El Servicio de Nombres en Ethereum (ENS) permite a los usuarios enviar y recibir criptomonedas sin esfuerzo. También hace increíblemente fácil espiarlos.
En Resumen
- Analizamos 133.000 nombres en Ethereum y sus respectivos balances.
- Encontramos que era posible identificar a varias personas de alto perfil, incluso si no estaban usando sus nombres reales.
- Pudimos ver los negocios y observar los movimientos de la gente, sólo usando la información disponible en la blockchain.
El Servicio de Nombres en Ethereum (ENS) fue diseñado para facilitar el envío y la recepción de criptomonedas. Usted toma su dirección Ethereum (ETH) – una cadena alfanumérica de caracteres, que muestra la cantidad de ETH que tiene en su cuenta – y la reemplaza con un simple nombre. De la misma manera que las direcciones de correo electrónico sustituyeron a los pedazos de código, esta idea suponía que simplificaría las transacciones criptográficas.
Pero Decrypt descubrió que este paso adelante en el diseño del usuario, ha implicado varios pasos atrás en lo que se refiere a la privacidad. Siendo la blockchain Ethereum completamente transparente, cualquiera puede usar tu nombre Ethereum para revisar tus finanzas. Es la diferencia entre enviar un email a alguien y que pueda mirar toda tu bandeja de entrada.
En nuestra investigación encontramos que es posible averiguar dónde estará la gente en el futuro, ver los acuerdos de negocios y saber cuánto dinero tiene la gente, todo ello observando los datos públicos de Blockchain.
¿Qué es el ENS o Servicio de Nombres en Ethereum?
El desarrollador principal Nick Johnson estableció el Servicio de Nombres en Ethereum (ENS) en mayo de 2017. Los nombres Ethereum se parecen a los nombres de dominio: “decrypt.eth”. Cualquiera puede usar una dirección de Etereum para registrar un nombre, o varios nombres. Pueden asignar cualquiera de los nombres a otras direcciones que posean, o venderlos. Todo lo que un usuario necesitaba era una dirección Ethereum preexistente para hacer la compra.
Johnson dijo a Decrypt que los fans de Ethereum han gastado 6.235 ETH (1,7 millones de dólares) hasta ahora, sólo comprando nombres del ENS. Pero incluso si asignan el nombre Ethereum a una de sus cuentas que sólo tiene un pequeño saldo en cripto, la dirección que usaron para registrar el nombre también está disponible. Y esto permite a los fisgones ver cuánto dinero se almacenó en esas cuentas.
Dentro de las 15.000 direcciones únicas que han comprado los 133.000 nombres en Etereum, hay un total combinado de 364.000 ETH (100 millones de dólares) – y miles, si no millones, de dólares en tokens basados en Ethereum. Así que decidimos ver cuánto podíamos obtener sólo de estas migajas de información. Resulta que es bastante.
Nos pusimos en contacto con todos los que investigamos y hemos incluido las respuestas recibidas.
Identificando individuos de alto perfil
Mientras que las direcciones más ricas de Ethereum tienden a estar unidas a nombres seudónimos, ocultando la verdadera identidad del propietario, no todas lo están. E incluso los nombres más abstractos no siempre son infalibles.
Empecemos con un desafío. El nombre Ethereum “netural.eth” está conectado a una dirección que está vacía de Ethereum, y contiene sólo 0,08 dólares en fichas OmiseGo. No hay otros nombres asociados a la dirección y sólo ha hecho cuatro transacciones. No hay mucho para continuar.
Pero la dirección que registró el nombre cuenta una historia diferente. Contiene 58.000 Ethereum, por valor de 15 millones de dólares, y 2,5 millones de dólares extra en fichas. Lo interesante de esta dirección es que recibía regularmente grandes pagos de la wallet principal de Poloniex (mientras que la mayoría de los pagos se suelen hacer con sus carteras secundarias). Estos pagos cesaron el mismo día que Circle —que era la propietaria de la bolsa en ese momento— redujo las comisiones de trading, lo que sugiere que se trata de una wallet empresarial. Esto también puede explicar por qué el nombre está tan subestimado.
La tercera dirección más grande es dueña de: “consensys.eth”, “weifund.eth” y “metamask.eth”. Contiene 31.600 ETH, por valor de 8 millones de dólares. ¿Podría ser nuestro propio financista, el multimillonario Joe Lubin, dueño de ConsenSys, que financia una editorialmente independiente Decrypt y fue la incubadora de nada menos que MetaMask y Weifund? Puede ser.
A veces es sorprendentemente fácil identificar un nombre de Ethereum. Un ejemplo podría ser “silberjunge.eth”. Mientras que la dirección vinculada a ella contiene sólo 17 dólares en Eter, la dirección utilizada para registrarla contiene un elevado 1.163 ETH, por valor de 255.000 dólares, junto con otros 121.000 dólares de fichas basadas en Ethereum.
Una rápida búsqueda en Google revela que “silberjunge” es simplemente un seudónimo de Thorsten Schulte, un conocido experto en plata y oro, autor de bestsellers y ex banquero de inversiones. Incluso usó el seudónimo como su usuario de Twitter. También ha hablado de Bitcoin y otras criptodivisas, incluyendo una entrevista de 20 minutos con la televisión de Hamburgo Grosse Freiheit sobre el tema. Es posible que el nombre Ethereum no sea suyo, pero parece probable.
El asunto aquí es que los nombres en Ethereum hacen trivialmente fácil para los criminales crear una lista de personas con grandes cantidades de dinero invertido en criptomonedas y que probablemente tengan una wallet física —como un Ledger Nano— sentados en su dormitorio en casa. No que los nombres de Ethereum sean una mala idea, sino que Ethereum es demasiado abierto.
“Es bien sabido que los libros de contabilidad públicos como Bitcoin y Ethereum carecen de privacidad, y que como resultado es fácil rastrear las transacciones hechas en estas cadenas de bloque públicas”, dijo Johnson a Decrypt, añadiendo, “ENS hace más fácil el intercambio de direcciones para Ethereum y otras criptodivisas, lo que las hace más generalmente útiles para todos”. No intenta abordar los problemas de privacidad inherentes a los libros públicos.
“Las investigaciones en curso sobre la privacidad en los libros de contabilidad distribuidos han dado lugar a avances como ZCash y Tornado Cash. Recomendamos encarecidamente a la gente que tenga cuidado con las actividades que exponen en los libros de contabilidad públicos, y que aprovechen estas soluciones cuando sea apropiado”, dijo.
Observando los negocios en tiempo real
Este nivel de supervisión también permite ver lo que la gente está haciendo con su dinero.
El CEO de SpankChain, Ameen Soleimani, es dueño de “ameen.eth” y “ameensol.eth”. Mirando la cadena de bloques, se puede ver una transacción que hizo por 10 ETH el 30 de noviembre de 2019, por valor de 1.540 dólares en ese momento. Parece probable que fue enviada a James Kim, CEO de Global Block Branding, quien vende nombres de dominio para vivir y afirma ser dueño de 20.000 nombres de dominio criptográficos. Es posible que comprara nombres Ethereum o algunos nombres de dominio relacionados con el cifrado.
(Actualización: Resultó que este análisis era incorrecto. El operador de MetaCartel Peter Pan tuiteó que, de hecho, era el dueño del nombre de dominio de “jameskim.eth”, y Soleimani le envió el dinero).
“Conozco los riesgos de usar nombres públicos de ENS”, dijo Soleimani, y añadió, “Por eso estamos tan entusiasmados con la tecnología de privacidad como Tornado Cash, para poder crear nuevas cuentas Ethereum sin un vínculo directo con las cuentas anteriores y sin tener que pasar por una plataforma de intercambio”.
Otro ejemplo es Jordan Muir, creador de Frame, que posee múltiples nombres de Ethereum, entre ellos “jordan.eth”, “framehq.eth” y “smartaccounts.eth”. En estas cuentas posee un total de 106.000 dólares en ETH y varios tokens. En mayo de 2018, Aragon anunció que había dado una subvención de 48.000 dólares a Frame. Añadió que el proyecto podría recibir una bonificación de hasta 50.000 dólares si se cumplían ciertos requisitos.
Parece que sí, aunque no se hizo ningún otro anuncio. Sólo tres días después de que Frame lanzara una versión alfa de mainnet el 1 de abril, 25.000 fichas de Aragon, por valor de 17.000 dólares, fueron enviadas desde la cartera principal de Aragon a la cuenta de Muir, implicando que el lanzamiento de la mainnet era una de las metas entregables. Aunque esto no es particularmente secreto, proporciona una visión extra del proyecto que no estaba disponible públicamente.
Es posible ver los salarios de la gente también, cuando se les paga en Ether, o en tokens. Por ejemplo, Jack Cheng, “jefe evangelista” de SingularityDTV (antigua Breaker), quien es dueño de “jackcheng.eth” y “ethoutlet.eth”, recibió pagos en SNGLS, su token nativo.
A Cheng se le pagaron 33.055 fichas, por valor de 4.600 dólares, en agosto de 2017, y luego un millón de fichas SNGLS, por valor de 15.000 dólares, en mayo de 2019. Dado que los pagos vinieron directamente de la wallet principal de “SingularDTV”, es probable que formaran parte de su salario. Pero ver cuánto se le paga a la gente no es todo lo que se puede hacer.
Acechar a alguien en la cadena de bloques
Los nombres en Ethereum pueden ser usados para rastrear el paradero de las personas.
Bobby Ong, cofundador del sitio de datos CoinGecko, es dueño del nombre Ethereum “bobbyong.eth”. Cualquiera que viera la dirección de la cadena de bloques vinculada al nombre, habría sabido que Ong estaría en Unshudo 7-2 Sugaharacho, Kita Ward, Osaka el 7 de octubre de 2019, asistiendo a la reunión de DAIsucki centrada en la stablecoin DAI, 17 días antes de que ocurriera el evento. Y, dos días después del evento, habrían visto fuertes evidencias de que él, de hecho, asistió.
El evento en cuestión fue dirigido por Kickback events, donde se hace un depósito para el evento y si no se presenta, el depósito se comparte entre los que van. Aunque eso puede ser efectivo, también permite a la gente observar a los asistentes desde la comodidad de su casa.
En este caso, Ong envió 10 dólares de AID a una dirección etiquetada en el bloque del explorador Etherscan como “Kickback”: DAIsuki Meetup”, el 20 de septiembre de 2019, indicando que planeaba asistir al evento el mes siguiente. Luego, el 9 de octubre, recibió el “soborno” de 19 dólares en AID, lo que demuestra que no sólo se presentó, sino que fue recompensado generosamente por hacerlo.
“En este caso, debí haber sido más cuidadoso con la higiene de mi dirección Ethereum y separar las transacciones que quería hacer públicas de las que quería mantener en privado”, dijo Ong a Decrypt, y añadió: “ENS proporciona comodidad a los usuarios pero depende de ellos el preservar su privacidad”. Espero que se construyan más características de privacidad en el Ethereum para mejorar la privacidad y la seguridad de los usuarios”.
Los puntos fuertes de Ethereum siempre han sido que ofrece control sobre sus propios datos, identidad y privacidad. El YouTuber y optimista del Ethereum, Omar Bham, que tiene 119.000 suscriptores, incluso recientemente tuiteó que “Ethereum es privacidad”. Pero, en todo caso, el Servicio de Nombres en Ethereum abre una puerta a la vida privada de las personas que nunca antes habíamos visto.
Este artículo ha sido actualizado con un comentario de Peter Pan.
El propósito de este artículo es informar a los usuarios de Ethereum sobre riesgos de combinar sus datos personales y financieros en una cadena de bloques pública. Es un argumento a favor de una mayor privacidad en Ethereum, en la que equipos como Aztec, EY y JP Morgan están trabajando.
Queremos agradecer a Alex Svanevik, cofundador de D5 -The Data Science DAO- y a TM Lee, cofundador de CoinGecko, que contribuyeron a este artículo.