Ransomware erwirtschaftet mickrige Erträge, und CoinJoins können erkannt werden
Blume aus Titanium. Bild von Kirt Edblom via flickr.com. Lizenz: Creative Commons
Ein Forscher des großen EU-Projekts Titanium erzählt darüber, wie er und seine Kollegen die Transaktionen von verschiedenen Kryptowährungen analysieren.
Man könnte sagen, Titanium ist der Krypto-Forschungsarm der europäischen Polizei. In dem von der EU unterstützten Forschungsprojekt forschen Computerwissenschaftler, Juristen, Datenschützer und Ökonomen, die fragen, wie das Polizeiwesen sinnvoll mit Kryptowährungen umgehen kann.
Das Projekt wird, so die Webseite, „neue Technologien und Lösungen erforschen, entwickeln und prüfen, die den Strafverfolgern helfen, kriminelle oder terroristische Aktivitäten verfolgen, die virtuelle Währungen oder Unterground-Märkte im Darknet verwenden.“ Das Ergebnis wird „ein Set von Services und forensischen Werkzeugen“ sein, das der Polizei und anderen Ermittlern hilft, Kryptowährungen zu verstehen und Transaktionen zu verfolgen und in weiterer Folge über Börsen oder Wallet-Provider zu deanonymisieren. Gleichzeitig erörtern Datenschützer und Juristen, wie man forensischer Verfahren unter Einhaltung rechtlicher und ethischer Rahmenbedingungen richtig einsetzen kann.
Titanium ist ein direkter Nachfolger des Projekts BITCRIME. Während sich dieses aber fast ausschließlich auf Bitcoin konzentriert hat, widmet sich Titanium einer Vielzahl an Kryptowährungen. Einer der Wissenschaftler des Projekts, Bernhard Haslhofer, ein promovierter Computerexperte, gibt im Interview eine Innensicht auf Titanium.
Erpresser-Software
Ein gutes Beispiel für das, was die Forscher machen, ist das Paper zu Ransomware-Angriffen, an dem Haslhofer mitgeschrieben hat. Ransomware ist, falls ihr es nicht wisst, eine Malware, die sich auf eure Computer schleicht, eure Daten verschlüsselt, und dann Bitcoins verlangt, um sie wieder zu entschlüsseln. Es ist eine Erpressersoftware. Neben Privatpersonen hat sie in den letzten Jahren auch schon Großunternehmen wie die Deutsche Bahn oder öffentliche Einrichtungen wie Krankenhäuser befallen.
Haslhofer und seine Kollegen haben versucht, herauszufinden, wie groß das Ausmaß der Ransomware-Epidemien wirklich ist. Die Frage ist nicht leicht zu beantworten. Man weiß ja nur von Vorfällen, wenn das Opfer sie meldet; die Dunkelziffer ist kaum abzuschätzen. Daher haben Haslhofer und seine Kollegen am anderen Ende angesetzt: Sie haben die finanziellen Spuren der Angreifer auf der Blockchain verfolgt.
Dazu haben sie 35 bekannte Ransomware-Angriffswellen untersucht und Adressen gesammelt, auf die die Opfer eingezahlt haben. Diese Adressen waren teilweise, durch Screenshots, Presseartikel und mehr, öffentlich, sagen aber an sich noch nicht viel aus. Denn jeder kann beliebig viele Adressen bilden; diejenigen, die bekannt sind, sind nur die Spitze des Eisberges. Allerdings sind sie ein guter Einstieg in das „Wallet-Clustering“.
Bitcoin deanonymisieren: Überschaubar komplex, aber massig Daten
Das „Wallet-Clustering“ ist die älteste und bekannteste Methode, um Bitcoin-Transaktionen zu deanonymisieren. Satoshi hat sie sogar schon im Whitepaper angerissen.
Man muss ein wenig verstehen, wie Bitcoin-Transaktionen funktionieren, aber ansonsten kein Genie sein: Jede Transaktion nimmt Inputs, und macht daraus Outputs. Man kann sich das wie Münzen vorstellen. Eine Münze liegt auf der einen Adresse, die andere auf der anderen, und wenn man zusammenführt – ist es klar, dass beide Adressen denselben Besitzer haben. Logisch.
Schauen wir uns eine x-beliebige Transaktion an:
Wie ihr seht hat die Transaktion fünf Inputs von fünf Adressen. Es ist also offensichtlich, dass diese fünf Adressen zur selben Wallet gehören. Sollte das vorher unbekannt gewesen sein, hat die Transaktion die Zugehörigkeit der Adressen zu einer Wallet enthüllt.
Diese Methode ist nicht die einzige, aber weiterhin eine der wichtigsten Heuristiken, um Blockchain-Transaktionen zu deanonymisieren. „Die große Herausforderung ist es, solche konzeptionell relativ simplen Verfahren zu implementieren,“ erklärt Haslhofer. „Bitcoin hat mittlerweile mehrere hundert Millionen Transaktionen. Jede davon ist ein Datenpunkt, der mit anderen verbunden wird, was einen Graphen mit mehreren Milliarden Kanten gibt.“ Die Datenmengen wachsen jeden Tag, und mit ihr der Rechenaufwand, Wallets zu clustern.
Die Identifizierung von Wallets ist Teil einer Open Source Cryptocurrency Analyse Plattform GraphSense, die Haslhofer und seine Kollegen entwickeln. Diese soll, meint Haslhofer, als Werkzeug dienen um „die Strukturen und Dynamiken in Cryptocurrency Ökosystemen“ zu erkennen. Er möchte es nicht nur auf den kriminologischen Aspekt begrenzen, will aber auch nicht verhehlen, dass es sich um ein Werkzeug der Polizei handelt.
An sich ist die Software Open Source. Jeder könnte es benutzen – wenn er es denn könnte: „Das System, das dahintersteckt, ist sehr mächtig. Das Wallet-Clustern allein abstrahiert aus 300 bis 400 Millionen Transaktionen Netzwerke aus Knoten und Kanten. Ohne eine Cluster-Infrastruktur ist das nicht machbar.“ Man muss also mehrere Computer zusammenschließen, um die Algorithmen zu benutzen.
Aber auch mit dieser Ausrüstung stoßen die Forscher an Grenzen. Sie benutzen lediglich öffentliche Daten, also nichts, was in den Archiven anderer Behörden verschlossen ist. „Wir können algorithmisch das Ökosystem clustern, und in vielen Fällen wissen wir, welche Börse hinter welchem Cluster steckt. Manchmal können wir aber auch nicht herausfinden, welcher Akteur hinter einem Cluster steht.“ Auch Mixer können, je nach Qualität, zu einem großen Problem werden.
Magere Erträge
Bei der Ransomware-Studie hat sich Haslhofer nicht weiter um Mixer gekümmert. „Wir haben immer nur zwei aufeinanderfolgende Transaktionsschritte analysiert. Das war ausreichend, um unsere Frage zu beantworten. Es ging uns ja nicht darum, die Urheber der Ransomware zu enttarnen, sondern darum, das ökonomische Ausmaß der Ransomware-Angriffe zu erkennen.“
Hierfür hat das Wallet-Clustering vollkommen ausgereicht. Die wichtigste Erkenntnis der Forscher dürfte für den einen oder anderen überraschend sein: „Die Märkte sind rein monetär bewertet nicht sehr groß.“ Der Gewinn von Ransomware, erklärt Haslhofer, ist klein. Viel kleiner als der Schaden, den die Software anrichtet. „Ganz wenige Attacken erwirtschaften einigermaßen viel – einige Millionen US-Dollar – aber die meisten nehmen relativ wenig ein, um die tausend Dollar. Das steht in keiner Proportion zum Risiko, das die Angreifer eingehen.“
Ransomware, so das Ergebnis von Haslhofers Studie, lohnt sich in den meisten Fällen überhaupt nicht. Einige wenige verdienen gut, aber die meisten gehen ein viel zu hohes Risiko für viel zu geringe Erträge ein.
Privacycoins
Die Bitcoin-Zahlungsströme können die Forscher recht gut verfolgen. Aber wie ist es bei anderen Coins? Eine der Kernaufgaben der Forscher am Titanium-Projekt ist es, Transaktionen blockchainübergreifend zu deanonymisieren. Daher wenden sie sich auch anderen Kryptowährungen zu.
Oft ändert sich dabei nicht viel. „An sich funktionieren die Verfahren, die wir entwickelt haben, bei allen Bitcoin-Derivaten,“ erklärt Haslhofer. Etwa bei Litecoin und Bitcoin Cash. Was aber, wenn ein anderer Coins neue Technologien verwendet?
Bei Dash greifen die Deanonymisierungs-Verfahren vermutlich weiterhin, trotz des DarkSend, das versucht, Transaktionen durch CoinJoin zu mixen. Auf Bitcoin konnten die Forscher CoinJoin durch Heuristiken entwirren. Schwieriger ist die Lage bei Zcash, einem anderen Bitcoin-Derivat, das durch Zero-Knowledge-Proofs Transaktionen selbst verschlüsseln kann. Ein Kollege von Haslhofer hat es im Frühjahr erforscht: „Die normalen Transaktionen können wir gut verfolgen, aber wenn sie den Zcash-Shield benutzen, sind sie quasi anonym. Aber das ist nur ein extrem kleiner Teil der Transaktionen.“ Solange dies so bleibt, ist es leicht, bei Zcash die mutmaßlich kriminellen Transaktionen von den Anständigen zu trennen.
Eine gänzlich andere technische Basis als Bitcoin verwendet Ethereum. Da es hier kein UTXO-Set gibt, sondern Accounts und Smart Contracts, funktionieren die bekannten Verfahren nicht. Allerdings, meint Haslhofer, sollte es dennoch möglich sein, Transaktionen zu deanonymisieren, es ist lediglich „aus Engineering-Sicht komplizierter umzusetzen.“
Ein wesentlich größeres Hindernis liegt in Monero, dem Coin, der heute als der Gold-Standard in Sachen Blockchain-Privacy gilt. „Da werden unsere Verfahren nicht anwendbar sein,“ gibt Haslhofer zu. Aber auch bei Bitcoin sieht der Forscher neue Hürden: „Mit Lightning passieren die Transaktionen ja nicht mehr auf der Blockchain. Aus Privacy-Sicht ist das für den Benutzer natürlich ein Riesenvorteil. Für die Strafverfolgung könnte dies jedoch eine riesengroße Herausforderung darstellen, wobei noch nicht sicher ist, ob sich Lighning durchsetzen wird.“
Monero und Lightning werden nicht die einzigen Herausforderungen für die Strafverfolgung bleiben. Das Ökosystem der Kryptowährungen hat sich in den letzten Jahren mit einer irrsinnigen Geschwindigkeit und Vielfalt entwickelt. Davon bleibt auch die Wissenschaft nicht unberührt.
Die Aufgabe der Wissenschaft
Überhaupt scheint es nicht so, als würde Haslhofer die Anonymität der Nutzer als ein Problem zu betrachten, das zu beseitigen ist. Im Gegenteil. Wenn der Wissenschaftler über die Transparenz der verschiedenen Coins redet, nennt er Eigenschaften, die es erlauben, Transaktionen zu deanonymisieren, „Privacy-Probleme“. Coins, die diese nicht mehr haben, haben diese Probleme „gelöst.“
Ein Problem, meint er, seien solche Schwächen natürlich nur für die Enduser. Für die Strafverfolger, die dadurch Kriminelle verfolgen, ist es natürlich ein Feature. Die Wahrheit, vermutet er, liegt irgendwo in der Mitte. „Die Polizei muss ermitteln können, aber Privatleute sollten auch ihre Privatsphäre haben. Aber es ist nicht meine Aufgabe als Wissenschaftler, die richtige Balance zu finden.“
Seine Aufgabe ist es vielmehr, Fakten zu ermitteln. Wissen zu schaffen, dass allen zur Verfügung steht – deswegen wird GraphSense auch als Open Source Software entwickelt. Seine Arbeit könnte – wie viele andere technische Entwicklungen – Kriminellen helfen, Geld zu waschen, aber auf der anderen Seite auch von Regierungen oder Konzernen missbraucht werden, um finanzielle Massenüberwachung zu ermöglichen. „Als Wissenschaftler steht man dann manchmal vor einem Dilemma. Am Ende ist es trotzdem unsere Aufgabe, die Fakten auf den Tisch zu legen.
Es ist schwer vorstellbar, dass Haslhofer ein Verbot befördern möchte. Er findet Kryptowährungen interessant. „Wenn man keinen Enthusiasmus an der Thematik mitbringt, ist man in der Forschung fehl am Platz.“ Was ihn interessiert, ist die Frage, „wie sich die digitale Transformation auf unser Finanz- und Währungssystem auswirken kann. Kryptowährungen sind ein erster, oder zweiter, sehr interessanter Aspekt dieser Frage. Sie sind eine sehr spannende Entwicklung dazu.“
Deswegen ist Monero der digitale Counterpart zu Bargeld und ich hoffe ja auf die Vernunft der User, sich dieses nicht wegnehmen zu lassen. In Schweden z.B. kommt man mit Bargeld nicht mehr weit und macht sein Leben tatsächlich lückenlos verfolgbar, mit nur einem Datensatz: Der Kreditkartenabrechnung. Die Deutschen sind da zum Glück vernünftiger und ein Bargeldverbot wird sich hierzulande so schnell nicht durchsetzen lassen, hoffentlich übernimmt Monero in der Zwischenzeit 😉
Schade nur, dass die Behörden jetzt schon auf Monero aufmerksam geworden sind, bevor Bitcoin und damit Kryptowährungen allgemein durchreguliert sind und man bei Blockchains von der Transparenz ausgehen konnte, welche von Ermittlungsbehörden natürlich positiv bewertet wird… Allerdings halte ich ein Verbot nach wie vor für ausgeschlossen, da man „Monero“ nicht als solches fassen kann wie z.B. ein Verbot bestimmter chemischer Substanzen, die sich eindeutig nachweisen lassen. Jeder kann Monero jederzeit forken und beliebig umbenennen (siehe Aeon, Wownero, Boolberry oder die ganzen scammy Forks, die ich hier nicht nennen werde). Die zugrundeliegenden Technologien sind jahrelang erprobte kryptographische Verfahren, die man ohne Kollateralschäden auch nicht verbieten kann. Am Ende läuft es darauf hinaus, dass Ermittlungsbehörden im Verdachtsfall wieder intensiv ermitteln müssen wie auch bei anderen Straftaten der Fall und nicht alles auf dem Tablett z.B. von der Bank serviert bekommen. Eine lückenlos überwachte Gesellschaft stelle ich mir schrecklich vor und leider hat die Entwicklung der letzten Jahre gezeigt: Was machbar ist, wird auch umgesetzt, siehe Pilotprojekt der Gesichtserkennung am Berliner Südkreuz und es gibt Menschen, die da auch noch freiwillig mitmachen…
Deswegen: Privacy Coins aus der Schmuddelecke ziehen wie vor ein paar Jahren Bitcoin, dessen erster Use Case Silk Road war und hoffähig machen. Christoph hat seinen Beitrag geleistet und akzeptiert Monero für sein Bitcoin Buch 😉
Hey da passt mein Kommentar von vorhin bei einem anderen Beitrag ja prima dazu. Also neue PrivacyCoins wie Pirate Coin der auf KMD basiert und ausschließlich z-Adressen nutzt. PrivacyCoins = Online-Bartgeld
Ich kann diese Werbung für einen neuen zusammenkopierten Coin so nicht stehen lassen. Bitte macht Eure eigenen Researches und macht Euch ein Bild davon, was z.B. dieser Coin ist. Bisher imho nicht mehr als heiße Luft und keinerlei eigene Entwicklung, noch nichtmal Sapling haben sie von Zcash übernommen, sondern sind auf dem Stand von Zcash 2016 und man benötigt 4GB Ram und einige Minuten Zeit auf moderner Hardware, um eine Transaktion zu signieren.
Gerade bei Privacy Coins wäre auch eine fehlerhafte Implementierung unter Umständen fatal und bei so einem wild zusammenkopierten Projekt ist das Risiko nicht gerade gering.
Ui, die Implementierung scheint wirklich be*scheiden* zu sein…
https://pirate.kmdexplorer.io/address/RXL3YXG2ceaB6C5hfJcN4fvmLH2C34knhA
Angeblich sind doch transparente Transaktionen nicht möglich, aber die Fees werden scheinbar transparent gebündelt inklusive Absenderadresse in die Blockchain geschrieben. Wenn das mal kein Angriffsvektor ist…
Wow! Und was sagt die Standardgebühr aus die bei jedem immer die gleiche ist??
Der Schlüssel hierzu ist das Pirate immer auf einer Z Adresse bleibt, somit nie seziert werden kann.
Und was willst Du davon analysieren wenn jede Transaktion aus Nullen besteht? 😀
Sapling kommt Anfang 2019 – transparente Transaktionen sind nicht möglich korrekt.
Monero = Metadaten vorhanden für spätere Chainanalyse (auch für die nächsten 20 jahre)
Pirate = Keine Metadaten vorhanden
Ist Monero nicht auch durch einen Fork entstanden? Thema Eigenentwcklung …
Zumal Pirate als Eigenentwicklung noch dPoW dazu bekommen hat – Pirate ist eine völlig unabhängige Blockchain
Hast Du Dir die Adresse, die ich aus dem Blockexplorer gepostet habe überhaupt angesehen? Dort sind plain Text Adressen als Absender verzeichnet, was ein massives Privacy Leak ist, vor allem bei der aktuellen Nutzung bzw. nicht-Nutzung. Übrigens ist eine fixe Standardgebühr für jede Art von Transaktionen totaler Unsinn, wenn man die Transaktionsgröße nicht unter Kontrolle hat und eine random Transaktion, die ich in einem der letzten Blöcke sehe z.B. 32KB hat: https://pirate.kmdexplorer.io/tx/c4e73be81b4183e0930d5b63543f25ece3901cb3ca30c5ba858e366a619a3010
Alleine jede Coinbase Transaktion alle 60 Sekunden ist schon über 1.6KB groß, obwohl diese gar nicht Shielded ist und das bekommt selbst Zcash besser hin.
Announcements sind schnell geschrieben, Code ist schon etwas schwieriger, auch wenn er „nur“ von Zcash kopiert werden muss. Verge bekommt auch schon seit 2 Jahren Confidential Transactions LOL.
Auf Protokollebene oder im Wallet unterbunden? Die Fee-Transaktionen sind ja mysteriöserweise transparent und dann auch noch gebündelt, wie funktioniert das überhaupt von verschiedenen Adressen?
Jepp, von einem aus dem Cryptonote Whitepaper und Referenzcode abstammenden Bytecoin, welches zu 82% Premined war. Schau Dir aber die Entwicklung im Vergleich zum ursprünglichen Cryptonote Whitepaper an… RingCT, Dynamic Blocksize, Dynamic Fees, Subadressen, Bulletproofs um mal einige wenige auf Protokollebene zu nennen. Dazu die Wallets, Merchant Libraries und die jahrelange des Monero Research Labs mit seinen ganzen Papers…
Wait, kommt das nicht von Komodo? Man hat Zcash auf Komodo portiert, das ist alles, ich sehe keinerlei Eigenentwicklung.
Bitte mehr technische Details, wir können das hier gerne analysieren, aber ich werde nicht die Vorarbeit leisten weil ich alleine anhand des GitHub Repos eher davon ausgehe, dass da keinerlei Eigenentwicklung vorhanden ist und eher als Pump&Dump eingestuft werden kann.
Pirate hat dPoW vom Main Dev Jl777 integriert bekommen.
Und alle geminten Pirate landen auf einer T Adresse, von der sie aus NUR auf eine Z Adresse geschickt werden können.
„Pirate is mined into a transparent Adress, but can only go into a shielded adress from there.“
https://pirate.black/
Dort erhälst Du alle technischen Infos.
Leider nicht, nur Marketing. Du hast mir auch keine meiner konkreten Fragen beantwortet, z.B. ob das Wallet-seitig oder auf Protokollebene realisiert ist. Websites sind flexibel, Verge wäre demnach auch ein perfekter (sic!) Coin…
Dann steckt hinter Pirate (ARRR) wohl nichts dahinter wenn Du nur Marketing gefunden hast… 😉
Ansonsten kommste einfach direkt in den KMD Discord rein , da erhälst Du alle antworten direkt von den Dev‘s von Pirate.
Kläre uns doch gerne auf, wenn da was dahinterstecken sollte, zumindest habe ich einige konkrete Fragen gestellt. Ich habe leider nicht die Zeit, in 200 Discord Channels aktiv zu sein, tut mir Leid.
Tut mir leid, bin nicht auf Aufklärungsmission unterwegs – Wir legen ab und steuern demnächst den nächst größeren Hafen (Crex24) an. Mach´s gut
Fair enough und viel Erfolg beim Pump&Dump, welchen ein Exchange Listing über ein Whitepaper und eine Diskussion um die Technologie allgemein voraussetzt. Machte ein Onecoin, Bitconnect, Bytecoin oder Verge nicht anders, also schon gut erprobt.
Verschont bitte die halbwegs seriöse Welt hier von Eurem „Marketing“ und holt Euch die Dummen woanders ab.
Wie geil das man Kommentare hier nicht löschen kann, dein Kommentar wird mir in naher Zukunft mal ein fettes Grinsen ins Gesicht zaubern 😀
Jo. Bestimmt. Vor allem bei den ganzen Verarschten, die nach diesem Shitcoin suchen werden.
Vor allem stehe ich zu meinen Kommentaren hier weit bevor es Komodo oder Pirate (sic!) gab und ich wage zu vermuten, dass zumindest letzteres meine Kommentardauer nicht überleben wird.
Und scheinbar besteht keine Substanz und Diskussionsbedarf hinter yet another „privacy“ shitcoin, sonst hätte man das hier nach meiner Anregung machen können. Wie gesagt, ich stehe im Vergleich zu Dir und anderen mit meinem Namen zu meinen Aussagen, auch Jahre danach.
„…Es ist also offensichtlich, dass diese fünf Adressen zur selben Wallet gehören…“
nö, ist es nicht? Vielleicht ist es für die unter Erfolgsdruck stehenden Wissenschaftler notwendig, das so darzustellen, aber in der Realität ist das eher eine Annahme. Man könnte ja z.B. die Transaktionen manuell zusammen, und nutzt dazu Outputs von „irgendwelchen“ tx, ganz ohne Wallets. Oder nehmen wir an, ich habe 100 Wallets, und nehme von mehreren Wallets verschiedene Transaktionen. CoinJoins machen auch genau sowas. Und MimbleWimble und Co. kommen ja auch noch dazu. Wenn man als Krimineller also nicht ganz doof ist, obwohl da ein Zusammenhang zu bestehen scheint :-), würde man es den Verfolgungsbehörden sicher nicht so einfach machen, bzw. TX genau so bauen, dass ein falsches „Wallet“ Bild entsteht.
btw: kann man die privat Fehde von Tortuga mit Paul ausblenden?