An Untraceable Currency? Bitcoin Privacy Concerns

An Overview of the Blockchain

Bitcoin não é anônimo. Como explicamos abaixo, é pseudônimo – uma distinção importante. É também uma moeda digital descentralizada, peer-to-peer, não tendo nenhum terceiro intermediário (por exemplo, um emissor de cartão de crédito, processador de comerciante ou banco) que esteja envolvido para verificar uma transação entre um comprador e um vendedor. Como não há terceiros, deve haver outra forma de verificar uma transação entre dois usuários e evitar o problema do “gasto duplo” (ou seja, uma forma de garantir que um usuário não gaste bitcoin que ele tenha transferido anteriormente).

É aqui que entra em jogo a cadeia de bloqueio, o aspecto verdadeiramente revolucionário das moedas criptográficas como o bitcoin. Uma cadeia de bloqueio é um ledger público e distribuído, no qual cada transação é registrada. Ao contrário dos sistemas de pagamento tradicionais em que o ledger é mantido por um único terceiro, um blockchain ledger é distribuído por um grupo de computadores (milhares deles), cada um com sua própria cópia das operações da blockchain.

Cada bloco de transações em uma blockchain é confirmado por usuários na rede peer-to-peer, chamados de “mineiros”, que competem para resolver um problema computacional complexo. O primeiro mineiro bem sucedido a validar a transação transmite-a para a rede, que então verifica os resultados. Uma vez verificadas, as novas transações são adicionadas como um novo bloco à cadeia de bloqueio. No caso do bitcoin, o mineiro que primeiro verificou com sucesso esta transação é recompensado pela rede com bitcoins recém-criados. A partir de julho de 2016, a recompensa foi reduzida de 25 para 12,5 bitcoins, e espera-se que a recompensa seja reduzida ainda mais para 6,25 bitcoins em 2021.

Anonimato vs. Pseudonimato

Porque a cadeia de bloqueio de bitcoins é um registro público permanente de todas as transações acessíveis por qualquer pessoa a qualquer momento, ela não é anônima. Em vez disso, as transações na cadeia de bloqueio são criptografadas com criptografia de chave pública que mascara as identidades reais dos indivíduos por trás das transações. Isso torna o bitcoin pseudônimo. Em cada transação de bitcoin, a cada usuário são atribuídas duas chaves digitais: (1) uma chave ou endereço público – o endereço é na verdade um hash derivado da chave pública, mas para efeitos deste artigo, usamos estes termos de forma intercambiável – que todos podem ver e é publicado na cadeia de bloqueio de bitcoin, e (2) uma chave privada, que só é conhecida pelo usuário e é a “assinatura” do usuário.

A chave privada é usada por outros para verificar se a transação foi de fato assinada por esse usuário. A cadeia de bloqueio de bitcoin apenas mostrará que uma transação ocorreu entre duas chaves públicas (um identificador de 34 caracteres alfanuméricos aleatórios), indicando o tempo e a quantidade da transação.

Tracing Bitcoins Back to Individuals

Encryption pode criar a impressão de que essas transações são visíveis, mas inigualáveis para indivíduos específicos. Contudo, o bitcoin não é tão indetectável como a encriptação pode implicar. Amarrar uma transação criptografada a um indivíduo real é possível – não é um risco remoto. Há várias maneiras que isso pode ocorrer.

Os usuários que dependem de uma troca de bitcoin (como Bitfinex, Binance ou Kraken) para trocar moeda por bitcoin têm que divulgar suas informações pessoais a essa troca para criar uma conta. As informações coletadas pela troca variam, mas normalmente incluem, no mínimo, o nome e sobrenome do usuário e, possivelmente, um número de telefone. A troca também pode recolher o endereço IP de um utilizador. Se essas trocas estiverem sujeitas a uma quebra de segurança de dados, as informações pessoais do usuário podem ser expostas. Além disso, algumas trocas centralizadas oferecem o gerenciamento de fundos de bitcoin e chaves privadas dos usuários em seu nome.

Há também provedores de serviços de carteiras on-line que gerenciam as carteiras dos usuários em seu nome. Uma carteira é um programa de software que armazena uma coleção de pares de chaves públicas e privadas de um usuário. O armazenamento de chaves privadas torna essas trocas centralizadas, e os provedores de serviços de carteiras on-line, alvos principais dos criminosos porque, conforme discutido acima, qualquer pessoa com acesso à chave privada de um usuário poderá criar uma transação de bitcoin válida. Um hacker que acessa a chave privada de um usuário pode enviar todas as bitcoins desse usuário para ele mesmo, ou para qualquer intermediário de sua escolha.

Existiram várias violações de alto perfil de trocas no passado, incluindo o hack de fevereiro de 2014 do Mt. Gox, que já foi a maior troca de bitcoins do mundo. O ataque do Mt. Gox resultou em uma perda de 850.000 bitcoins, então avaliados em 450 milhões de dólares. Assim, hackers que ganham controle sobre a troca de um usuário ou conta de carteira online não apenas ganham acesso às informações pessoais e histórico de transações de um usuário, mas também aos fundos de bitcoin de um usuário.

As trocas também estão cada vez mais sujeitas a requisitos regulatórios que poderiam levar entidades governamentais a acessar as informações pessoais de um usuário. A avaliação de bitcoin mergulhou recentemente quando a Comissão de Valores Mobiliários dos EUA divulgou uma declaração alertando que plataformas online negociando ativos digitais que atendem à definição de “valores mobiliários” seriam consideradas bolsas sob as leis de valores mobiliários e precisariam se registrar junto à SEC ou mostrar isenção de registro. Embora a SEC não tenha tomado qualquer medida até à data, isto significa que as bolsas de moeda criptográfica poderiam estar sujeitas às rigorosas regulamentações de valores mobiliários aplicáveis às bolsas de valores nacionais.

Similiarmente, a Coreia do Sul anunciou uma maior regulamentação de bitcoin no início deste ano. Sob a nova regulamentação sul-coreana, os usuários só poderão depositar em suas carteiras de câmbio se o nome usado na troca corresponder ao nome na conta bancária do usuário. As trocas também já estão sujeitas a certos requisitos legais, tais como responder a intimações, que podem exigir que compartilhem informações pessoais com autoridades governamentais, se exigido por lei. Por exemplo, a bolsa de câmbio baseada nos EUA Coinbase foi recentemente ordenada por um tribunal para entregar à Receita Federal informações sobre aproximadamente 14.000 de seus clientes. Uma breve revisão das políticas de privacidade on-line de várias trocas indica que as trocas compartilharão as informações de um usuário conforme necessário para cumprir com suas obrigações legais e regulamentares.

Blockchain Analytics

Também é possível identificar os usuários simplesmente analisando as transações na blockchain. Empresas como a Elliptic e a Chainanalysis construíram negócios baseados em blockchain forensics. Estas empresas utilizam a análise na cadeia de bloqueio de bitcoin para ligar endereços de bitcoin a entidades web e ajudar os seus clientes a avaliar o risco de actividades ilegais. Seus clientes incluem intercâmbios, mas também entidades governamentais. De fato, tornou-se público no ano passado que o IRS está usando o software Chainanalysis para rastrear possíveis evasores de impostos.

Estudos transversais também mostraram que é possível usar a análise de rede e outros métodos para observar e potencialmente ligar as transações da cadeia de bloqueio a certos websites e indivíduos. Especificamente, um estudo realizado em 2013 por pesquisadores da Universidade da Califórnia, San Diego e George Mason University mostrou que era possível etiquetar endereços de bitcoin pertencentes ao mesmo usuário usando a análise de agrupamento de endereços de bitcoin. Um pequeno número de transações privadas com vários serviços foi utilizado para identificar as principais instituições (como trocas ou grandes websites).

De lá, os pesquisadores conseguiram obter informações sobre a estrutura da rede de bitcoin, para onde vão os fundos de transação e que organizações são parte da mesma. Outro estudo dos pesquisadores da ETH Zurich e NEC Laboratories Europe que analisou as transações de bitcoin em uma pequena amostra universitária descobriu que o uso de técnicas de clustering baseadas em comportamento poderia revelar em um ambiente universitário típico os perfis de até 40% dos usuários.

Como os usuários de bitcoin podem melhorar sua privacidade

Apesar desses problemas de privacidade, os usuários de bitcoin não precisam se desesperar – há maneiras de melhorar a privacidade de alguém na cadeia de bloqueio de bitcoin. Primeiro, um usuário de bitcoin pode usar um novo endereço bitcoin para cada transação e assim receberá uma nova chave pública para cada transação, tornando mais difícil rastrear as transações de um indivíduo específico para o mesmo endereço. Esta é na verdade a abordagem que foi idealizada por Satoshi Nakamoto, o fundador da bitcoin com pseudônimo (e ainda desconhecido), que recomendou no artigo que primeiro introduziu a bitcoin utilizando “um novo par de chaves … para cada transação para evitar que elas sejam ligadas a um proprietário comum”.

Segundo, um usuário de bitcoin pode tomar algumas precauções adicionais para minimizar o risco de rastreabilidade em trocas de terceiros. O usuário poderia usar o navegador Tor anônimo para acessar a troca e criar uma conta sem incluir nenhuma informação pessoal real; o endereço IP do usuário e as informações pessoais não seriam expostas.

Terceiro, o usuário poderia evitar o armazenamento de bitcoins em carteiras online de terceiros, e usar apenas carteiras offline; isso reduz a exposição à troca de hacks. Quarto, algoritmos de mistura de bitcoins, como o CoinJoin, ligam usuários e permitem que eles paguem juntos de forma que as bitcoins sejam misturadas. Isso torna mais difícil identificar um usuário em particular porque apenas um grupo de transações é publicado na cadeia de bloqueio (embora estudos e pesquisas tenham mostrado que mesmo o CoinJoin apresenta fraquezas e poderia permitir a ligação de volta a um determinado indivíduo).

A Alternativa Monero

Estas questões de privacidade não passaram despercebidas e moedas criptográficas alternativas com um maior foco em privacidade surgiram. Monero é a mais proeminente destas alternativas. Ao contrário da cadeia de bloqueio de bitcoin, que, como notamos, é baseada em uma criptografia de duas chaves (pública e privada), a cadeia de bloqueio Monero é baseada em chaves únicas e assinaturas de anéis. Com a tecnologia de assinatura de anéis, o signatário real é agrupado com um grupo de possíveis signatários, formando um “anel”.

Cria assim uma assinatura distinta que pode autorizar uma transacção. Quando um indivíduo inicia uma transação Monero, o verificador é capaz de estabelecer que uma transação veio de um grupo, mas não é capaz de determinar a identidade do iniciador cuja chave privada foi usada para produzir a assinatura. Como resultado, a cadeia de bloqueio Monero não identifica um remetente específico, e os endereços dos receptores e os montantes da transação são ocultos. Monero tornou-se a moeda criptográfica de escolha para usuários focados em privacidade.

Embora o bitcoin seja um método de pagamento descentralizado e não regulamentado, os usuários devem entender que isso não significa que suas transações de bitcoin sejam anônimas e ocultas do escrutínio. A natureza pública da cadeia de bloqueio combinada com a crescente ameaça de regulamentação governamental pode levar à identificação de usuários envolvidos em transações com a moeda.