Blockchain

Partie 1 : Blockchain Analytics est plus un art qu’une science | par Coinbase | mars 2022

Partie 1 : Blockchain Analytics est plus un art qu'une science |  par Coinbase |  mars 2022

Par l’équipe d’enquêtes spéciales de Coinbase

Introduction

Bitcoin et de nombreuses autres crypto-monnaies sont souvent qualifiées de pseudonymes. Tout le monde peut consulter les enregistrements d’un grand livre public, mais ne sait pas nécessairement qui se cache derrière chaque adresse ou transaction. Mais à quoi ressemble le pseudonymat dans la pratique ? Comment les crypto-monnaies sont-elles suivies ? Et peut-on vraiment démasquer quelqu’un sur la blockchain ? Découvrons-le.

La nature publique des blockchains permet un certain degré d’analyse prédictive, permettant aux chercheurs d’associer des adresses et des transactions à des entités et parfois à des individus. Tout le monde peut regarder la blockchain, mais ce qui fait la différence, c’est la précision interprétation de ces données publiques, ainsi que corroborant avec d’autres types d’informations recueillies à l’extérieur. Une fois combinées, ces données peuvent être utilisées pour analyse de la chaîne de blocs.

L’analyse de la blockchain est largement utilisée pour l’intelligence du marché, l’analyse des tendances et les enquêtes, parmi de nombreux espaces émergents. L’objectif principal de l’analyse de la blockchain est attribution — lier des actifs et des événements spécifiques à des entités particulières ou même à des individus.

L’attribution de la propriété, cependant, est souvent nuancée car les observateurs extérieurs ne peuvent l’inférer qu’en fonction de facteurs tels que la disponibilité et la qualité des preuves. Par preuve, on entend la preuve qu’une adresse appartient effectivement à un individu ou à une entité. À moins que vous ne possédiez vous-même une adresse, il est très difficile de dire avec une certitude absolue à qui appartient une adresse. C’est pourquoi il est plus approprié de considérer l’analyse de la blockchain est plus un art qu’une science.

Comprenons les bases de l’analyse de la blockchain et apprenons pourquoi l’attribution est souvent plus compliquée qu’il n’y paraît.

Notions de base sur l’attribution

Pouvez-vous dire à quelle entité cette adresse appartient :

1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ?

Est-ce un échange ? Est-ce un marché darknet ? Ou peut-être un portefeuille privé (autrement connu sous le nom de portefeuille non hébergé) ? Pour répondre à cette question, nous devons creuser pour certains vérité terrain.

1. Preuve de la vérité sur le terrain

Une recherche de la vérité commence souvent par une simple recherche sur Google ou des sites de crowdsourcing comme BitcoinAbuse.com:

Des sites Web comme BitcoinAbuse.com peuvent être utilisés par n’importe qui pour signaler de manière anonyme les adresses BTC liées à une activité suspecte. Malheureusement, la fiabilité de ces informations peut être très faible. Selon Blockchain.comnotre adresse d’intérêt a reçu plus de 767 BTC. WalletExplorer.com implique que cette adresse est liée à un grand échange de crypto-monnaie offshore, ce qui est corroboré par des outils commerciaux d’analyse de blockchain.

En effet, les outils commerciaux d’analyse de blockchain identifient cette adresse comme appartenant à un grand échange de crypto-monnaie offshore.

Qu’en est-il de la nature de l’activité ? L’utilisateur de l’échange est-il impliqué dans un rançongiciel ?

Des recherches plus poussées relient cette adresse à un échangeur appelé Coinguru.pw:

Coinguru permet aux utilisateurs d’échanger entre différentes crypto-monnaies, en ne fournissant rien de plus qu’une adresse e-mail.

À ce stade, vous vous demandez probablement : à qui appartient cette adresse ?

  • l’opérateur de rançongiciel signalé par la foule BitcoinAbuse ?
  • Un grand échange de crypto-monnaie offshore?
  • Coinguru ?
  • …Tout ce qui précède?!

Eh bien, la réponse est compliquée.

Nous avons des preuves de première main de 1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ utilisé par Coinguru, un service d’échange exploitant un compte sur un grand échange de crypto-monnaie offshore. Les échangeurs comme Coinguru utilisent souvent l’infrastructure de plates-formes plus grandes pour réduire les coûts et accéder à la liquidité. Nous les appelons services imbriqués. Ceux-ci s’adressent également aux utilisateurs qui pourraient ne pas vouloir se donner la peine de créer leurs propres comptes sur un échange. En fait, certains acteurs néfastes peuvent utiliser ces services pour retirer des fonds illicites.

À des fins d’étiquetage, il suffirait de dire qu’il s’agit d’une adresse appartenant à la bourse. Si un régulateur ou un organisme chargé de l’application de la loi enquêtant sur des transactions liées à un ransomware décide de s’enquérir des détails, l’échange de crypto-monnaie les renverra à Coinguru qui serait le mieux placé pour fournir des informations supplémentaires sur des transactions spécifiques.

2. Qualité des preuves et norme de preuve

La qualité des preuves peut varier et l’analyse de la blockchain ne fait pas exception. Parfois, vous pouvez tomber sur une « preuve irréfutable », mais il est plus probable que vous deviez passer du temps à corroborer des preuves incomplètes, circonstancielles, fragmentées ou carrément trompeuses. Néanmoins, même les preuves les plus faibles peuvent faire allusion à une activité ou à une entité particulière qui se cache derrière.

Comme nous l’avons déjà vu, des sources signalées par la foule telles que BitcoinAbuse se situent au bas de l’échelle de fiabilité. Non pas qu’ils doivent être entièrement actualisés, mais il est préférable de recueillir les preuves menant à l’attribution d’adresses cryptographiques directement à partir de la source. Dans le cas des services d’échange, la source serait leur site Web affichant une adresse de dépôt.

L’attribution ultime provient de la capacité d’interagir avec le service, ce qui lui vaut le score de confiance le plus élevé. Cependant, cela est souvent interdit, en particulier lors d’enquêtes sur des activités telles que le financement du terrorisme (FT). Dans de tels cas, la recherche se déplace vers le monde de l’intelligence open source (OSINT). Beaucoup peut être appris des sites Web d’agrégateurs, des forums en ligne, des groupes de discussion, des plates-formes de communication mobile, des domaines cachés sur le réseau Tor et de la collecte d’informations de manière automatisée par des fournisseurs tiers. Mais même les meilleures preuves ne sont d’aucune utilité sans les outils d’enquête appropriés.

3. Éliminer les erreurs d’attribution

Les outils d’investigation de la blockchain comprennent des logiciels d’analyse de blockchain, des bases de données privées et open source, des moteurs de recherche, etc. La meilleure pratique d’enquête consiste à combiner une combinaison de ces outils, y compris des logiciels disponibles dans le commerce, et à corroborer les preuves à l’aide de sources indépendantes. Parfois, cependant, ces sources peuvent offrir des informations contradictoires.

Par exemple, considérez cette adresse : 1N9SxKeNvFoBFuFKEDU8yFCwPwoeHqgmhu.

Imaginez un enquêteur recevant des renseignements liant cette adresse à la vente de matériel d’abus sexuel d’enfants (CSAM). L’attribution de cette adresse variera en fonction de l’outil d’analyse de blockchain que vous consultez : certains ne l’ont pas du tout étiquetée, tandis que d’autres l’attribuent à un service marchand. La recherche open source confirme que ce service particulier permettait aux utilisateurs de télécharger des fichiers et de les vendre pour diverses crypto-monnaies. Des adresses comme celle ci-dessus ont été générées pour chaque utilisateur et étaient toutes liées à différents types d’activité, en fonction de ce qu’un utilisateur individuel achetait.

Alors que certains téléchargements vers ce service marchand ont été bénins, certains ont été identifiés comme illicites, selon l’Internet Watch Foundation (IWF), une organisation à but non lucratif luttant contre la distribution de CSAM. Apparemment, le même service marchand a également été utilisé pour les téléchargements de clés de déchiffrement de ransomware. Alors, l’adresse d’intérêt peut-elle appartenir à la fois à un vendeur illicite et au service marchand ? Oui.

La bonne façon d’attribuer ce service dans un outil d’analyse de blockchain serait de prendre toutes les adresses connues associées au service et de les étiqueter en conséquence. Ensuite, à la suite de l’enquête sur les adresses individuelles et leurs activités connexes, des étiquettes spécifiques doivent être appliquées conformément aux résultats documentés. Qualifier l’ensemble du service d’illicite serait une mauvaise attribution. Cela peut avoir un impact négatif sur les outils et les services qui s’appuient sur les données d’analyse de la blockchain, tels que les systèmes de surveillance des transactions ou les assignations à comparaître des forces de l’ordre, entraînant une augmentation des fausses alertes positives et des pistes erronées.

4. Les inconnues inconnues

En octobre 2019, un article moyen a été publié avec un titre flashy – « Énorme mélangeur Ethereum”. Un data scientist russe a analysé les flux ETH entre février et septembre 2017, affirmant que « … 68 % de la valeur totale des transactions Ethereum [is] contrôlé par un seul système… Les fonds arrivent et partent dans l’heure, et les adresses ne sont plus jamais utilisées. Le chercheur a consacré beaucoup d’efforts à analyser le comportement du « mélangeur », ses modèles de transaction et la part des transactions totales sur Ethereum au fil du temps. Au centre de l’article se trouvait ce schéma :

Remarquez à quel point la plupart des grands échanges sont présents à l’époque : Kraken, Poloniex, Bitfinex, etc. Pouvez-vous deviner lesquels manquent ?

Espérons qu’à ce stade, il est assez évident qu’un observateur externe ne peut pas obtenir une image complète ou revendiquer une confiance à 100% dans l’attribution. Gardez à l’esprit qu’en matière de blockchain, tout le monde est un observateur externe, à l’exception des adresses que vous contrôlez.

Restez à l’écoute pour la deuxième partie, où nous approfondirons des exemples de la façon dont l’analyse de la blockchain peut à la fois éclairer et confondre.