比特币交易并没有用户想象的那么安全

E安全8月25日新闻在线商家经常泄露与购买活动相关的数据。网络安全研究人员指出，这可能会将个人与比特币购买联系起来。

越来越多的在线商家开始允许用户使用加密比特币进行支付交易。该技术的核心优势之一是其强大的匿名性：虽然交易被记录和发布，但它们只链接到用户提供的电子地址。所以无论你用比特币买什么，没有人能追踪到你。

为什么比特币匿名交易不完美？

虽然这种能力对某些用户来说确实很方便，但它的匿名性远非完美。安全专家更喜欢称其为匿名隐私，因为它类似于用笔名写书。只要假名不与您关联，每个人都可以安全地保护自己的隐私。但是，一旦有人发现了笔名和作者之间的关系，真相就会很快浮出水面，这意味着同一笔名下的整个写作历史将不再是秘密。同样比特币怎么个人与个人交易，一旦您的个人资料链接到比特币地址，您的整个购买历史记录就会暴露出来。

这无疑为希望使用比特币进行匿名支付的用户提出了一个重要问题：将个人数据与比特币交易关联起来有多困难？

网络跟踪器和 cookie

今天，我们从普林斯顿大学的斯蒂芬·戈德菲尔德和他的朋友那里得到了这些问题的答案。他们表示，一般购买活动中的信息展示方式会让相关个人与比特币支付直观地联系起来，即使使用CoinJoin等额外的隐私保护方式，也无法彻底解决这个问题。

此结果背后的罪魁祸首是网络跟踪器和 cookie，它们是故意嵌入网站中的代码片段，用于向第三方发送有关网站使用情况的信息。常见的网络跟踪器向 Google、Facebook 和其他供应商发送信息，以跟踪页面使用、购买、浏览习惯等。一些跟踪器甚至直接发送个人身份信息，包括用户的姓名、地址和电子邮件。

通过这种方式，相关交易信息被泄露到网络中，可供政府、执法机构和恶意方随时收集和分析。

Goldfield 和他的同事们想看看使用这些信息将个人与他们的比特币交易联系起来有多么困难。这个过程需要窥探者掌握目标的个人身份信息，例如姓名和电子邮件，然后将其与特定的比特币地址进行比较。

超过30%的商家故意泄露交易信息

研究团队首先列出了允许比特币交易的主要商户，从中选出了 130 家，其中包括微软、NewEgg 和 Overstock 等知名公司。

接下来比特币怎么个人与个人交易，他们研究了网络跟踪器如何在购买过程中从网站泄露信息。Goldfield 及其同事解释说，“在接受调查的 130 家商家中，至少有 53 家向至少 30 家第三方机构泄露了支付信息，其中大部分来自购物车页面。” 大多数信息泄漏是故意的，旨在用于广告和分析。

研究人员还指出，网络跟踪器还会发送一些额外的信息。例如，他们在一些商家网站上发现了一个更严重（可能是无意的）信息泄露问题，直接将区块链上的交易披露给了数十个追踪者。"

对于想要匿名使用比特币进行购买的用户来说，这显然不是一个好消息。

此外，即使保证了交易本身的匿名性，恶意行为者仍然可以通过购买金额、时间等信息将操作与用户联系起来。

在这种情况下，窥探者需要根据当时的汇率将购买金额转换为比特币，然后根据特定时间段进行交易搜索。搜索结果将显示用户的比特币地址。这将使我们能够使用相同的地址找到更多的比特币交易。

将用户与交易操作联系起来的困难

然而，其他因素可能会使整个关联过程更加困难。网络追踪器可能会提供产品价格，但不包括交付价格，这意味着买家支付的比特币总额将难以确定。

此外，查看作为泄露信息来源的页面（例如结帐页面）与实际进行购买之间可能存在显着的时间差。比特币交易包含时间戳，因此如果无法确定时间，整个跟踪过程就会变得异常困难。

购买金额通常以当地货币（如美元或英镑）给出，并在购买时转换为比特币。由于比特币汇率的巨大波动，如果购买时间不准确，我们也将难以计算出可靠的比特币数量。

所有这些因素都使得将个人与比特币交易联系起来变得困难，但必须强调的是，这种可能性仍然存在。研究人员发现，在超过 60% 的案例中，这些参数具有一定的现实意义，可用于建立关联。"

使用 CoinJoin 仍可提高回溯精度

当然，还有一些方法可以进一步隐藏比特币交易。其中最受欢迎的是 CoinJoin——一项服务，该服务将有兴趣进行类似支付交易的用户聚集在一起，这意味着他们可以进行共同支付。由于中心化的比特币支付方式，识别其中的特定个人将更加困难。

不过，Goldfield 及其同事也指出，如果一个人使用 CoinJoin 进行多次购买，回溯的难度会大大降低：“如果受害者使用 CoinJoin 3 次，恶意方观察到其中的两次支付操作，就有可能达到 98% 的追溯准确率。”

买家还可以使用 Ghostery、AdBlock Plus 或 uBlock Origin 等工具来保护自己。虽然它确实有效，但它有时会错过一些跟踪器，甚至完全阻止交易。Goldfield 及其同事解释说，“这种防御虽然非常有效，但远非完美。”

毫无疑问，上述消息对于想要保护其在线隐私的用户来说是相当令人沮丧的。

但这对于希望追踪恶意活动的执法机构来说是一个福音。根据 Goldfield 及其同事的说法，“与对加密货币匿名化功能的其他攻击一样，我们的技术也可用于构建用于执法目的的取证工具。”

与其他去匿名化攻击一样，Goldfield 等人发现的方法。既有优点也有缺点。

电子安全注意事项：本文为电子安全独家汇编报告。转载请联系作者，并保留出处和链接，请勿删除内容。