По словам разработчика приложений для сети Биткойн под псевдонимом 0xB10C, конфиденциальность персональных данных владельцев кошельков BTC находится под угрозой.
По словам 0xB10C, отдельное лицо или группа, собравшаяся под именем LinkingLion, собирает данные о владельцах биткойнов с марта 2018 года и уже использовала более 800 различных IP-адресов, чтобы скрыть свою деятельность.
LinkingLion устанавливает TCP-соединение с биткойн-узлом и инициирует проверку версии, отправляя сообщение: версия. Сообщения о версии имеют непонятные пользовательские агенты, такие как /bitcoinj:0.14.3/Bitcoin Wallet:4.72/, /Classic:1.3.4(EB8)/ или /Satoshi:0.13.2/. Всего LinkingLion использовал 118 различных пользовательских агентов. Почти все они появляются в примечаниях к выпуску с одинаковой частотой. То есть юзер-агенты выбраны из списка и, вероятно, фальшивые.
«LinkingLion открывает соединения со многими узлами в сети Биткойн, используя четыре диапазона IP-адресов, и прослушивает объявления о транзакциях. Использует IP-адреса из трех диапазонов IPv4/24 и одного диапазона IPv6/32 для подключения к прослушивающим узлам в сети Биткойн. Это может позволить LinkingLion для связывания новых широковещательных транзакций с IP-адресами узлов. Такое поведение может указывать на то, что неизвестные пытаются определить, доступен ли конкретный узел по определенному IP-адресу. Все эти диапазоны IP-адресов рекламируются AS54098, LionLink Networks», — пишет LionLink Networks. 0xB10C.
Судя по информации реестра ARIN и RIPE, сериалы принадлежат разным компаниям: Fork Networking, Castle VPN, Linama UAB и Data Canopys.
Fork Networking и Castle VPN — американские компании, принадлежащие одному владельцу. Fork Networking предлагает услуги хостинга и совместного размещения, а Castle VPN является провайдером VPN. Linama UAB — литовская компания, не представленная в Интернете. Data Canopy — американская компания, предоставляющая облачные и колокационные центры обработки данных. Поскольку подключения из этих диапазонов IP-адресов имеют очень похожее поведение, 0xB10C предположил, что они контролируются или арендуются LinkingLion.
Примерно в 15% случаев LinkingLion не сразу закрывает соединение. Вместо этого он либо прослушивает сообщения инвентаризации, содержащие транзакции, либо отправляет запрос адреса и прослушивает как инвентарные, так и адресные сообщения. Затем он закрывает соединение в течение десяти минут.
Информация, которую LinkingLion получает от узла, может быть разделена на метаданные, инвентарь и адреса. Все соединения узнают о метаданных узла, которые включают в себя информацию о том, когда узел доступен или недоступен, какая версия программного обеспечения работает на этом конкретном узле и когда он обновляется, какую высоту блока он считает лучшей и когда она меняется, какие услуги обслуживает узел предложения.
0xB10C предположил, что таким образом LinkingLion может записывать синхронизацию транзакций, чтобы определить, какой узел первым получил транзакцию. Затем эту информацию можно использовать для определения IP-адреса, связанного с конкретным биткойн-адресом. Согласно 0xB10C, LinkingLion может использовать эту информацию для привязки широковещательных транзакций непосредственно к IP-адресам.
0xB10C предлагает защитить сообщество от угрозы кражи конфиденциальной информации, создав черный список с открытым исходным кодом, который узлы могут использовать для блокировки подключения LinkingLion. Однако 0xB10C предупреждает разработчиков о том, что LinkingLion может попытаться обойти список запрещенных, изменив IP-адреса, которые он использует для подключения. Краткосрочной превентивной мерой может быть ручное отключение диапазонов IP-адресов, используемых LinkingLion для входящих подключений к хостам. Согласно 0xB10C, единственным постоянным решением проблемы может быть изменение логики транзакций в Bitcoin Core.
Согласно отчету «Лаборатории Касперского» за 2022 год, компания зафиксировала почти 200 000 попыток кражи данных из криптовалютных кошельков и аккаунтов криптоинвесторов.