Gdyby haker ukradł wszystkie Bitcoiny, czy byłbyś skłonny spędzić pięć lat na ściganiu go?

Po pięciu latach śledzenia zwykli ludzie mogą faktycznie odzyskać skradzione Bitcoiny. Ten artykuł pochodzi z artykułu napisanego przez Davida Canellisa
Wyobraź sobie, że jesteś w środku szalejącej hossy i kradną Ci wszystkie kryptowaluty… Dokładnie to przydarzyło się Andrew Schoberowi z Kolorado.
W 2018 roku Schober niechcący pobrał sfałszowaną wersję portfela Electrum Bitcoin z subreddita /r/BitcoinAirdrops. W tym fałszywym portfelu ukryte było złośliwe oprogramowanie: porywacz schowka zaprojektowany specjalnie do phishingu w poszukiwaniu Bitcoinów. Szkodnik pobierał dowolny adres akceptujący Bitcoin na maszynie Schobera i podszywał się pod niego, zastępując adres zamierzonego odbiorcy adresem kontrolowanym przez hakera.
W wyniku programu phishingowego Schober, który powoli gromadził Bitcoiny od 2014 roku, ostatecznie wysłał hakerowi 16,5 Bitcoinów, co stanowi 95% jego majątku netto. Kiedy został wyłudzony, wartość Bitcoinów wynosiła 180 000 dolarów, ale w 2021 r. osiągnęła poziom 1,1 miliona dolarów, kiedy Bitcoin osiągnął najwyższy poziom w historii. Schober uważa to za „pieniądze, które odmieniły jego życie”.
„Znalazłem link do złośliwego oprogramowania na Reddicie, zainstalowałem je na swoim komputerze i szybko zdałem sobie sprawę, że nie jest to to, za co było reklamowane” – powiedział Schober. „Więc po prostu usunąłem to z komputera i nigdy więcej o tym nie myślałem”.
„Ale niestety, gdy ten trojan zostanie zainstalowany na twoim dysku twardym, usunięcie oryginalnego programu nie pozbędzie się trojana. Od tego czasu monitoruje on mój dysk twardy i za każdym razem, gdy kopiuję adres Bitcoin, zadziała. "
Szkodnik został wstępnie zakodowany przy użyciu 195 112 różnych adresów Bitcoin.
„Nie chodzi tylko o zmianę adresu Bitcoin na jakiś losowy nowy adres” – wyjaśnił Schober. „Będzie pasować do kilku pierwszych znaków skopiowanego adresu. Będzie więc wyglądać bardzo podobnie wizualnie i jeśli tak naprawdę nie zauważysz różnicy, nie zauważysz jej”.
W momencie ataku Schobera cztery z adresów otrzymały Bitcoiny od niczego niepodejrzewających ofiar, co znacznie zawęziło jego zakres.
Śledź skradziony Bitcoin za pomocą MoneroPiękno blockchainu polega na jego otwartej księdze. Prawie wszystkie transakcje kryptowalutami pozostawiają cyfrowy ślad.
Zazwyczaj śledzenie tych ścieżek obejmuje śledzenie przelewów w celu ustalenia, gdzie trafiły pieniądze.
W przypadku Schobera prześledził przepływ Bitcoinów skradzionych przez to samo złośliwe oprogramowanie do długo działającej platformy wymiany kryptowalut ShapeShift.
ShapeShift służył do utrzymywania API, które udostępniało adresy uczestniczące w jego wymianie. Dane API pokazują, że napotkany „złodziej” Schobera wymienił Bitcoin na Monero (XMR) i użył odpowiedniego adresu.
Rozszerzona lektura: Czym jest Monero XMR, przodek monet zapewniających prywatność? Stan rozwoju, perspektywy na przyszłość, rozwój rynku, kryzys regulacyjny
Dlatego Schober zamieścił post na Reddicie z pytaniem, czy możliwe jest śledzenie transakcji Monero. Na jego prośbę odpowiedział Nick Bax, badacz sieciowy i ekspert ds. odzyskiwania mienia.
„Dostał pięć odpowiedzi i każda odpowiedziała: «Nie ma mowy». Wysłałem mu prywatną wiadomość i powiedziałem: «To naprawdę trudne. Ale robiłem to już wcześniej. Znam prawnika, któremu udało się odzyskać pieniądze. środków finansowych” – powiedział Bax.
W maju 2021 r. Bax ostatecznie przedstawił dowody w łańcuchu, które pozwoliły zidentyfikować hakerów w pozwie Schobera sprzed ponad dwóch lat. W trakcie analizował transakcje Monero i z dużą dozą pewności ustalił pochodzenie monet Monero użytych do skradzionych Bitcoinów Schobera.
Sam napisał oprogramowanie śledzące Monero.
„Oznaczasz wynik (instruujesz łańcuch bloków Monero, gdzie ma kierować transakcje), a następnie szukasz każdej transakcji, która może wykorzystywać dane wyjściowe tego znacznika. Kiedy to robisz, zaczynają pojawiać się wzorce”.
Ta metoda łamania sygnatur pierścienia Monero — obecnie znana jako atak Eve-Alice-Eve (EAE) — pojawiła się w następstwie WannaCry, kampanii ransomware prowadzonej w Korei Północnej, która rozpoczęła się w 2017 roku.
„RingCT firmy Monero… ukrywa dokładne wydawane UTXO (niewydane wyniki transakcji), ale zapewnia analitykom blockchain listę zaufanych „członków pierścienia”, z których jeden jest zużyty, reszta to „przynęta”” Bax szczegółowo opisał swoje ustalenia w wpis na blogu.
Załatany obecnie błąd w Monero mógł w tamtym czasie ułatwić oddzielenie prawdziwego UTXO od wabika, a tym samym prześledzenie transakcji.
Ręka Boga: pukanie do drzwi FBIBax ustalił, że rzekomy haker Schobera zamienił część BTC skradzionych innej ofierze na Monero za pośrednictwem ShapeShift, a następnie odesłał je z powrotem za pośrednictwem protokołu, aby ponownie przekonwertować je na BTC.
Umyte BTC kierowane jest na „adres próżny” rozpoczynający się od „1 BeNEdict”. Jeśli chodzi o Bitcoin Schobera, trafił on na Bitfinex. Gorące portfele do handlu kryptowalutami są w rzeczywistości czarnymi skrzynkami, ponieważ ich salda reprezentują połączone środki klientów.
Gdy kryptowaluty znajdą się w gorącym portfelu, prawie niemożliwe jest określenie, dokąd zostały wypłacone, chyba że kwoty są takie same i rzadkie – a nawet ten dowód nie jest rozstrzygający.
To właśnie tam dochodzenie Schobera i Baxa utknęło na ponad rok, a Schober wezwał Bitfinex do ujawnienia właścicieli kont, którzy otrzymali skradzione BTC, ale spotkał się z odmową.
„Bitfinex będzie odpowiadać wyłącznie na wnioski organów ścigania o podanie informacji klientów, a nie na wnioski cywilne, ponieważ Bitfinex nie będzie interweniować w sprawach cywilnych, zwłaszcza w Stanach Zjednoczonych, ponieważ sądy amerykańskie nie mają nad nami jurysdykcji.” Radca prawny Bitfinex, Sarah Compani, odpowiedziała e-mailem powiedział prawnik Schobera, Ethan Mora.
„Powodem, dla którego giełdy kryptowalut, takie jak FTX i Bitfinex, zakładają spółki na Brytyjskich Wyspach Dziewiczych lub na Kajmanach, są względy prawne, ponieważ nie muszą one przestrzegać prawa amerykańskiego ani żadnego innego prawa. Mogą tam pozostać”, powiedział Schober Podejmij działania pozasądowe. Nawet nie dali nam odpowiedzi. "
Nie mogąc uzyskać bezpośredniego dostępu do Bitfinex, Mora zainicjował tak zwane żądanie Touhy, prosząc dział cybernetyczny FBI o dostarczenie dokumentów i innych informacji związanych z dochodzeniem agencji w sprawie złośliwego oprogramowania. Schober natychmiast zgłosił sprawę FBI po utracie Bitcoina.
„FBI rozpoczęło wydawanie wezwań do firm zaangażowanych w szkodliwe oprogramowanie, takich jak Reddit (gdzie zostało udostępnione złośliwe oprogramowanie) i GitHub (gdzie było hostowane szkodliwe oprogramowanie)” – powiedział Schober.
Do wezwań doszło na przełomie 2018 i 2019 r. W trakcie śledztwa FBI na kilka miesięcy przejęło nawet jego komputer.
Po około 10 miesiącach prośba Touhy'ego została spełniona. Nagle zespół Schobera uzyskał dostęp do wewnętrznych materiałów Bitfinex wskazujących dokładny adres IP i adres e-mail powiązany z kontem, które otrzymało jego skradzione Bitcoiny.
„Dopóki Departament Sprawiedliwości nie otrzyma odpowiedzi na pytania Touhy’ego, tak naprawdę nie będziemy wiedzieć, co odkryło śledztwo FBI” – powiedziała Mora.
Adresy próżności powróciłyDzięki wezwaniu FBI zespołowi Schobera udało się zidentyfikować konta hakera w różnych usługach internetowych: Gmail, Keybase, Reddit, Twitter i Github. Kod wymagany dla szkodliwego oprogramowania, w tym generator adresów Bitcoin, na którym się opiera, został odkryty w publicznym repozytorium kodów GitHub rzekomego hakera.
Za pomocą niektórych kont zweryfikowano adres 1 BeNedict używany do prania pieniędzy za pośrednictwem ShapeShift, co Bax uznał za dowód tożsamości hakera (adres prywatny odpowiadał jego nazwisku).
W ramach pozornej próby prania pieniędzy adres zwrotny zarejestrowany przez atakujących za pomocą ShapeShift (na który protokół przesyła kryptowaluty w przypadku problemów z transakcją) był identyczny z gorącym portfelem Bitfinex, z którego przechowywany był Bitcoin skradziony Schoberowi.
Na liście mailingowej programistów Bitcoin znajduje się nawet post, w którym adres e-mail nadawcy odpowiada prawdziwemu nazwisku rzekomego hakera i opisuje, jak łatwo wygenerować adres bardzo podobny do podanego adresu Bitcoin. Ten post jest całkowicie spójny ze sposobem działania szkodliwego oprogramowania Electrum.
Po przeprowadzeniu wystarczającej diagnostyki Bax odkrył, że „każda transakcja Bitcoin wysłana przez operatorów złośliwego oprogramowania Electrum Atom została wysłana na adres docelowy powiązany z rzekomymi hakerami objętymi dochodzeniem przez FBI”. Na adresy powiązane ze złośliwym oprogramowaniem wpłynęło łącznie 17 Bitcoinów (o wartości 501 000 dolarów), z czego 97% należało do Schobera. Nawiązał kontakt z inną ofiarą za pośrednictwem działającego od dawna forum Bitcoin BitcoinTalk.
Oznacza to, że Schober może złożyć pozew cywilny przeciwko domniemanemu sprawcy, a także innej osobie, która rzekomo rozpowszechniała to samo złośliwe oprogramowanie na Reddicie. Oboje byli nieletni w chwili popełnienia zbrodni, dlatego w pozwie jako oskarżeni wymieniają także ich rodziców. Wszystkie strony zaprzeczają, jakoby miały dopuścić się jakichkolwiek nadużyć.
Stało się to w maju 2021 r., ponad trzy lata po wyłudzeniu danych na BTC Schobera. W tym czasie cena Bitcoina wzrosła ponad dwukrotnie.
Aby jeszcze bardziej skomplikować sprawę, rzekomy haker mieszka w Wielkiej Brytanii. FBI przekazało sprawę brytyjskim organom ścigania i wszczęto wspólne śledztwo. Schober powiedział, że obaj podejrzani zostali aresztowani, przesłuchani, ich urządzenia skonfiskowane i przeprowadzono dochodzenie kryminalistyczne.
Zanim jednak udało się ich aresztować, desperacja (i być może odrobina naiwności) skłoniła Schobera do skontaktowania się z nimi i ich rodzicami, aby poinformować ich, że zostali odnalezieni.
„Miałem nadzieję, że przyznają się do winy i zwrócą mi rzeczy, ponieważ jedyne, co zrobiłem, to poprosiłem ich o zwrot, a oni tego nie zrobili” – powiedział Schober.
„Po tym, jak się z nimi skontaktowałem, Prokuratura Koronna powiedziała mi w końcu, że mogli zniszczyć swoje urządzenie, ponieważ mieli zupełnie nowe i nie było wystarczających dowodów kryminalistycznych, aby wnieść sprawę do sądu”.
Bax powiedział, że zrobi to samo, co zrobił Schober – uważali, że rodzice to prawdopodobnie porządni ludzie, ponieważ pracowali w bankach i w Państwowej Służbie Zdrowia. „Powinni oddać pieniądze i myślę, że to wszystko się skończy”.
Pozew cywilny Schobera może być teraz jego jedyną szansą na wymierzenie sprawiedliwości. Sprawa toczy się jednak powoli, a prawnicy spierają się co do jurysdykcji, w której powinien odbywać się proces.
Prawnicy hakerów stwierdzili, że pozew powinien zostać oddalony, ponieważ Schober przebywał w Stanach Zjednoczonych i nie miał uprawnień do sprawowania jurysdykcji nad osobą w Wielkiej Brytanii. Podnieśli także, że przekroczył ustawowy termin na złożenie skargi.
„Ale z naszego punktu widzenia nie jest to prawdą, ponieważ ustalenie, że po drugiej stronie był człowiek, wymagało wiele czasu, wysiłku i dochodzenia” – powiedział Schober.
Biorąc pod uwagę, że musiał czekać 10 miesięcy na wezwanie FBI po tym, jak Bitfinex odmówił mu kluczowych informacji, uważa, że ​​nie powinien być karany ustawowym przekroczeniem terminu.
przypadek bezprecedensowySytuacja taka jak Schobera może być wyjątkowa, ponieważ obejmuje cały Atlantyk.
„Tak naprawdę jest bardzo niewiele takich przypadków. Nie znam żadnego przypadku, w którym wyśledzono osobę, postawiono jej wezwania do sądu (zgodnie z prawem międzynarodowym) i postawiono przed sądem za takiego hakera… nie mówiąc już o kradzieży szyfrowania Waluta hakerów” – powiedział Mora.
„Byłem zaangażowany w sprawy, w których indywidualni powodowie pozywali krajowych oszustów/hakerów z innych stanów Stanów Zjednoczonych, ale oskarżeni zostali aresztowani w Stanach Zjednoczonych”.
Mora przytoczył przypadki, w których rządy postawiły zarzuty karne krajowym i zagranicznym hakerom, a także gigantom technologicznym, takim jak Amazon i Google, pozywającym hakerów, z których niektórzy żądali zapłaty okupu w kryptowalutach.
Schober nie jest firmą międzynarodową, jest po prostu zwykłym facetem, który nie pozywa swoich napastników jak niektóre znane i zamożne ofiary kradzieży kryptowalut.
„Uważam, że ta sprawa jest pod wieloma względami bezprecedensowa… Nie wiem, jak długo ta sprawa będzie trwać” – powiedziała Mora.
Jak rozwiązać ten problem, nikt nie może powiedzieć na pewno. Jeśli amerykański sąd uzna, że ​​hakerzy są winni Schoberowi pieniądze, brytyjski sąd nadal będzie musiał uznać wyrok, zanim będzie mógł zostać wykonany w Wielkiej Brytanii. Ostatecznie może wiązać się to z windykacją długów, zastawami, a nawet dodatkami do wynagrodzeń.
Schober powiedział, że udało im się prześledzić dużą sumę Bitcoinów pod adresami uzyskanymi z wezwania FBI, więc wygląda na to, że rzekomi hakerzy rzeczywiście mieli środki, aby spłacić Schobera.
Ta sytuacja jest szczególnie frustrująca, biorąc pod uwagę, że Schober wydaje się dokładnie wiedzieć, kto ukradł jego kryptowalutę.
Pomimo wszystkiego, co się wydarzyło, w tym opłat prawnych i utraty 500 000 dolarów w Bitcoinie, Schober nadal wspiera Bitcoin.
„Nadal wierzę w obietnicę Bitcoina. To przede wszystkim przyciągnęło mnie do przyłączenia się, ale nie ma wątpliwości, że moja przewaga jako wczesnego uczestnika zniknęła, co jest bolesne”.
„Ale nadal jestem pozytywnie nastawiony do tej sprawy. I jestem dumny, że udało mi się doprowadzić sprawę do tego momentu, wiedząc, że szanse na sukces są bardzo małe”.
Jest optymistą, że amerykańskie sądy uznają, że padł ofiarą kradzieży. Gdyby napastnik pochodził z kraju takiego jak Rosja czy Korea Północna, miałby niewiele możliwości zadośćuczynienia.
„Minęło pięć lat i chcę to zakończyć tak szybko, jak to możliwe” – powiedział Schober. „Ale z drugiej strony włożyłem dużo wysiłku i czasu i mam ludzi takich jak Bax i innych, którzy mnie wspierają, ponieważ usłyszeli tę historię i uznali ją za niesamowitą. Dlatego byłem zdeterminowany, aby to doprowadzić do końca. "