Si un hacker volait tous les Bitcoins, seriez-vous prêt à passer cinq ans à sa poursuite ?

Après cinq ans de suivi, les gens ordinaires peuvent réellement récupérer leurs Bitcoins volés. Cet article est dérivé d'un article rédigé par David Canellis
Imaginez-vous être au milieu d’un marché haussier déchaîné et vous faire voler toutes vos crypto-monnaies… C’est exactement ce qui est arrivé à Andrew Schober du Colorado.
En 2018, Schober a téléchargé par inadvertance une version falsifiée du portefeuille Electrum Bitcoin sur le sous-reddit /r/BitcoinAirdrops. Caché dans ce faux portefeuille se trouvait un malware : un pirate de presse-papiers spécialement conçu pour le phishing du Bitcoin. Le malware prendrait n'importe quelle adresse acceptant Bitcoin sur la machine de Schober et se ferait passer pour elle, remplaçant l'adresse du destinataire prévu par une adresse contrôlée par le pirate informatique.
Schober, qui accumulait lentement des Bitcoins depuis 2014, a finalement envoyé au pirate informatique 16,5 Bitcoins, l'équivalent de 95 % de sa valeur nette, grâce au programme de phishing. Lorsqu'il a été victime d'un hameçonnage, les Bitcoins valaient 180 000 dollars, mais ont atteint 1,1 million de dollars en 2021, lorsque le Bitcoin était à son plus haut niveau historique. Schober considère que c'est « l'argent qui a changé sa vie ».
"J'ai trouvé un lien vers le malware sur Reddit, je l'ai installé sur mon ordinateur et j'ai rapidement réalisé que ce n'était pas ce qu'il était annoncé", a déclaré Schober. "Je l'ai donc simplement supprimé de mon ordinateur et je n'y ai plus jamais pensé."
"Mais malheureusement, une fois ce cheval de Troie installé sur votre disque dur, la suppression du programme d'origine ne supprime pas le cheval de Troie. Depuis lors, il surveille mon disque dur et chaque fois que je copie une adresse Bitcoin, cela fonctionnera. "
Le malware était pré-codé avec 195 112 adresses Bitcoin différentes.
"Il ne s'agit pas simplement de changer l'adresse Bitcoin en une nouvelle adresse aléatoire", a expliqué Schober. "Il correspondra aux premiers caractères de l'adresse que vous avez copiée. Il sera donc très similaire visuellement, et si vous ne remarquez pas vraiment la différence, vous ne la remarquerez pas."
Au moment de l'attaque de Schober, quatre des adresses avaient reçu du Bitcoin de victimes sans méfiance, réduisant considérablement sa portée.
Suivre les Bitcoins volés avec MoneroLa beauté de la blockchain réside dans son grand livre ouvert. Presque toutes les transactions en cryptomonnaies laissent une trace numérique.
En règle générale, tracer ces chemins implique de suivre les transferts pour déterminer où l’argent a abouti.
Dans le cas de Schober, il a retracé le flux de Bitcoin volé par le même malware jusqu'à ShapeShift, une plateforme d'échange atomique de crypto-monnaie de longue date.
ShapeShift permettait de maintenir une API partageant des adresses participant à son échange. Les données de l'API montrent que le « voleur » rencontré par Schober avait échangé Bitcoin contre Monero (XMR) et utilisé l'adresse correspondante.
Lectures complémentaires : Qu'est-ce que Monero XMR, l'ancêtre des pièces de confidentialité ? État de développement, perspectives d’avenir, croissance du marché, crise réglementaire
Schober a donc posté sur Reddit pour demander s'il était possible de suivre les transactions Monero. L'enquêteur en chaîne et expert en recouvrement d'actifs Nick Bax a répondu à sa demande.
"Il a reçu cinq réponses, et ils ont tous dit 'Pas question'. Je lui ai envoyé un message privé et lui ai dit : 'C'est vraiment difficile à faire. Mais je l'ai déjà fait. Je connais un avocat qui a réussi à récupérer de l'argent.' financement", a déclaré Bax.
Bax a finalement soumis des preuves en chaîne en mai 2021 qui ont identifié les pirates informatiques impliqués dans le procès de Schober, il y a plus de deux ans. Ce faisant, il a analysé les transactions Monero et déterminé avec un haut degré de certitude l’origine des pièces Monero utilisées pour les Bitcoins volés par Schober.
Il a lui-même écrit le logiciel de suivi Monero.
"Vous marquez une sortie (indiquant à la blockchain Monero où diriger les transactions), puis recherchez chaque transaction susceptible d'utiliser cette sortie de balise. Ce faisant, des modèles commencent à émerger."
Cette méthode permettant de briser les signatures en anneau de Monero – désormais connue sous le nom d'attaque Eve-Alice-Eve (EAE) – est apparue à la suite de WannaCry, la campagne de ransomware menée par la Corée du Nord qui a débuté en 2017.
"Le RingCT de Monero... cache les UTXO (sorties de transaction non dépensées) exactes dépensées, mais fournit aux analystes de la blockchain une liste de "membres du réseau" de confiance, dont l'un est consommé, le reste est un "appât"" Bax a détaillé ses conclusions dans un article de blog.
Le bug désormais corrigé dans Monero a peut-être permis à l'époque de séparer plus facilement le véritable UTXO du leurre et ainsi de retracer la transaction.
Main de Dieu : frapper à la porte du FBIBax a déterminé que le pirate informatique présumé de Schober avait converti une partie du BTC volé à une autre victime en Monero via ShapeShift, puis l'avait renvoyé via le protocole pour le reconvertir en BTC.
Le BTC lavé est dirigé vers une « adresse personnalisée » commençant par « 1 BeNEdict ». Quant au Bitcoin de Schober, il s’est retrouvé sur Bitfinex. Les hot wallets pour le trading de crypto-monnaies sont en fait des boîtes noires car leurs soldes représentent les fonds des clients mis en commun.
Une fois que les crypto-monnaies sont dans un portefeuille chaud, il est presque impossible de déterminer où elles ont été retirées, à moins que les montants ne soient les mêmes et rares – et même cette preuve n’est pas concluante.
C’est là que l’enquête Schober et Bax est restée bloquée pendant plus d’un an, Schober assignant Bitfinex à comparaître pour divulguer les propriétaires de comptes qui ont reçu le BTC volé, mais étant repoussé.
"Bitfinex ne répondra qu'aux demandes d'informations des clients des forces de l'ordre, pas aux demandes civiles, car Bitfinex n'interviendra pas dans les affaires civiles, en particulier aux États-Unis, car les tribunaux américains n'ont aucune compétence sur nous, Sarah Compani, conseillère juridique de Bitfinex, a répondu par e-mail." a déclaré l'avocat de Schober, Ethan Mora.
"La raison pour laquelle les bourses de crypto-monnaie comme FTX et Bitfinex créent des sociétés dans les îles Vierges britanniques ou les îles Caïmans est que, pour ces raisons juridiques, elles ne sont pas obligées de se conformer à la loi américaine ou à toute autre loi. Elles peuvent y rester", a déclaré Schober. . Prendre des mesures extrajudiciaires. Ils ne nous ont même pas donné de réponse. "
Incapable d'accéder directement à Bitfinex, Mora a lancé ce que l'on appelle une demande Touhy, demandant à la division cyber du FBI de fournir des documents et d'autres informations liées à l'enquête de l'agence sur le malware. Schober a immédiatement signalé l'affaire au FBI après avoir perdu son Bitcoin.
"Le FBI a commencé à délivrer des assignations à comparaître aux sociétés impliquées dans le malware, telles que Reddit (où le malware a été publié) et GitHub (où le malware était hébergé)", a déclaré Schober.
Les assignations à comparaître ont eu lieu fin 2018 et début 2019. Le FBI a même saisi son ordinateur pendant plusieurs mois au cours de l'enquête.
Après environ 10 mois, la demande de Touhy a abouti. Soudainement, l'équipe de Schober a eu accès au matériel interne de Bitfinex indiquant l'adresse IP et l'adresse e-mail exactes associées au compte qui a reçu ses Bitcoins volés.
"Tant que nous n'aurons pas reçu de réponses du ministère de la Justice aux questions de Touhy, nous ne saurons vraiment pas ce que l'enquête du FBI a découvert", a déclaré Mora.
Les adresses personnalisées sont de retourGrâce à l'assignation à comparaître du FBI, l'équipe de Schober a pu identifier les comptes du pirate informatique sur une gamme de services en ligne : Gmail, Keybase, Reddit, Twitter et Github. Le code requis pour le malware, y compris le générateur d'adresses Bitcoin sur lequel il s'appuie, a été découvert dans le référentiel de code public GitHub du pirate informatique présumé.
Grâce à certains comptes, 1 adresse BeNedict utilisée pour blanchir de l'argent via ShapeShift a été vérifiée, ce que Bax a considéré comme une preuve de l'identité du pirate informatique (l'adresse personnalisée correspondait à son nom).
Dans une apparente tentative de blanchiment d'argent, l'adresse de retour enregistrée par les attaquants avec ShapeShift (à laquelle le protocole transfère les crypto-monnaies en cas de problèmes avec une transaction) était identique au portefeuille chaud Bitfinex dans lequel le Bitcoin volé à Schober était stocké.
Il y a même un message sur la liste de diffusion des développeurs Bitcoin où l'adresse e-mail de l'expéditeur correspond au vrai nom du pirate informatique présumé, décrivant comment générer facilement une adresse très similaire à l'adresse Bitcoin fournie. Cet article est tout à fait cohérent avec le modus operandi du malware Electrum.
Après avoir effectué des diagnostics suffisants, Bax a découvert que « chaque transaction Bitcoin envoyée par les opérateurs du malware Electrum Atom était envoyée à une adresse cible associée aux pirates présumés enquêtés par le FBI ». Au total, 17 Bitcoins (d'une valeur de 501 000 $) ont été reçus par des adresses associées au malware, dont 97 % appartenaient à Schober. Il a pris contact avec une autre victime via le forum Bitcoin de longue date, BitcoinTalk.
Cela signifie que Schober pourrait intenter une action civile contre l'auteur présumé, ainsi que contre une autre personne qui aurait colporté le même malware sur Reddit. Tous deux étaient mineurs au moment des crimes, le procès désigne donc également leurs parents comme accusés. Toutes les parties nient tout acte répréhensible.
Cela s’est produit en mai 2021, plus de trois ans après le phishing du BTC de Schober. Le prix du Bitcoin a plus que doublé au cours de cette période.
Pour compliquer encore les choses, le pirate informatique présumé réside au Royaume-Uni. Le FBI a confié l'affaire aux forces de l'ordre britanniques et une enquête conjointe a été ouverte. Les deux suspects ont été arrêtés, interrogés et leurs appareils confisqués et une enquête médico-légale a été menée, a déclaré Schober.
Mais avant qu'ils puissent être arrêtés, le désespoir (et peut-être une touche de naïveté) a conduit Schober à les contacter, eux et leurs parents, pour leur faire savoir qu'ils avaient été retrouvés.
"J'espérais qu'ils se montreraient honnêtes et me restitueraient les biens volés, car tout ce que je leur ai fait, c'était leur demander de restituer les biens volés et ils ne l'ont pas fait", a déclaré Schober.
"Le ministère public de la Couronne m'a finalement dit, après que je les ai contactés, qu'ils avaient peut-être détruit leur appareil parce qu'ils en possédaient un tout neuf et qu'il n'y avait pas suffisamment de preuves médico-légales pour engager des poursuites."
Bax a déclaré qu'il ferait ce que Schober a fait : ils pensaient que les parents étaient probablement des gens honnêtes parce qu'ils travaillaient dans les banques et au National Health Service. "Ils devraient rendre l'argent et je pense que tout cela sera fini."
Le procès civil de Schober pourrait désormais être sa seule chance d'obtenir justice. Mais l'affaire avance lentement, les avocats se disputant sur la juridiction où le procès devrait avoir lieu.
Les avocats des pirates informatiques ont déclaré que le procès devait être rejeté parce que Schober se trouvait aux États-Unis et n'avait aucune autorité pour exercer sa juridiction sur une personne au Royaume-Uni. Ils ont également fait valoir qu'il avait dépassé le délai légal pour déposer une plainte.
"Mais de notre point de vue, ce n'est pas vrai parce qu'il a fallu beaucoup de temps, d'efforts et d'enquêtes pour déterminer qu'il s'agissait d'un être humain à l'autre bout du fil", a déclaré Schober.
Considérant qu'il a dû attendre 10 mois pour obtenir une assignation à comparaître du FBI après s'être vu refuser des informations clés par Bitfinex, il estime qu'il ne devrait pas être puni par l'argument du délai légal.
cas sans précédentUne situation comme celle de Schober est peut-être unique car elle s'étend à l'ensemble de l'Atlantique.
"Il y a en fait très peu de cas comme celui-ci, en fait je ne connais aucun cas où un individu ait été retrouvé, légalement cité à comparaître (en vertu du droit international) et poursuivi pour un pirate informatique comme celui-ci... sans parler du vol de crypto-monnaie. pirates informatiques", a déclaré Mora.
"J'ai été impliqué dans des affaires dans lesquelles certains plaignants individuels ont poursuivi des escrocs/hackers nationaux d'autres États des États-Unis, mais ces accusés ont été arrêtés aux États-Unis."
Mora a cité des cas dans lesquels des gouvernements ont engagé des poursuites pénales contre des pirates informatiques nationaux et étrangers, ainsi que des géants de la technologie comme Amazon et Google poursuivant des pirates informatiques, dont certains ont exigé le paiement d'une rançon en cryptomonnaie.
Schober n'est pas une multinationale, c'est juste un gars ordinaire qui ne poursuit pas ses agresseurs en justice comme certaines des victimes les plus en vue et les plus riches du vol de cryptomonnaie.
"Je pense que cette affaire est sans précédent à bien des égards... Je ne sais pas combien de temps cette affaire va durer", a déclaré Mora.
Comment résoudre ce problème, personne ne peut le dire avec certitude. Si un tribunal américain décide que les pirates informatiques doivent de l’argent à Schober, un tribunal britannique devra quand même reconnaître le jugement avant de pouvoir l’exécuter au Royaume-Uni. En fin de compte, le recouvrement de créances, les privilèges et même les saisies-arrêts sur salaire peuvent être impliqués.
Schober a déclaré qu'ils étaient en mesure de retracer une grande somme de Bitcoins jusqu'à des adresses obtenues à partir d'une assignation à comparaître du FBI, il semble donc que les pirates présumés disposaient des fonds nécessaires pour rembourser Schober.
Cette situation est particulièrement frustrante étant donné que Schober semble savoir exactement qui a volé sa crypto-monnaie.
Malgré tout ce qui s’est passé, y compris les frais juridiques et la perte de 500 000 $ en Bitcoin, Schober reste favorable au Bitcoin.
"Je crois toujours aux promesses du Bitcoin. C'est ce qui m'a poussé à le rejoindre en premier lieu. Mais il ne fait aucun doute que mon avantage en tant que premier participant a disparu, et c'est douloureux."
"Mais j'ai toujours une attitude positive à son égard. Et je suis fier de pouvoir faire avancer cette affaire jusqu'à ce point, sachant que les chances de succès sont très faibles."
Il a bon espoir que les tribunaux américains reconnaîtront qu'il a été victime d'un vol. Si l’agresseur vient d’un pays comme la Russie ou la Corée du Nord, il dispose de peu de voies de recours.
"Cela fait cinq ans et je veux y mettre fin le plus rapidement possible", a déclaré Schober. "Mais d'un autre côté, j'ai consacré beaucoup d'efforts et de temps, et j'ai des gens comme Bax et d'autres qui me soutiennent parce qu'ils ont entendu l'histoire et l'ont trouvée incroyable. J'étais donc déterminé à aller jusqu'au bout. "