Ja hakeris nozagtu visus Bitcoins, vai jūs būtu gatavs pavadīt piecus gadus, dzenoties viņam pakaļ?

Pēc piecu gadu izsekošanas parastie cilvēki faktiski var atgūt nozagtos Bitcoins. Šis raksts ir atvasināts no Deivida Kanellisa raksta
Iedomājieties, ka atrodaties niknā buļļu tirgus vidū un visas jūsu kriptovalūtas ir nozagtas… Tieši tā notika ar Endrjū Šoberu no Kolorādo.
2018. gadā Šobers netīšām lejupielādēja Electrum Bitcoin maka izstrādāto versiju /r/BitcoinAirdrops subreddit. Šajā viltotajā makā bija paslēpta ļaunprātīga programmatūra: starpliktuves nolaupītājs, kas īpaši paredzēts Bitcoin pikšķerēšanai. Ļaunprātīga programmatūra izmantos jebkuru Bitcoin pieņemšanas adresi Šobera iekārtā un maskēsies kā tā, aizstājot paredzētā adresāta adresi ar adresi, kuru kontrolē hakeris.
Šobers, kurš kopš 2014. gada lēnām uzkrāja Bitcoin, pikšķerēšanas programmas rezultātā galu galā nosūtīja hakeram 16,5 Bitcoins, kas atbilst 95% no viņa tīrās vērtības. Kad viņš tika pikšķerēts, Bitcoins vērtība bija 180 000 USD, bet 2021. gadā sasniedza 1,1 miljonu USD, kad Bitcoin bija visu laiku augstākajā līmenī. Šobers to uzskata par "naudu, kas mainīja viņa dzīvi".
"Es atradu saiti uz ļaunprogrammatūru vietnē Reddit, instalēju to savā datorā un ātri sapratu, ka tā nav tā, par ko tika reklamēts," sacīja Šobers. "Tāpēc es to vienkārši izdzēsu no sava datora un vairs par to nedomāju."
"Bet diemžēl, tiklīdz šis Trojas zirgs ir instalēts jūsu cietajā diskā, oriģinālās programmas dzēšana neatbrīvojas no Trojas zirga. Tāpēc kopš tā laika tas uzrauga manu cieto disku, un ikreiz, kad kopēšu Bitcoin adresi, tas darbosies. "
Ļaunprātīga programmatūra bija iepriekš kodēta ar 195 112 dažādām Bitcoin adresēm.
"Tas nav tikai Bitcoin adreses maiņa uz kādu nejaušu jaunu adresi," paskaidroja Šobers. "Tas sakritīs ar dažām pirmajām jūsu kopētās adreses rakstzīmēm. Tāpēc vizuāli tā izskatīsies ļoti līdzīga, un, ja jūs īsti nepamanīsit atšķirību, jūs to nepamanīsit."
Šobera uzbrukuma laikā četras no adresēm bija saņēmušas Bitcoin no nenojaušām upuriem, ievērojami sašaurinot viņa darbības jomu.
Izsekot nozagto Bitcoin ar MoneroBlokķēdes skaistums ir tās atvērtā virsgrāmata. Gandrīz visi darījumi ar kriptovalūtu atstāj digitālas pēdas.
Parasti šo ceļu izsekošana ietver pārskaitījumu izsekošanu, lai noteiktu, kur nauda nonākusi.
Šobera gadījumā viņš izsekoja Bitcoin plūsmai, ko nozagusi tā pati ļaunprogrammatūra, līdz ilgstošai kriptovalūtas atomu mijmaiņas platformai ShapeShift.
ShapeShift izmantoja, lai uzturētu API, kas koplietoja adreses, kas piedalījās tās apmaiņā. API dati liecina, ka "zaglis" Šobers bija apmainījis Bitcoin pret Monero (XMR) un izmantojis atbilstošo adresi.
Paplašināta lasīšana: Kas ir Monero XMR, privātuma monētu priekštecis? Attīstības statuss, nākotnes perspektīvas, tirgus izaugsme, regulējuma krīze
Tāpēc Schober ievietoja Reddit, jautājot, vai ir iespējams izsekot Monero darījumiem. Uz viņa pieprasījumu atbildēja ķēdes izmeklētājs un līdzekļu atgūšanas eksperts Niks Bakss.
"Viņš saņēma piecas atbildes, un tās visas teica: "Nekādā gadījumā." Es viņam nosūtīju privātu ziņu un teicu: "Tas ir patiešām grūti izdarīt. Bet es to esmu darījis iepriekš. Es pazīstu advokātu, kurš ir veiksmīgi atguvis naudu. finansējumu," sacīja Bakss.
Beidzot 2021. gada maijā Bakss iesniedza ķēdes pierādījumus, kas identificēja hakerus Šobera prāvā pirms vairāk nekā diviem gadiem. Šajā procesā viņš analizēja Monero darījumus un ar lielu noteiktības pakāpi noteica Monero monētu izcelsmi, kas tika izmantotas Šobera nozagtajiem Bitcoin.
Viņš pats uzrakstīja Monero izsekošanas programmatūru.
“Jūs atzīmējat izvadi (norādot Monero blokķēdei, kur virzīt darījumus) un pēc tam meklējat katru darījumu, kas varētu izmantot šīs atzīmes izvadi. To darot, sāk parādīties modeļi.
Šī Monero gredzena parakstu laušanas metode, kas tagad pazīstama kā Eve-Alice-Eve (EAE) uzbrukums, radās pēc WannaCry, Ziemeļkorejas virzītās izpirkuma programmatūras kampaņas, kas sākās 2017. gadā.
"Monero's RingCT... slēpj precīzus iztērētos UTXO (neiztērētos transakciju rezultātus), bet nodrošina blokķēdes analītiķiem uzticamu "zvana dalībnieku" sarakstu, no kuriem viens tiek patērēts, bet pārējais ir "ēsma"" Bakss aprakstīja savus atklājumus. emuāra ieraksts.
Tagad izlabotā Monero kļūda, iespējams, tobrīd atviegloja īstā UTXO atdalīšanu no mānekļa un tādējādi darījuma izsekošanu.
Dieva roka: klauvē pie FIB durvīmBakss konstatēja, ka Šobera iespējamais hakeris dažus BTC, kas nozagts citam upurim, pārveidoja Monero, izmantojot ShapeShift, un pēc tam nosūtīja to atpakaļ, izmantojot protokolu, lai to vēlreiz pārvērstu par BTC.
Izmazgātais BTC tiek novirzīts uz "iedomības adresi", kas sākas ar "1 BeNEdict". Kas attiecas uz Šobera Bitcoin, tas nonāca Bitfinex. Kriptovalūtu tirdzniecības karstie maki faktiski ir melnās kastes, jo to atlikumi atspoguļo apvienotos klientu līdzekļus.
Kad kriptovalūtas ir nokļuvušas karstā makā, ir gandrīz neiespējami noteikt, kur tās izņemtas, ja vien summas nav vienādas un neparastas — un pat šie pierādījumi nav pārliecinoši.
Tieši tur Šobera un Beksa izmeklēšana iestrēga vairāk nekā gadu, un Šobers pavēstīja Bitfinex, lai atklātu kontu īpašniekus, kuri saņēma nozagto BTC, taču tika noraidīti.
"Bitfinex atbildēs tikai uz tiesībaizsardzības iestāžu pieprasījumiem sniegt informāciju par klientiem, nevis civillietām, jo ​​Bitfinex neiejauksies civillietās, jo īpaši Amerikas Savienotajās Valstīs, jo ASV tiesām nav jurisdikcijas pār mums." sacīja Šobera advokāts Ītans Mora.
"Iemesls, kāpēc kriptovalūtu biržas, piemēram, FTX un Bitfinex, izveido uzņēmumus Britu Virdžīnu salās vai Kaimanu salās, ir šo juridisko iemeslu dēļ, tām nav jāievēro ASV tiesību akti vai kādi citi tiesību akti," sacīja Šobers Veikt ārpustiesas darbību. Viņi mums pat nesniedza atbildi. "
Nevarot iegūt tiešu piekļuvi Bitfinex, Mora ierosināja tā dēvēto Touhy pieprasījumu, lūdzot FIB kibernodaļu sniegt dokumentus un citu informāciju, kas saistīta ar aģentūras izmeklēšanu par ļaunprātīgo programmatūru. Pēc Bitcoin zaudēšanas Šobers nekavējoties ziņoja par šo gadījumu FIB.
"FIB sāka izdot pavēstes uzņēmumiem, kas bija saistīti ar ļaunprātīgu programmatūru, piemēram, Reddit (kur ļaunprogrammatūra tika izlaista) un GitHub (kur ļaunprogrammatūra tika mitināta)," sacīja Šobers.
Pavēstes notika 2018. gada beigās un 2019. gada sākumā. Izmeklēšanas laikā FIB pat vairākus mēnešus konfiscēja viņa datoru.
Pēc apmēram 10 mēnešiem Touhy pieprasījums bija veiksmīgs. Pēkšņi Šobera komandai bija piekļuve iekšējam Bitfinex materiālam, kas norādīja uz precīzu IP un e-pasta adresi, kas saistīta ar kontu, kurā tika saņemti viņa nozagtie Bitcoins.
"Kamēr mēs nesaņemsim atbildes no Tieslietu ministrijas uz Touhy jautājumiem, mēs patiešām neuzzināsim, ko FIB izmeklēšana atklāja," sacīja Mora.
Iedomības adreses ir atgriezušāsPateicoties FIB pavēstei, Šobera komanda varēja identificēt hakeru kontus dažādos tiešsaistes pakalpojumos: Gmail, Keybase, Reddit, Twitter un Github. Ļaunprātīgajai programmatūrai nepieciešamais kods, tostarp Bitcoin adrešu ģenerators, uz kuru tā balstās, tika atklāts iespējamā hakera publiskajā GitHub kodu krātuvē.
Izmantojot dažus kontus, tika pārbaudīta 1 BeNedict adrese, kas tika izmantota naudas atmazgāšanai, izmantojot ShapeShift, ko Bakss uzskatīja par hakera identitātes pierādījumu (iedomības adrese atbilda viņa vārdam).
Acīmredzamā naudas atmazgāšanas mēģinājumā atgriešanās adrese, ko uzbrucēji reģistrēja ar ShapeShift (uz kuru protokols pārsūta kriptovalūtas darījumu problēmu gadījumā), bija identiska Bitfinex karstajam maciņam, no kura tika glabāts Šoberam nozagtais Bitcoin.
Bitcoin izstrādātāju adresātu sarakstā ir pat ziņa, kurā sūtītāja e-pasta adrese sakrīt ar iespējamā hakera īsto vārdu, aprakstot, kā viegli ģenerēt adresi, kas ir ļoti līdzīga sniegtajai Bitcoin adresei. Šī ziņa pilnībā atbilst Electrum ļaunprogrammatūras darbības veidam.
Pēc pietiekamas diagnostikas veikšanas Bakss atklāja, ka "katrs Bitcoin darījums, ko nosūtīja Electrum Atom ļaunprātīgas programmatūras operatori, tika nosūtīts uz mērķa adresi, kas saistīta ar iespējamajiem hakeriem, kurus izmeklējis FIB". Pa adresēm, kas saistītas ar ļaunprogrammatūru, tika saņemti pavisam 17 Bitcoini (vērtība 501 000 ASV dolāru apmērā), no kuriem 97% piederēja Šoberam. Viņš sazinājās ar citu upuri, izmantojot ilgstošo Bitcoin forumu BitcoinTalk.
Tas nozīmē, ka Šobers varētu iesniegt civilprasību pret iespējamo vainīgo, kā arī citu personu, kas, iespējams, tirgoja to pašu ļaunprātīgu programmatūru vietnē Reddit. Abi noziegumu izdarīšanas brīdī bija nepilngadīgi, tāpēc prasībā kā apsūdzētie nosaukti arī viņu vecāki. Visas puses noliedz jebkādu pārkāpumu.
Tas notika 2021. gada maijā, vairāk nekā trīs gadus pēc Schober's BTC pikšķerēšanas. Bitcoin cena šajā laikā ir vairāk nekā dubultojusies.
Lai vēl vairāk sarežģītu situāciju, iespējamais hakeris dzīvo Apvienotajā Karalistē. FIB lietu nodeva Lielbritānijas tiesībsargājošajām iestādēm un tika uzsākta kopīga izmeklēšana. Abi aizdomās turamie tika arestēti, nopratināti un viņu ierīces konfiscētas, kā arī veikta kriminālistikas izmeklēšana, sacīja Šobers.
Taču, pirms viņus varēja arestēt, izmisums (un, iespējams, naivums) lika Šoberam sazināties ar viņiem un viņu vecākiem, lai paziņotu, ka viņi ir atrasti.
"Es cerēju, ka viņi atnāks tīri un atdos man nozagtās mantas, jo viss, ko es darīju, bija tikai lūgt viņiem atdot nozagtās mantas, un viņi to nedarīja," sacīja Šobers.
"Pēc tam, kad es sazinājos ar viņiem, Kroņa prokuratūra man paziņoja, ka viņi, iespējams, ir iznīcinājuši savu ierīci, jo viņiem bija pilnīgi jauna un nebija pietiekami daudz kriminālistikas pierādījumu, lai ierosinātu kriminālvajāšanu."
Bakss sacīja, ka darīs to pašu, ko darīja Šobers – viņi domāja, ka vecāki, iespējams, ir kārtīgi cilvēki, jo strādā bankās un Nacionālajā veselības dienestā. "Viņiem vajadzētu atdot naudu, un es domāju, ka tas viss būs beidzies."
Šobera civilprasība tagad var būt viņa vienīgā iespēja panākt taisnību. Taču lieta virzās lēnām, advokātiem strīdoties par to, kurā jurisdikcijā tiesai jānotiek.
Hakeru advokāti sacīja, ka prasība ir jānoraida, jo Šobers atradās ASV un viņam nebija pilnvaru īstenot jurisdikciju pār personu Apvienotajā Karalistē. Viņi arī iebilda, ka viņš ir pārsniedzis likumā noteikto sūdzības iesniegšanas termiņu.
"Taču no mūsu perspektīvas tā nav taisnība, jo bija vajadzīgs tik daudz laika, pūļu un izmeklēšanas, lai noteiktu, ka tas ir cilvēks, kas atrodas otrā galā," sacīja Šobers.
Ņemot vērā, ka viņam bija jāgaida 10 mēneši, lai saņemtu FIB pavēsti pēc tam, kad Bitfinex viņam noliedza galveno informāciju, viņš uzskata, ka viņam nevajadzētu sodīt ar likumā noteikto termiņu.
bezprecedenta gadījumsTāda situācija kā Šobera var būt unikāla, jo tā aptver visu Atlantijas okeānu.
"Patiesībā ir ļoti maz tādu gadījumu, kā šis, patiesībā es nezinu nevienu gadījumu, kad kāda persona būtu izsekota, likumīgi izsaukta (saskaņā ar starptautiskajām tiesībām) un saukta pie atbildības par tādu hakeru kā šis... nemaz nerunājot par šifrētās valūtas nozagšanu. hakeri," sacīja Mora.
"Es esmu bijis iesaistīts lietās, kurās daži atsevišķi prasītāji iesūdzēja tiesā vietējos krāpniekus/hakerus no citiem ASV štatiem, bet šie atbildētāji tika arestēti Amerikas Savienotajās Valstīs."
Mora minēja gadījumus, kad valdības ir izvirzījušas kriminālapsūdzības pret vietējiem un ārvalstu hakeriem, kā arī tehnoloģiju gigantiem, piemēram, Amazon un Google, iesūdzot tiesā hakerus, no kuriem daži ir pieprasījuši izpirkuma maksu kriptovalūtā.
Šobers nav starptautisks uzņēmums, viņš ir tikai parasts puisis, kurš neiesūdz tiesā savus uzbrucējus, piemēram, dažus no augsta līmeņa un bagātiem kriptovalūtas zādzību upuriem.
"Es uzskatu, ka šī lieta daudzējādā ziņā ir bezprecedenta... Es nezinu, cik ilgi šī lieta turpināsies," sacīja Mora.
Kā atrisināt šo problēmu, neviens nevar droši pateikt. Ja ASV tiesa nolems, ka hakeri ir parādā Šoberam naudu, Apvienotās Karalistes tiesai joprojām būs jāatzīst spriedums, lai to varētu izpildīt Apvienotajā Karalistē. Galu galā var būt iesaistīta parādu piedziņa, ķīlas tiesības un pat algas arests.
Šobers teica, ka viņi varēja izsekot lielu Bitcoins summu adresēm, kas iegūtas no FIB pavēstes, tāpēc šķiet, ka iespējamajiem hakeriem bija līdzekļi, lai atmaksātu Šoberu.
Šī situācija ir īpaši nomākta, ņemot vērā to, ka Šobers, šķiet, precīzi zina, kurš nozadzis viņa kriptovalūtu.
Neskatoties uz visu notikušo, ieskaitot juridiskās maksas un 500 000 USD zaudējumus Bitcoin, Šobers joprojām atbalsta Bitcoin.
"Es joprojām ticu Bitcoin solījumam, un tas ir tas, kas mani vispirms piesaistīja, taču nav šaubu, ka mana priekšrocība ir zudusi, un tas ir sāpīgi."
"Taču man joprojām ir pozitīva attieksme pret to. Un es lepojos, ka varu virzīt šo lietu līdz šim brīdim, zinot, ka iespēja gūt panākumus ir ļoti maza."
Viņš ir optimistisks, ka ASV tiesas atzīs, ka viņš ir zādzības upuris. Ja uzbrucējs nāk no tādas valsts kā Krievija vai Ziemeļkoreja, viņam ir maz iespēju kompensēt.
"Ir pagājuši pieci gadi, un es vēlos to izbeigt pēc iespējas ātrāk," sacīja Šobers. "Bet, no otras puses, esmu ieguldījis daudz pūļu un laika, un man ir tādi cilvēki kā Bakss un citi, kas mani atbalsta, jo viņi dzirdēja stāstu un domāja, ka tas ir pārsteidzošs. Tāpēc es biju apņēmības pilns to redzēt. "