Para analisar o comportamento do LinkingLion, foram registrados os dados de tr\u00e1fego de rede entre o meu n\u00f3 e os intervalos de endere\u00e7os IP do LinkingLion por cerca de cinco dias na primeira metade de mar\u00e7o de 2023. Nesse per\u00edodo, cerca de 200.000 conex\u00f5es foram abertas para o meu n\u00f3 a partir da entidade. Na se\u00e7\u00e3o a seguir, descreveremos o comportamento observado.<\/p>\n
\u00a0<\/p>\n
Estabelecimento de conex\u00e3o e handshake<\/strong><\/p>\n Das quatro faixas de endere\u00e7os IP, a entidade usa os seguintes 812 endere\u00e7os (lista) para abrir conex\u00f5es TCP com muitos n\u00f3s de escuta do Bitcoin na rede:<\/p>\n \u00a0<\/p>\n 162.218.65.11 – 162.218.65.254 (244 endere\u00e7os) \u00a0<\/p>\n O LinkingLion utiliza toda a faixa de portas ef\u00eameras (1024-65535), o que difere do comportamento padr\u00e3o de muitos sistemas operacionais (a maioria usa um subconjunto menor). Pode-se observar que o mesmo endere\u00e7o IP se conecta repetidamente, em alguns casos mais de 50 vezes, antes que a entidade mude para outro endere\u00e7o IP na mesma faixa de endere\u00e7os.<\/p>\n \u00a0<\/p>\n Ap\u00f3s a etapa de handshake, o comportamento da entidade se divide em duas fases principais: a fase de transmiss\u00e3o de blocos e a fase de solicita\u00e7\u00e3o de blocos.<\/p>\n \u00a0<\/p>\n Fase de transmiss\u00e3o de blocos<\/strong><\/p>\n A entidade come\u00e7a a enviar blocos imediatamente ap\u00f3s a conclus\u00e3o do handshake. Ela transmite blocos em grupos de 10 e sempre envia o bloco mais recente primeiro. A velocidade de transmiss\u00e3o \u00e9 relativamente constante e corresponde a cerca de 2 a 3 blocos por segundo. A entidade tamb\u00e9m transmite blocos inv\u00e1lidos. A transmiss\u00e3o de blocos dura cerca de 24 a 36 horas e termina abruptamente, sem enviar o bloco mais recente.<\/p>\n \u00a0<\/p>\n Fase de solicita\u00e7\u00e3o de blocos<\/strong><\/p>\n Depois de terminada a transmiss\u00e3o de blocos, a entidade come\u00e7a a solicitar blocos. Ela envia mensagens getdata que solicitam 128 blocos de cada vez e se concentra em blocos recentes que n\u00e3o foram transmitidos anteriormente. As mensagens getdata s\u00e3o enviadas a uma taxa constante, cerca de uma por segundo, e n\u00e3o s\u00e3o interrompidas por respostas.<\/p>\n \u00a0<\/p>\n As solicita\u00e7\u00f5es de bloco podem se concentrar em blocos de uma \u00fanica altura, o que indica que a entidade est\u00e1 tentando obter todos os blocos em uma determinada altura. Por exemplo, uma solicita\u00e7\u00e3o pode incluir 128 blocos na altura 658501. As solicita\u00e7\u00f5es tamb\u00e9m podem se concentrar em blocos que cont\u00eam transa\u00e7\u00f5es espec\u00edficas. As transa\u00e7\u00f5es s\u00e3o identificadas pelo hash e podem estar relacionadas a endere\u00e7os espec\u00edficos ou transa\u00e7\u00f5es de interesse para a entidade.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Comunica\u00e7\u00e3o<\/strong><\/p>\n Ap\u00f3s o handshake, cerca de 18% das conex\u00f5es abertas recebem um verack e permanecem abertas por mais tempo. Ap\u00f3s o handshake, um n\u00f3 do Bitcoin Core envia uma mensagem sendcmpct indicando suporte ao Compact Block Relay, uma mensagem ping, uma mensagem feefilter com a menor taxa de transfer\u00eancia que estamos interessados e uma mensagem getheaders solicitando novos cabe\u00e7alhos que o par pode saber. A entidade responde com uma mensagem pong e continua a responder durante a dura\u00e7\u00e3o da conex\u00e3o. Ela nunca inicia um ping por si mesma.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n A partir daqui, dois comportamentos diferentes podem ser observados. Ou a entidade ouve as mensagens inv enviadas por n\u00f3s por at\u00e9 150 segundos (2 minutos e 30 segundos), ou ela nos envia um getaddr e ouve as mensagens inv e addr enviadas por n\u00f3s por at\u00e9 600 segundos (10 minutos) antes de fechar a conex\u00e3o. Em m\u00e9dia, enviamos 15 mensagens inv para a entidade durante as conex\u00f5es mais curtas, que s\u00e3o apenas inv. Durante as conex\u00f5es mais longas, que incluem inv e addr, enviamos em m\u00e9dia seis mensagens addr e 104 mensagens inv. No protocolo Bitcoin, as mensagens inv (invent\u00e1rio) s\u00e3o an\u00fancios de que novos blocos ou transa\u00e7\u00f5es est\u00e3o dispon\u00edveis. Ao receber um inv, um n\u00f3 pode solicitar o bloco ou a transa\u00e7\u00e3o se ainda n\u00e3o a conhecer. A entidade nunca solicita blocos ou transa\u00e7\u00f5es.<\/p>\n \u00a0<\/p>\n A dura\u00e7\u00e3o da conex\u00e3o apenas com inv \u00e9 semelhante para os tr\u00eas intervalos de endere\u00e7os IPv4. Muitas conex\u00f5es s\u00e3o encerradas ap\u00f3s 90 segundos ou 150 segundos. As conex\u00f5es dos 253 endere\u00e7os no intervalo IPv6 2604:d500:4:1::3 s\u00e3o principalmente encerradas ap\u00f3s 150 segundos, enquanto algumas s\u00e3o encerradas mais cedo, entre 90 e 150 segundos. As conex\u00f5es do 2604:d500:4:1::2 s\u00e3o encerradas quase uniformemente entre 0 e 90 segundos. Geralmente, n\u00e3o h\u00e1 endere\u00e7os IP especiais usados apenas para conex\u00f5es mais longas ou mais curtas. O \u00fanico destaque \u00e9 209.222.252.2, que s\u00f3 faz as conex\u00f5es mais longas de 150 segundos. O IP 162.218.65.219 \u00e9 not\u00e1vel por fazer o dobro do n\u00famero de conex\u00f5es dos outros IPs no mesmo intervalo de IP. As conex\u00f5es que incluem inv e addr solicitam endere\u00e7os com uma mensagem getaddr e originam-se apenas do 2604:d500:4:1::2 e 91.198.115.114. Elas s\u00e3o fechadas logo ap\u00f3s ficarem abertas por 600 segundos.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Transa\u00e7\u00f5es monitoradas<\/strong><\/p>\n Durante a an\u00e1lise do tr\u00e1fego, foi poss\u00edvel observar que o LinkingLion est\u00e1 monitorando transa\u00e7\u00f5es Bitcoin. Assim que uma nova transa\u00e7\u00e3o \u00e9 transmitida para um dos n\u00f3s que a entidade est\u00e1 monitorando, \u00e9 aberta uma nova conex\u00e3o de sa\u00edda do LinkingLion para o n\u00f3, e a transa\u00e7\u00e3o \u00e9 baixada. A entidade monitora principalmente transa\u00e7\u00f5es de grandes quantias (dezenas ou centenas de Bitcoins), o que sugere que o objetivo \u00e9 a identifica\u00e7\u00e3o de transa\u00e7\u00f5es de alto valor.<\/p>\n \u00a0<\/p>\n O comportamento do LinkingLion tamb\u00e9m sugere que ele est\u00e1 tentando correlacionar endere\u00e7os IP com transa\u00e7\u00f5es espec\u00edficas. Quando uma nova transa\u00e7\u00e3o \u00e9 recebida, a entidade a transmite para a maioria dos n\u00f3s aos quais est\u00e1 conectada, para verificar se o n\u00f3 que a transmitiu est\u00e1 na lista de n\u00f3s que a entidade est\u00e1 monitorando. Se a entidade identifica o n\u00f3, ele inicia uma nova conex\u00e3o para o n\u00f3, na tentativa de correlacionar o endere\u00e7o IP com a transa\u00e7\u00e3o recebida.<\/p>\n \u00a0<\/p>\n Conclus\u00e3o<\/strong><\/p>\n Com base no comportamento observado, \u00e9 poss\u00edvel que o LinkingLion seja uma empresa de an\u00e1lise blockchain coletando dados para melhorar seus produtos. No entanto, as motiva\u00e7\u00f5es exatas da entidade s\u00e3o desconhecidas. O monitoramento de transa\u00e7\u00f5es Bitcoin e a tentativa de correlacion\u00e1-las com endere\u00e7os IP pode ter implica\u00e7\u00f5es na privacidade dos usu\u00e1rios do Bitcoin. Por isso, \u00e9 importante que os usu\u00e1rios estejam cientes desses comportamentos e tomem medidas para proteger sua privacidade e anonimato.<\/p>\n \u00a0<\/p>\n
209.222.252.2 – 209.222.252.254 (253 endere\u00e7os)
91.198.115.3 – 91.198.115.62 (60 endere\u00e7os) + 91.198.115.114
2604:d500:4:1::2
2604:d500:4:1::3:2 – 2604:d500:4:1::3:fe (253 endere\u00e7os)<\/p>\n![\"Sequence](\"https:\/\/b10c.me\/data\/observations\/06-linkinglion\/sequence-version-handshake.png\")
\n![\"Sequence](\"https:\/\/b10c.me\/data\/observations\/06-linkinglion\/sequence-after-verack.png\")
\n![\"Connection](\"https:\/\/b10c.me\/data\/observations\/06-linkinglion\/histogram-connection-duration-by-ip-range.png\")
\n