Setelah lima tahun pelacakan, orang biasa sebenarnya dapat memulihkan Bitcoin mereka yang dicuri. Artikel ini diambil dari artikel yang ditulis oleh David Canellis
Bayangkan berada di tengah-tengah pasar yang sedang naik daun dan semua mata uang kripto Anda dicuri… Itulah yang terjadi pada Andrew Schober dari Colorado.
Pada tahun 2018, Schober secara tidak sengaja mengunduh versi dompet Electrum Bitcoin yang telah dipalsukan di subreddit /r/BitcoinAirdrops. Tersembunyi di dalam dompet palsu ini adalah malware: pembajak clipboard yang dirancang khusus untuk melakukan phishing untuk Bitcoin. Malware tersebut akan mengambil alamat penerima Bitcoin apa pun di mesin Schober dan menyamar sebagai alamat tersebut, menggantikan alamat penerima yang dituju dengan alamat yang dikendalikan oleh peretas.
Schober, yang perlahan-lahan mengumpulkan Bitcoin sejak tahun 2014, akhirnya mengirimkan 16,5 Bitcoin kepada peretas, setara dengan 95% kekayaan bersihnya, sebagai hasil dari program phishing. Ketika dia terkena phishing, Bitcoin bernilai $180.000, tetapi mencapai $1,1 juta pada tahun 2021, ketika Bitcoin berada pada titik tertinggi sepanjang masa. Schober menganggapnya sebagai "uang yang mengubah hidupnya".
“Saya menemukan tautan ke malware tersebut di Reddit, memasangnya di komputer saya dan segera menyadari bahwa itu tidak seperti yang diiklankan,” kata Schober. “Jadi saya baru saja menghapusnya dari komputer saya dan tidak pernah memikirkannya lagi.”
“Namun sayangnya, setelah Trojan ini terinstal di hard drive Anda, menghapus program asli tidak akan menghilangkan Trojan tersebut. Jadi sejak itu, Trojan telah memantau hard drive saya, dan setiap kali saya menyalin alamat Bitcoin, itu akan berhasil. "
Malware tersebut telah dikodekan sebelumnya dengan 195,112 alamat Bitcoin yang berbeda.
“Ini bukan sekadar mengubah alamat Bitcoin ke alamat baru secara acak,” jelas Schober. "Ini akan cocok dengan beberapa karakter pertama dari alamat yang Anda salin. Jadi secara visual akan terlihat sangat mirip, dan jika Anda tidak terlalu memperhatikan perbedaannya, Anda tidak akan menyadarinya."
Pada saat serangan Schober terjadi, empat alamat telah menerima Bitcoin dari korban yang tidak menaruh curiga, sehingga secara signifikan mempersempit cakupannya.
Lacak Bitcoin yang Dicuri dengan Monero
Keindahan blockchain adalah buku besarnya yang terbuka. Hampir semua transaksi mata uang kripto meninggalkan jejak digital.
Biasanya, menelusuri jalur ini melibatkan pelacakan transfer untuk menentukan di mana uang itu berakhir.
Dalam kasus Schober, dia menelusuri aliran Bitcoin yang dicuri oleh malware yang sama ke platform pertukaran atom mata uang kripto yang sudah lama beroperasi, ShapeShift.
ShapeShift digunakan untuk memelihara API yang berbagi alamat yang berpartisipasi dalam pertukarannya. Data API menunjukkan bahwa "pencuri" yang ditemui Schober telah menukar Bitcoin dengan Monero (XMR) dan menggunakan alamat yang sesuai.
Bacaan lebih lanjut: Apa itu Monero XMR, nenek moyang koin privasi? Status pembangunan, prospek masa depan, pertumbuhan pasar, krisis regulasi
Jadi Schober memposting di Reddit menanyakan apakah mungkin untuk melacak transaksi Monero. Penyelidik on-chain dan pakar pemulihan aset Nick Bax menanggapi permintaannya.
"Dia mendapat lima tanggapan, semuanya mengatakan 'tidak mungkin.' Saya mengiriminya pesan pribadi dan berkata, 'Ini sangat sulit dilakukan. Tapi saya pernah melakukannya. Saya kenal seorang pengacara yang berhasil mendapatkan kembali dana, '" kata Bax.
Bax akhirnya menyerahkan bukti on-chain pada Mei 2021 yang mengidentifikasi peretas dalam gugatan Schober, lebih dari dua tahun lalu. Dalam prosesnya, dia menganalisis transaksi Monero dan menentukan dengan tingkat kepastian yang tinggi asal koin Monero yang digunakan untuk Bitcoin curian Schober.
Dia menulis sendiri perangkat lunak pelacakan Monero.
“Anda menandai suatu keluaran (menginstruksikan blockchain Monero ke mana mengarahkan transaksi) dan kemudian mencari setiap transaksi yang mungkin menggunakan keluaran tag tersebut, pola mulai muncul.”
Metode pembobolan tanda tangan cincin Monero ini – sekarang dikenal sebagai serangan Eve-Alice-Eve (EAE) – muncul setelah WannaCry, kampanye ransomware yang dimulai oleh Korea Utara dan dimulai pada tahun 2017.
"RingCT Monero... menyembunyikan UTXO (Output Transaksi Tak Terpakai) yang sebenarnya sedang dibelanjakan, namun memberi analis blockchain daftar 'anggota cincin' tepercaya, salah satunya dikonsumsi, sisanya adalah 'umpan'" Bax merinci temuannya di sebuah postingan blog.
Bug yang sekarang telah ditambal di Monero mungkin telah mempermudah pemisahan UTXO asli dari umpan dan dengan demikian melacak transaksi.
Tangan Tuhan: Mengetuk Pintu FBI
Bax menetapkan bahwa tersangka peretas Schober mengubah beberapa BTC yang dicuri dari korban lain menjadi Monero melalui ShapeShift, kemudian mengirimkannya kembali melalui protokol untuk mengubahnya menjadi BTC lagi.
BTC yang dicuci diarahkan ke "alamat cantik" yang dimulai dengan "1 BeNEdict". Adapun Bitcoin Schober, berakhir di Bitfinex. Dompet panas perdagangan mata uang kripto sebenarnya adalah kotak hitam karena saldonya mewakili kumpulan dana pelanggan.
Begitu mata uang kripto masuk ke dalam hot wallet, hampir tidak mungkin untuk menentukan ke mana mata uang tersebut ditarik, kecuali jika jumlahnya sama dan jarang terjadi – dan bahkan bukti tersebut tidak meyakinkan.
Di sanalah penyelidikan Schober dan Bax terhenti selama lebih dari setahun, dengan Schober memanggil Bitfinex untuk mengungkapkan pemilik akun yang menerima BTC yang dicuri, namun ditolak.
"Bitfinex hanya akan menanggapi permintaan penegakan hukum atas informasi pelanggan, bukan permintaan perdata, karena Bitfinex tidak akan melakukan intervensi dalam masalah perdata, terutama di Amerika Serikat, karena pengadilan AS tidak memiliki yurisdiksi atas kami." Penasihat hukum Bitfinex, Sarah Compani, menanggapi melalui email kata pengacara Schober, Ethan Mora.
“Alasan pertukaran mata uang kripto seperti FTX dan Bitfinex mendirikan perusahaan di Kepulauan Virgin Britania Raya atau Kepulauan Cayman adalah karena alasan hukum ini, mereka tidak harus mematuhi undang-undang AS atau undang-undang lainnya.” . Mengambil tindakan di luar hukum. Mereka bahkan tidak memberi kami jawaban. "
Karena tidak dapat memperoleh akses langsung ke Bitfinex, Mora memulai apa yang dikenal sebagai permintaan Touhy, meminta divisi cyber FBI untuk memberikan dokumen dan informasi lain terkait penyelidikan agensi tersebut terhadap malware tersebut. Schober segera melaporkan kasus tersebut ke FBI setelah kehilangan Bitcoin miliknya.
“FBI mulai mengeluarkan panggilan pengadilan kepada perusahaan-perusahaan yang terlibat dalam malware tersebut, seperti Reddit (tempat malware tersebut dirilis) dan GitHub (tempat malware tersebut dihosting),” kata Schober.
Panggilan pengadilan terjadi pada akhir tahun 2018 dan awal tahun 2019. FBI bahkan menyita komputernya selama beberapa bulan selama penyelidikan.
Setelah kurang lebih 10 bulan, permintaan Touhy berhasil. Tiba-tiba, tim Schober memiliki akses ke materi internal Bitfinex yang menunjukkan alamat IP dan email persis yang terkait dengan akun yang menerima Bitcoin curiannya.
“Sampai kami mendapatkan jawaban dari Departemen Kehakiman atas pertanyaan Touhy, kami tidak akan mengetahui apa yang terungkap dalam penyelidikan FBI,” kata Mora.
Alamat cantik telah kembali
Berkat panggilan pengadilan FBI, tim Schober dapat mengidentifikasi akun peretas di berbagai layanan online: Gmail, Keybase, Reddit, Twitter, dan Github. Kode yang diperlukan untuk malware tersebut, termasuk generator alamat Bitcoin yang diandalkannya, ditemukan di repositori kode GitHub publik milik tersangka peretas.
Melalui beberapa akun, 1 alamat BeNedict yang digunakan untuk mencuci uang melalui ShapeShift telah diverifikasi, yang dianggap Bax sebagai bukti identitas peretas (alamat rias cocok dengan namanya).
Dalam upaya pencucian uang, alamat pengirim yang didaftarkan oleh penyerang dengan ShapeShift (ke mana protokol mentransfer mata uang kripto jika terjadi masalah dengan transaksi) identik dengan dompet panas Bitfinex tempat Bitcoin yang dicuri dari Schober disimpan.
Bahkan ada postingan di milis pengembang Bitcoin yang alamat email pengirimnya cocok dengan nama asli tersangka peretas, yang menjelaskan cara mudah menghasilkan alamat yang sangat mirip dengan alamat Bitcoin yang diberikan. Postingan ini sepenuhnya konsisten dengan modus operandi malware Electrum.
Setelah melakukan diagnosa yang memadai, Bax menemukan bahwa "setiap transaksi Bitcoin yang dikirim oleh operator malware Electrum Atom dikirim ke alamat target yang terkait dengan dugaan peretas yang diselidiki oleh FBI." Sebanyak 17 Bitcoin (senilai $501,000) diterima melalui alamat yang terkait dengan malware, 97% di antaranya milik Schober. Dia melakukan kontak dengan korban lain melalui forum Bitcoin yang sudah lama ada, BitcoinTalk.
Artinya, Schober dapat mengajukan gugatan perdata terhadap tersangka pelaku, serta individu lain yang diduga menjual malware yang sama di Reddit. Keduanya masih di bawah umur pada saat kejahatan terjadi, sehingga gugatan tersebut juga menyebut orang tua mereka sebagai terdakwa. Semua pihak menyangkal melakukan kesalahan.
Ini terjadi pada Mei 2021, lebih dari tiga tahun setelah BTC Schober di-phishing. Harga Bitcoin meningkat lebih dari dua kali lipat pada saat itu.
Yang lebih rumit lagi, tersangka peretas tinggal di Inggris. FBI menyerahkan kasus ini kepada penegak hukum Inggris dan penyelidikan bersama pun diluncurkan. Kedua tersangka ditangkap, diinterogasi dan perangkat mereka disita dan penyelidikan forensik dilakukan, kata Schober.
Namun sebelum mereka ditangkap, keputusasaan (dan mungkin sedikit kenaifan) membuat Schober menghubungi mereka dan orang tua mereka untuk memberi tahu bahwa mereka telah ditemukan.
“Saya berharap mereka akan berterus terang dan mengembalikan barang curian kepada saya karena yang saya lakukan hanyalah meminta mereka mengembalikan barang curian dan mereka tidak melakukannya,” kata Schober.
"Kejaksaan Agung akhirnya memberi tahu saya setelah saya menghubungi mereka bahwa mereka mungkin menghancurkan perangkat mereka karena mereka memiliki perangkat baru dan tidak ada bukti forensik yang cukup untuk menuntut."
Bax mengatakan dia akan melakukan apa yang dilakukan Schober - mereka mengira orang tuanya mungkin adalah orang baik karena mereka bekerja di bank dan Layanan Kesehatan Nasional. “Mereka harus mengembalikan uangnya dan saya pikir semua ini akan berakhir.”
Gugatan perdata Schober sekarang mungkin menjadi satu-satunya kesempatannya untuk mendapatkan keadilan. Namun kasus ini berjalan lambat, dengan para pengacara berdebat mengenai yurisdiksi mana persidangan harus dilakukan.
Pengacara para peretas mengatakan gugatan tersebut harus dibatalkan karena Schober berada di Amerika Serikat dan tidak memiliki wewenang untuk menjalankan yurisdiksi atas seseorang di Inggris. Mereka juga berargumen bahwa dia telah melampaui batas waktu yang sah untuk mengajukan pengaduan.
“Tetapi dari sudut pandang kami, hal itu tidak benar karena memerlukan begitu banyak waktu, upaya, dan penyelidikan untuk menentukan bahwa yang dimaksud adalah manusia,” kata Schober.
Mengingat dia harus menunggu 10 bulan untuk mendapatkan panggilan pengadilan FBI setelah informasi penting ditolak oleh Bitfinex, dia merasa dia tidak seharusnya dihukum oleh argumen batas waktu menurut undang-undang.
kasus yang belum pernah terjadi sebelumnya
Situasi seperti yang dialami Schober mungkin unik karena mencakup seluruh Atlantik.
“Sebenarnya hanya ada sedikit kasus seperti ini, bahkan saya tidak tahu ada kasus di mana seseorang dilacak, dipanggil secara hukum (berdasarkan hukum internasional), dan diadili karena peretas seperti ini… apalagi mencuri enkripsi Mata Uang peretas, "kata Mora.
"Saya telah terlibat dalam kasus di mana beberapa penggugat menggugat penipu/peretas domestik dari negara bagian lain di Amerika Serikat, namun para terdakwa tersebut ditangkap di Amerika Serikat."
Mora mengutip kasus-kasus di mana pemerintah mengajukan tuntutan pidana terhadap peretas dalam dan luar negeri, serta raksasa teknologi seperti Amazon dan Google yang menggugat peretas, beberapa di antaranya menuntut pembayaran tebusan dalam mata uang kripto.
Schober bukanlah perusahaan multinasional, dia hanyalah orang biasa yang tidak menuntut penyerangnya seperti beberapa korban pencurian mata uang kripto yang terkenal dan kaya raya.
“Saya yakin kasus ini belum pernah terjadi sebelumnya dalam banyak hal… Saya tidak tahu sampai kapan kasus ini akan berlangsung,” kata Mora.
Bagaimana mengatasi masalah ini, tidak ada yang bisa memastikan. Jika pengadilan AS memutuskan bahwa peretas berhutang uang kepada Schober, pengadilan Inggris masih perlu mengakui keputusan tersebut sebelum dapat diterapkan di Inggris. Pada akhirnya, penagihan utang, hak gadai, dan bahkan pemotongan gaji mungkin terlibat.
Schober mengatakan mereka dapat melacak sejumlah besar Bitcoin ke alamat yang diperoleh dari panggilan pengadilan FBI, sehingga tampaknya para peretas memang memiliki dana untuk membayar kembali Schober.
Situasi ini sangat membuat frustrasi mengingat Schober tampaknya tahu persis siapa yang mencuri mata uang kripto miliknya.
Terlepas dari semua yang telah terjadi, termasuk biaya hukum dan hilangnya $500,000 dalam bentuk Bitcoin, Schober tetap mendukung Bitcoin.
"Saya masih percaya pada janji Bitcoin. Itulah yang membuat saya tertarik untuk bergabung. Namun tidak ada keraguan bahwa keuntungan saya sebagai peserta awal telah hilang, dan itu menyakitkan."
"Tetapi saya masih mempunyai sikap positif terhadap hal itu. Dan saya bangga bisa memajukan kasus ini sampai titik ini, mengetahui bahwa peluang keberhasilannya sangat kecil."
Ia optimistis pengadilan AS akan mengakui bahwa ia adalah korban pencurian. Jika penyerang berasal dari negara seperti Rusia atau Korea Utara, ia hanya mempunyai sedikit jalan untuk mendapatkan ganti rugi.
“Sudah lima tahun berlalu dan saya ingin mengakhiri ini secepat mungkin,” kata Schober. “Tetapi di sisi lain, saya telah mengerahkan banyak upaya dan waktu, dan saya memiliki orang-orang seperti Bax dan lainnya yang mendukung saya karena mereka mendengar ceritanya dan menganggapnya luar biasa. Jadi saya bertekad untuk menyelesaikannya. "