October 20, 2021

Почему Monero не обеспечивает анонимность

Только красная стрелка ведёт к настоящей монете, остальные — фейковые дубли

Monero — ведущая криптовалюта, ориентированная на конфиденциальность. Основана на протоколе CryptoNote 2.0 от 2013 года. Он исправляет недостатки биткоина, в том числе явную связность входа и выхода транзакции (отсутствие анонимности). В Monero к настоящим входам добавляются «миксины», что не даёт возможность определить, кто именно передаёт конкретную монету.

Но в 2018 году выяснилось, что в Monero тоже всё легко отслеживается. А ведь транзакции навсегда сохранены в блокчейне — и по ним можно деанонимизировать конкретных людей даже спустя много лет. Например, владельца Bitcoin Fog выдал анализ блокчейна от 2011 года.

Три года назад группа исследователей из Принстона, университета Карнеги — Меллона, Бостонского университета, МТИ и Иллинойского университета в Урбана — Шампейна указали на недостатки в миксере Monero, что позволяет связать конкретные входы и выходы.

Исследователи отмечают, что простые трюки позволяют наблюдателю определить некоторые из ложных миксинов. Например, до февраля 2017 года система позволяла пользователям отказаться от защиты конфиденциальности и тратить монеты вообще без миксинов. Поэтому в блокчейне за тот период 64,04% всех транзакций проведено без миксинов, то есть совершенно без защиты конфиденциальности, как в биткоине. (После изменения протокола Monero уже требует установить минимум четыре миксина для каждой транзакции.) Но проблема в том, что эти 64% идентифицированных монет впоследствии добавляются к другим миксинам, что помогает идентифицировать и остальные монеты. Анализ показал, что таким способом можно идентифицировать 63% остальных.

Вторая проблема связана с временем проведения транзакций. Алгоритм должен был распределять миксины в случайном порядке. Но анализ реальных транзакций в блокчейне показал, что настоящую монету он помещал на первое место среди миксинов в 92,33% случаев. Согласно симуляции, эта цифра составляет 80%, практически сводя на нет гарантии конфиденциальности Monero.

Разработчики Monero производят постоянные улучшения в протоколе, чтобы снизить этот процент выявления настоящих входов в транзакциях. На графике показано, как он снижался за несколько лет, вплоть до 15 апреля 2017 года. Прогресс заметный, удалось снизить уровень деанонимизации до 20%. Но это далеко не ноль, и можно предположить, что сейчас он находится где-то в диапазоне 5−15%.

Также из графика понятно, что вероятность выявления истинных транзакций сильно зависит от количества миксинов.

Важно отметить, что всё это помогает определить только отправителя монеты, но не получателя, поскольку Monero скрывает адреса получателей с помощью другой техники.

Поскольку Monero создавалась именно для обеспечения конфиденциальности, то пользователи рассчитывали на эту анонимность. И многие использовали Monero для совершения конфиденциальных и чувствительных транзакции, в том числе связанных с незаконной деятельностью… Самый простой пример — покупки в подпольных магазинах каких-нибудь товаров, запрещённых российским законодательством, таких как марихуана или оружие. Или транзакции активистов оппозиции в авторитарных странах. Примеров множество, ведь по определению ООН, анонимность — это неотъемлемое право человека.

Понятно, почему пользователи рассчитывают на приватность в Monero. Ведь эта компания на своём сайте официально заявляет, что транзакции «невозможно отследить» (untraceble).

Теперь оказывается, что пользователей Monero можно деанонимизировать так же, как пользователей Bitcoin. О методах деанонимизации биткоинеров можно почитать, например, в научной статье Deanonymisation of Clients in Bitcoin P2P Network (Алекс Бирюков, Дмитрий Ховратович, Иван Пустогаров, CCS '14: Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, ноябрь 2014, стр. 15–29, DOI: 10.1145/2660267.2660379), ну или в реальном уголовном деле против Романа Стерлингова, владельца миксера Bitcoin Fog, упомянутом в начале.

Интересно, что среди авторов этой научной работы числится Эндрю Миллер, советник Zcash, другой криптовалюты, ориентированной на приватность.