区块链调查取证研究――以比特币为例
一、引言
早在2013年,中国人民银行、工业和信息化部、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会曾联合印发《关于防范比特币风险的通知》。其中明确了比特币的性质,认为比特币从性质上看,是一种特定的虚拟商品,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。但是,比特币交易作为一种互联网上的商品买卖行为,普通民众在自担风险的前提下拥有参与的自由。
区块链技术代表了金融科技及其他领域应用的新范式,伴随其在金融、证券等领域的应用,针对这些区块链应用的犯罪与恐怖袭击开始露头。可以说,区块链技术及其应用在悄然改变人们生活的同时,也为社会管理带来了新问题,尤其是在金融、证券安全方面。因此,现阶段政府机关和国际组织也越来越重视区块链技术。
任何技术总是双刃剑,区块链技术亦是如此。不管我们承认与否,加密货币的崛起,除了偷窃加密货币本身之外,对或将对四个方面的犯罪活动起到一定的促进作用:逃税、洗钱、违禁交易和敲诈勒索。可以预见未来这几个领域内,执法部门将长期、大规模与相关方进行着“猫捉老鼠”的游戏。代理机构和犯罪分析会提出新逃避技术、新匿名网络货币,以逃避执法机构打击。
面临这种新形势,执法部门需要考虑的问题是:如何在区块链驱动的世界中追踪犯罪分子?如何利用智能的洞察力打击相关欺诈?在区块链技术不断加速采用过程中,这些都因区块链应用的分散性、弱中心化或去中心化、开放性、自治性、信息不可篡改、匿名性等特征而给执法部门带来了巨大的挑战。越来越多的执法人员也认识到只有通过技术创新,才能完成未来的执法任务。
二、相关理论
(一)区块链与比特币
区块链(blockchain 或 block chain)是用分布式数据库识别、传播和记载信息的智能化对等网络, 也称为价值互联网。中本聪在2008年,于《比特币白皮书》中提出“区块链”概念,并在2009年创立了比特币社会网络,开发出第一个区块,即“创世区块”。区块链被认为是一种特殊的分布式数据库,其主要包括三个基本概念。交易(transaction),即对账本进行一次操作,引起账本状态的一次改变,例如添加一条转账记录,或者添加一条交易记录;区块(block),指记录交易和状态结果的数据块,组成区块链的每个区块(block)类似数据库的记录,每次写入数据,即创建一个区块,这个区块包括区块头(Head)和区块体(Body)两个部分,区块头记录当前区块的特征值,区块体记录实际交易数据;链(chain),是由区块按发生顺序串联而成的,是整个账本状态变化的日志记录。
以比特币交易为例理解区块链工作过程:
1.比特币客户端发起一项交易并广播到比特币网络中待确认;
2.网络中的节点将一些收到的等待确认交易记录(包括前一个区块头部的哈希值等信息)打包,组成一个候选区块,并且试图找到一个随机串放到区块里从而让候选区块的哈希结果满足一定条件(比如小于某个值),这个随机串的查找需要一定的时间去进行计算尝试;
3.一旦节点算出来满足条件的nonce串,该区块在格式上就被认为是“合法”,即可尝试在网络中将其广播出去;
4.其他节点收到候选区块后进行验证,若确实符合约定条件,则被承认为一个合法的新区块,并添加到自己维护的区块链上;
5.当大部分节点将该区块添加到自己维护的区K链结构上时,该区块被网络接受,区块中包括的交易得到确认。
(二)区块链技术核心
1. 共识机制
区块链技术是比特币的基础技术架构,区块链可以理解为一个基于互联网的去中心化记账系统,类似比特币的去中心化数字货币系统,要求在没有中心节点的情况下保证各个节点记账的一致性。因此区块链技术的核心是在没有中心控制的情况下,在互相没有信任基础的个体之间就交易的合法性等达成共识的共识机制。区块链的共识机制目前主要有4类:PoW、PoS、DPoS、分布式一致性算法。
2. 解锁脚本
脚本是区块链上实现自动验证、自动执行合约的重要技术。每一笔交易的每一项输出严格意义上并不是指向一个地址,而是指向一个脚本。脚本类似一套规则,它约束着接收方怎样才能花掉这个输出上锁定的资产。因此,交易的合法性验证也依赖于脚本。
3. 交易规则及交易优先级
区块链的交易就是构成区块的基本单位,也是区块链负责记录的实际有效内容。一个区块链交易可以是一次转账,也可以是智能合约的部署等其他事务。
区块链交易的优先级由区块链协议规则决定。对于比特币而言,交易被区块包含的优先次序由交易广播到网络上的时间和交易额的大小决定。随着交易广播到网络上的时间的增长,交易的链龄增加,交易的优先级就被提高,最终会被区块包含。对于以太坊而言,交易的优先级还与交易的发布者愿意支付的交易费用有关,发布者愿意支付的交易费用越高,交易被包含进区块的优先级就越高。
4. Merkle证明
Merkle证明的原始应用是比特币系统(Bitcoin),它是由中本聪(Satoshi Nakamoto)在2009年描述并且创造的。比特币区块链使用了Merkle证明,为的是将交易存储在每一个区块中。使得交易不能被篡改,同时也容易验证交易是否包含在一个特定区块中。
5. RLP
RLP(Recursive Length Prefix,递归长度前缀编码)是Ethereum中对象序列化的一个主要编码方式,其目的是对任意嵌套的二进制数据的序列进行编码。
三、区块链取证――以比特币取证为例
(一)比特币调查取证面临问题
1.比特币调查取证最大挑战――匿名性 比特币调查取证最大挑战是其匿名性。悉尼大学和悉尼科技大学的研究人员进行的这项研究发现,44%的比特币交易和25%的所有用户都与非法活动有关。他们自2017年4月的研究结果(最新研究样本)表明,约有2400万比特币市场参与者使用“主要用于非法目的”的加密货币。研究人员称,这些比特币用户估计每年进行约3600万次交易,总价值约为720亿美元,并共同持有价值约80亿美元的比特币。比特币在罪犯中如此受欢迎的一个主要原因是,加密货币允许用户隐藏他们的身份。
但比特币本身并不是真正的匿名,因为每笔交易都记录在名为区块链的公共总账中,所有用户都可以看到比特币交易的全部历史,这实际上以提高潜在客户活动的可视性。研究人员可以使用这些信息来识别特定的个人,执法部门可以进行相关调查取证。
2.执法部门应对
匿名比特币的发展增加了执法难度,但比特币的调查取证落脚点在于:犯罪分子最终必须在某个时候交换他们选择的法定货币(又名’真钱’)。通过充分观察这些交易,可能会导致恶意行为人的“去匿名化”,即通过辨别方式继续执行相关调查取证与监管。总体来说,可通过去匿名化和异常检测两种检测可疑活动的方法。
(二)比特币调查取证可行性基础
现代电子商务模式要求用户在商品交易过程必须提供一定的个人相关信息,这在一定程度上为调查取证提供了方法和基础。可以认为,大多数合法的企业都在使用类似侵入的手段来追踪用户,这些追踪包括滥用HTML5 API进行指纹识别,如Canvas,Audio Context和Battery Status; 跨设备跟踪; 对浏览器添加一定隐私相关功能的解决方案(例如谷歌浏览器、360浏览器均有相关功能);甚至从未提交的表单中嗅探数据。
这些跟踪者观察购物和支付流量的问题是不可能消失的。首先,企业要向用户展示他们已知购买兴趣类商品的广告,这是最有价值的广告形式之一,当进一步进入付款流程则可以观察到用户(购物车页面,结账页面等);其次,广告系列通过对付款流程进行跟踪,可以帮助分析用户是否实际购买了提供广告的商品,即是否已经付款。基于此,我们可以将这种被动攻击技术转化为调查取证技术。
比特币通常被视为匿名支付网络,发现比特币使用痕迹及针对比特币的调查取证基于如下考虑。
1.比特币的可追溯性
比特币的金融特性决定用户通常必须透露自己的身份才能获得服务或商品,同时决定了比特币地址不能保持完全匿名,而区块链则是永久性的,无疑这为比特币提供了可追溯性。即使如joincoin类的混合服务的在线服务会通过使用独立的比特币地址接收和发回相同的金额来提供混合用户之间的可追溯性,但对于较大的交易,依然是可追溯的。
2.比特币地址关联
虽然比特币是匿名处理,但同时也具有前所未有的透明度,所有比特币交易都是公开、可追踪且永久存储在比特币网络中的,而唯一用于定义比特币分配和发送位置的信息是比特币地址。比特币地址由用户钱包私人创建,一个比特币地址一旦使用,就会与涉及的所有交易的历史所连接。这就意味着任何人都可以看到余额及所有与其进行交易的比特币地址。
当比特币用户在诸如网站或社交网络这样的公共场所发布比特币地址后,如果将此地址的任何资金转移到自己的其他地址之一,这样的操作痕迹可以使得针对该用户其他地址的调查取证有迹可寻,变得更加简单,尤其是从其他账户着手调查其相关账户交易和购买的信息r候,区块链上的公开地址交易一目了然。
3.IP地址获取
比特币网络是点对点网络,可以监听交易中继并记录其IP地址无阻碍,所以比特币交易中的IP地址是能够被记录的。
(三)区块链调查取证――比特币为例
1. 比特币的交易模式与比特币支付
(1)比特币的交易模式
比特币用户在比特币交易平台上看到最近时间段内比特币的价格趋势图,利用交易平台中的“交易中心”之类的栏目,看好买入比特币的最佳时期后,根据当前自己在交易平台中注入的可用资金数量(资金数量可通过平台的充值功能调整)买入或者卖出相应的比特币。这个过程类似于股票的买入卖出交易,在交易平台中可以查询交易记录。
(2) 比特币支付
国外越来越多的商户加入支持比特币的阵营:微软、戴尔、steam等这些在线大的商户都支持比特币在线直接支付;线下大的类似各种大型商场,如日本的bicCamera等;国外的很多中小型网站,例如网页端、国外游戏辅助、虚拟物品、个人卖家等平台基本都支持比特币付款。我国国内关于比特币支付,网络上有淘宝有商家支持比特币的新闻,但是“接受比特币支付,按时价同等价格购买”这一说法说明了比特币支付国内的现状问题,起步比较晚且少,目前尚未有完备的支付流程支持比特币。但随着网络技术、经济及金融发展,比特币支付已然呈现出 “海外繁华依旧,国内加速布局”的趋势。
2. 比特币交易与支付电子痕迹分析
越来越多的在线商家开始提供使用加密货币比特币支付的能力,这项技术的一个重要承诺是匿名性,即交易会被记录并公开,但它们仅与电子地址相关联。所以无论用比特币购买什么,购买行为本身不能直接指向购买者本人身份。无疑,这对一些人来说很方便,但却并非是绝对匿名的,由于网络商人经常会因为广告等各种原因而泄露交易中购买者及购买交易本身相关信息,这就使得可把比特币交易与购买个人直接关联起来,只要个人信息与其比特币地址相关联,则其所有购买历史记录也会显示出来。
(1)QR码
用户在网站上购买比特币时,需要提供自身的QR码,而Cookie中会商家会将交易交易的比特币地址保存,甚至处于广告或者分析目的,而对其跟踪并将信息定向发送至特定网站或者特定的接收方。
(2)购买金额 用户在比特币支付的购物网站上,交易过程中必然会提供支付比特币金额。
(3)用户的个人信息
凡是用户登录过的商家网站,都会残留有用户有关的部分或全部个人信息。
(4)历史数据
大多数购物网站上,第三方追踪者传递接、收关于用户购买的相关信息,主要是为了广告和分析目的。商家往往会考虑重定向,即向用户展示他们已知购买兴趣的物品的广告,因为这是最有价值的广告形式之一。更进一步,商家在进入付款流程中可以观察到用户(购物车页面,结账页面等信息),这些揭示了用户进一步的更大的购买兴趣;再进一步,商家有需要对付款流程进行跟踪,以帮助分析提供广告的用户是否实际购买了付款,这给他们广告的转化跟踪形成更大的优势。
可以认为大多数追踪者是合法的企业,但已知使用侵入手段来追踪用户,这些手段包括HTML5 API进行指纹识别(如Canvas,Audio Context和Battery Status)、跨设备跟踪、利用浏览器隐私功能、从未提交的表单中嗅探数据等方式。即使用户可能使用诸如Ghostery或uBlock Origin之类的跟踪保护工具进行自卫,但利用被动攻击(主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。)原理,一些追踪者已在日志中积累了数据,这些可以用于回顾性地执行分析。
当用户使用加密货币支付,则可以利用cookie和跟踪信息拥有足够的关于购买的信息,这些信息可用于唯一标识区块链上的交易,并将其链接到用户的cookie,从而进一步链接到用户的真实身份。如果这种方式将同一用户的两次购买链接到区块链,则即使用户使用Coinjoin(混合区块链)这样的区块链匿名技术,也可以识别出用户在区块链上的整个地址和所有交易。
3. 比特币调查取证
比特币调查取证的主要任务包括:知道一个人的个人可识别信息如名称和电子邮件;获取其比特币交易过程中的有关痕迹信息;追踪比特币交易并将其与特定的比特币地址相关联;根据比特币地址获取该个人的所有交易情况。
比特币调查取证所关键技术和工具是:区块链浏览器和Cookies。
(1)Cookies
Cookies 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是Web 服务器保存在用户浏览器(客舳耍┥系男∥谋疚募,主要用于存储有关用户的信息,以便用户链接到服务器时访问。目前许多 Web 站点开发人员使用 Cookie 技术,如使用Session 就必须有Cookie 的支持,一旦屏蔽 Cookie,会有许多站点页面拒绝访问。
(2)区块链浏览器
区块链浏览器可以浏览比特币区块链,查找比特币交易。而根据罗卡交换定律(Locard exchange principle, Locard’s theory),“凡两个物体接触,必会产生转移现象”。在比特币交易,亦会留下一些痕迹。在利用比特币进行普通购物的过程中,即使购买者使用诸如CoinJoin这样的隐私保护措施,也同样会产生一定的痕迹,从而导致个人身份直接与他们生成的比特币交易相关联。可以利用区块链浏览器对比特币交易情况进行分析。根据普林斯顿大学Steven Goldfeder团队的研究,在其提出的包括微软、NewEgg和Overstock 在内的130个允许比特币交易的主要商家中, Web购物者在购买过程中,网站为了广告和分析目的,通常会通过将一小段代码嵌入到向第三方发送关于人们使用网站方式的信息的网站中,通用网络跟踪器向Google,Facebook和其他网站发送信息,以跟踪页面使用情况,购买金额,浏览习惯等。一些追踪者甚至发送个人身份信息,例如姓名、地址和电子邮件。通过这种方式,有关交易的信息会泄露到Web上,执法部门可以收集和分析这些信息进行调查取证工作。
根据获得信息中的购买金额使用当时的汇率转换为比特币,然后在当时搜索区块链,查找相同比特币数额的交易,从而找到用户的比特币地址。一旦有了用户的比特币地址,顺其追踪该用户的其他交易就极为简单了。
在调查取证过程中,存在着这样的情况:
仅追踪到交易产品成本而没有确切运费,因此总比特币购买并不明确。
用户查看信息页面所留下的痕迹信息(例如结账时候的购物手推车中信息)与实际购买时间之间存在差距。因为比特币购买有时间标记,所以时间不准确,就很难追踪到比特币交易。
比特币购买金额通常以当地货币(如美元或英镑等)给出,然后在购买时转换为比特币。而比特币汇率变化较大,如果购买时间未知则难以计算确切的比特币价值。
上述三种因素会造成将痕迹中的个人信息与他们的比特币交易联系起来更加困难,但多数情况下,这些实际的痕迹参数与比特币交易之间仍然是具有独特联系的。
四、结语
随着由于比特币匿名性减弱,比特币“犯罪”也不断通过各种方式加强加密货币的匿名性,例如采用“零防御技术”,即从块链分类账中删除所有识别信息(包括发送者,接收者和交易金额等),这实际是从本质上消除区块链技术追踪交易的能力,如Zcash就是一种实施这种技术的加密货币。另外采用洋葱路由器(Tor),即利用Tor匿名化用户的IP地址,这在暗网上的违禁品交易匿名方面利用较多。可以预见,随着政府机关和国际组织对区块链技术重视程度不断增大,比特币这样的区块链应用会更加公开和光明,从而带来虚拟货币产业的大发展。而在加密货币匿名性上,因为市场需求的存在,必然会有另一些币种愈发黑暗和匿名,执法部门必须创新技术方法才能圆满完成这类案件的调查取证等执法任务。