Le 3 mars 2020, juste avant l'heure du déjeuner à Washington, DC, Stephen Ryan a envoyé à quelqu'un du département du Trésor américain une note de remerciement avec un détail curieux.
COO et co-fondateur de la société de détection de crypto-monnaie CipherTrace, Ryan était l'un des 16 dirigeants qui ont assisté à un sommet de l'industrie la veille aux côtés du secrétaire au Trésor de l'époque, Steven Mnuchin. Outre ses remerciements pour la réunion, Ryan a joint une série de diapositives présentant la stratégie de CipherTrace pour démystifier les portefeuilles cryptographiques. Parmi ces méthodes : les « pots de miel ».
Cet article fait partie de la série Privacy Week de CoinDesk.
La note de Ryan faisait partie d'un trésor de 250 pages d'e-mails Mnuchin obtenus par CoinDesk via une demande de la Freedom of Information Act (FOIA). Certaines parties de votre diaporama ressemblent beaucoup au matériel promotionnel public de CipherTrace. Ceux-ci sont également appelés « pots de miel » ou la rime « pots d'argent crypto » depuis au moins 2018.
Que voulait dire CipherTrace par ces termes ? La communauté de la cybersécurité utilise l'expression « pot de miel » pour décrire une cible leurre qui collecte des informations sur des attaquants sans méfiance. Autrement dit : un piège.
CipherTrace, que le géant des paiements Mastercard a acheté l'automne dernier pour un prix non divulgué, fait partie d'une industrie artisanale qui contrôle le carrefour de 14 milliards d'euros par an de la crypto-monnaie et du crime. En examinant des millions de transactions quotidiennes enregistrées sur des chaînes de blocs ou des registres publics, des entreprises comme Chainalysis, TRM Labs et Elliptic recherchent des drapeaux rouges et des mouvements illicites, signalant les adresses suspectes au fur et à mesure.
Les entreprises considèrent leur service comme essentiel pour normaliser les crypto-monnaies et éradiquer la criminalité. Les critiques fustigent ces sociétés de suivi comme des chaînes de trafiquants de drogue, même si elles travaillent principalement avec des informations publiques.
CipherTrace ne serait pas la première entreprise de ce créneau à tendre des pièges dans l'espoir de capter des informations introuvables sur la chaîne. Chainalysis, le principal fournisseur de suivi de crypto-monnaie, possède depuis des années un site d'extraction de portefeuille qui capture les adresses IP des visiteurs et les relie aux adresses de blockchain qu'ils ont recherchées. La société n'a reconnu la pratique qu'en octobre dernier, un mois après que CoinDesk a publié un article attirant l'attention sur elle.
Plus d’une demi-douzaine de vétérans de l’industrie des cryptomonnaies ont déclaré à CoinDesk qu’ils n’avaient aucune idée de ce que CipherTrace entendait par « pots de miel ». Dans une déclaration fournie à CoinDesk, la société basée à Los Gatos, en Californie, a donné la définition de base de la cybersécurité sans expliquer ce que cela signifiait dans le contexte de l'analyse de la blockchain.
"Un 'pot de crypto-monnaie' ou 'pot de miel' est un terme de sécurité qui fait référence à un mécanisme qui crée un piège virtuel pour attirer les attaquants potentiels", a déclaré CipherTrace, ajoutant que les documents mentionnant de telles tactiques sont anciens. . "CipherTrace n'utilise plus de 'pots de crypto-monnaie'", a-t-il déclaré (bien que le site Web de la société fasse la promotion à la fois de l'argent et des pots de miel depuis jeudi).
CoinDesk a demandé à CipherTrace : « Votre entreprise collecte-t-elle des données d'adresse IP dans le but de les lier aux adresses de portefeuille ?
Un représentant de CipherTrace a répondu : « En tant qu'entreprise axée sur la confidentialité, CipherTrace n'attribue pas de données IP aux individus. »
N'a pas répondu à la question de CoinDesk : CipherTrace attribue-t-il des adresses IP aux portefeuilles ? CoinDesk a demandé une deuxième fois si CipherTrace mappait les adresses IP aux adresses de portefeuille. CipherTrace n'a pas répondu.
Une telle méfiance "est un problème courant dans le domaine de la confidentialité, lorsque nous parlons d'identifiants de réseau comme les adresses IP", a déclaré le chercheur en cybersécurité Sean O'Brien. « Les entreprises tentent de se démarquer de ce qu’elles appellent traditionnellement les informations personnelles identifiables en affirmant que les adresses IP sont autre chose. En fait, ils sont extrêmement utiles pour identifier les maisons, les entreprises et les particuliers.
Par exemple, "si vous devez enquêter sur une transaction Bitcoin liée à un cybercrime présumé, les adresses IP sont exactement le type d'informations que vous recherchez", a déclaré O'Brien. "Les premières affaires policières et Internet reposaient sur les adresses IP comme preuves, pour de bonnes raisons. Et elles sont tout aussi utiles pour harceler et traquer les gens que pour les poursuivre en justice.
Siguiendo El Dinero
Les entreprises de suivi ont longtemps été une force majeure, bien que sous-reconnue, dans la marche crypto institutionnelle. Luttant contre la perception fatiguée que le bitcoin est avant tout un outil financier criminel, ils analysent les données pour identifier quelle partie est vraiment rare.
Chainalysis a récemment estimé que 0,15 % des transactions cryptographiques en 2021 étaient illicites, ce qui est de loin le pourcentage le plus bas jamais enregistré. (Les portefeuilles « illicites » ont amassé un montant record de 14 milliards d’euros l’année dernière, une statistique apparemment paradoxale que Chainalysis a attribuée à la croissance fulgurante des crypto-monnaies.)
CipherTrace déclare que sa mission est de « développer l’économie des cryptomonnaies en lui accordant la confiance des gouvernements, en garantissant son adoption massive et en protégeant les institutions financières du risque de blanchiment d’argent cryptographique ».
Tirée de la présentation partagée avec le Trésor, cette description serait vraisemblablement partagée par toutes les entreprises concurrentes. Elle est au centre des préoccupations des critiques. Les maximalistes de la vie privée estiment que la nature radicalement transparente mais pseudonyme de Bitcoin devrait être indépendante de l'État et considèrent le travail de ces entreprises comme une trahison de cet idéal.
"C'est une sorte d'invasion de la vie privée des utilisateurs, de la même manière que vous pourriez vous plaindre des sociétés d'analyse Web centralisées qui collectent des adresses IP, placent des cookies sur les ordinateurs des gens et les suivent "site par site"", a-t-il déclaré. -time cryptographe, éducateur, écrivain, podcasteur et organisateur d'événements.
L'analyse en chaîne est essentiellement une course à l'attribution.
Dans les milieux de la cybersécurité, l'attribution consiste à identifier les auteurs d'un piratage. Dans le contexte de la cryptographie, cela fait spécifiquement référence à la pratique des détectives de la blockchain reliant des adresses de portefeuille pseudonymes à des acteurs identifiables. Ces acteurs pourraient être des dépositaires ou des échanges cryptographiques sous licence ; les attaquants de rançongiciels ; les marchés du darknet ; ou des personnes ou entités sanctionnées.
Par exemple : toute personne disposant d'une connexion Internet peut voir que, par exemple, le portefeuille abc123 a transféré 0.5 BTC à zxy987 ; cette information est assez inutile en soi. Mais une base de données de traçage pourrait documenter que le Bureau américain de contrôle des avoirs étrangers a identifié zxy987 comme appartenant à un seigneur de guerre africain sanctionné. Ou cela pourrait montrer que le bitcoin d'abc123 a été volé dans un échange.
Il s'agit d'informations précieuses pour les échanges qui souhaitent réduire les activités illicites, pour les utilisateurs qui souhaitent garder leurs pièces propres, pour les gouvernements qui souhaitent suivre l'argent. Il lie par une attribution rigoureuse.
Avec potentiellement des millions de dollars de contrats d'enquête en jeu, ces entreprises ont un besoin urgent d'exploiter de nouvelles données d'attribution. CipherTrace, par exemple, a signé 20 contrats avec des agences fédérales, d'une valeur allant jusqu'à 3.5 millions d'euros, depuis 2018, le plus récent étant le travail de témoin expert, selon les archives publiques.
En una industria que recompensa a los creadores de conjuntos de datos de atribución matizados y detallados, y un campo donde los delincuentes están hambrientos de inteligencia para ayudarlos a evadir la atención, mantener la salsa de atribución en secreto es primordial, han dicho dos practicantes de beaucoup de temps.
Cependant, dans son e-mail au Trésor, Ryan a donné un aperçu de « la manière dont l'allocation de crypto-monnaie est effectuée ». Les pots de miel ont été répertoriés comme l'une des stratégies « actives » dans le diaporama.
Analyse de la chaîne : l'as de l'attribution de la blockchain
Le plus grand concurrent de CipherTrace a commencé à exploiter sa propre nouvelle technique il y a trois ans.
Fondée en 2014 et évaluée à 4200 milliards de dollars en juin dernier, Chainalysis est le grand kahuna de l'industrie du tracking. Il a accumulé des dizaines de millions de dollars en contrats de vente de logiciels fédéraux qui visualisent l'activité de la chaîne. Alors que toute personne disposant d'une connexion Internet peut naviguer dans les archives publiques de la blockchain, elle aurait besoin d'un peu d'aide pour comprendre ce qui se passe dans le terrier du lapin.
Mais le véritable argument de vente du traceur est son ensemble de données d'attribution, ont déclaré trois experts du secteur. Aucune autre entreprise n'a amassé des données de portefeuille aussi détaillées que Chainalysis », ont déclaré les sources.
Cela s’explique en partie par le fait qu’aucun autre tracker n’a une empreinte commerciale aussi massive. Chainalysis fournit un logiciel de suivi à 500 « fournisseurs de services d’actifs virtuels » ou VASP, comme les appellent les régulateurs. Il s'agit d'une relation mutuellement bénéfique : les entreprises disposent de puissants outils de conformité cryptographique et Chainalysis ajoute les adresses de leurs portefeuilles à sa base de données mondiale. Cependant, il ne demande pas aux clients de données sur leurs clients.
« Nous ne pouvons pas parler pour tous les autres fournisseurs. D'autres fournisseurs peuvent demander plus d'informations. Mais Chainalysis ne s'intéresse qu'aux données de transaction au niveau du service », a expliqué la société dans un article de blog de 2019. En d'autres termes, il n'identifie que les entreprises dont il connaît les portefeuilles de contrôle, pas les personnes.
Mais ce n'était pas toute l'histoire, et les clients de Chainalysis et les informations sur le portefeuille public n'étaient pas les seules sources d'informations de l'entreprise.
Dans un diaporama non daté pour la police italienne qui a été divulgué en septembre dernier, une équipe commerciale de Chainalysis a décrit comment le vaste réseau de nœuds de portefeuille Bitcoin et Electrum de l'entreprise capture des données utilisateur précieuses, telles que les adresses IP du portefeuille connecté. Cela a aidé les enquêteurs à rechercher des pistes criminelles importantes, selon le dossier.
Le diaporama a également jeté un nouvel éclairage sur walletexplorer.com, un explorateur de blocs Bitcoin populaire géré par Chainalysis depuis 2015. Selon les documents, dont CoinDesk a vérifié l'authenticité, le site Web "gratte" les adresses IP suspectées des utilisateurs, reliant leur Internet . empreinte digitale à l'adresse de votre portefeuille. Cet ensemble de données a fourni des « indices importants » aux forces de l’ordre.
"Ce n'est jamais un secret que Chainalysis possédait et exploitait walletexplorer.com ; depuis 2015, il y a une déclaration au bas de la page d'accueil selon laquelle l'auteur du site travaille chez Chainalysis en tant qu'analyste et programmeur", a...