Orwelli világot hozhat a digitális pénz: megfigyelhetők az Ethereum felhasználói

Az életünk egyre inkább digitális. Egyre több dolgot intézünk online, legyen szó bevásárlásról, filmnézésről, a barátainkkal és rokonainkkal való kapcsolattartásról. Interneten bankolunk már évek óta és hamarosan a pénzünk is digitális lesz. Azonban a pénz digitalizálása számos kihívást rejt magában.

A legtöbb problémát megoldotta egy Satoshi Nakamoto álnéven publikáló ismeretlen, aki a 2008-as pénzügyi válságra válaszul megtervezte és elindította a Bitcoint. A Bitcoin egy decentralizált internetes pénz, ami nem függ semmilyen központi szereplőtől: legyen az akár kormány vagy pénzintézet. A Bitcoin decentralizált, nyilvános főkönyvet használ – ezt hívjuk blokkláncnak, amiben minden felhasználó valaha volt összes tranzakcióját tárolják. Minden felhasználó használhatja a blokkláncot, csak egy úgynevezett nyilvános kulcsot és egy titkos kulcsot kell létrehoznia. A felhasználókat  a nyilvános kulcsuk azonosítja. Ez azt jelenti, hogy ha valaki megtudja valakinek a publikus kulcsát, onnantól lényegében látni fogja az összes korábbi tranzakcióját és a Bitcoin egyenlegét is.

A kriptovaluták és az adatvédelem

Az egyik legnagyobb kihívása a kriptovalutáknak a pénzügyi adatok védelme.

Ha például veszünk egy kávét készpénzzel, az eladó csak azt fogja tudni, hogy van legalább 200 forintunk, ami nem igazán nevezhető problémásnak adatvédelmi szempontból, hiszen a vásárlás lebonyolításához ennyi információt szükségképpen megtud az eladó a vásárlóról. Azonban a legtöbb kriptovalutánál a vásárlás befejezése után az eladó meg tudja nézni a küldő címét, ott pedig látja a számlaegyenleget és a vásárló teljes számlatörténetét. Ez nyilvánvalóan elfogadhatatlan adatvédelmi szempontból.

Nézzünk egy másik példát. Egy bútorgyár kriptovalutával fizet az egyik beszállítójának. Aki ismeri a bútorgyár számlájának címét, a blokkláncon meg tudja nézni, mennyit fizet havonta a beszállítójának. Ez az adat egyértelműen bizalmas, lényegében üzleti titok. A blokklánc átláthatósága miatt viszont bárki lekövetheti a tranzakciókat, aki tudja, hol keresse azokat.

Mivel a pénzügyi adatok védelme a kriptovaluta szinte összes felhasználási módjánál alapvető követelmény, elengedhetetlen, hogy a kriptovalutát használók megértsék, milyen adatvédelmi lehetőségeik vannak, illetve, hogyan tudják ezeket még inkább növelni.

Ethereum, okosszerződések és a számlaalapú modell

A használati statisztikák alapján mára az Ethereum lett a legnépszerűbb kriptovaluta. A Bitcoinnal ellentétben az Ethereum sokkal több, mint egy decentralizált, cenzúrázhatatlan pénznem. A használói nemcsak tranzakciókat végezhetnek, hanem okos szerződéseket is kiállíthatnak. Ezek olyan algoritmusok, amelyek gyakorlatilag bármilyen kikötést érvényesíthetnek automatikusan, átláthatóan és decentralizáltan.

Mivel a blokklánc megváltoztathatatlan, a szerződések feltételei sem módosíthatók, ha egyszer bekerültek oda. Így egyik fél sem tudja egyoldalúan módosítani egyetlen szerződési feltételét sem. Az okosszerződésekben lévő adatokat tehát nem lehet módosítani. Azaz az ilyen szerződéseknél  nincs szükség bizalomra, itt a kód a garancia.

A biztosításokon kívül az okosszerződéseknek sok más területen is lehet haszna (pl. crowdfunding, elektronikus szavazás, stablecoinok, előrejelzések, decentralizált pénzügyek), olyan dolgokban is, amikre ma még nem is gondolunk. Így nem meglepő, hogy az Ethereum nagyon népszerű.

Az Ethereum felhasználók profilozása

Úgy tűnik, az Ethereum esetében a könnyű használat és az adatvédelem egymásnak ellentmondó követelmények. Ha van egyetlen számlánk, könnyű használni a platformot, mivel nem kell új címeket generálnunk minden egyes beérkező tranzakcióhoz. Viszont adatvédelmi szempontból egyetlen cím  mindenképpen kockázatos. Ha az ugyanis kiderül, minden hozzá kötődő pénzügyi adatunkról információt szerezhetnek mások.

Egy új kutatásból kiderül az, hogy mennyire könnyen profilozhatók azok a felhasználók, akik csak egy vagy kevés számlát használnak. Például, a kimenő tranzakció időbélyegeiből nagy bizonyossággal megállapítható a felhasználók időzónája. Emellett több, hasonló dolog is beazonosítható. Ha az időzóna alapján nem is lehet egy felhasználót megtalálni, több ilyen kváziazonosító kombinálásával nagy eséllyel igen. Maga a tranzakciós hálózat is egy ilyen. Ha gépi tanulásos algoritmusokkal vizsgáljuk meg, a felhasználók közötti kapcsolatok szerkezete is azonosíthatja a felhasználókat.

Az adatvédelmet segítő eszközök is deanonimizálhatók

Az Ethereum pénzügyi adatainak védelmével kapcsolatos problémák nem újak a kriptovaluta közösségekben. Mostanra több adatvédelmet javító eszközt is kitaláltak és kifejlesztettek. Az egyik ilyen technikát az úgynevezett mixerek jelentik. Amikor mixert használnak, a felhasználók egyenlő pénzösszegeket helyeznek letétbe, ahonnan adott idő múlva, okosszerződés segítségével vehetik fel – anélkül, hogy kiderülne, pontosan melyik letét kihez tartozik. Ezt fejlett kriptográfiai eljárásokkal, például  zero-knowledge bizonyításokkal lehet megvalósítani.

A mixerek javítják a felhasználók adatvédelmét, mivel senki nem tudja biztosan, melyik letét tartozik egy adott kifizetéshez. Vagyis a tranzakciót lebonyolító felhasználó megkülönböztethetetlen lesz a többi mixert használó felhasználótól.

Azonban a meggondolatlan felhasználás könnyen felfedheti a letétbe helyezők, és a pénzüket felvevők közötti kapcsolatot, ezzel felfedve nemcsak saját magukat, hanem potenciálisan másokat is.

Az Ethereum legnépszerűbb mixere a Tornado Cash. Egy kutatásban megpróbáltak kapcsolatot találni a letétbe helyezések és a pénzkivételek között ennél a mixernél. Habár nem törtek fel semmilyen kriptográfiai protokollt, mégis képesek voltak feltárni többféle meggondolatlan viselkedést. A legegyszerűbb eset: ha a felhasználók ugyanazzal a címmel helyezik letétbe a pénzüket, mint amivel aztán felveszik, akkor ez a két cím összekapcsolható, ezzel kizárható az úgynevezett anonymity set-ből, vagyis a többiek anonimitása is csökken. A meggondolatlan felhasználók azzal is felfedhetik magukat, ha e két cím között végeznek tranzakciót. Emellett nemcsak a mixerek meggondolatlan használata veszélyezteti a felhasználók adatainak védelmét. Megfigyelések szerint profilozási technikákkal is felfedhetők az anonimnak gondolt felhasználók.

A kriptovaluta használók számlaegyenlegének digitális ujjlenyomata

Azonosítottak egy potenciális adatvédelmi támadást is. A támadók képesek lehetnek rosszindulatúan digitális ujjlenyomattal ellátni egy felhasználó számlaegyenlegét. Ezzel az ujjlenyomattal a megtámadott felhasználó teljes pénzügyi aktivitását képesek követni, akkor is, ha az közben címeket vált.

Az 1984 kísérti az Ethereum felhasználókat

A kutatásokból egyértelműen kiderül az, hogy az Ethereum adatvédelmi garanciái nagyon messze vannak az optimális szinttől. Még ha valaki fejlett titkosító eszközöket is használ adatai védelmére, más, meggondolatlan felhasználók könnyen veszélybe sodorhatják. Ha nem szeretnénk egy orwelli disztópiában találni magunkat, a kripto- és a kutatói közösség felelőssége, hogy megtanítsuk a felhasználóknak az adatvédelmi kockázatokat. Különben még az orwelli világnál is rosszabb helyzetbe kerülhetünk. Nemcsak egy valaki nézheti majd meg, mit csinálunk, hanem bárki, teljesen transzparensen, mindenféle adatvédelem nélkül…

Forrás: SZTAKI előtanulmány