Ein Forscher des großen EU-Projekts Titanium erzählt darüber, wie er und seine Kollegen die Transaktionen von verschiedenen Kryptowährungen analysieren.
Man könnte sagen, Titanium ist der Krypto-Forschungsarm der europäischen Polizei. In dem von der EU unterstützten Forschungsprojekt forschen Computerwissenschaftler, Juristen, Datenschützer und Ökonomen, die fragen, wie das Polizeiwesen sinnvoll mit Kryptowährungen umgehen kann.
Das Projekt wird, so die Webseite, „neue Technologien und Lösungen erforschen, entwickeln und prüfen, die den Strafverfolgern helfen, kriminelle oder terroristische Aktivitäten verfolgen, die virtuelle Währungen oder Unterground-Märkte im Darknet verwenden.“ Das Ergebnis wird „ein Set von Services und forensischen Werkzeugen“ sein, das der Polizei und anderen Ermittlern hilft, Kryptowährungen zu verstehen und Transaktionen zu verfolgen und in weiterer Folge über Börsen oder Wallet-Provider zu deanonymisieren. Gleichzeitig erörtern Datenschützer und Juristen, wie man forensischer Verfahren unter Einhaltung rechtlicher und ethischer Rahmenbedingungen richtig einsetzen kann.
Titanium ist ein direkter Nachfolger des Projekts BITCRIME. Während sich dieses aber fast ausschließlich auf Bitcoin konzentriert hat, widmet sich Titanium einer Vielzahl an Kryptowährungen. Einer der Wissenschaftler des Projekts, Bernhard Haslhofer, ein promovierter Computerexperte, gibt im Interview eine Innensicht auf Titanium.
Erpresser-Software
Ein gutes Beispiel für das, was die Forscher machen, ist das Paper zu Ransomware-Angriffen, an dem Haslhofer mitgeschrieben hat. Ransomware ist, falls ihr es nicht wisst, eine Malware, die sich auf eure Computer schleicht, eure Daten verschlüsselt, und dann Bitcoins verlangt, um sie wieder zu entschlüsseln. Es ist eine Erpressersoftware. Neben Privatpersonen hat sie in den letzten Jahren auch schon Großunternehmen wie die Deutsche Bahn oder öffentliche Einrichtungen wie Krankenhäuser befallen.
Haslhofer und seine Kollegen haben versucht, herauszufinden, wie groß das Ausmaß der Ransomware-Epidemien wirklich ist. Die Frage ist nicht leicht zu beantworten. Man weiß ja nur von Vorfällen, wenn das Opfer sie meldet; die Dunkelziffer ist kaum abzuschätzen. Daher haben Haslhofer und seine Kollegen am anderen Ende angesetzt: Sie haben die finanziellen Spuren der Angreifer auf der Blockchain verfolgt.
Dazu haben sie 35 bekannte Ransomware-Angriffswellen untersucht und Adressen gesammelt, auf die die Opfer eingezahlt haben. Diese Adressen waren teilweise, durch Screenshots, Presseartikel und mehr, öffentlich, sagen aber an sich noch nicht viel aus. Denn jeder kann beliebig viele Adressen bilden; diejenigen, die bekannt sind, sind nur die Spitze des Eisberges. Allerdings sind sie ein guter Einstieg in das „Wallet-Clustering“.
Bitcoin deanonymisieren: Überschaubar komplex, aber massig Daten
Das „Wallet-Clustering“ ist die älteste und bekannteste Methode, um Bitcoin-Transaktionen zu deanonymisieren. Satoshi hat sie sogar schon im Whitepaper angerissen.
Man muss ein wenig verstehen, wie Bitcoin-Transaktionen funktionieren, aber ansonsten kein Genie sein: Jede Transaktion nimmt Inputs, und macht daraus Outputs. Man kann sich das wie Münzen vorstellen. Eine Münze liegt auf der einen Adresse, die andere auf der anderen, und wenn man zusammenführt – ist es klar, dass beide Adressen denselben Besitzer haben. Logisch.
Schauen wir uns eine x-beliebige Transaktion an:
Wie ihr seht hat die Transaktion fünf Inputs von fünf Adressen. Es ist also offensichtlich, dass diese fünf Adressen zur selben Wallet gehören. Sollte das vorher unbekannt gewesen sein, hat die Transaktion die Zugehörigkeit der Adressen zu einer Wallet enthüllt.
Diese Methode ist nicht die einzige, aber weiterhin eine der wichtigsten Heuristiken, um Blockchain-Transaktionen zu deanonymisieren. „Die große Herausforderung ist es, solche konzeptionell relativ simplen Verfahren zu implementieren,“ erklärt Haslhofer. „Bitcoin hat mittlerweile mehrere hundert Millionen Transaktionen. Jede davon ist ein Datenpunkt, der mit anderen verbunden wird, was einen Graphen mit mehreren Milliarden Kanten gibt.“ Die Datenmengen wachsen jeden Tag, und mit ihr der Rechenaufwand, Wallets zu clustern.
Die Identifizierung von Wallets ist Teil einer Open Source Cryptocurrency Analyse Plattform GraphSense, die Haslhofer und seine Kollegen entwickeln. Diese soll, meint Haslhofer, als Werkzeug dienen um „die Strukturen und Dynamiken in Cryptocurrency Ökosystemen“ zu erkennen. Er möchte es nicht nur auf den kriminologischen Aspekt begrenzen, will aber auch nicht verhehlen, dass es sich um ein Werkzeug der Polizei handelt.
An sich ist die Software Open Source. Jeder könnte es benutzen – wenn er es denn könnte: „Das System, das dahintersteckt, ist sehr mächtig. Das Wallet-Clustern allein abstrahiert aus 300 bis 400 Millionen Transaktionen Netzwerke aus Knoten und Kanten. Ohne eine Cluster-Infrastruktur ist das nicht machbar.“ Man muss also mehrere Computer zusammenschließen, um die Algorithmen zu benutzen.
Aber auch mit dieser Ausrüstung stoßen die Forscher an Grenzen. Sie benutzen lediglich öffentliche Daten, also nichts, was in den Archiven anderer Behörden verschlossen ist. „Wir können algorithmisch das Ökosystem clustern, und in vielen Fällen wissen wir, welche Börse hinter welchem Cluster steckt. Manchmal können wir aber auch nicht herausfinden, welcher Akteur hinter einem Cluster steht.“ Auch Mixer können, je nach Qualität, zu einem großen Problem werden.
Magere Erträge
Bei der Ransomware-Studie hat sich Haslhofer nicht weiter um Mixer gekümmert. „Wir haben immer nur zwei aufeinanderfolgende Transaktionsschritte analysiert. Das war ausreichend, um unsere Frage zu beantworten. Es ging uns ja nicht darum, die Urheber der Ransomware zu enttarnen, sondern darum, das ökonomische Ausmaß der Ransomware-Angriffe zu erkennen.“
Hierfür hat das Wallet-Clustering vollkommen ausgereicht. Die wichtigste Erkenntnis der Forscher dürfte für den einen oder anderen überraschend sein: „Die Märkte sind rein monetär bewertet nicht sehr groß.“ Der Gewinn von Ransomware, erklärt Haslhofer, ist klein. Viel kleiner als der Schaden, den die Software anrichtet. „Ganz wenige Attacken erwirtschaften einigermaßen viel – einige Millionen US-Dollar – aber die meisten nehmen relativ wenig ein, um die tausend Dollar. Das steht in keiner Proportion zum Risiko, das die Angreifer eingehen.“
Ransomware, so das Ergebnis von Haslhofers Studie, lohnt sich in den meisten Fällen überhaupt nicht. Einige wenige verdienen gut, aber die meisten gehen ein viel zu hohes Risiko für viel zu geringe Erträge ein.
Privacycoins
Die Bitcoin-Zahlungsströme können die Forscher recht gut verfolgen. Aber wie ist es bei anderen Coins? Eine der Kernaufgaben der Forscher am Titanium-Projekt ist es, Transaktionen blockchainübergreifend zu deanonymisieren. Daher wenden sie sich auch anderen Kryptowährungen zu.
Oft ändert sich dabei nicht viel. „An sich funktionieren die Verfahren, die wir entwickelt haben, bei allen Bitcoin-Derivaten,“ erklärt Haslhofer. Etwa bei Litecoin und Bitcoin Cash. Was aber, wenn ein anderer Coins neue Technologien verwendet?
Bei Dash greifen die Deanonymisierungs-Verfahren vermutlich weiterhin, trotz des DarkSend, das versucht, Transaktionen durch CoinJoin zu mixen. Auf Bitcoin konnten die Forscher CoinJoin durch Heuristiken entwirren. Schwieriger ist die Lage bei Zcash, einem anderen Bitcoin-Derivat, das durch Zero-Knowledge-Proofs Transaktionen selbst verschlüsseln kann. Ein Kollege von Haslhofer hat es im Frühjahr erforscht: „Die normalen Transaktionen können wir gut verfolgen, aber wenn sie den Zcash-Shield benutzen, sind sie quasi anonym. Aber das ist nur ein extrem kleiner Teil der Transaktionen.“ Solange dies so bleibt, ist es leicht, bei Zcash die mutmaßlich kriminellen Transaktionen von den Anständigen zu trennen.
Eine gänzlich andere technische Basis als Bitcoin verwendet Ethereum. Da es hier kein UTXO-Set gibt, sondern Accounts und Smart Contracts, funktionieren die bekannten Verfahren nicht. Allerdings, meint Haslhofer, sollte es dennoch möglich sein, Transaktionen zu deanonymisieren, es ist lediglich „aus Engineering-Sicht komplizierter umzusetzen.“
Ein wesentlich größeres Hindernis liegt in Monero, dem Coin, der heute als der Gold-Standard in Sachen Blockchain-Privacy gilt. „Da werden unsere Verfahren nicht anwendbar sein,“ gibt Haslhofer zu. Aber auch bei Bitcoin sieht der Forscher neue Hürden: „Mit Lightning passieren die Transaktionen ja nicht mehr auf der Blockchain. Aus Privacy-Sicht ist das für den Benutzer natürlich ein Riesenvorteil. Für die Strafverfolgung könnte dies jedoch eine riesengroße Herausforderung darstellen, wobei noch nicht sicher ist, ob sich Lighning durchsetzen wird.“
Monero und Lightning werden nicht die einzigen Herausforderungen für die Strafverfolgung bleiben. Das Ökosystem der Kryptowährungen hat sich in den letzten Jahren mit einer irrsinnigen Geschwindigkeit und Vielfalt entwickelt. Davon bleibt auch die Wissenschaft nicht unberührt.
Die Aufgabe der Wissenschaft
Überhaupt scheint es nicht so, als würde Haslhofer die Anonymität der Nutzer als ein Problem zu betrachten, das zu beseitigen ist. Im Gegenteil. Wenn der Wissenschaftler über die Transparenz der verschiedenen Coins redet, nennt er Eigenschaften, die es erlauben, Transaktionen zu deanonymisieren, „Privacy-Probleme“. Coins, die diese nicht mehr haben, haben diese Probleme „gelöst.“
Ein Problem, meint er, seien solche Schwächen natürlich nur für die Enduser. Für die Strafverfolger, die dadurch Kriminelle verfolgen, ist es natürlich ein Feature. Die Wahrheit, vermutet er, liegt irgendwo in der Mitte. „Die Polizei muss ermitteln können, aber Privatleute sollten auch ihre Privatsphäre haben. Aber es ist nicht meine Aufgabe als Wissenschaftler, die richtige Balance zu finden.“
Seine Aufgabe ist es vielmehr, Fakten zu ermitteln. Wissen zu schaffen, dass allen zur Verfügung steht – deswegen wird GraphSense auch als Open Source Software entwickelt. Seine Arbeit könnte – wie viele andere technische Entwicklungen – Kriminellen helfen, Geld zu waschen, aber auf der anderen Seite auch von Regierungen oder Konzernen missbraucht werden, um finanzielle Massenüberwachung zu ermöglichen. „Als Wissenschaftler steht man dann manchmal vor einem Dilemma. Am Ende ist es trotzdem unsere Aufgabe, die Fakten auf den Tisch zu legen.
Es ist schwer vorstellbar, dass Haslhofer ein Verbot befördern möchte. Er findet Kryptowährungen interessant. „Wenn man keinen Enthusiasmus an der Thematik mitbringt, ist man in der Forschung fehl am Platz.“ Was ihn interessiert, ist die Frage, „wie sich die digitale Transformation auf unser Finanz- und Währungssystem auswirken kann. Kryptowährungen sind ein erster, oder zweiter, sehr interessanter Aspekt dieser Frage. Sie sind eine sehr spannende Entwicklung dazu.“