Secondo uno studio pubblicato questa settimana da Ferenc Béres e da un gruppo di ricercatori ungheresi, le transazioni sulla blockchain di Ethereum possono essere facilmente deanonimizzate.
Lo studio, che non è ancora stato sottoposto a revisione paritaria, ha preso in esame alcune funzioni specifiche di Ethereum che nel complesso rendono molto più semplice tracciare gli utenti del network rispetto a Bitcoin (BTC).
Già il modello basato su account di Ethereum, contrapposto al modello Unspent Transaction Output (UTXO) di Bitcoin, rende la blockchain molto meno privata:
"Il modello basato sugli account promuove il riutilizzo degli indirizzi a livello del protocollo. Questo comportamento rende le criptovalute basate su account inferiori a quelle basate su UTXO dal punto di vista della privacy."
L'Ethereum Name Service può essere usato per deanonimizzare le transazioni
Un'altra caratteristica unica di Ethereum è il Name Service (ENS), un servizio che consente di legare gli indirizzi a domini ".eth". I ricercatori sono riusciti a identificare 890 domini analizzando i profili pubblici di Twitter.
Un numero abbastanza alto da scoprire parecchie attività potenzialmente compromettenti: circa il 10% di quei wallet interagiva con piattaforme di gioco d'azzardo e il 5% con servizi per adulti.
I ricercatori hanno poi tentato di utilizzare gli indirizzi ENS come base di partenza per scoprire altri wallet appartenenti queste persone. Per fare ciò, hanno esaminato varie informazioni: principale fascia oraria d'utilizzo, prezzo del gas e attività condivise fra molteplici indirizzi.
Nemmeno i servizi di mixing sono perfettamente sicuri
Questo metodo è stato applicato a Tornado Cash, un noto mixer trustless, che consente agli utenti di "ripulire" i propri fondi inviandoli a un nuovo indirizzo.
I ricercatori hanno tuttavia scoperto che il 7,5% degli utenti ha prelevato il denaro nello stesso identico indirizzo di partenza, rendendo completamente inutile l'intero processo di mixing. Inoltre, l'utilizzo diffuso di valori di gas personalizzati e i trasferimenti diretti fra il nuovo e il vecchio wallet rendono il processo di identificazione sorprendentemente semplice.
Applicando queste tecniche, i ricercatori sono riusciti a deanonimizzare il 17% delle transazioni. Lo studio sottolinea che gli stessi metodi possono essere applicati alle criptovalute basate su UTXO, ma non altrettanto facilmente:
"Riteniamo che nella pratica [...] anche i mixer non-custodial di Bitcoin offrano drasticamente meno privacy e fungibilità di quanto la community creda."
