Facebook 
Pinterest Rimanere anonimi: quale soluzione per la privacy crittografica funziona meglio?
L’industria delle criptovalute era inizialmente titolato come denaro digitale anonimo. Mentre gli esperti erano ansiosi di sottolineare che questo non era esattamente il caso, Bitcoin (BTC) ha trovato popolarità iniziale nei mercati darknet come Silk Road, dove i commercianti vendevano merci illegali che vanno dalle droghe leggere ai presunti servizi di sicari. Fondata nel 2011, Silk Road ha prosperato per i due anni successivi fino a quando il Federal Bureau of Investigation l’ha chiusa nel 2013. Le autorità hanno successivamente rivelato che gli esploratori blockchain completamente gratuiti hanno aiutato i loro sforzi investigativi.
Il registro delle transazioni di Bitcoin è completamente aperto al pubblico per la visualizzazione. Ciò che manca alla blockchain sono dati di identità apertamente disponibili, poiché tutte le transazioni sono condotte tra indirizzi di portafoglio, che possono essere considerati pseudonimi. Tuttavia, ogni indirizzo del portafoglio è unico e può essere associato a persone o entità specifiche.
Mappare un indirizzo al suo titolare può essere semplice come effettuare una transazione. Un acquirente e un venditore possono potenzialmente rivelarsi reciprocamente l’intera cronologia delle transazioni. Anche se potrebbero non sapere con chi hanno effettuato transazioni in precedenza, possono conoscere il saldo e gli importi di spesa attraverso un semplice controllo su un blockchain explorer. In termini tecnici, questo si chiama linkability: quanto è facile ricostruire una particolare catena di transazioni.
La catena di transazioni di Bitcoin è teoricamente facile da collegare. In pratica, però, questo non è un compito banale, in quanto può essere complicato determinare quale parte di una transazione Bitcoin è il cambiamento e quale è il denaro effettivo che è stato speso.
Soluzioni per la privacy basate su Bitcoin
Data l’esplicita debolezza della privacy di Bitcoin e di altri registri aperti, nel corso degli anni sono state sviluppate varie soluzioni correttive. Il primo è stato proposto all’inizio del 2013 da Gregory Maxwell, uno sviluppatore principale di Bitcoin. Successivamente soprannominata CoinJoin, la tecnologia utilizzava un principio già esistente di Bitcoin secondo cui le singole transazioni possono contenere molti “output” e “input” che fluiscono da e verso più portafogli.
Ogni transazione prende una certa quantità di Bitcoin sotto forma di input e la rimodella, come l’argilla, in diversi pezzi di output. Con CoinJoin, più partecipanti offrono il loro Bitcoin in una singola transazione, che poi li rimodella in diversi output che vengono inviati ai portafogli specificati da ciascun utente.
Il risultato è che la catena di transazioni è criptata: un visualizzatore esterno che traccia il portafoglio A non sa a quale portafoglio B è stato inviato il Bitcoin. Il portafoglio B può contenere Bitcoin assemblati da dozzine di portafogli di input. La quantità di partecipanti, denominata set di anonimato, è importante per la forza complessiva del mixaggio. È molto più difficile monitorare un portafoglio su 10.000 che uno su 10.
Correlati: mixer di criptovaluta e perché i governi potrebbero volerli chiudere
Un’altra soluzione è stata data dai mixer Bitcoin. Sebbene utilizzassero un approccio simile, erano servizi centralizzati che detenevano la custodia del Bitcoin durante il processo di scrambling. Tuttavia, i mixer inizialmente si sono rivelati popolari per gli utenti in quanto erano molto più semplici da implementare rispetto al CoinJoin peer-to-peer.
I loro difetti di sicurezza sono stati presto resi evidenti dai ricercatori. Un articolo del dicembre 2023 di Felix Maduakor dimostrato un processo euristico abbastanza semplice per rimuovere l’anonimato delle transazioni del mixer. L’algoritmo si è basato su fattori come i tempi, gli importi delle transazioni Bitcoin e le commissioni corrispondenti per filtrare il portafoglio di destinazione. Inoltre, un servizio presentava una semplice vulnerabilità basata sul Web che poteva far trapelare tutti i dati delle transazioni miste sfruttando la conservazione dei record interni. Un altro documento del 2023 ha anche concluso che anche i mixer più popolari utilizzavano pratiche di sicurezza scadenti che rendevano facile tracciare le loro operazioni.
Nonostante le gravi falle di sicurezza, i mixer hanno continuato a essere popolari fino al 2023. Tuttavia, i sequestri di polizia e le chiusure volontarie hanno esercitato pressioni sul settore e potrebbero aver finalmente contribuito a frenarne l’uso. Come ha notato Chainalysis in un luglio 2023 seminario web, I portafogli basati su CoinJoin offerti da Wasabi e Samourai hanno costantemente guadagnato popolarità durante il 2023, elaborando oltre $ 250 milioni in Bitcoin.
Essendo un processo ampiamente decentralizzato, CoinJoin non si basa sulle capacità di sicurezza degli operatori di mixer, rimuovendo così i punti di errore non necessari. Nonostante ciò, il sistema è tutt’altro che perfetto. Maxwell in seguito prese le distanze dalle implementazioni CoinJoin pure, notando in una presentazione che “se tutti gli utenti inseriscono e tolgono importi diversi, puoi facilmente svelare il CoinJoin.”
Sebbene ciò possa essere mitigato utilizzando importi di output fissi, simili alle fatture in contanti, non sembra essere sufficiente per impedire il monitoraggio. In una conversazione con Cointelegraph, il CEO di Chainalysis Michael Gronager ha spiegato:
“CoinJoin e mixer raggiungono un certo livello di dissociazione tra i fondi. Tuttavia, in molti casi questo collegamento può essere ristabilito attraverso il lavoro forense “.
Ulteriori prove della vulnerabilità di CoinJoin sono state fornite dall’indagine di Chainalysis sulle operazioni di PlusToken. Secondo un rapporto di dicembre 2023 estratto, l’azienda è stata in grado di tracciare 45.000 Bitcoin sui 180.000 totali raccolti dallo schema Ponzi, nonostante complesse tattiche di offuscamento che includevano anche i servizi CoinJoin. Nopara73, uno sviluppatore pseudonimo dietro il portafoglio Wasabi, difeso la tecnologia in un thread “Chiedimi qualsiasi cosa” su Reddit, dicendo: “Non penso che la parte tecnica della storia sia difficile da capire. Suggerimento: avevano più monete dell’intera capitalizzazione di mercato di Monero. “
Le altcoin basate sulla privacy in aumento
Con la maturazione dell’ecosistema, sono nate dozzine di progetti specificamente per fornire transazioni private agli utenti. Il panorama attuale è suddiviso in diverse grandi famiglie di monete basate su diversi protocolli.
Monero (XMR) è attualmente la più grande moneta per la privacy per capitalizzazione di mercato ed è stata una delle prime ad esserlo introdotto sul mercato. Si basa sul protocollo CryptoNote introdotto da Bytecoin (BCN) nel 2014 e ampliato nel tempo da RingCT, un sistema che combina firme ad anello e crittografia delle transazioni riservate.
Monero si sforza di nascondere tutte le parti di una transazione: mittente, destinatario e importo.
Il mittente è nascosto tramite firme ad anello. Durante la creazione di una transazione, Monero aggrega il vero output del mittente con altri output semi-casuali selezionati dai blocchi precedenti. Questo crea un effetto simile a CoinJoin dando una plausibile negabilità all’utente, in quanto parti esterne non possono prelevare le monete reali senza informazioni aggiuntive.
Una tecnologia chiamata Transazioni riservate migliora ulteriormente questo aspetto nascondendo la quantità di monete per ogni uscita. Gli indirizzi stealth, una parte del protocollo CryptoNote originale, nascondono il destinatario creando un indirizzo di portafoglio una tantum per ogni transazione.
Il concorrente più vicino di Monero è Zcash (ZEC), che utilizza la crittografia a conoscenza zero per nascondere le transazioni. Ad alto livello, le prove a conoscenza zero consentono a un “prover” – un utente che invia il denaro – di dimostrare in modo definitivo a un “verificatore” – o un nodo blockchain – di conoscere un certo valore, senza mai rivelare il numero effettivo. Utilizzato in una blockchain incentrata sulla privacy, ciò consente di crittografare completamente i dettagli di una transazione e utilizza prove a conoscenza zero come garanzia della sua validità. Esistono molte varianti di prove a conoscenza zero. Quello attualmente utilizzato da Zcash si chiama zk-SNARKs.
L’ultima grande aggiunta alle monete per la privacy è il Mimblewimble protocollo. Implementato in progetti come Grin e Beam, Mimblewimble utilizza principalmente CoinJoin e Transazioni riservate per garantire la privacy. Tuttavia, la sua architettura blockchain è significativamente diversa dalla maggior parte delle altre monete.
Ad esempio, le blockchain Mimblewimble non hanno indirizzi permanenti. Invece, la crittografia viene scambiata in un processo in due fasi: il mittente fornisce informazioni sulla transazione parzialmente compilate tramite mezzi esterni, come le e-mail, e il destinatario deve quindi aggiungere i propri dati prima di ritrasmettere il file della transazione completato.
Molti altri progetti utilizzano le varianti CoinJoin per le loro funzionalità di privacy. PrivateSend di Dash mescola monete attraverso più passaggi di CoinJoin, mentre la modalità privacy di Decred (DCR) usi CoinShuffle ++, un aggiornamento e migliorato implementazione del protocollo originale. Sebbene ci siano aspri dibattiti tra i campi opposti, ogni protocollo ha i propri vantaggi e svantaggi.
Il prezzo dell’anonimato
I protocolli di privacy in generale soffrono di problemi di prestazioni e scalabilità. Il livello aggiuntivo di segretezza ha spesso un costo molto misurabile in termini di dimensioni della transazione, velocità di esecuzione e prestazioni di elaborazione.
Le transazioni di Monero sono molte volte più pesanti del loro equivalente sulla rete Bitcoin. Sebbene l’introduzione di prove di gamma “a prova di proiettile” fosse un rimedio significativo a questo problema, le transazioni Monero tende ad essere più pesante di 1.500 byte, mentre semplici transazioni Bitcoin può essere a partire da 280 byte.
Ciò pone un problema significativo per la scalabilità. Sebbene Monero abbia dimensioni di blocco dinamiche, evitando veri colli di bottiglia, l’intera blockchain cresce ancora in modo significativamente più veloce in termini di dimensioni. Alla fine, diventerà impossibile mantenere i nodi Monero su computer semplici, che è la sua comunità vede come un aspetto importante del decentramento.
Zcash è una blockchain mista contenente transazioni sia trasparenti che “schermate”. Le transazioni private soffrono di un problema di dimensioni simili a Monero, pesatura in media 2.000 byte.
Prima dell’introduzione di Sapling, inviando denaro anche privatamente necessario circa 4 GB di RAM disponibile, il che ha reso le transazioni schermate altamente impraticabili.
Esistono problemi simili per le monete basate su Mimblewimble. Le sue transazioni non elaborate superano i 5.000 byte a causa della presenza di prove di ampio raggio. Il vantaggio principale della scalabilità per le monete basate su Mimblewimble è la capacità di “potare” una blockchain: rimuovere i dati delle transazioni passate senza influire sulla sua validità. Sorriso stimato una riduzione di circa il 98% per un caso campione di 10 milioni di transazioni, da circa 130 GB a poco meno di 2 GB. È meno della metà della dimensione della blockchain di Bitcoin quando aveva la stessa quantità di transazioni nel dicembre 2012, secondo dati da Blockchain.com.
La capacità di potare una blockchain è un fattore importante per alcuni ricercatori. Mentre Monero era considerato incapace di scalare attraverso la potatura, il team rilasciato un’implementazione limitata all’inizio del 2023. Critici descritto è “più simile allo sharding che alla potatura” a causa della sua incapacità di rimuovere completamente le transazioni. Sviluppatori Monero spiegato su Twitter che rimuovere gli output è impossibile con la tecnologia attuale, aggiungendo: “La nostra implementazione elimina definitivamente alcuni dati delle transazioni”.
Anche Zcash non è stato in grado di eliminare i suoi dati, ma il team di Electric Coin Company, la società dietro Zcash, ha scelto di sfruttare ulteriormente le prove a conoscenza zero per introdurre un concetto simile di ridimensionamento. La sua tecnica Halo proposta userebbe un sistema di “prove di prove” che confermerebbe la validità degli stati passati della blockchain. Ciò consentirebbe ai nodi di conservare solo i dati sulle transazioni recenti, insieme a una prova di correttezza per tutto ciò che è accaduto in precedenza.
Compromessi sulla privacy
I problemi di praticità, decentralizzazione e anonimato spesso rappresentano un trilemma per ogni singola tecnologia per la privacy. Sebbene Monero ottenga risultati relativamente buoni in termini di praticità e decentralizzazione, il suo anonimato è stato messo in discussione in passato.
Fireice_uk, uno pseudonimo di Monero e lo sviluppatore del software miner xmr-stak, identificato diversi punti deboli nell’approccio della firma ad anello, sottolineando che il ribollire espone immediatamente la vera origine dei fondi creando un ciclo di transazioni. Essi anche dimostrato un modo per rompere le normali firme ad anello in base alla perdita di metadati: il tempo di creazione della transazione può essere confrontato con i record del provider di servizi Internet per identificare il vero output.
I principali membri della comunità Monero hanno risposto su Reddit, riconoscendo alcune di queste preoccupazioni minimizzando la loro rilevanza. Quando è stato chiesto da Cointelegraph se il team ha agito in base a queste preoccupazioni, fireice_uk ha detto che gli sforzi sono stati insufficienti:
“Nell’ultimo anno, il volume della ricerca sulle fughe di metadati è aumentato e hanno risolto solo i frutti appesi più bassi. Lo stato attuale delle cose mi lascia incerto se l’intera famiglia di monete basata sulla firma dell’anello sia praticabile – e lo dico come sviluppatore di una di esse “.
Sarang Noether, un membro pseudonimo del Monero Research Lab, ha risposto a questa critica in una conversazione con Cointelegraph. Pur sottolineando che si tratta di un “problema sottile” che dipende dal modello di minaccia implicita – che vuole rimuovere l’anonimato delle transazioni – hanno aggiunto:
“Ci sono metadati a livello di rete che fluttuano intorno, che possono o meno influenzare un particolare utente a seconda del loro modello di minaccia – ed è difficile da ridurre. Ci sono metadati on-chain che fluttuano intorno, comprese cose come tempistica, struttura di input / output, dati di transazione non standard, ecc. Ridurre i metadati sfruttabili è importante, ma eliminarli del tutto è impossibile “.
Affrontando la zangolatura, Noether ha osservato che è un argomento di ricerca in corso, mentre rivela che ci sono modi appropriati e impropri per farlo: “Simile a come scegliere gli input esca in modo inadeguato può portare a euristiche su ciò che è più probabile che sia il vero firmatario , agitare “male” potrebbe portare a euristiche che tentano di identificare il processo. ”
Sebbene la crittografia che alimenta le transazioni schermate di Zcash lo sia spesso descritto essendo fondamentalmente migliore di quello di Monero, il predominio di indirizzi trasparenti pone forti restrizioni. I ricercatori dell’University College di Londra, ora ufficialmente noto come UCL, sono stati in grado di farlo de-anonimizzare diversi trasferimenti affrontando la fase di conversione tra monete schermate e non schermate. Alla domanda se Zcash vede valore nell’aumentare la quantità di transazioni protette e quindi il set di anonimato, il vice presidente del marketing di Electric Coin Company, Josh Swihart, ha detto a Cointelegraph:
“Un ampio set di anonimato è importante e non crediamo ci sia un punto in cui i rendimenti diminuiscano. Condividiamo il mondo con miliardi di persone, ognuna delle quali conduce dozzine di transazioni al mese e centinaia di milioni di aziende e istituzioni che guidano molti multipli in più. Il set di anonimato dovrebbe essere abbastanza ampio da proteggere in modo sicuro tutte quelle persone, aziende e istituzioni per transazione “.
Anche Swihart sottolineato che la quantità di transazioni completamente protette cresce nel tempo, il che aumenta il suo set di anonimato. Tuttavia, i dati mostrano che il rapporto tra il volume delle transazioni schermate e quello trasparente ha oscillato tra il 10% e il 20% per la maggior parte della storia di Zcash, con una crescita recente minima:
La centralizzazione è anche una delle principali preoccupazioni per Zcash, poiché gli zk-SNARK richiedono una “configurazione affidabile” per funzionare correttamente: parametri specifici impostati dagli sviluppatori. Qualsiasi compromissione della sicurezza o della fiducia durante ogni evento di generazione sarebbe catastrofica, in quanto gli aggressori sarebbero in grado di creare nuove monete praticamente inosservati. Tuttavia, l’introduzione della tecnologia basata su Halo eliminerebbe la necessità di una configurazione affidabile.
Discutendo l’importanza dei set di anonimato, fireice_uk ha sottolineato: “È fondamentale per la vita o la morte. È impossibile nascondersi in una folla di 1. Qualsiasi cosa si possa fare per ridurre la folla avrà un impatto sulla privacy “. Hanno aggiunto: “Possiamo vederlo molto bene con la rottura di Mimblewimble”, riferendosi alla svolta di Ivan Bogatyy – un ricercatore di Dragonfly Capital – che anonimizzato fino al 96% delle transazioni Grin in tempo reale.
Gli sviluppatori di Grin hanno risposto ignorando l’importanza della svolta. Tuttavia, hanno riconosciuto che “la privacy di Grin è tutt’altro che perfetta”, sottolineando che “la collegabilità delle transazioni è una limitazione che stiamo cercando di mitigare”.
C’è un leader chiaro?
Sebbene ogni sistema abbia i suoi punti di forza e di debolezza, alla fine spetta a ciascun utente sfruttare al meglio gli strumenti disponibili. Anche Zcash, che ha probabilmente il sistema di anti-linkabilità più resiliente, può ancora essere utilizzato in modo improprio attraverso transizioni disattenti tra indirizzi trasparenti e schermati. Monero è in questo senso un po ‘più facile da usare. Come riportato da Chainalysis nel suo webinar, è la moneta per la privacy preferita nei mercati darknet.
Tuttavia, Bitcoin rimane il metodo di pagamento più popolare. Inoltre, i suoi utenti tendono a non porre l’accento sulla privacy, con la maggior parte dei fondi ai mercati darknet inviati direttamente dagli scambi centralizzati.
La tecnologia per il miglioramento della privacy sembra non interessare gli utenti del mercato darknet, il segmento che probabilmente ne avrebbe più bisogno. Fino a quando le monete per la privacy non saranno ampiamente adottate in ambienti ad alto rischio come questi, i dibattiti sul loro anonimato rimarranno altamente teorici.
Procedimento non penale per la privacy
È importante notare che la privacy non dovrebbe essere strettamente associata all’uso illecito. Chainalysis ha evidenziato che solo poco più del 10% dei fondi inviati ai mixer proviene da attività criminali.
Ci si può aspettare una proporzione simile nell’uso delle monete per la privacy. Sebbene le autorità di regolamentazione stiano esaminando sempre più i crimini abilitati alla criptovaluta, mantenere una certa privacy per un uso legittimo è fondamentale, secondo il CEO di Chainalysis:
“Il completo anonimato apre la porta ad attività illecite che per definizione non possono essere indagate. Non è un mondo in cui vorresti vivere. D’altra parte, completa trasparenza significa assenza di privacy. Non è nemmeno un mondo in cui vorresti vivere. Crediamo che il mercato decida e attualmente le monete non legate alla privacy registrano il maggior slancio “.
Parlando a nome dell’azienda, la posizione di Swihart sulla privacy delle transazioni comprensibilmente è andata anche oltre. Electric Coin Company ritiene che la capacità di una persona di effettuare transazioni con altri sia un diritto fondamentale, mentre “le aziende hanno il diritto di effettuare transazioni in modo sicuro senza esporre le informazioni ai concorrenti o ad altri che potrebbero augurarle un danno”.
Rispondendo a una domanda se facilitare l’uso criminale sia un compromesso accettabile per la privacy, Swihart ha aggiunto: “L’argomento del compromesso è una falsa pista. Le persone con cattive intenzioni useranno tutti gli strumenti che possono per fare cose illegali. Oggi, ciò riguarda principalmente il dollaro USA “.