網(wǎng)絡(luò)商家常常會(huì)泄露與購(gòu)買活動(dòng)相關(guān)的數(shù)據(jù)。網(wǎng)絡(luò)安全研究人員們指出，這很可能將個(gè)人與比特幣購(gòu)買行為聯(lián)系起來(lái)。

越來(lái)越多的在線商家開始允許用戶使用加密比特幣進(jìn)行支付交易。這項(xiàng)技術(shù)的核心優(yōu)勢(shì)之一，在于其強(qiáng)大的匿名性：盡管交易過(guò)程會(huì)進(jìn)行記錄與發(fā)布，但卻僅與用戶提供的電子地址相關(guān)聯(lián)。因此，無(wú)論您使用比特幣購(gòu)買怎樣的產(chǎn)品，其他人都無(wú)法借此追蹤到您本人。

為什么說(shuō)比特幣匿名交易并不完美？

雖然這樣的能力對(duì)于部分用戶而言確實(shí)非常方便，但其匿名性還遠(yuǎn)稱不上完美。安全專家們更傾向于將其稱為匿名隱私，因?yàn)檫@類似于用化名寫書。只要化名與您沒(méi)有關(guān)聯(lián)，大家就可以順利保護(hù)自己的隱私。然而，一旦有人發(fā)現(xiàn)了化名與作者間的關(guān)系，那么真相將迅速浮出水面，這意味著同一化名下的整個(gè)寫作歷史都將變得不再是秘密。同樣的，一旦您的個(gè)人資料與比特幣地址關(guān)聯(lián)起來(lái)，您的整個(gè)購(gòu)買記錄也將遭到曝光。

這無(wú)疑給希望使用比特幣進(jìn)行匿名支付的用戶們帶來(lái)了重要的問(wèn)題：將個(gè)人資料與比特幣交易聯(lián)系起來(lái)，到底難度如何？

Web追蹤器以及cookies

今天，我們從普林斯頓大學(xué)的史蒂芬·戈德菲爾德及其好友處得到了上述問(wèn)題的答案。他們表示，一般性購(gòu)買活動(dòng)當(dāng)中的信息顯示方式，將使得相關(guān)個(gè)人與比特幣支付以直觀方式聯(lián)系起來(lái)，即使采用CoinJoin等額外的隱私保護(hù)手段，仍無(wú)法徹底解決這個(gè)問(wèn)題。

而造成這一結(jié)果的罪魁禍?zhǔn)自谟赪eb追蹤器以及cookies，這些代碼片段會(huì)被故意嵌入至網(wǎng)站當(dāng)中，用以向第三方發(fā)送與網(wǎng)站使用方式相關(guān)的信息。常見的各類Web追蹤器會(huì)向谷歌、Facebook以及其它廠商發(fā)送信息，用以追蹤頁(yè)面使用情況、購(gòu)買金額以及瀏覽習(xí)慣等等。一部分追蹤器甚至?xí)苯影l(fā)送個(gè)人身份信息，包括用戶的姓名、地址與電子郵件等等。

通過(guò)這種方式，相關(guān)交易信息會(huì)被泄露到網(wǎng)絡(luò)上，而政府、執(zhí)法機(jī)構(gòu)以及惡意人士則可隨時(shí)進(jìn)行收集和分析。

戈德菲爾德和他的調(diào)查員同伴們希望了解，利用此類信息將個(gè)人與其比特幣交易聯(lián)系起來(lái)究竟難度如何。這一過(guò)程要求窺探者掌握目標(biāo)的個(gè)人身份信息，例如姓名與電子郵件，而后將其與特定比特幣地址進(jìn)行比較。

超三成商家有意泄露交易信息

調(diào)查團(tuán)隊(duì)首先列出了允許進(jìn)行比特幣交易的各主要商家，并從中挑選出130家，且包括微軟、NewEgg以及Overstock等知名企業(yè)。

接下來(lái)，他們研究了Web追蹤器如何在購(gòu)買過(guò)程當(dāng)中從站點(diǎn)處泄露信息。戈德菲爾德和同事們解釋稱，“在全部130家調(diào)查商家當(dāng)中，至少有53家將付款信息泄露給最少30個(gè)第三方組織機(jī)構(gòu)，且其中大部分信息來(lái)自購(gòu)物車頁(yè)面。”其中大部分信息泄露行為屬于有意為之，旨在用于廣告宣傳與分析。

研究人員們同時(shí)指出，Web追蹤器也會(huì)發(fā)送部分額外信息。例如他們發(fā)現(xiàn)一部分商家網(wǎng)站的信息泄露問(wèn)題更為嚴(yán)重（可能屬于無(wú)意行為），其直接將區(qū)塊鏈上的交易披露給數(shù)十款追蹤器。”

這對(duì)于希望以匿名方式利用比特幣進(jìn)行購(gòu)物的用戶顯然不是什么好消息。

另外，即使交易本身的匿名性得以保證，惡意人士仍然可以通過(guò)購(gòu)買數(shù)量與時(shí)間等信息將操作與用戶關(guān)聯(lián)起來(lái)。

在這種情況下，窺探者需要根據(jù)當(dāng)時(shí)的匯率將購(gòu)買金額換算為比特幣，而后立足特定時(shí)間段進(jìn)行交易搜索。搜索結(jié)果將顯示用戶的比特幣地址。如此一來(lái)，我們即可據(jù)此找到更多使用同一地址完成的比特幣交易。

交易操作關(guān)聯(lián)用戶仍存在困難

不過(guò)另一些因素則可能讓整個(gè)關(guān)聯(lián)過(guò)程變得更為困難。Web追蹤器可能會(huì)提供產(chǎn)品價(jià)格，但其中并不包括配送價(jià)格，這意味著買家所支付的比特幣總數(shù)將難以確定。

另外，用戶在查看作為泄露信息源頭的頁(yè)面（例如結(jié)賬頁(yè)面）與實(shí)際進(jìn)行購(gòu)買之間，可能存在著顯著的時(shí)間差異。比特幣交易中包含有時(shí)間戳，因此如果時(shí)間無(wú)法確定，那么整個(gè)追蹤過(guò)程也將變得極為困難。

購(gòu)買金額通常以當(dāng)?shù)刎泿牛ɡ缑涝蛴㈡^）為單位給出，并在購(gòu)買時(shí)換算為比特幣。由于比特幣匯率存在巨大的波動(dòng)性，因此如果購(gòu)買時(shí)間不準(zhǔn)確，我們也將難以計(jì)算出可靠的比特幣數(shù)量。

這一切因素都使得我們很難將個(gè)人與比特幣交易關(guān)聯(lián)起來(lái)，但必須強(qiáng)調(diào)的是，可能性仍然存在。研究人員們發(fā)現(xiàn)，在超過(guò)六成的案例當(dāng)中，此類參數(shù)都具有一定現(xiàn)實(shí)意義，即可用于實(shí)現(xiàn)關(guān)聯(lián)。”

使用CoinJoin仍可能增加回溯準(zhǔn)確性

當(dāng)然，市面上也存在著進(jìn)一步隱藏比特幣交易的方法。其中最具人氣的正是CoinJoin——這是一項(xiàng)將有意進(jìn)行同類支付交易的用戶加以匯總的服務(wù)，意味著他們可以進(jìn)行共同支付。由于采取集中比特幣付款方式，因此識(shí)別其中的特定個(gè)人將變得更加困難。

然而，戈德菲爾德及其同事亦指出，如果某一個(gè)人利用CoinJoin進(jìn)行多次購(gòu)買，則進(jìn)行身份回溯的難度將大大降低：“如果受害者使用三次CoinJoin，而惡意一方觀察到其中的兩次支付操作，則將可實(shí)現(xiàn)高達(dá)98%的回溯準(zhǔn)確率。”

買家也可以使用Ghostery、AdBlock Plus或者uBlock Origin等工具以保護(hù)自身。雖然其確實(shí)有用，但有時(shí)可能仍會(huì)放過(guò)部分追蹤器，甚至?xí)苯幼柚菇灰走M(jìn)行。戈德菲爾德及其同事解釋道，“此類防御工具雖然非常有效，但還遠(yuǎn)稱不上完美。”

毫無(wú)疑問(wèn)，上述消息對(duì)于希望保護(hù)自身在線隱私的用戶們而言，無(wú)疑相當(dāng)令人沮喪。

不過(guò)這一切對(duì)于希望追蹤惡意活動(dòng)的執(zhí)法機(jī)構(gòu)而言，卻相當(dāng)于一種福音。戈德菲爾德及其同事坦言，“正如其它針對(duì)加密貨幣匿名化能力的攻擊手段一樣，我們的技術(shù)也可用于構(gòu)建以執(zhí)法為目的的取證工具。”

也正如其它去匿名化攻擊手段一樣，戈德菲爾德等人發(fā)現(xiàn)的方法同樣既有優(yōu)勢(shì)、又存在缺陷。