We use cookies to ensure that we give you the best experience on our website.

Cookie 在交易过程中破坏了比特币的匿名性

使用比特币匿名在线购买商品是当今的常见做法。然而,虽然比特币很可能是匿名的(如果使用得当),但不幸的是,互联网用户往往不是。普林斯顿大学的研究人员发出了警报,他们已经证明,在许多情况下,将匿名比特币交易与实际购买者联系起来是一件简单的事情。

据研究人员称,该过程是通过将用户机器上的cookie与比特币交易关联起来来实现的。对于使用比特币进行匿名购买的人来说,警告很明确:发现幕后黑手很容易,非常容易。事实上,普林斯顿大学的研究人员感到惊讶的是,之前没有人发表过证明这一点的论文。

学习该研究由隐私研究员 Dillon Reisman 以及普林斯顿大学的 Arvind Narayanan、Steven Goldfeder 和 Harry Kalodner 共同完成。在论文中,他们使用一个名为 Alice 的案例研究主题来演示将 cookie 与比特币(或任何其他加密货币)交易关联起来是多么简单。

爱丽丝是如何被发现的(摘自上面链接的普林斯顿论文)

饼干噩梦

当我们访问网站时,cookie 允许供应商识别我们的身份并将我们链接到过去的购买行为。因此,我们在 eeshanaviation.com 上小心翼翼地提醒人们,虚拟专用网络 (VPN) 提供隐私:它们不提供匿名性。这个区别很重要。虽然使用 VPN 会加密您的数据并阻止您的互联网服务提供商 (ISP)、本地网络管理员甚至政府泄露您在网上所做的事情,但它不一定会阻止您访问的网站了解您的身份。

例如,如果您在使用 VPN 时登录 Twitter、Facebook 或 Google 帐户,您将能够私下使用这些服务。但是,由于您已登录,网站服务本身会知道您是谁。

Cookie 的工作方式与登录非常相似。它们是网站在我们的浏览器中留下的少量数据。当我们返回相同的 URL 时,cookie 会与网站交互并提取与该特定 cookie 关联的文件。这是一个看不见的过程,会自动“登录”您访问的许多网站。

网站管理员使用 cookie 来监视访问其网站的人员。这有助于他们了解有关网站运行情况的统计数据。它还可以帮助他们更好地针对您进行单独定位。有没有注意到,当您访问 eBay 时,它已经知道您想要什么?甚至在您登录之前?这是因为您的浏览器中保留有 cookie。

比特币匿名性被破坏

普林斯顿大学的研究人员在研究中发现,网站只需要收集少量的 cookie 数据,就能发现谁在进行比特币交易。更令人担忧的是,当使用 CoinJoin 等服务来增加一层隐私时,这些 cookie 仍然可以识别交易背后的人员。

CoinJoin 是一项允许人们进行匿名比特币交易的服务。 “等一下,”我听到你说,“但我以为比特币交易是匿名的!?”可悲的是,事实并非如此。比特币由一个名为“公共账本系统”的公共账本系统组合在一起区块链。该公共分类账保存了比特币交易的整个历史,也是比特币廉洁的原因。

然而,区块链提供的不可变安全性也提供了一种将人们与其交易联系起来的方法。这是因为在区块链上注册的所有交易都是完全公开的,这意味着任何人都可以看到哪个地址将比特币发送到另一个地址。当这些地址与现实世界的身份相关联时,交易就会显示谁与谁进行了交易和/或为了什么进行了交易。

CoinJoin 等服务比特币混合器(或不倒翁)帮助人们远离比特币。他们通过将许多人的比特币组合在一起并在执行交易之前将它们混合在一起来对比特币进行数字洗钱。

就 CoinJoin 而言,多个用户将多笔交易合并为一笔大交易。该一笔交易将比特币从其各个“输入”地址发送到所需的“输出”地址。由于没有任何发送地址直接向任何接收地址支付费用,因此获得了隐私。不幸的是,根据普林斯顿大学的论文,这个过程——以前被认为可以提供高水平的匿名性——由于 cookies 的存在而无法实现。

支付信息泄露

在研究过程中分析的 130 家接受比特币的供应商中,研究人员发现其中 53 家向大约 40 个第三方泄露了支付信息。研究人员表示,这种情况“最常发生在购物车页面”。大多数时候,数据是与第三方广告商和营销公司共享的。

事实上,根据该论文,“许多商家网站的信息泄露要严重得多(而且可能是无意的),这些信息泄露直接向数十个跟踪器泄露了区块链上的确切交易。”

总共 130 家供应商中有 107 家被发现泄露某种交易信息。其中:

  • 30人分享了比特币的交易价格
  • 31 允许第三方脚本访问用户的比特币地址
  • 104 共享以美元(或其他货币)表示的交易价格

即使使用像 CoinJoin 这样的服务,研究人员也发现其中 20 个网站分享了人们的姓名,25 个网站分享了他们的电子邮件地址,还有 9 个网站分享了他们的实际地址。

该论文解释说,几乎无法采取任何措施来阻止这一过程。供应商进行的持续跟踪是有目的地进行的,说服他们不这样做的希望渺茫。毕竟,供应商通过与与之有交易的第三方共享消费者数据来获得收入。

匿名获取 VPN

对于那些希望通过使用比特币购买 VPN 来获得额外隐私的人来说,这个故事很重要。它表明,即使使用比特币,其真实身份也可能被泄露。至少,人们应该在订阅 VPN(或他们想要保持匿名的任何其他购买)之前努力清除他们的 cookie。事实上,因为他们的 IP 地址可能在购买时链接到 VPN,所以他们可能想要使用免费VPN以便购买 VPN。

为了增加安全性,如果人们确实想在购买时将自己的身份从 VPN 中完全删除,他们可以诉诸于使用公共图书馆中的计算机和一次性电子邮件以及比特币混合服务。有关如何使用比特币混合器的更多信息,请查看这里

意见是作者自己的。

标题图片来源:tiagogarciafoto/Shutterstock.com

图片来源:niroworld/Shutterstock.com、William Potter/Shutterstock.com

Related articles