Twórca bitcoina (BTC) typu open source Timo P – znany również pod pseudonimem 0xB10C – opublikował niedawno post na blogu opisujący działalność niezidentyfikowanego podmiotu o nazwie LinkingLion.

Podmiot od 2018 roku łączy się z węzłami bitcoin i nasłuchuje komunikatów o transakcjach, potencjalnie umożliwiając powiązanie transakcji z adresami IP. Był również aktywny w sieci Monero przy użyciu tych samych zakresów adresów IP.

Według 0xB10C podejrzewa się, że LinkingLion jest firmą zajmującą się analizą blockchain, gromadzącą dane w celu ulepszenia swoich produktów. Podmiot wykorzystuje adresy IP z trzech zakresów IPv4 /24 i jednego zakresu IPv6 /32, wszystkie ogłaszane przez firmę kolokującą i hostingową LionLink Networks.

Straszny podsłuchiwacz bitcoinów

Zachowanie LinkingLion polega na ustanawianiu połączeń TCP z węzłami bitcoin, wysyłaniu komunikatów o wersji za pomocą nieznanych programów użytkownika i używaniu 0 jako wartości jednorazowej dla wszystkich połączeń. Zaobserwowano, że jednostka ma wysokość bloku odbiegającą od najlepszej wysokości sieci, przy czym dwie różne konfiguracje zostały zidentyfikowane jako opóźnione o około 700 i 2100 bloków.

Szacuje się, że jego wysokość zrównała się z wysokością sieci na koniec IV kwartału 2022 r. lub na początek I kwartału 2023 r. dla połączeń opóźnionych o około 700 bloków oraz w III kwartale 2022 r. dla połączeń opóźnionych o 2100 bloków.

Zaobserwowano, że LinkingLion otwiera krótkotrwałe połączenia i zamyka je bez wysyłania wiadomości Verack, co wskazuje, że może sprawdzać, czy węzły są osiągalne pod podanymi adresami. Podmiot uczy się metadanych, takich jak wersja i wysokość łańcucha bloków, z węzłów.

Odpowiada na wiadomości po uścisku dłoni, ale nigdy ich nie inicjuje i nie żąda blokad ani transakcji.

Może Cię również zainteresować: Logo Bitcoin wyświetlane na budynku EBC w Niemczech

Co więcej, LinkingLion zalewa węzły sieci Bitcoin setkami połączeń na minutę, co prowadzi do usuwania istniejących połączeń i zwalniania miejsca na nowe. Zaobserwowano również, że podmiot otwierał połączenia z węzłami sieci Monero.

Charakter i cel działalności LinkingLion pozostają niejasne, ale podmiot może korzystać z usług VPN, aby ukryć swoją prawdziwą lokalizację i tożsamość.

Krótkoterminowe środki zapobiegawcze obejmują ręczne zablokowanie zakresów adresów IP używanych przez podmiot w zakresie wykonywania połączeń przychodzących do węzłów. W tym celu opublikowano listę zakazów; jednakże ta lista banów jest opcjonalna i scentralizowana.

Odkrycia 0xB10C podkreślają potrzebę zmian w logice początkowej transmisji transakcji i logiki retransmisji transakcji w sieci Bitcoin i w Bitcoin Core. Możliwe rozwiązania obejmują wdrożenie Dandelion lub rozgłaszanie transakcji w sieciach zapewniających prywatność, takich jak Tor.

Chociaż zakaz lub zgłaszanie zachowania podmiotu może służyć jako rozwiązanie krótkoterminowe, konieczne są głębsze zmiany w logice P2P w bitcoinie, aby rozwiązać główny problem.

Dandelion to propozycja poprawy prywatności, zaprojektowana w celu poprawy poufności transakcji w sieci Bitcoin.

Podstawowa koncepcja obejmuje dwufazowy proces propagacji: podczas początkowej „fazy macierzystej” transakcje są przekazywane szeregowo z jednego węzła do drugiego, po czym następuje „faza puchu”, w której transakcje są transmitowane z jednego węzła do wszystkich jego węzłów równorzędnych.

Ten unikalny wzorzec propagacji skutecznie ukrywa węzeł początkowy transakcji, co utrudnia powiązanie transakcji z określonymi adresami IP.

Aby jeszcze bardziej zwiększyć prywatność, węzły uczestniczące w fazie macierzystej mogą wykorzystywać metody szyfrowania, takie jak transport Tor lub v2 P2P, aby zabezpieczyć swój ruch protokołu Bitcoin. Podsumowując, Dandelion oferuje solidne rozwiązanie zapewniające prywatność transakcji i ograniczające ryzyko ujawnienia tożsamości użytkowników w sieci Bitcoin.

Przeczytaj więcej: Głębokie zagłębienie się w infrastrukturę BTC pokazuje, że większość węzłów Bitcoin działa przez Tor