Wenn ein Hacker alle Bitcoins stehlen würde, wären Sie dann bereit, ihn fünf Jahre lang zu verfolgen?

Nach fünf Jahren Nachverfolgung können normale Menschen ihre gestohlenen Bitcoins tatsächlich zurückerhalten. Dieser Artikel basiert auf einem Artikel von David Canellis
Stellen Sie sich vor, Sie befinden sich mitten in einem tobenden Bullenmarkt und alle Ihre Kryptowährungen werden gestohlen … Genau das ist Andrew Schober aus Colorado passiert.
Im Jahr 2018 lud Schober versehentlich eine manipulierte Version der Electrum-Bitcoin-Wallet auf den Subreddit /r/BitcoinAirdrops herunter. In dieser gefälschten Brieftasche war Malware versteckt: ein Clipboard-Hijacker, der speziell für das Phishing nach Bitcoin entwickelt wurde. Die Malware würde jede Bitcoin-Akzeptanzadresse auf Schobers Rechner annehmen und sich als diese ausgeben, wobei sie die Adresse des beabsichtigten Empfängers durch eine vom Hacker kontrollierte Adresse ersetzt.
Schober, der seit 2014 langsam Bitcoin angehäuft hatte, schickte dem Hacker aufgrund des Phishing-Programms schließlich 16,5 Bitcoins, was 95 % seines Nettovermögens entsprach. Als er gefischt wurde, waren die Bitcoins 180.000 US-Dollar wert, erreichten aber im Jahr 2021, als Bitcoin seinen Allzeithoch erreichte, 1,1 Millionen US-Dollar. Schober hält es für „Geld, das sein Leben verändert hat“.
„Ich habe auf Reddit einen Link zu der Malware gefunden, sie auf meinem Computer installiert und schnell gemerkt, dass sie nicht das war, wofür sie beworben wurde“, sagte Schober. „Also habe ich es einfach von meinem Computer gelöscht und nie wieder darüber nachgedacht.“
„Aber sobald dieser Trojaner einmal auf Ihrer Festplatte installiert ist, wird der Trojaner durch das Löschen des ursprünglichen Programms leider nicht entfernt. Seitdem überwacht er also meine Festplatte und jedes Mal, wenn ich eine Bitcoin-Adresse kopiere, funktioniert er.“ "
Die Malware war mit 195.112 verschiedenen Bitcoin-Adressen vorcodiert.
„Es geht nicht nur darum, die Bitcoin-Adresse in eine zufällige neue Adresse zu ändern“, erklärte Schober. „Es wird mit den ersten paar Zeichen der Adresse übereinstimmen, die Sie kopiert haben. Es wird also optisch sehr ähnlich aussehen, und wenn Sie den Unterschied nicht wirklich bemerken, werden Sie ihn nicht bemerken.“
Zum Zeitpunkt des Angriffs von Schober hatten vier der Adressen Bitcoins von ahnungslosen Opfern erhalten, was seinen Wirkungskreis erheblich einschränkte.
Verfolgen Sie gestohlene Bitcoins mit MoneroDas Schöne an der Blockchain ist ihr offenes Hauptbuch. Fast alle Kryptowährungstransaktionen hinterlassen digitale Spuren.
Typischerweise umfasst die Rückverfolgung dieser Wege die Nachverfolgung von Überweisungen, um festzustellen, wo das Geld gelandet ist.
Im Fall Schober führte er den von derselben Malware gestohlenen Bitcoin-Fluss auf die langjährige Kryptowährungs-Atomic-Swap-Plattform ShapeShift zurück.
ShapeShift verwaltete eine API, die an seinem Austausch beteiligte Adressen gemeinsam nutzte. API-Daten zeigen, dass der „Dieb“, dem Schober begegnete, Bitcoin gegen Monero (XMR) getauscht und die entsprechende Adresse verwendet hatte.
Weiterführende Lektüre: Was ist Monero XMR, der Vorfahre der Privacy Coins? Entwicklungsstand, Zukunftsaussichten, Marktwachstum, Regulierungskrise
Also postete Schober auf Reddit die Frage, ob es möglich sei, Monero-Transaktionen zu verfolgen. Der On-Chain-Ermittler und Asset-Recovery-Experte Nick Bax antwortete auf seine Anfrage.
„Er erhielt fünf Antworten, und alle sagten ‚Auf keinen Fall‘. Ich schickte ihm eine private Nachricht und sagte: ‚Das ist wirklich schwer. Aber ich habe es schon einmal gemacht. Ich kenne einen Anwalt, der erfolgreich Geld zurückgefordert hat. Finanzierung“, sagte Bax.
Im Mai 2021 legte Bax schließlich On-Chain-Beweise vor, die die Hacker in Schobers Klage vor mehr als zwei Jahren identifizierten. Dabei analysierte er Monero-Transaktionen und ermittelte mit hoher Sicherheit die Herkunft der Monero-Coins, die für Schobers gestohlene Bitcoins verwendet wurden.
Er hat die Monero-Tracking-Software selbst geschrieben.
„Sie kennzeichnen eine Ausgabe (und weisen die Monero-Blockchain an, wohin Transaktionen geleitet werden sollen) und suchen dann nach jeder Transaktion, die diese Tag-Ausgabe verwenden könnte. Dabei entstehen Muster.“
Diese Methode zum Knacken von Monero-Ringsignaturen – heute bekannt als Eve-Alice-Eve (EAE)-Angriff – entstand im Gefolge von WannaCry, der von Nordkorea gesteuerten Ransomware-Kampagne, die 2017 begann.
„Moneros RingCT... verbirgt die genauen UTXOs (Unspent Transaction Outputs), die ausgegeben werden, stellt Blockchain-Analysten jedoch eine Liste vertrauenswürdiger ‚Ringmitglieder‘ zur Verfügung, von denen eines verbraucht wird, der Rest ist ‚Köder‘“, erläuterte Bax seine Ergebnisse in ein Blogbeitrag.
Der inzwischen behobene Fehler in Monero dürfte es damals einfacher gemacht haben, das echte UTXO vom Lockvogel zu trennen und so die Transaktion nachzuverfolgen.
Hand Gottes: Klopft an die Tür des FBIBax stellte fest, dass Schobers mutmaßlicher Hacker einige von einem anderen Opfer gestohlene BTC über ShapeShift in Monero umgewandelt und sie dann über das Protokoll zurückgeschickt hatte, um sie erneut in BTC umzuwandeln.
Der gewaschene BTC wird an eine „Vanity-Adresse“ weitergeleitet, die mit „1 BeNEdict“ beginnt. Der Bitcoin von Schober landete bei Bitfinex. Hot Wallets für den Kryptowährungshandel sind praktisch Black Boxes, da ihre Guthaben gepoolte Kundengelder darstellen.
Sobald sich Kryptowährungen in einem Hot Wallet befinden, ist es nahezu unmöglich festzustellen, wohin sie abgehoben wurden, es sei denn, die Beträge sind gleich und ungewöhnlich – und selbst dieser Beweis ist nicht schlüssig.
Dort blieben die Ermittlungen gegen Schober und Bax mehr als ein Jahr lang stecken, wobei Schober Bitfinex vorlud, die Kontoinhaber offenzulegen, die die gestohlenen BTC erhalten hatten, was jedoch abgewiesen wurde.
„Bitfinex wird nur auf Anfragen von Strafverfolgungsbehörden nach Kundeninformationen reagieren, nicht auf zivilrechtliche Anfragen, da Bitfinex nicht in Zivilsachen eingreifen wird, insbesondere in den Vereinigten Staaten, da die Rechtsberaterin von Bitfinex, Sarah Compani, per E-Mail geantwortet hat.“ sagte Schobers Anwalt Ethan Mora.
„Der Grund, warum Kryptowährungsbörsen wie FTX und Bitfinex Unternehmen auf den Britischen Jungferninseln oder den Cayman-Inseln gründen, ist, dass sie sich nicht an US-amerikanisches Recht oder andere Gesetze halten müssen,“ sagte Schober . Ergreifen Sie außergerichtliche Maßnahmen. Sie gaben uns nicht einmal eine Antwort. "
Da Mora keinen direkten Zugang zu Bitfinex erhalten konnte, leitete er eine sogenannte Touhy-Anfrage ein und forderte die Cyber-Abteilung des FBI auf, Dokumente und andere Informationen im Zusammenhang mit der Untersuchung der Malware durch die Behörde bereitzustellen. Schober meldete den Fall sofort dem FBI, nachdem er seine Bitcoin verloren hatte.
„Das FBI begann, Vorladungen an Unternehmen auszustellen, die an der Malware beteiligt waren, wie Reddit (wo die Malware veröffentlicht wurde) und GitHub (wo die Malware gehostet wurde)“, sagte Schober.
Die Vorladungen erfolgten Ende 2018 und Anfang 2019. Das FBI beschlagnahmte während der Ermittlungen mehrere Monate lang sogar seinen Computer.
Nach etwa 10 Monaten hatte Touhys Antrag Erfolg. Plötzlich hatte Schobers Team Zugriff auf internes Bitfinex-Material, das auf die genaue IP- und E-Mail-Adresse des Kontos hinwies, das seine gestohlenen Bitcoins erhalten hatte.
„Solange wir keine Antworten vom Justizministerium auf Touhys Fragen erhalten, werden wir wirklich nicht wissen, was die FBI-Untersuchung ergeben hat“, sagte Mora.
Vanity-Adressen sind zurückDank der FBI-Vorladung konnte Schobers Team die Konten des Hackers bei einer Reihe von Online-Diensten identifizieren: Gmail, Keybase, Reddit, Twitter und Github. Der für die Malware erforderliche Code, einschließlich des Bitcoin-Adressgenerators, auf dem sie basiert, wurde im öffentlichen GitHub-Repository des mutmaßlichen Hackers entdeckt.
Über einige Konten wurde 1 BeNedict-Adresse verifiziert, die zum Waschen von Geld über ShapeShift verwendet wurde, was Bax als Beweis für die Identität des Hackers ansah (die Vanity-Adresse stimmte mit seinem Namen überein).
In einem offensichtlichen Geldwäscheversuch war die von den Angreifern bei ShapeShift registrierte Absenderadresse (an die das Protokoll Kryptowährungen im Falle von Problemen mit einer Transaktion überträgt) identisch mit der Bitfinex-Hot-Wallet, in der die von Schober gestohlenen Bitcoins gespeichert waren.
Es gibt sogar einen Beitrag auf der Mailingliste der Bitcoin-Entwickler, in dem die E-Mail-Adresse des Absenders mit dem echten Namen des mutmaßlichen Hackers übereinstimmt und beschrieben wird, wie man ganz einfach eine Adresse generieren kann, die der angegebenen Bitcoin-Adresse sehr ähnlich ist. Dieser Beitrag stimmt vollständig mit der Vorgehensweise der Electrum-Malware überein.
Nach einer ausreichenden Diagnose stellte Bax fest, dass „jede Bitcoin-Transaktion, die von den Electrum Atom-Malware-Betreibern gesendet wurde, an eine Zieladresse gesendet wurde, die mit den mutmaßlichen Hackern in Verbindung steht, gegen die das FBI ermittelt hat.“ Insgesamt 17 Bitcoins (im Wert von 501.000 US-Dollar) wurden von Adressen empfangen, die mit der Malware in Verbindung stehen, von denen 97 % Schober gehörten. Über das langjährige Bitcoin-Forum BitcoinTalk nahm er Kontakt zu einem anderen Opfer auf.
Das bedeutet, dass Schober eine Zivilklage gegen den mutmaßlichen Täter sowie gegen eine weitere Person einreichen könnte, die angeblich dieselbe Malware auf Reddit verbreitet hat. Beide waren zum Tatzeitpunkt minderjährig, daher nennt die Klage auch ihre Eltern als Angeklagte. Alle Parteien bestreiten jegliches Fehlverhalten.
Dies geschah im Mai 2021, mehr als drei Jahre nach dem Phishing von Schobers BTC. Der Preis von Bitcoin hat sich in dieser Zeit mehr als verdoppelt.
Erschwerend kommt hinzu, dass der mutmaßliche Hacker im Vereinigten Königreich lebt. Das FBI übergab den Fall an die britischen Strafverfolgungsbehörden und eine gemeinsame Untersuchung wurde eingeleitet. Beide Verdächtigen seien festgenommen, befragt und ihre Geräte beschlagnahmt sowie eine forensische Untersuchung durchgeführt worden, sagte Schober.
Doch bevor sie verhaftet werden konnten, veranlasste Schober seine Verzweiflung (und vielleicht ein Anflug von Naivität), sie und ihre Eltern zu kontaktieren, um ihnen mitzuteilen, dass sie gefunden worden waren.
„Ich hatte gehofft, dass sie reinen Tisch machen und mir das gestohlene Eigentum zurückgeben würden, denn ich habe sie nur gebeten, das gestohlene Eigentum zurückzugeben, und das haben sie nicht getan“, sagte Schober.
„Nachdem ich sie kontaktiert hatte, teilte mir die Staatsanwaltschaft schließlich mit, dass sie ihr Gerät möglicherweise zerstört haben, weil sie ein brandneues hatten und es nicht genügend forensische Beweise für eine Strafverfolgung gab.“
Bax sagte, er würde das tun, was Schober getan habe – sie dachten, die Eltern seien wahrscheinlich anständige Leute, weil sie in Banken und beim Nationalen Gesundheitsdienst arbeiteten. „Sie sollten das Geld zurückgeben und ich denke, dass das alles vorbei sein wird.“
Schobers Zivilklage könnte nun seine einzige Chance sein, Gerechtigkeit zu erlangen. Aber der Fall geht nur langsam voran, und die Anwälte streiten darüber, in welcher Gerichtsbarkeit der Prozess stattfinden soll.
Die Anwälte der Hacker sagten, die Klage sollte abgewiesen werden, da sich Schober in den Vereinigten Staaten befinde und nicht befugt sei, die Gerichtsbarkeit über eine Person im Vereinigten Königreich auszuüben. Sie argumentierten außerdem, dass er die gesetzliche Frist für die Einreichung einer Beschwerde überschritten habe.
„Aber aus unserer Sicht stimmt das nicht, denn es hat so viel Zeit, Mühe und Nachforschungen gekostet, um festzustellen, dass es sich am anderen Ende um einen Menschen handelte“, sagte Schober.
Angesichts der Tatsache, dass er 10 Monate warten musste, um eine Vorladung des FBI zu erhalten, nachdem Bitfinex ihm wichtige Informationen verweigert hatte, ist er der Meinung, dass er nicht mit dem Argument der gesetzlichen Frist bestraft werden sollte.
beispielloser FallEine Situation wie die von Schober ist möglicherweise einzigartig, da sie sich über den gesamten Atlantik erstreckt.
„Tatsächlich gibt es nur sehr wenige Fälle wie diesen. Tatsächlich kenne ich keinen einzigen Fall, in dem eine Person wegen eines Hackers wie diesem aufgespürt, gerichtlich vorgeladen (nach internationalem Recht) und strafrechtlich verfolgt wurde … geschweige denn wegen des Diebstahls von Kryptowährung.“ Hacker“, sagte Mora.
„Ich war an Fällen beteiligt, in denen einzelne Kläger inländische Betrüger/Hacker aus anderen Bundesstaaten der Vereinigten Staaten verklagten, diese Angeklagten jedoch in den Vereinigten Staaten festgenommen wurden.“
Mora führte Fälle an, in denen Regierungen Strafanzeigen gegen in- und ausländische Hacker erhoben haben und dass Technologiegiganten wie Amazon und Google Hacker verklagt haben, von denen einige Lösegeldzahlungen in Kryptowährung gefordert haben.
Schober ist kein multinationaler Konzern, er ist nur ein ganz normaler Typ, der seine Angreifer nicht verklagt wie einige der prominenten und wohlhabenden Opfer von Kryptowährungsdiebstahl.
„Ich glaube, dieser Fall ist in vielerlei Hinsicht beispiellos … Ich weiß nicht, wie lange dieser Fall andauern wird“, sagte Mora.
Wie dieses Problem gelöst werden kann, kann niemand mit Sicherheit sagen. Sollte ein US-Gericht entscheiden, dass die Hacker Schober Geld schulden, muss ein britisches Gericht das Urteil noch anerkennen, bevor es im Vereinigten Königreich vollstreckt werden kann. Letztlich kann es sich dabei um Inkasso, Pfandrechte und sogar Lohnpfändungen handeln.
Schober sagte, sie seien in der Lage gewesen, eine große Menge an Bitcoins auf Adressen zurückzuführen, die sie aus einer FBI-Vorladung erhalten hätten, sodass es den Anschein habe, dass die mutmaßlichen Hacker tatsächlich über die Mittel verfügten, um Schober zurückzuzahlen.
Diese Situation ist besonders frustrierend, wenn man bedenkt, dass Schober offenbar genau weiß, wer seine Kryptowährung gestohlen hat.
Trotz allem, was passiert ist, einschließlich Anwaltskosten und dem Verlust von 500.000 US-Dollar an Bitcoin, unterstützt Schober weiterhin Bitcoin.
„Ich glaube immer noch an das Versprechen von Bitcoin. Das hat mich überhaupt dazu bewegt, mitzumachen. Aber es besteht kein Zweifel, dass mein Vorteil als früher Teilnehmer verschwunden ist, und das ist schmerzhaft.“
„Aber ich habe immer noch eine positive Einstellung dazu. Und ich bin stolz darauf, diesen Fall bis zu diesem Punkt vorantreiben zu können, obwohl ich weiß, dass die Erfolgsaussichten sehr gering sind.“
Er ist optimistisch, dass US-Gerichte anerkennen werden, dass er Opfer eines Diebstahls war. Kommt der Angreifer aus einem Land wie Russland oder Nordkorea, hat er kaum Möglichkeiten, Wiedergutmachung zu leisten.
„Es sind fünf Jahre vergangen und ich möchte das so schnell wie möglich beenden“, sagte Schober. „Aber andererseits habe ich viel Mühe und Zeit investiert, und ich habe Leute wie Bax und andere, die mich unterstützen, weil sie die Geschichte gehört haben und sie großartig fanden. Deshalb war ich fest entschlossen, sie zu Ende zu bringen.“ "