加密貨幣被描繪為一種比信用卡還更具匿名特征且更不可追蹤的支付手段。但是當你真正使用比特幣或其他加密貨幣進行網(wǎng)上購物或作為支付手段的時候，你的隱私又能得到什么程度的保護呢？最近新發(fā)表的一篇論文就揭露了區(qū)塊鏈可能帶來的隱私泄露。論文根據(jù)多個網(wǎng)站的第三方追蹤系統(tǒng)與區(qū)塊鏈相結合設計多種攻擊方式詳細闡述了這種隱私泄露的可能性。

加密貨幣被描繪為一種比信用卡還更具匿名特征且更不可追蹤的支付手段。那么如果你使用比特幣或其他加密貨幣在網(wǎng)上購物或進行支付的話，你會擁有多少隱私？在新發(fā)表的一篇論文中，我們就揭示了你擁有的隱私可能會非常少。

包括購物網(wǎng)站在內(nèi)的網(wǎng)站通常每個站點都有數(shù)十個第三方追蹤系統(tǒng)。這些第三方會跟蹤支付流量的敏感性細節(jié)信息，例如你添加到購物車的商品及其價格，無論你選擇何種付款方式。至關重要的是，我們發(fā)現(xiàn)許多購物網(wǎng)站會向追蹤系統(tǒng)泄露充分的購買信息，足以使這些追蹤系統(tǒng)能夠將其與區(qū)塊鏈上的付款交易形成唯一關聯(lián)。而在區(qū)塊鏈上，就可以通過很多熟悉的方式來進一步將該交易與你的其他比特幣錢包地址相關聯(lián)。你可以使用Adblock Plus和uBlock Origin等瀏覽器擴展程序，以及像混幣技術（CoinJoin）這樣的比特幣匿名技術來保護自己。盡管這些措施可能會有所幫助，但是我們發(fā)現(xiàn)，這種關聯(lián)還是有可能的。

攻擊全部范圍的說明。以三個恰好擁有相同內(nèi)置追蹤系統(tǒng)的網(wǎng)站為例進行思考。Alice在前兩個網(wǎng)站上進行購買并使用比特幣進行支付，然后再在第三個網(wǎng)站上登錄。商家A將交易的比特幣地址二維碼泄露給追蹤系統(tǒng)，商家B泄露購買金額，而商家C則泄露Alice的個人身份信息（PII）。如今，這種程度的信息泄露是十分常見的，而且常常也是有意為之的。該追蹤系統(tǒng)會根據(jù)Alice瀏覽器儲存在用戶本地終端上的數(shù)據(jù)（cookie）關聯(lián)三筆購買交易。此外，該追蹤系統(tǒng)也獲取了足夠的信息來唯一地（或接近唯一地）識別比特幣區(qū)塊鏈上與兩次購買相對應的貨幣。然而，Alice采取了一些預防措施，在進行購買之前就通過CoinJoin將比特幣存入錢包。因此，每筆交易都無法單獨追溯到Alice的錢包，但是只有一個錢包同時參與了兩次CoinJoin，因此，便可表明這就是Alice的錢包。

使用隱私測量工具OpenWPM，我們分析了接受比特幣支付的130個電子商務網(wǎng)站，并發(fā)現(xiàn)其中53個網(wǎng)站會將交易詳細信息泄露給追蹤系統(tǒng)。許多（但也不是全部）信息泄露都是有意為之的，以進行廣告活動與分析。此外，49個網(wǎng)站將個人標識符泄露給追蹤系統(tǒng)：姓名、電子郵件、用戶名等。這種組合就意味著追蹤系統(tǒng)可以將現(xiàn)實世界的身份與比特幣的地址關聯(lián)起來。要清楚的是，所有泄露的數(shù)據(jù)都存儲在數(shù)十家追蹤公司的日志記錄中，并且可以使用過去的采購數(shù)據(jù)來進行追溯性關聯(lián)。

在這些網(wǎng)站的一個分組中，我們首次使用通過CoinJoin匿名技術“組合”的比特幣進行了真正的購買。
? ? ? ?［1］我們發(fā)現(xiàn)一個觀測著我們的兩筆購買交易（這也十分常見）的追蹤系統(tǒng)在80%的時間里都能夠識別我們的比特幣錢包。我們將在論文中介紹攻擊的全部詳細信息，以及對其有效性的全面分析。

我們的發(fā)現(xiàn)提醒我們，在缺少可證明隱私屬性的系統(tǒng)中可能會始料未及地出現(xiàn)信息泄露，以及潛在的觸犯隱私的情況發(fā)生。當多個這樣的系統(tǒng)相互作用的時候，這種信息泄露可能會更不易察覺。加密貨幣中的匿名性問題似乎尤為棘手，因為它繼承了數(shù)據(jù)匿名化（敏感數(shù)據(jù)必須公開永久的存儲在區(qū)塊鏈上）以及匿名通信（隱私取決于由用戶和應用程序的行為引起的不明顯交互）的最糟糕情況。

［1］ 本實驗中，我們進行了1-2輪混合。我們在論文中也提供了證明，雖然較高的混合深度降低了攻擊的有效性，但是并沒有戰(zhàn)勝這種攻擊。此處仍需更加仔細的研究權衡措施。