Se un hacker rubasse tutti i Bitcoin, saresti disposto a passare cinque anni a inseguirlo?

Dopo cinque anni di monitoraggio, le persone comuni possono effettivamente recuperare i propri Bitcoin rubati. Questo articolo è derivato da un articolo scritto da David Canellis
Immagina di essere nel mezzo di un furioso mercato rialzista e di vederti rubare tutte le tue criptovalute... Questo è esattamente quello che è successo ad Andrew Schober del Colorado.
Nel 2018, Schober ha inavvertitamente scaricato una versione modificata del portafoglio Electrum Bitcoin sul subreddit /r/BitcoinAirdrops. Nascosto in questo portafoglio falso c'era un malware: un dirottatore di appunti progettato specificamente per il phishing di Bitcoin. Il malware prenderebbe qualsiasi indirizzo che accetta Bitcoin sulla macchina di Schober e si travestirebbe da esso, sostituendo l'indirizzo del destinatario previsto con un indirizzo controllato dall'hacker.
Schober, che accumulava lentamente Bitcoin dal 2014, alla fine ha inviato all'hacker 16,5 Bitcoin, pari al 95% del suo patrimonio netto, come risultato del programma di phishing. Quando è stato oggetto di phishing, i Bitcoin valevano 180.000 dollari, ma hanno raggiunto 1,1 milioni di dollari nel 2021, quando Bitcoin era al suo massimo storico. Schober lo considera "il denaro che gli ha cambiato la vita".
"Ho trovato un collegamento al malware su Reddit, l'ho installato sul mio computer e ho subito capito che non era quello che era stato pubblicizzato", ha detto Schober. "Così l'ho semplicemente cancellato dal mio computer e non ci ho più pensato."
"Ma sfortunatamente, una volta installato questo Trojan sul tuo disco rigido, l'eliminazione del programma originale non elimina il Trojan. Quindi da allora monitora il mio disco rigido e ogni volta che copio un indirizzo Bitcoin, funzionerà. "
Il malware era precodificato con 195.112 diversi indirizzi Bitcoin.
"Non si tratta semplicemente di cambiare l'indirizzo Bitcoin con un nuovo indirizzo casuale", ha spiegato Schober. "Corrisponderà ai primi caratteri dell'indirizzo che hai copiato. Quindi sembrerà molto simile visivamente e se non noti davvero la differenza, non la noterai."
Al momento dell'attacco di Schober, quattro indirizzi avevano ricevuto Bitcoin da vittime ignare, restringendo notevolmente il campo di applicazione.
Tieni traccia dei Bitcoin rubati con MoneroLa bellezza della blockchain è il suo registro aperto. Quasi tutte le transazioni di criptovaluta lasciano una traccia digitale.
In genere, tracciare questi percorsi comporta il monitoraggio dei trasferimenti per determinare dove è finito il denaro.
Nel caso di Schober, ha tracciato il flusso di Bitcoin rubato dallo stesso malware verso la piattaforma di scambio atomico di criptovaluta di lunga data ShapeShift.
ShapeShift veniva utilizzato per mantenere un'API che condivideva gli indirizzi che partecipavano al suo scambio. I dati API mostrano che il "ladro" incontrato da Schober aveva scambiato Bitcoin con Monero (XMR) e utilizzato l'indirizzo corrispondente.
Lettura estesa: Cos'è Monero XMR, l'antenato delle privacy coin? Stato di sviluppo, prospettive future, crescita del mercato, crisi normativa
Così Schober ha postato su Reddit chiedendo se fosse possibile tracciare le transazioni Monero. L'investigatore on-chain ed esperto di recupero asset Nick Bax ha risposto alla sua richiesta.
"Ha ricevuto cinque risposte e tutte hanno detto 'Assolutamente no'. Gli ho mandato un messaggio privato e ho detto: 'È davvero difficile da fare. Ma l'ho già fatto. Conosco un avvocato che ha recuperato denaro con successo. finanziamenti", ha detto Bax.
Bax ha finalmente presentato prove on-chain nel maggio 2021 che hanno identificato gli hacker nella causa di Schober, più di due anni fa. Nel processo, ha analizzato le transazioni Monero e ha determinato con un alto grado di certezza l’origine delle monete Monero utilizzate per i Bitcoin rubati da Schober.
Ha scritto lui stesso il software di tracciamento Monero.
"Tagga un output (istruendo la blockchain Monero dove dirigere le transazioni) e poi cerchi ogni transazione che potrebbe utilizzare quell'output del tag. Mentre lo fai, i modelli iniziano ad emergere."
Questo metodo per violare le firme degli anelli Monero, ora noto come attacco Eve-Alice-Eve (EAE), è emerso all'indomani di WannaCry, la campagna ransomware guidata dalla Corea del Nord iniziata nel 2017.
"Il RingCT di Monero... nasconde gli esatti UTXO (Unspent Transaction Outputs) spesi, ma fornisce agli analisti blockchain un elenco di 'membri del ring' fidati, uno dei quali viene consumato, il resto è 'esca'" Bax ha dettagliato le sue scoperte in un post sul blog.
Il bug ora corretto in Monero potrebbe aver reso più semplice in quel momento separare il vero UTXO dall'esca e quindi tracciare la transazione.
La mano di Dio: bussare alla porta dell'FBIBax ha stabilito che il presunto hacker di Schober ha convertito alcuni BTC rubati a un'altra vittima in Monero tramite ShapeShift, quindi li ha rimandati indietro attraverso il protocollo per convertirli nuovamente in BTC.
I BTC lavati vengono indirizzati a un "indirizzo vanitoso" che inizia con "1 BeNEdict". Per quanto riguarda il Bitcoin di Schober, è finito su Bitfinex. Gli hot wallet per il trading di criptovalute sono effettivamente scatole nere poiché i loro saldi rappresentano i fondi dei clienti in comune.
Una volta che le criptovalute sono in un hot wallet, è quasi impossibile determinare dove sono state ritirate, a meno che gli importi non siano gli stessi e non comuni, e anche questa prova non è conclusiva.
È stato lì che le indagini di Schober e Bax si sono bloccate per più di un anno, con Schober che ha citato in giudizio Bitfinex per rivelare i proprietari dei conti che hanno ricevuto i BTC rubati, ma è stato respinto.
"Bitfinex risponderà solo alle richieste delle forze dell'ordine relative a informazioni sui clienti, non alle richieste civili, perché Bitfinex non interverrà in questioni civili, soprattutto negli Stati Uniti, perché i tribunali statunitensi non hanno giurisdizione su di noi." Sarah Compani, consulente legale di Bitfinex, ha risposto via e-mail ha detto l'avvocato di Schober, Ethan Mora.
"La ragione per cui gli scambi di criptovaluta come FTX e Bitfinex creano società nelle Isole Vergini britanniche o nelle Isole Cayman è per questi motivi legali, non devono rispettare la legge statunitense o qualsiasi altra legge. Possono restare lì, ha detto Schober." .Intraprendere azioni extragiudiziali. Non ci hanno nemmeno dato una risposta. "
Impossibile ottenere l'accesso diretto a Bitfinex, Mora ha avviato quella che è nota come richiesta Touhy, chiedendo alla divisione informatica dell'FBI di fornire documenti e altre informazioni relative alle indagini dell'agenzia sul malware. Schober ha immediatamente segnalato il caso all'FBI dopo aver perso i suoi Bitcoin.
"L'FBI ha iniziato a emettere mandati di comparizione alle aziende coinvolte nel malware, come Reddit (dove è stato rilasciato il malware) e GitHub (dove è stato ospitato il malware)", ha detto Schober.
Le citazioni in giudizio sono avvenute tra la fine del 2018 e l'inizio del 2019. Durante le indagini, l'FBI ha addirittura sequestrato il suo computer per diversi mesi.
Dopo circa 10 mesi, la richiesta di Touhy ha avuto successo. All'improvviso, il team di Schober ha avuto accesso al materiale interno di Bitfinex che indicava l'IP esatto e l'indirizzo e-mail associati all'account che aveva ricevuto i Bitcoin rubati.
"Fino a quando non avremo risposte dal Dipartimento di Giustizia alle domande di Touhy, non sapremo davvero cosa ha scoperto l'indagine dell'FBI", ha detto Mora.
Gli indirizzi vanity sono tornatiGrazie alla citazione dell'FBI, la squadra di Schober è stata in grado di identificare gli account dell'hacker su una serie di servizi online: Gmail, Keybase, Reddit, Twitter e Github. Il codice necessario per il malware, compreso il generatore di indirizzi Bitcoin su cui si basa, è stato scoperto nel repository di codici pubblico GitHub del presunto hacker.
Attraverso alcuni account è stato verificato l'indirizzo di 1 BeNedict utilizzato per riciclare denaro tramite ShapeShift, che Bax ha visto come prova dell'identità dell'hacker (l'indirizzo vanity corrispondeva al suo nome).
In un'apparente operazione di riciclaggio di denaro, l'indirizzo di ritorno registrato dagli aggressori con ShapeShift (a cui il protocollo trasferisce le criptovalute in caso di problemi con una transazione) era identico all'hot wallet Bitfinex in cui erano conservati i Bitcoin rubati a Schober.
C'è anche un post sulla mailing list degli sviluppatori Bitcoin in cui l'indirizzo email del mittente corrisponde al vero nome del presunto hacker, che descrive come generare facilmente un indirizzo molto simile all'indirizzo Bitcoin fornito. Questo post è completamente coerente con il modus operandi del malware Electrum.
Dopo aver condotto una diagnostica sufficiente, Bax ha scoperto che "ogni transazione Bitcoin inviata dagli operatori del malware Electrum Atom è stata inviata a un indirizzo di destinazione associato ai presunti hacker indagati dall'FBI". Un totale di 17 Bitcoin (del valore di 501.000 dollari) sono stati ricevuti da indirizzi associati al malware, il 97% dei quali apparteneva a Schober. Ha contattato un'altra vittima attraverso il forum Bitcoin di lunga data BitcoinTalk.
Ciò significa che Schober potrebbe intentare una causa civile contro il presunto autore, così come contro un altro individuo che presumibilmente ha diffuso lo stesso malware su Reddit. Entrambi erano minorenni al momento dei delitti, per cui nella causa vengono citati anche i genitori. Tutte le parti negano qualsiasi illecito.
Ciò è accaduto nel maggio 2021, più di tre anni dopo il phishing del BTC di Schober. Il prezzo del Bitcoin è più che raddoppiato in quel periodo.
A complicare ulteriormente le cose, il presunto hacker risiede nel Regno Unito. L'FBI ha consegnato il caso alle forze dell'ordine britanniche ed è stata avviata un'indagine congiunta. Entrambi i sospettati sono stati arrestati, interrogati e i loro dispositivi confiscati ed è stata condotta un'indagine forense, ha detto Schober.
Ma prima che potessero essere arrestati, la disperazione (e forse un pizzico di ingenuità) ha portato Schober a contattare loro e i loro genitori per far loro sapere che erano stati ritrovati.
"Speravo che dicessero la verità e mi restituissero la proprietà rubata, perché tutto quello che ho fatto è stato chiedere loro di restituire la proprietà rubata e non lo hanno fatto", ha detto Schober.
"Il Crown Prosecution Service alla fine mi ha detto, dopo che li ho contattati, che potrebbero aver distrutto il loro dispositivo perché ne avevano uno nuovo di zecca e non c'erano prove forensi sufficienti per procedere."
Bax disse che avrebbe fatto quello che fece Schober: pensavano che i genitori fossero probabilmente persone perbene perché lavoravano nelle banche e nel Servizio sanitario nazionale. "Dovrebbero restituire i soldi e penso che tutto questo finirà."
La causa civile di Schober potrebbe ora essere la sua unica possibilità di perseguire giustizia. Ma il caso si sta muovendo lentamente, con gli avvocati che discutono su quale giurisdizione dovrebbe svolgersi il processo.
Gli avvocati degli hacker hanno affermato che la causa dovrebbe essere archiviata perché Schober si trovava negli Stati Uniti e non aveva l'autorità di esercitare giurisdizione su una persona nel Regno Unito. Sostenevano inoltre che avesse superato il termine legale per sporgere denuncia.
"Ma dal nostro punto di vista, questo non è vero perché ci sono voluti così tanto tempo, sforzi e indagini per determinare che dall'altra parte si trattasse di un essere umano", ha detto Schober.
Considerando che ha dovuto aspettare 10 mesi per ottenere un mandato di comparizione da parte dell'FBI dopo che Bitfinex gli aveva negato informazioni chiave, ritiene che non dovrebbe essere punito con l'argomento del limite di tempo legale.
caso senza precedentiUna situazione come quella di Schober può essere unica perché abbraccia l’intero Atlantico.
"In realtà ci sono pochissimi casi come questo, infatti non conosco nessun caso in cui un individuo sia stato rintracciato, citato in giudizio legalmente (secondo il diritto internazionale) e perseguito per un hacker come questo... per non parlare del furto della crittografia Valuta hacker", ha detto Mora.
"Sono stato coinvolto in casi in cui alcuni singoli querelanti hanno citato in giudizio truffatori/hacker nazionali di altri stati degli Stati Uniti, ma quegli imputati sono stati arrestati negli Stati Uniti."
Mora ha citato casi in cui i governi hanno intentato accuse penali contro hacker nazionali e stranieri, così come giganti della tecnologia come Amazon e Google hanno fatto causa agli hacker, alcuni dei quali hanno richiesto il pagamento di un riscatto in criptovaluta.
Schober non è una multinazionale, è solo una persona normale che non fa causa ai suoi aggressori come alcune delle vittime ricche e di alto profilo del furto di criptovaluta.
"Credo che questo caso non abbia precedenti in molti sensi... non so quanto durerà", ha detto Mora.
Come risolvere questo problema, nessuno può dirlo con certezza. Se un tribunale statunitense stabilisce che gli hacker devono dei soldi a Schober, un tribunale britannico dovrà comunque riconoscere la sentenza prima che possa essere eseguita nel Regno Unito. In definitiva, potrebbero essere coinvolti il ​​recupero crediti, privilegi e persino pignoramenti salariali.
Schober ha affermato di essere riuscito a rintracciare una grossa somma di Bitcoin a indirizzi ottenuti da un mandato di comparizione dell'FBI, quindi sembra che i presunti hacker avessero i fondi per ripagare Schober.
Questa situazione è particolarmente frustrante considerando che Schober sembra sapere esattamente chi ha rubato la sua criptovaluta.
Nonostante tutto quello che è successo, comprese le spese legali e la perdita di 500.000 dollari in Bitcoin, Schober continua a sostenere Bitcoin.
"Credo ancora nella promessa di Bitcoin. Questo è ciò che mi ha spinto ad aderire. Ma non c'è dubbio che il mio vantaggio come primo partecipante sia scomparso, e questo è doloroso."
"Ma ho ancora un atteggiamento positivo nei confronti della cosa. E sono orgoglioso di essere riuscito a portare avanti questo caso fino a questo punto, sapendo che le possibilità di successo sono molto piccole."
È ottimista sul fatto che i tribunali statunitensi riconosceranno che è stato vittima di un furto. Se l’aggressore proviene da un paese come la Russia o la Corea del Nord, ha poche possibilità di risarcimento.
"Sono passati cinque anni e voglio porre fine a questa situazione il più rapidamente possibile", ha detto Schober. "Ma d'altra parte, ho dedicato molto impegno e tempo, e ho persone come Bax e altri che mi supportano perché hanno ascoltato la storia e hanno pensato che fosse fantastica. Quindi ero determinato a portarla a termine. "