經過十年的承諾,區塊鏈仍然無法提供隱私
第一個區塊鏈於十多年前推出,從那時起,它已經從單純地作為比特幣(BTC)的骨幹演變為全球性技術現象。從某種意義上說,分散式分類帳比比特幣本身更受歡迎。即使是最嚴厲的加密貨幣批評家,例如中國政府和摩根大通的傑米·戴蒙(Jamie Dimon),也認識到區塊鏈技術的潛力,而像微軟和埃森哲這樣的大公司已將其應用到他們的需求中。
但是,對區塊鏈技術還有另一種看法。一種基於這樣的假設,即該技術已在試圖破壞的某些領域停滯了—隱私是這些領域之一。
在主流文化中,比特幣仍被視為一種數字貨幣,可以使用戶完全置身於雷達之下。實際上,大多數基於公共區塊鏈的加密貨幣僅提供假名。同時,對於執法人員來說,跟蹤加密貨幣交易變得越來越容易。因此,區塊鏈真正提供多少隱私?
美聯儲不再害怕
早在2012年,在區塊鏈和加密貨幣技術的曙光中,一份FBI的內部報告就向安全服務員工發出警告,稱比特幣提供了「以某種匿名方式生成,轉移,洗錢和竊取非法資金的工具」。 「某些」一詞在這裡是關鍵,因為根據原始白皮書,「風險是如果揭示了密鑰的所有者,則鏈接可能會揭示屬於同一所有者的其他交易。」因此,比特幣以及其他基於公共區塊鏈的其他加密貨幣都是假名,並非完全匿名,這意味著它們只能提供有限的隱私。
確實,隨著時間的流逝,當局開始成功地追蹤使用比特幣掩蓋其蹤跡的犯罪分子。在這方面,最引人注目的案件之一是逮捕了經營著著名的深網市場「絲綢之路」的美國國民羅斯·烏布利希特。正如前聯邦調查局特工Ilhwan Yum在法庭上所訴,他設法從絲綢之路追蹤了700,000比特幣,這似乎是烏布利希的個人錢包。突然之間,在暗網上用比特幣購買東西不再被認為是萬無一失的。
也許有人會說,這就是壞蛋得到的,守法公民沒有什麼可害怕的。事實並非如此,因為普通的加密貨幣用戶也可能受到當局的關注。 2018年,美國頂級交易所Coinbase通知了大約13,000個客戶,它正在根據IRS的要求將其私人信息移交給美國。該數據包括2013-2015年的社會保險號,姓名,出生日期,地址和交易記錄。
2018年,來自卡達的研究人員發表了一篇論文,顯示了通過多年的比特幣交易來識別草率用戶的難易程度,即使對於那些不在情報服務部門工作的人來說也是如此。在收集了數千個可見的比特幣錢包地址並搜索它們與Tor敏感的隱藏服務(如絲綢之路和海盜灣)之間的直接鏈接後,他們能夠找到125個唯一用戶以及其公共帳戶。
假名不夠好
自稱為「白帽黑客生態系統」的Hacken的區塊鏈安全負責人Pavlo Radchuk告訴Cointelegraph:「公共區塊鏈不是為了隱私而創建的。」他解釋說,可以用不同的方式跟蹤活躍的比特幣或以太坊用戶例如「如果某個帳戶在網站上購買了商品 [with crypto]。現在,該網站具有該帳戶的相關IP地址;交貨實際地址,收貨人姓名等。」
NEC Laboratories Europe安全小組的經理兼首席研究員Ghassan Karame在與Cointelegraph的對話中證實說,在保護個人身份方面,「僅用假名顯然還不夠」。
「假名的主要問題是它不會隱藏用戶個人資料,包括:交易金額,支出習慣,付款時間等。假名也不會嘗試隱藏用戶個人資料和用戶IP之間的綁定。所有這些問題使得在依賴簡單假名的系統中使用戶取消匿名變得相對簡單。」
網路安全機構Zokyo Labs的首席執行官兼聯合創始人Hartej Sawhney描繪了一幅更加黯淡的圖畫,知道受害者的住址足以使攻擊者使用武力並得到他們所追捕的東西:一個IP地址,出現在您家中,然後應用橡膠軟管加密貨幣技術來獲取您的密鑰。」
麻省理工學院斯隆分校管理學教授,加密貨幣經濟學實驗室聯合創始人凱瑟琳·塔克(Catherine Tucker)對Cointelegraph表示:「我們不認為區塊鏈具有隱私保護優勢,我認為它是某些支持者最初希望的。」她與斯坦福大學商學院經濟學教授蘇珊·阿西(Susan Athey)以及麻省理工學院教授克里斯蒂安·卡塔利尼(Christian Catalini)共同撰寫了該論文,他也曾在Facebook的Calibra工作。
塔克補充說,區塊鏈技術的商標不變性會帶來很大的隱私後果。她認為,敏感信息(如醫療記錄)不一定適合存儲在區塊鏈上,這與許多行業初創企業試圖實現的目標相反:
「最終,當涉及到數據隱私時,我最擔心的是,如果數據是公開的,那會對我的經濟產生持續影響,例如我的基因組,潛在的健康因素,這些我無法改變的事情。我不用擔心告訴廣告客戶我一天要買一雙特定鞋子的數據,這些數據是臨時數據,明天可能會更改,並且不會產生持久性後果。區塊鏈的危險在於我們可能會創建不可變的數據,而我們不知道它對未來10年的影響將是什麼。」
但是,被許可的區塊鏈又如何呢?那些只授予相關方和市場參與者訪問權的區塊鏈呢?隱私權混合網NYM Technologies的首席執行官哈里·哈爾平(Harry Halpin)對Cointelegraph表示:「我不確定許可的區塊鏈和共享資料庫之間是否有很大區別,」他補充說,「這完全取決於誰有權訪問或誰在您的聯盟中。」 Karame進一步解釋了許可的區塊鏈主要依賴於Crash Fault Tolerant或Byzantine Fault Tolerant(它們比工作量證明和權益證明更好地進行了研究)並補充說:
顧名思義,CFT僅容忍崩盤,否則就無法提供任何安全性以防止行為不當。另一方面,BFT系統提供了對拜占庭行為的完全容忍度。 CFT和BFT都提供了最終共識。這意味著此類系統的確認輸出是最終的;大多數未經許可的區塊鏈只能提供最終的共識保證,這意味著一個人的交易可以在以後被撤消,例如,萬一發生分叉。
雖然區塊鏈技術被認為是防黑客的(在某種意義上說它尚未在系統層面受到損害),但就安全漏洞而言,加密貨幣行業基本上是地雷。僅在2019年,加密貨幣交易所就盜竊了超過2.92億美元的客戶數據和超過500,000條客戶數據(這是迄今為止加密貨幣黑客入侵最大的一年,儘管被盜資金的數量比往年要小得多)。
相關:審查中的加密貨幣交易所黑客
如果區塊鏈技術是如此安全,為什麼行業參與者會被黑客入侵?攻擊者可以使用多種不同的技術,儘管上述大多數違規行為都涉及社會工程學,即代表受害者的一些參與,例如打開受感染的電子郵件,使用公共Wi-Fi登錄到數字貨幣包,安裝惡意應用程序。等等,還有更多的利基方法,例如剪貼板劫持,密碼劫持和漏洞利用-但是在大多數情況下,黑客的目標是人員或公司伺服器,而不是區塊鏈。
隱私硬幣可以確保一定程度的匿名性
不變性並不意味著區塊鏈技術不能提供額外的隱私。有幾種面向隱私的服務,其中最受歡迎的示例有Monero(XMR)和Zcash(ZEC)。兩者的目的都是通過使用不同的方法隱藏交易及其接收者來保護用戶的隱私。但是,儘管隱私硬幣確實提供了「相當不錯的隱私」,但是它們仍然不能使用戶絕對匿名,並留下了一些痕迹,Karame說:
這些系統旨在提供發件人匿名,收件人匿名,交易不可鏈接性以及隱藏付款金額。他們並不提供「絕對隱私」,儘管從某種意義上說,交易時間仍可公開獲得。這樣的時間信息可能會泄露有關用戶地理位置的信息。」
通常,有辦法甚至可以追蹤以匿名為中心的技術,例如,電子郵件交易所中肯定了區塊鏈和加密貨幣分析公司Chainalysis的聯合創始人兼CSO喬納森·萊文(Jonathan Levin)(美國機構的主要加密貨幣交易數據來源之一)。與Cointelegraph合作:「儘管並非不可能,但由於人們需要實現和使用匿名,很難實現匿名。」
此外,總體而言,監管機構對隱私權硬幣及其提供的匿名性不滿意。韓國和波蘭等一些司法管轄區援引《金融行動特別工作組》(Financial Action Task Force)制定的指導方針,甚至強迫當地交易所將其摘牌。這將這些硬幣推向更深的地下,並增加了污名。此外,正如Halpin在與Cointelegraph的對話中指出的那樣,諸如Zcash和Monero之類的私有區塊鏈「在過去一年中都存在嚴重的錯誤」,這意味著仍有被暴露的風險。
其他區塊鏈無法避免監管問題
北卡羅來納大學格林斯伯勒分校的教授尼爾·謝特里(Nir Kshetri)補充說,不僅僅是利基區塊鏈產品的隱私保護功能正在受到法規的審查,他研究了區塊鏈在加強網路安全和保護隱私方面的作用。實際上,中國政府已於2019年2月在該領域出台了法規。Kshetri告訴Cointelegraph:
「該法規要求用戶提供真實姓名以及國家身份證號碼,手機或公司註冊才能使用區塊鏈服務。因此,不允許用戶匿名。要求區塊鏈服務快速刪除「非法信息」,以阻止其在用戶中傳播。區塊鏈服務提供商還必須將用戶數據備份保留六個月。而且,執法部門必須能夠在必要時訪問數據。」
歐盟試圖監管區塊鏈數據的《通用數據保護條例》是區塊鏈技術隱私的另一個關注點,Kshetri繼續說道:「 GDPR假定存在數據控制器。數據主體對控制器執行其數據保護權。區塊鏈的去中心化功能意味著沒有單一的控制中心。」此外,關於如何確定區塊鏈數據控制者的法規尚不清楚,因此也不清楚誰濫用個人數據應由誰承擔法律責任。 Kshetri得出結論,不變性也是一個令人擔憂的原因:
「添加塊後,刪除或修改塊中的數據非常困難,甚至不可能。刪除區塊鏈數據的困難違反了GDPR的數據最小化和目的限制規定。這裡的想法是,個人數據的保存時間不應超過達到收集數據目的所需的時間。」
儘管存在問題,但區塊鏈取得了進步
近十年來,隱私仍然是區塊鏈技術的一個有爭議的話題。 NEC Laboratories Europe的Karame說,在這方面仍然有「很多進步」:「隨著時間的推移,大多數區塊鏈(無論是未經許可還是經許可)的隱私都得到了提高,這還包括連接到的輕量級客戶端的隱私。這些平台。」
確實,以匿名為中心的硬幣,例如Zcash,Dash(DASH)和Monero直到2010年代中期才出現,為加密貨幣用戶引入了全新的隱私級別。去年,還有一些加密貨幣混合服務(它們通過創建臨時錢包地址來掩蓋用戶的信息)加快了步伐,儘管一些政府也已經在使用它們。
此外,在以數據為主要貨幣的數字時代,人們如何真正匿名?正如萊文先前告訴《國際通訊社》(Cointelegraph)那樣,「完全透明並不一定是理想的地方」,因為隱私可以授權不良行為者促進洗錢和非法交易等違法行為。確實,儘管存在一些與隱私相關的問題,但區塊鏈仍然是一項創新技術,其爭議案例更多而更少。