Actualment estem duent a terme un estudi en profunditat sobre l’empremta digital de moneders en Bitcoin, amb l’objectiu d’entendre com els diferents moneders, tant de programari com de maquinari, donen forma a les transaccions i quins riscos de privadesa representen aquestes “empremtes digitals” per als usuaris.
L’objectiu
Quan un usuari realitza transaccions amb Bitcoin, el programari del seu moneder decideix sobre detalls crítics: ordre d’entrada i sortida, tipus d’adreça, estratègies de comissions i més. Aquestes opcions incorporen patrons subtils, o empremtes dactilars, a les transaccions, que els adversaris poden aprofitar per identificar moneders i vincular transaccions entre si, cosa que compromet el pseudònim de Bitcoin.
L’objectiu del nostre estudi és disseccionar aquestes empremtes dactilars i entendre com s’originen, separant la influència de les carteres de programari (que creen transaccions) i les carteres de maquinari (que les signen).
Per què és important?
Tot i que sovint es considera que Bitcoin és privat, en realitat té un pseudònim. Cada transacció és permanentment visible a la cadena de blocs. Combinada amb les empremtes dactilars a nivell de moneder, aquesta visibilitat pot convertir-se en una eina poderosa per a la vigilància i la desanonimització.
Investigacions anteriors, com la d’Ishaana Misra, van demostrar que fins i tot les heurístiques simples ja poden identificar aproximadament el 50% dels clients de cartera en blocs específics. El nostre treball amplia aquests esforços afegint noves heurístiques, com ara l’anàlisi de la producció de pols, la precisió de l’arrodoniment de les comissions i la detecció de scripts personalitzats, i, per primera vegada, analitzant sistemàticament les signatures de les carteres de maquinari.
El nostre enfoc
Per garantir experiments robustos i controlats, vam desenvolupar Labnet, una xarxa Bitcoin aïllada que replica el comportament de la xarxa principal però permet la generació il·limitada de transaccions sense arriscar fons reals ni afectar la privadesa de l’usuari. Si voleu aprendre a construir el vostre propi Labnet a casa, hem compartit una guia detallada a la nostra publicació “Creant la vostra pròpia xarxa principal“.
Vam provar deu moneders de maquinari populars (com Trezor, Ledger, Coldcard i altres), i vam descobrir que influeixen principalment en les signatures en lloc de l’estructura més àmplia de les transaccions. Tanmateix, els moneders de programari van resultar ser la principal font de patrons distintius. Vam estudiar els principals moneders, com ara Electrum, Sparrow, Blockstream Green i Bitcoin Core, identificant més de 30 trets diferents que poden actuar com a empremtes dactilars.
Un avenç important en el nostre treball recent ha estat l’automatització de les interfícies d’usuari de les carteres mitjançant Sikuli, una eina que automatitza les interaccions de la pantalla mitjançant el reconeixement d’imatges. Això ens permet crear sistemàticament milers de transaccions amb Sparrow, Electrum i Blockstream Green, cosa que se suma a la generació massiva de transaccions que ja havíem implementat mitjançant RPC per a Bitcoin Core.
Aquest conjunt de dades massiu de transaccions etiquetades (cadascuna etiquetada amb el seu moneder d’origen real) s’utilitzarà per entrenar models d’aprenentatge automàtic per a l’empremta digital automatitzada del moneder. L’objectiu és desenvolupar un model capaç d’identificar el moneder que ha generat una transacció determinada únicament a partir de dades de la cadena, quantificant encara més els riscos de privadesa als quals s’enfronten els usuaris avui dia.
També vam crear un marc d’empremtes digitals de Python estès, integrant aquestes noves heurístiques i donant suport a una àmplia gamma de carteres. En les proves controlades, la nostra heurística actualitzada va augmentar la precisió d’identificació del 18% (amb el codi original) al 45%.
Resultats i implicacions en privacitat
Les nostres troballes mostren que moltes carteres Bitcoin modernes filtren patrons consistents i deterministes que es poden explotar per desanonimitzar els usuaris. Fins i tot opcions aparentment menors, com ara com s’arrodoneixen les comissions o com es gestionen els canvis de sortida, poden revelar la cartera utilitzada.
Això planteja importants problemes de privadesa. Les empreses d’anàlisi de cadenes o els actors maliciosos poden potencialment agrupar transaccions, crear perfils d’usuaris o fins i tot vincular l’activitat del moneder a les identitats.
Per mitigar aquests riscos, recomanem que els desenvolupadors de moneders adoptin valors per defecte que preservin més la privadesa: aleatoritzar les posicions de sortida dels canvis, donar suport a scripts flexibles i garantir que estiguin habilitades funcions com ara la funció de substitució per tarifa i el control anti-comissions. Els usuaris haurien d’evitar la reutilització d’adreces, preferir moneders amb un control fort de les monedes i considerar la possibilitat de diversificar les moneders per reduir la correlació de comportament.
Interessat?
Si teniu curiositat sobre aquest tema, voleu obtenir més informació tècnica o us interessa col·laborar-hi, especialment en l’àmbit de l’empremta digital de moneders basada en l’aprenentatge automàtic, no dubteu a contactar amb david.corral.urbano@uab.cat.