Линейное письмо ₿. Как любительница шифров разрушила миф об анонимности биткоина
Долгое время транзакции в биткоинах считались полностью анонимными (кто-то, вероятно, и до сих пор так думает). Ими расплачивались в даркнете за наркотики, оружие, детскую порнографию и другие незаконные товары. Ими пользовались криптоанархисты, для которых неприемлема сама возможность государственного надзора. Однако в 2013 году аспирантке и исследовательнице криптографии Саре Мейкледжон удалось найти способ, как связывать различные транзакции между собой и находить те из них, которые выполнил один и тот же человек. После этого в США были зачищен целый ряд криминальных рынков и произведены три крупнейшие конфискации денег в истории американского Минюста. Энди Гринберг — о том, зачем Сара Мейкледжон стала искать уязвимости в системе биткоина и как ей удалось ее раскусить.
Не так давно биткоин казался криптоанархическим Святым Граалем. Сатоши Накамото, загадочный изобретатель этой криптовалюты, чья личность до сих пор не раскрыта, заявлял, что биткоин-операции анонимны. Да и в целом даркнет казался пространством тотальной анонимности, где можно продавать наркотики и другие нелегальные товары на сотни миллионов долларов за биткоины и не быть пойманным правоохранительными органами.
В конце 2013 года произошло открытие — на самом деле нет ничего более отслеживаемого, чем биткоин, его блокчейн фактически позволяет расследователям, технологическим компаниям и силовикам идентифицировать пользователей и их операции еще более точно, чем обычная финансовая система.
Тогда мир киберпреступности перевернулся.
В течение нескольких следующих лет будет раскрыта мегакража биткоинов на полмиллиарда долларов с первой в мире криптовалютной биржи, разгромлен самый крупный в истории рынок наркотиков в даркнете, арестованы сотни педофилов по всему миру, закрыт крупнейший в даркнете сайт с видео сексуального насилия над детьми. Все это привело к первой, второй и третьей по величине конфискациям денег в истории Министерства юстиции США.
Этот переворот в понимании свойств конфиденциальности криптовалюты и последовавшая игра в кошки-мышки — сага, которая разворачивается в книге «Следы в темноте: глобальная охота на криминальных лордов криптовалюты».
Все началось с того, что молодая специалистка по математике Сара Мейкледжон, любящая головоломки, начала выявлять закономерности в блокчейне биткоина — на первый взгляд, хаотичном коде. Мейкледжон пришла к открытиям, которые положили начало новой эре правосудия в сфере криптоопераций.
В начале 2013 года полки кладовой без окон в здании Калифорнийского университета в Сан-Диего начали заполняться странными, как будто бы случайными предметами. Калькулятор Casio. Пара носков из шерсти альпаки. Небольшая стопка карт Magic: The Gathering. Картридж Super Mario Bros. Пластиковая маска Гая Фокса. Альбом классической рок-группы Boston на компакт-диске.
Периодически дверь открывалась, включался свет, и в комнату входила миниатюрная темноволосая аспирантка по имени Сара Мейкледжон. Она добавляла к растущим грудам артефактов все новые предметы. Затем Мейкледжон покидала кладовую, шла по коридору, затем вверх по лестнице и входила в кабинет, который она делила с другими аспирантами факультета компьютерных наук Калифорнийского университета в Сан-Диего. Одна стена комнаты была почти полностью стеклянной, отсюда открывался вид на залитую солнцем долину Сорренто. Но стол Мейкледжон
был повернут в другую сторону — ученая была сосредоточена на экране своего ноутбука. Она стремительно становилась одним из самых странных и гиперактивных пользователей криптовалют.
Мейкледжон лично приобрела каждый из десятков предметов своей причудливой коллекции. Она покупала их почти случайным образом у разных продавцов, которые принимали криптовалюту, вела себя буквально как фанатик криптовалюты в маниакальном эпизоде.
Аспирантка переводила деньги в десять различных сервисов биткоин-кошельков, а также конвертировала доллары в биткоины на более чем двух десятках бирж.
Она передавала вычислительные мощности своего компьютера одинадцати майнинговым «пулам». Она множество раз переводила биткоины на счета Silk Road, первого в мире даркнет-маркетплейса с наркотиками, а затем выводила их со счетов, не совершая покупок.
Всего за несколько недель Мейкледжон осуществила 344 криптовалютные транзакции. Для каждой из них она записала в электронной таблице сумму, биткоин-адрес, а затем, откопав транзакцию в биткойн-блокчейне и изучив общедоступную запись платежа, — еще и адрес контрагента.
На самом деле, сотни покупок и, казалось бы, бессмысленных перемещений денег не были признаками психотического срыва. Каждая покупка представляла собой крошечный эксперимент, завершившийся большим и первым в своем роде исследованием. Много лет создатель, разработчики и пользователи биткоина говорили о его анонимности, и Мейкледжон наконец-то подвергла это сомнению.
Эти кропотливые операции были чрезвычайно утомительны, но у Мейкледжон было достаточно времени. Пока она проводила операции и записывала результаты, ее компьютер обрабатывал огромную базу данных, хранящуюся на сервере, который они настроили с коллегами-исследователями. База данных представляла собой весь блокчейн биткоина, примерно шестнадцать миллионов транзакций, которые вообще были к тому моменту произведены в этой криптовалюте. Мейкледжон прочесывала эти транзакции, одновременно отмечая поставщиков, услуги, рынки и получателей.
К исследованию экосистемы биткоина Мейкледжон подошла как антрополог. Она задавалась вопросами о том, что люди делали с биткоинами, сколько из них копили криптовалюту и не тратили ее? В определенный момент она поняла, что транзакции с биткоинами очень часто можно отследить, хотя проводившие их люди были уверены, что действуют анонимно.
В детстве Мейкледжон любила головоломки — и чем сложнее, тем лучше. Когда маленькой и крайне любознательной девочке нужно было отвлечься, мать вручала ей книгу с головоломками, а уже к четырнадцати годам она сама регулярно разгадывала кроссворд New York Times.
Как-то раз ее семья проводила отпуск в Лондоне. Они посетили Британский музей, и внимание Мейкледжон привлекли древние языки, которые можно расшифровать, если подобрать ключ. Вскоре она прочитала о линейном письме А и Б — системах письменности, использовавшихся минойской цивилизацией на Крите до примерно 1500 года до н.э.
Линейное письмо Б было расшифровано только в 1950-х годах, во многом благодаря Элис Кобер, которая в течение двадцати лет работала над памятниками этого языка бронзового века, делая записи на 180 тысячах учетных карточках.
Мейкледжон так увлеклась этой темой, что убедила учителя в своей школе организовать дополнительные занятия по линейному письму (на них ходили только она и одна ее подруга). Больше всего ее привлекало то, что никто так и не смог расшифровать линейное письмо А. Лучшими головоломками для нее были те, о которых вообще не было известно, существует ли для них решение.
В 2004 году Мейкледжон поступила в Колледж Брауна и открыла для себя криптографию. Этот раздел информатики во многом похож на отгадывание головоломок. В конце концов, что такое система шифрования, как не еще один секретный язык, требующий разгадки?
Изучая науку о шифрах, Мейкледжон осознала важность конфиденциальных способов коммуникации. Однако на самом деле куда больше, чем идеологическое стремление к свободе от слежки, ее мотивировало удовольствие от составления и расшифровки кодов.
Мейкледжон стала ассистенткой у блестящей ученой Анны Лысянской, ученицы легендарного Рона Ривеста. Между прочим, именно его фамилию обозначает буква R в названии алгоритма RSA, который лег в основу большинства современных методов шифрования. Эти методы используются повсюду, от веб-браузеров до электронной почты и протоколов обмена мгновенными сообщениями.
В то время Лысянская работала над криптовалютой под названием eCash. Эта валюта была разработана в 1990-х годах криптографом Дэвидом Чаумом. Работа Чаума сделала возможными такие технологии, как VPN и Tor.
После окончания бакалавриата Мейкледжон поступила в магистратуру и стала под руководством Лысянской исследовать методы, позволяющие сделать из eCash эффективную анонимную платежную систему. У eCash было уникальное преимущество: ее анонимность была полной.
Мейкледжон впервые услышала о биткоине в 2011 году, тогда она начала работать над диссертацией в Калифорнийском университете и летом работала на позиции исследователя в Microsoft. О новой цифровой платежной системе ей рассказал друг из Вашингтонского университета. К тому времени Мейкледжон была занята другими исследованиями — например, системами, которые позволяли бы людям платить за проезд, не раскрывая своих личных перемещений.
В конце 2012 года молодой ученый по имени Кирилл Левченко предложил Мейкледжон изучать биткоин, становившийся тогда все более популярным. Система биткоина была построена так, что любому злоумышленнику, который захотел бы записать в блокчейн ложную операцию, пришлось бы использовать совокупность компьютеров с большей вычислительной мощностью, чем все остальные задействованные в системе компьютеры. Это позволило биткоину стать надежной валютой без того, чтобы делегировать его регулировку какому-либо специальному центральному органу.
Мейкледжон была заинтригована. Когда она начала изучать публикации Сатоши Накамото, посвященные биткоину, ей сразу стало ясно, что его решения были полной противоположностью системы eCash, которую она так хорошо знала. Мошенничество в этой системе можно было обнаружить не с помощью анализа постфактум, проводимого руководством банка, а с помощью мгновенной проверки блокчейна. В биткоине каждый был свидетелем каждого платежа. Люди, стоящие за этими платежами, были скрыты за псевдонимами, длинными строками длиной от 26 до 35 символов. Но Мейкледжон это показалось фиговым листком. В отличие от eCash, чьи средства защиты конфиденциальности не давали никаких зацепок, биткоин предлагал огромный массив данных для анализа.
Мейкледжон начала копаться в блокчейне в конце 2012 года и сперва поставила перед собой очень простой вопрос: сколько людей использовали биткойны? Определить это число было гораздо труднее, чем могло показаться на первый взгляд. Она загрузила всю цепочку блоков на университетский сервер и составила из нее базу данных, гигантскую электронную таблицу. Так она увидела, что существует более 12 миллионов различных биткоин-адресов и почти 16 миллионов транзакций.
Она обнаружила почти миллион биткоинов, добытых Сатоши на заре существования криптовалюты, до того, как ее начали использовать другие, а также самую первую транзакцию, когда Сатоши отправил десять монет в качестве теста. Она также нашла первый платеж с реальной стоимостью: программист Ласло Ханьеч продал другу две пиццы за 10 тысяч биткоинов в мае 2010 года.
Мейкледжон могла видеть транзакции между адресами. Но пользователь может иметь столько адресов, сколько пожелает. Специальные программы автоматически генерируют новые адреса каждый раз, когда пользователь получает платеж в биткоинах.
Несмотря на эту трудность, Мейкледжон была уверена, что поиск закономерностей в транзакциях позволит ей связать между собой хотя бы некоторые из них. В своей первой публикации Сатоши Накамото кратко упомянул технику, которую можно использовать для объединения некоторых адресов в отдельные идентификаторы. Часто одна биткоин-транзакция имеет несколько адресов-отправителей. Если кто-то хочет заплатить другу 10 биткоинов, но хранит их по пять штук на двух разных адресах, программное обеспечение кошелька отправителя проводит одну транзакцию, в которой два адреса по пять монет указаны в качестве входных данных, а адрес, получающий 10 монет, в качестве выходных. Чтобы сделать платеж возможным, плательщику необходимо иметь секретные ключи от обоих своих адресов. Это означает, что любой, кто просматривает транзакцию в блокчейне, может идентифицировать оба входных адреса как принадлежащие одному и тому же лицу. Сатоши признавал, что риск заключается в том, что если будет раскрыт владелец ключа, то можно выявить другие транзакции, принадлежащие тому же владельцу.
В качестве первого шага Мейкледжон просто попробовала технику, описанную Сатоши. Она просканировала свою базу данных на предмет транзакций с несколькими входами, связывая все эти входные данные, где одна транзакция может отправляться с одного, двух или даже со ста адресов. В результате предполагаемое число пользователей биткоина сократилось с 12 миллионов до 5 миллионов.
А потом Мейкледжон переключила свой мозг в режим решения головоломок. Подобно археологу, разглядывающему иероглифы в поисках опознаваемых слов или фраз, которые могли бы помочь расшифровать отрывок текста, она начала искать в транзакциях биткоина подсказки, которые могли бы раскрыть какую-нибудь информацию.
Она возилась с биткоин-кошельками, совершала тестовые платежи себе и своим коллегам; со временем она начала понимать особенности криптовалюты. Многие биткоин-кошельки позволяли покупателям выводить биткоины с одного адреса только однажды, сразу всю сумму. Каждый адрес был похож на копилку, которую нужно разбить, чтобы потратить заначку. Если потратить меньше имеющейся суммы, ее остатки придется перенести в новую.
То есть, когда вы платите кому-то 6 биткоинов с адреса в 10 монет, ваша сдача, 4 биткоина, хранится уже по новому адресу, который создает для вас программное обеспечение вашего кошелька. Если посмотреть на эту транзакцию со стороны наблюдателя, проблема заключается в том, что оба адреса — первоначальный адрес и адрес со сдачей — указаны как выходные данные, без метки, которая могла бы отличить их друг от друга.
Как выяснила Мейкледжон, иногда заметить разницу между ними было легко. Если один адрес использовался раньше, а другой нет, то этот второй, совершенно новый адрес мог быть только адресом для сдачи. Это означало, что эти две копилки (адрес отправителя и адрес сдачи) должны принадлежать одному и тому же человеку.
В результате Мейкледжон смогла связывать воедино целые цепочки транзакций: одна сумма перемещалась с одного адреса на другой. Сдача перемещалась на новый адрес при каждом платеже, но все эти адреса представляли собой транзакции одного отправителя.
Так у Мейкледжон появились методы, позволяющие связать несколько биткоин-адресов с одним человеком или организацией. То, что первоначально выглядело как разрозненные адреса, теперь можно было объединить в кластеры, охватывающие сотни и даже тысячи адресов.
В первые недели 2013 года Мейкледжон заказывала кофе, кексы, кружки, бейсбольные кепки, серебряные монеты, носки и другие случайные предметы у онлайн-продавцов, принимающих биткоины, играла на биткоины онлайн-казино, а также переводила их на счета и со счетов практически на всех существующих биткоин-биржах.
Сотни адресов, которые Мейкледжон идентифицировала и отметила вручную (344 транзакции), представляли собой ничтожную часть общего биткоин-ландшафта. Тогда она объединила свою маркировку адресов с методами кластеризации, и многие из них теперь идентифицировали не просто один адрес, а огромный кластер, принадлежащий одному и тому же владельцу. С помощью всего лишь нескольких сотен тегов она идентифицировала более миллиона адресов, которые когда-то были анонимными.
Имея всего лишь тридцать адресов, которые она определила, перемещая монеты на площадке Mt.Gox и обратно, она смогла связать более 500 тысяч адресов. Это не значит, что Мейкледжон могла идентифицировать реальных пользователей по имени, но это прямо противоречило заявлениям о том, что система биткоина не позволяет увидеть, когда пользователи переводят криптовалюту на свои учетные записи.
Мейкледжон пошла еще дальше: она начала искать конкретные транзакции, которые могла отследить, особенно криминальные.
Когда она просматривала форумы по криптовалюте в поисках интересных адресов, заслуживающих внимания, она заметила загадочную гору денег: в течение 2012 года на одном адресе накопилось 613 326 биткойнов — 5% всех монет в обращении. (В то время это около 7,5 миллионов долларов — цифра, конечно, далекая от миллиардов, которые она могла бы составлять сегодня, но все же немалая.)
Мейкледжон не могла сказать, кому принадлежит этот клад, но благодаря своим методам кластеризации она смогла следить за этой гигантской суммой криптовалюты. Исследовательница увидела, что в конце 2012 года эта куча денег была разбита на части. Она могла отслеживать суммы в сотни тысяч биткоинов по мере их разделения, отличая сумму, которая оставалась под контролем первоначального владельца, от меньших сумм, которые снимались при платежах. В конце концов некоторые из этих цепочек выходили на биржи, где они, похоже, обналичивались в обычной валюте. Для исследователя это был тупик, но любой полицейский мог бы заставить эти биржи передать ему информацию о счетах, стоящих за этими транзакциями, и таким образом раскрыть владельца тайника. В начале 2013 года масштабные кражи криптовалют превратились в растущую эпидемию. В отличие от кредитных карт или других платежных систем, здесь не было контролера, который мог бы приостановить движение денег или вернуть перевод. На экране Мейкледжон было множество зацепок, каждая из которых просто ждала, когда за них возьмется настоящий следователь по уголовным делам.