistungsstarke Krypto-Compliance-Tools und Chainalysis fügt ihre Wallet-Adressen seiner globalen Datenbank hinzu. Allerdings werden Kunden nicht nach Daten über ihre Kunden gefragt.
„Wir können nicht für alle anderen Anbieter sprechen. Es ist möglich, dass andere Anbieter weitere Informationen anfordern. Chainalysis befasst sich jedoch nur mit Transaktionsdaten auf Serviceebene“, erklärte das Unternehmen in einem Blogbeitrag aus dem Jahr 2019. Mit anderen Worten: Es identifiziert nur Unternehmen, von denen es weiß, dass sie die Wallets kontrollieren, nicht Personen.
Aber das war nicht die ganze Geschichte, und die Kunden von Chainalysis und öffentliche Informationen über Wallets waren nicht die einzigen Informationsquellen des Unternehmens.
In einer undatierten Diashow für die italienische Polizei, die im September durchgesickert ist, beschrieb ein Chainalysis-Vertriebsteam, wie das riesige Netzwerk aus Bitcoin- und Electrum-Wallet-Knoten des Unternehmens wertvolle Benutzerdaten wie IP-Adressen von verbundenen Wallets erfasst. Dies habe den Ermittlern geholfen, aussagekräftige kriminelle Hinweise zu verfolgen, heißt es in der Präsentation.
Die Diashow wirft auch ein neues Licht auf walletexplorer.com, einen beliebten Bitcoin-Block-Explorer, der seit 2015 von Chainalysis betrieben wird. Den Dokumenten zufolge, deren Echtheit CoinDesk überprüft hat, „scrapt“ die Website die IP-Adressen verdächtiger Benutzer und verknüpft so deren Internet-Fußabdruck mit ihren Wallet-Adresse. Dieser Datensatz hat „aussagekräftige Hinweise“ für die Strafverfolgung geliefert.
„Es war nie ein Geheimnis, dass Chainalysis walletexplorer.com besaß und betrieb. Seit 2015 steht unten auf der Homepage die Aussage, dass der Autor der Seite als Analyst und Programmierer bei Chainalysis arbeitet“, sagte ein Unternehmenssprecher gegenüber CoinDesk.
Vielleicht ein offenes Geheimnis, aber kaum ein offenes Buch. Chainalysis machte selten darauf aufmerksam, dass walletexplorer.com Benutzerdaten an seine anderen Geschäftsbereiche weiterleitete.
Wochen nachdem CoinDesk auf walletexplorer.com berichtet hatte, führte die Website eine Seite zur Offenlegung des Datenschutzes ein, auf der zum ersten Mal dargelegt wurde, wie ihr Datenschatz in die Chainalysis-Produktlinie einfließt.
„Wir teilen Blockchain-Informationen und Besucherinformationen mit unseren anderen Chainalysis-Geschäftsbereichen, um uns bei der Bereitstellung und Verbesserung dieser Dienste zu helfen. Beispielsweise können andere Geschäftsbereiche von Chainalysis die von uns bereitgestellten Informationen nutzen, um eine Bitcoin-Wallet-Adresse besser mit einer anderen Bitcoin-Wallet-Adresse zu verknüpfen“, heißt es in der Richtlinie vom 14. Oktober.
„Wir haben kürzlich eine Datenschutzerklärung hinzugefügt, um weitere Informationen darüber bereitzustellen, wie Chainalysis intern die von der Website walletexplorer.com gesammelten Informationen verwendet, um unsere Dienste zu verbessern“, sagte der Sprecher.
Nichts Persönliches?
Während unklar bleibt, was genau die Honeypots von CipherTrace bewirken, erinnert das Wort an ein System, das vorgibt, eine Sache zu tun und gleichzeitig etwas anderes auszulösen. Ein Wallet-Besitzer, der sich mit einem „Honeypot“ beschäftigt, wäre sich der Hintergedanken des Dienstes definitiv nicht bewusst.
Chainalysis, CipherTrace und Elliptic haben alle zuvor erklärt, dass sie nicht versuchen, Einzelpersonen an Wallets zu binden. Ihre Aufgabe besteht darin, Regierungen bei der Aufklärung von Kryptokriminalität zu unterstützen und die Börsen konform zu halten.
Das Outing von Einzelpersonen ist kein Teil dieser Gleichung. Diese Unternehmen folgen einfach dem Geld, sagen sie.
„Die von uns bereitgestellten Blockchain-Informationen verknüpfen Kryptotransaktionen mit realen Einheiten wie Börsen, Darknet-Marktplätzen und sanktionierten Einheiten“, sagte Ari Redbord, Leiter für Rechts- und Regierungsangelegenheiten bei TRM Labs, gegenüber CoinDesk.
„Diese Intelligenz ermöglicht es einer Krypto-Börse, alarmiert zu werden, wenn sie beispielsweise eine Transaktion abwickelt, an der eine Adresse beteiligt ist, die zuvor zur Terrorismusfinanzierung verwendet wurde“, sagte er. „Das Gleiche gilt für Transaktionen im Zusammenhang mit Hacks, Ransomware, Rug Pulls und anderen Angriffen, die Krypto-Investoren und -Benutzern schaden.“
Aber „wir ordnen Transaktionen keinen Einzelpersonen zu“, sagte Redbord über TRM Labs.
In ähnlicher Weise sagte der Vertreter von CipherTrace, dass es „keine Wallet-Daten Privatpersonen zuordnet, mit Ausnahme sanktionierter Unternehmen“. Das hat das Unternehmen häufig getan und in einem Blogbeitrag aus dem Jahr 2019 damit geprahlt, 72,000 iranische IP-Adressen 4.5 Millionen Wallets zugeordnet zu haben.
Ob CipherTrace IP-Adressen anderen Wallets zuordnet, bleibt eine offene Frage. Spitzenunternehmen geben an, dass sie keine „persönlich identifizierbaren Informationen“, sondern nur „geschäftlich identifizierbare Informationen“ speichern.
„CipherTrace pflegt keine PII, wir pflegen BII“, sagte Dave Jevans, CEO von CipherTrace, in einem Interview im Juni.
„Wir verstehen zum Beispiel, welche Adressen zu welcher Börse gehören“, sagte er. „Aber wir verfolgen keine individuellen Informationen darüber, dass Sie sich an dieser Adresse befinden; Das ist nicht unsere Sache. Das wollen wir nicht machen. Wir werden herausfinden, wo das Geld reinkommt, wo es rausgeht, und dann liegt es an den Gerichten und den Strafverfolgungsbehörden“, den Rest zu erledigen.
Wie O'Brien, der Cybersicherheitsforscher, feststellte, scheint die Definition von personenbezogenen Daten von CipherTrace IP-Adressen auszuschließen – zusammen mit physischen Standorten, wie aus einem der eigenen Blogbeiträge des Unternehmens hervorgeht:
Quelle: https://www.coindesk.com/layer2/privacyweek/2022/01/28/mastercards-ciphertrace-used-honeypots-to-gather-crypto-wallet-intel/