Le développeur de bitcoins open source (BTC) Timo P – également connu sous le pseudonyme 0xB10C – a récemment publié un article de blog mettant en évidence les activités d’une entité non identifiée nommée LinkingLion.
L’entité se connecte aux nœuds bitcoin et écoute les annonces de transactions depuis 2018, ce qui lui permet potentiellement de lier les transactions aux adresses IP. Il a également été actif sur le réseau Monero en utilisant les mêmes plages d’adresses IP.
Selon 0xB10C, LinkingLion est soupçonné d’être une société d’analyse de blockchain collectant des données pour améliorer ses produits. L’entité utilise des adresses IP de trois plages IPv4/24 et une plage IPv6/32, qui sont toutes annoncées par la colocation de serveurs et la société d’hébergement LionLink Networks.
Un effrayant espion indiscret de bitcoins
Le comportement de LinkingLion implique l’établissement de connexions TCP aux nœuds bitcoin, l’envoi de messages de version avec des agents utilisateurs obscurs et l’utilisation de 0 comme nonce pour toutes les connexions. On observe que l’entité a une hauteur de bloc qui est en retard par rapport à la meilleure hauteur du réseau, avec deux configurations différentes identifiées comme étant en retard d’environ 700 et 2100 blocs.
On estime que sa hauteur correspond à la hauteur du réseau à la fin du quatrième trimestre 2022 ou au début du premier trimestre 2023 pour les connexions en retard d’environ 700 blocs, et au troisième trimestre 2022 pour les connexions en retard de 2100 blocs.
LinkingLion a été observé en train d’ouvrir des connexions de courte durée et de les fermer sans envoyer de message verack, indiquant qu’il peut vérifier si les nœuds sont accessibles sur des adresses données. L’entité apprend les métadonnées, telles que la version et la hauteur de la blockchain, à partir des nœuds.
Il répond aux messages après la poignée de main mais ne les initie jamais et ne demande pas de blocs ou de transactions.
De plus, LinkingLion a inondé les nœuds du réseau bitcoin de centaines de connexions par minute, entraînant l’éviction de connexions existantes pour faire place à de nouvelles. L’entité a également été observée en train d’ouvrir des connexions aux nœuds du réseau Monero.
La nature et le but des activités de LinkingLion restent flous, mais l’entité peut utiliser des services VPN pour cacher sa véritable localisation et sa véritable identité.
Les mesures de prévention à court terme incluent l’interdiction manuelle des plages d’adresses IP utilisées par l’entité d’établir des connexions entrantes vers les nœuds. Une banlist a été publiée à cet effet ; cependant, cette banlist est facultative et centralisée.
Les découvertes de 0xB10C soulignent la nécessité de modifier la logique de diffusion et de rediffusion des transactions initiales sur le réseau bitcoin et dans Bitcoin Core. Les solutions possibles incluent la mise en œuvre de Dandelion ou la diffusion de transactions sur des réseaux de confidentialité tels que Tor.
Bien que l’interdiction ou le signalement du comportement de l’entité puisse servir de solution à court terme, des modifications plus profondes de la logique P2P dans le bitcoin sont nécessaires pour s’attaquer au problème fondamental.
Dandelion est une proposition d’amélioration de la confidentialité conçue pour améliorer la confidentialité des transactions au sein du réseau bitcoin.
Le concept de base implique un processus de propagation en deux phases : au cours de la « phase de tige » initiale, les transactions sont relayées en série d’un nœud à l’autre, suivie d’une « phase de fluff » où les transactions sont diffusées d’un nœud à tous ses pairs.
Ce modèle de propagation unique dissimule efficacement le nœud d’origine d’une transaction, ce qui rend plus difficile la liaison des transactions à des adresses IP spécifiques.
Pour améliorer encore la confidentialité, les nœuds participant à la phase de tige peuvent utiliser des méthodes de cryptage, telles que le transport Tor ou v2 P2P, pour sécuriser leur trafic de protocole Bitcoin. En résumé, Dandelion offre une solution robuste pour maintenir la confidentialité des transactions et atténuer le risque d’exposer l’identité des utilisateurs sur le réseau Bitcoin.
Source https://crypto.news/bitcoin-monero-under-attack-entity-links-ips-to-btc-and-xmr-transactions-bitcoin-developer/