Частное лицо или группа, объединенная под именем LinkingLion собирает данные о владельцах биткоинов с марта 2018 года и уже использовал(-овала) более 800 различных IP-адресов, чтобы скрыть свою деятельность, рассказывает 0xB10C.
LinkingLion устанавливает TCP-соединение с биткоин-узлом и запускает подтверждение версии, отправляя сообщение: version. Сообщения о версии имеют неясные пользовательские агенты, такие как, например, /bitcoinj:0.14.3/Bitcoin Wallet:4.72/, /Classic:1.3.4(EB8)/или /Satoshi:0.13.2/. Всего LinkingLion использовал 118 различных пользовательских агентов. Почти все они появляются в сообщениях о версии с одинаковой частотой. То есть пользовательские агенты выбираются из списка и, вероятно, являются поддельными.
«LinkingLion открывает соединения со многими узлами сети Биткоина, используя четыре диапазона IP-адресов, и прослушивает объявления о транзакциях. Использует IP-адреса из трех диапазонов IPv4/24 и одного диапазона IPv6/32 для подключения к прослушивающим узлам в сети Биткоин. Это может позволить LinkingLion связать новые широковещательные транзакции с IP-адресами узлов. Такое поведение может указывать на то, что неизвестный/ные пытается определить, доступен ли конкретный узел по конкретному IP-адресу. Все эти диапазоны IP-адресов объявлены AS54098, LionLink Networks», — пишет 0xB10C.
На основании информации реестра ARIN и RIPE, диапазоны принадлежат разным компаниям: Fork Networking, Castle VPN, Linama UAB и Data Canopys.
Fork Networking и Castle VPN — это американские компании, принадлежащие одному и тому же владельцу. Fork Networking предлагает услуги хостинга и колокации, а Castle VPN — VPN-провайдер. Linama UAB — литовская компания, не представленная в Интернете. Data Canopy — американская компания, предлагающая облачные и колокационные центры обработки данных. Поскольку подключения из этих диапазонов IP-адресов имеют очень похожее поведение, 0xB10C предположил, что они контролируются или арендуются LinkingLion.
Примерно в 15% случаев LinkingLion не сразу закрывает соединение. Вместо этого либо прослушивает сообщения инвентаризации, содержащие транзакции, либо отправляет запрос адреса и прослушивает как сообщения инвентаризации, так и адресные сообщения. Затем закрывает соединение в течение десяти минут.
Информация, которую LinkingLion получает от узла, может быть разделена на метаданные, инвентарь и адреса. Все соединения узнают о метаданных узла, которые включают в себя информацию о том, когда узел доступен или недоступен, какая версия программного обеспечения работает на этом конкретном узле и когда он обновляется, какую высоту блока считает лучшей и когда она меняется, какие услуги предлагает узел.
0xB10C предположил, что таким образом LinkingLion может записывать синхронизацию транзакций, чтобы определить, какой узел первым получил транзакцию. Затем эту информацию можно использовать для определения IP-адреса, связанного с конкретным биткоин-адресом. Согласно 0xB10C, LinkingLion может использовать эту информацию для привязки широковещательных транзакций непосредственно к IP-адресам.
0xB10C предлагает защитить сообщество от угрозы кражи конфиденциальных данных путем создания списка запретов с открытым исходным кодом, который узлы могут использовать, чтобы закрыть для LinkingLion возможность подключения. Однако 0xB10C обращает внимание разработчиков, что LinkingLion может попытаться обойти список запретов, изменив IP-адреса, которые в настоящее время использует для подключения. Краткосрочной профилактикой может быть ручной запрет диапазонов IP-адресов, используемых LinkingLion для входящих подключений к узлам. По мнению 0xB10C, единственным постоянным решением проблемы может стать изменение логики транзакций в Bitcoin Core.
Согласно данным отчета «Лаборатории Касперского» за 2022 год, компания
почти 200 000 попыток кражи данных криптовалютных кошельков и учетных записей криптоинвесторов.
Источник: