比特币交易并不像用户想象的那么安全

E安全网8月25日电 网络商家经常泄露与购买活动相关的数据。 网络安全研究人员指出，这很可能将个人与比特币购买联系起来。

越来越多的在线商家开始允许用户使用加密的比特币进行支付交易。 该技术的核心优势之一是其强大的匿名性：尽管交易会被记录和公布，但它们仅与用户提供的电子地址相关联。 所以无论你用比特币买了什么，其他人都无法追踪到你。

为什么比特币匿名交易并不完美？

虽然这种能力对于一些用户来说确实非常方便，但它的匿名性还远非完美。 安全专家更喜欢称之为匿名比特币交易安全吗，因为这类似于用化名写书。 只要假名不与您关联，每个人都可以成功保护自己的隐私。 然而，一旦有人发现笔名与作者的关系，真相就会迅速浮出水面，这意味着整个以同一笔名写作的历史将不再是秘密。 同样，一旦你的个人详细信息链接到比特币地址，你的整个购买历史也将暴露。

这无疑给希望使用比特币进行匿名支付的用户提出了一个重要问题：将个人数据与比特币交易联系起来有多难？

网络跟踪器和 cookie

今天，我们从普林斯顿大学的斯蒂芬戈德菲尔德和他的朋友那里得到了这些问题的答案。 他们表示，一般购买活动中的信息展示方式，将让相关个人以直观的方式与比特币支付建立联系。 即使使用CoinJoin等额外的隐私保护方式，也无法彻底解决这个问题。

造成这一结果的罪魁祸首是网络跟踪器和 cookie，它们是故意嵌入网站的代码片段，用于向第三方发送有关网站使用方式的信息。 常见类型的网络跟踪器向谷歌、Facebook 和其他供应商发送信息，以跟踪页面使用情况、购买金额、浏览习惯等。 一些追踪器甚至直接发送个人身份信息，包括用户的姓名、地址和电子邮件。

通过这种方式，相关交易信息被泄露到网上，供政府、执法机构和恶意行为者收集和分析。

Goldfield 和他的调查人员想了解使用此类信息将个人与其比特币交易联系起来有多困难。 该过程要求窥探者获取目标的个人身份信息，例如姓名和电子邮件，并将其与特定的比特币地址进行比较。

超过30%的商户有意泄露交易信息

调查组首先列出了允许比特币交易的主要商户，并从中挑选了130家，其中包括微软、NewEgg、Overstock等知名企业。

接下来比特币交易安全吗，他们研究了网络跟踪器如何在购买过程中从网站泄露信息。 Goldfield 及其同事解释说，“在总共 130 家接受调查的商家中，至少有 53 家向至少 30 家第三方机构泄露了支付信息，而这些信息大部分来自购物车页面。” 大多数信息泄露是有意的，旨在用于广告和分析目的。

研究人员还指出，网络跟踪器还会发送一些额外的信息。 例如，他们发现一些商家网站的信息泄露问题比较严重（可能是无意的），他们直接将区块链上的交易公开给几十个追踪者。 “

这对于想要使用比特币进行匿名购物的用户来说，显然不是一个好消息。

此外，即使保证了交易本身的匿名性，恶意方仍然可以通过购买数量、时间等信息将操作与用户关联起来。

在这种情况下，窥探者需要根据当时的汇率将购买金额换算成比特币，然后根据特定时间段进行交易搜索。 搜索结果将显示用户的比特币地址。 通过这种方式，我们可以找到更多使用相同地址完成的比特币交易。

将用户与交易操作联系起来仍有困难

但其他因素可能会使整个链接过程更加困难。 网络追踪器可能会提供产品价格，但不包括运费，这意味着买家支付的比特币总额将难以确定。

此外，在用户查看作为泄漏源的页面（例如结帐页面）与他们实际进行购买之间可能存在显着的时间延迟。 比特币交易包含时间戳，因此如果无法确定时间，整个追踪过程将变得异常困难。

购买金额通常以当地货币（如美元或英镑）给出，并在购买时转换为比特币。 由于比特币汇率的巨大波动，如果购买时间不准确，也很难计算出可靠的比特币数量。

所有这些因素使得很难将个人与比特币交易联系起来，但必须强调的是，这种可能性仍然存在。 研究人员发现，在超过 60% 的案例中，这些参数是相关的，可用于实现关联。 “

使用 CoinJoin 仍然可以提高回溯准确性

当然，还有办法进一步隐藏市场上的比特币交易。 最受欢迎的一种是 CoinJoin——一种聚合想要进行类似支付交易的用户的服务，这意味着他们可以进行联合支付。 由于中心化的比特币支付方式，识别其中的特定个人将变得更加困难。

不过，Goldfield 及其同事也指出，如果一个人使用 CoinJoin 进行多次购买，身份检索的难度会大大降低：“如果受害者使用 CoinJoin 三次，而恶意方观察到其中两次的支付操作，就会被能够实现高达 98% 的回溯准确率。”

买家还可以使用 Ghostery、AdBlock Plus 或 uBlock Origin 等工具来保护自己。 虽然它确实有效，但有时某些跟踪器可能仍然会被遗漏，甚至会直接阻止交易。 “这种防御虽然非常有效，但远非完美，”戈德菲尔德及其同事解释道。

毫无疑问，上述消息对于想要保护自己网络隐私的用户来说，无疑是相当令人沮丧的。

但所有这些对于希望追踪恶意活动的执法机构来说都是一个福音。 “与针对加密货币匿名化功能的其他攻击一样，我们的技术也可用于构建用于执法目的的取证工具，”戈德菲尔德及其同事说。

就像其他去匿名化攻击一样，Goldfield 等人发现的方法。 也有优点和缺点。