Se um hacker roubasse todos os Bitcoins, você estaria disposto a passar cinco anos perseguindo-o?

Após cinco anos de rastreamento, pessoas comuns podem realmente recuperar seus Bitcoins roubados. Este artigo é derivado de um artigo escrito por David Canellis
Imagine estar no meio de um mercado em alta e ter todas as suas criptomoedas roubadas… Foi exatamente o que aconteceu com Andrew Schober, do Colorado.
Em 2018, Schober baixou inadvertidamente uma versão adulterada da carteira Electrum Bitcoin no subreddit /r/BitcoinAirdrops. Escondido nesta carteira falsa estava um malware: um sequestrador de área de transferência projetado especificamente para phishing de Bitcoin. O malware pegaria qualquer endereço que aceitasse Bitcoin na máquina de Schober e se disfarçaria como tal, substituindo o endereço do destinatário pretendido por um endereço controlado pelo hacker.
Schober, que vinha acumulando Bitcoin lentamente desde 2014, acabou enviando ao hacker 16,5 Bitcoins, equivalente a 95% de seu patrimônio líquido, como resultado do programa de phishing. Quando ele foi vítima de phishing, os Bitcoins valiam US$ 180 mil, mas chegaram a US$ 1,1 milhão em 2021, quando o Bitcoin estava em seu ponto mais alto. Schober considera isso “dinheiro que mudou sua vida”.
“Encontrei um link para o malware no Reddit, instalei-o no meu computador e rapidamente percebi que não era o que foi anunciado”, disse Schober. "Então, acabei de excluí-lo do meu computador e nunca mais pensei nisso."
“Mas, infelizmente, uma vez que este Trojan é instalado no seu disco rígido, excluir o programa original não elimina o Trojan. Desde então, ele tem monitorado meu disco rígido e sempre que eu copio um endereço Bitcoin, ele funcionará. "
O malware foi pré-codificado com 195.112 endereços Bitcoin diferentes.
“Não se trata apenas de mudar o endereço Bitcoin para um novo endereço aleatório”, explicou Schober. "Ele corresponderá aos primeiros caracteres do endereço que você copiou. Portanto, será muito semelhante visualmente e, se você realmente não notar a diferença, não notará."
No momento do ataque de Schober, quatro dos endereços haviam recebido Bitcoin de vítimas inocentes, estreitando significativamente seu escopo.
Rastreie Bitcoin Roubado com MoneroA beleza do blockchain é seu livro-razão aberto. Quase todas as transações de criptomoedas deixam rastros digitais.
Normalmente, rastrear esses caminhos envolve rastrear transferências para determinar onde o dinheiro foi parar.
No caso de Schober, ele rastreou o fluxo de Bitcoin roubado pelo mesmo malware até a antiga plataforma de troca atômica de criptomoeda ShapeShift.
ShapeShift costumava manter uma API que compartilhava endereços participantes de sua troca. Os dados da API mostram que o “ladrão” que Schober encontrou trocou Bitcoin por Monero (XMR) e usou o endereço correspondente.
Leitura adicional: O que é Monero XMR, o ancestral das moedas de privacidade? Status de desenvolvimento, perspectivas futuras, crescimento do mercado, crise regulatória
Então Schober postou no Reddit perguntando se era possível rastrear as transações do Monero. O investigador da rede e especialista em recuperação de ativos Nick Bax respondeu ao seu pedido.
"Ele recebeu cinco respostas e todas disseram 'De jeito nenhum'. Enviei-lhe uma mensagem privada e disse: 'Isso é realmente difícil de fazer. Mas já fiz isso antes. Conheço um advogado que recuperou dinheiro com sucesso. financiamento'", disse Bax.
Bax finalmente apresentou evidências on-chain em maio de 2021 que identificaram os hackers no processo de Schober, há mais de dois anos. No processo, ele analisou as transações Monero e determinou com alto grau de certeza a origem das moedas Monero usadas para os Bitcoins roubados de Schober.
Ele mesmo escreveu o software de rastreamento Monero.
“Você marca uma saída (instruindo o blockchain Monero para onde direcionar as transações) e, em seguida, procura cada transação que possa usar essa saída de tag. À medida que você faz isso, os padrões começam a surgir.”
Este método de quebrar assinaturas de anéis Monero – agora conhecido como ataque Eve-Alice-Eve (EAE) – surgiu após o WannaCry, a campanha de ransomware liderada pela Coreia do Norte que começou em 2017.
"O RingCT do Monero... esconde os UTXOs (saídas de transação não gastas) exatos que estão sendo gastos, mas fornece aos analistas de blockchain uma lista de 'membros do anel' confiáveis, um dos quais é consumido, o resto é 'isca'" Bax detalhou suas descobertas em uma postagem no blog.
O bug agora corrigido no Monero pode ter facilitado na época separar o UTXO real da isca e, assim, rastrear a transação.
Mão de Deus: Batendo na porta do FBIBax determinou que o suposto hacker de Schober converteu alguns BTC roubados de outra vítima em Monero via ShapeShift e depois os enviou de volta através do protocolo para convertê-los em BTC novamente.
O BTC lavado é direcionado para um “endereço personalizado” começando com “1 BeNEdict”. Quanto ao Bitcoin de Schober, acabou na Bitfinex. As carteiras quentes de negociação de criptomoedas são efetivamente caixas pretas, pois seus saldos representam fundos agrupados de clientes.
Uma vez que as criptomoedas estão em uma carteira quente, é quase impossível determinar para onde foram retiradas, a menos que os valores sejam os mesmos e incomuns – e mesmo essa evidência não seja conclusiva.
Foi lá que a investigação de Schober e Bax ficou paralisada por mais de um ano, com Schober intimando a Bitfinex a divulgar os proprietários das contas que receberam o BTC roubado, mas foi rejeitada.
“A Bitfinex responderá apenas a solicitações de informações de clientes, não a solicitações civis, porque a Bitfinex não intervirá em questões civis, especialmente nos Estados Unidos, porque os tribunais dos EUA não têm jurisdição sobre nós, Sarah Compani, respondeu por e-mail.” disse o advogado de Schober, Ethan Mora.
“A razão pela qual bolsas de criptomoedas como FTX e Bitfinex criaram empresas nas Ilhas Virgens Britânicas ou nas Ilhas Cayman é por essas razões legais: elas não precisam cumprir a lei dos EUA ou qualquer outra lei. . Tomar medidas extrajudiciais. Eles nem nos deram uma resposta. "
Incapaz de obter acesso direto à Bitfinex, Mora iniciou o que é conhecido como pedido Touhy, pedindo à divisão cibernética do FBI que fornecesse documentos e outras informações relacionadas à investigação da agência sobre o malware. Schober relatou imediatamente o caso ao FBI após perder seu Bitcoin.
“O FBI começou a emitir intimações para empresas envolvidas no malware, como Reddit (onde o malware foi lançado) e GitHub (onde o malware estava hospedado)”, disse Schober.
As intimações ocorreram no final de 2018 e início de 2019. O FBI até apreendeu seu computador durante vários meses durante a investigação.
Após cerca de 10 meses, o pedido de Touhy foi bem-sucedido. De repente, a equipe de Schober teve acesso a material interno da Bitfinex apontando para o IP exato e endereço de e-mail associado à conta que recebeu seus Bitcoins roubados.
“Até obtermos respostas do Departamento de Justiça às perguntas de Touhy, não saberemos realmente o que a investigação do FBI descobriu”, disse Mora.
Endereços personalizados estão de voltaGraças à intimação do FBI, a equipe de Schober conseguiu identificar as contas do hacker em vários serviços online: Gmail, Keybase, Reddit, Twitter e Github. O código necessário para o malware, incluindo o gerador de endereços Bitcoin do qual ele depende, foi descoberto no repositório público de código GitHub do suposto hacker.
Por meio de algumas contas, foi verificado 1 endereço BeNedict usado para lavagem de dinheiro por meio do ShapeShift, que Bax viu como evidência da identidade do hacker (o endereço personalizado correspondia ao seu nome).
Em um aparente esforço de lavagem de dinheiro, o endereço de retorno registrado pelos invasores no ShapeShift (para o qual o protocolo transfere criptomoedas em caso de problemas com uma transação) era idêntico à carteira quente da Bitfinex na qual o Bitcoin roubado de Schober foi armazenado.
Há até uma postagem na lista de discussão de desenvolvedores de Bitcoin onde o endereço de e-mail do remetente corresponde ao nome real do suposto hacker, descrevendo como gerar facilmente um endereço muito semelhante ao endereço Bitcoin fornecido. Esta postagem é totalmente consistente com o modus operandi do malware Electrum.
Depois de realizar diagnósticos suficientes, Bax descobriu que “cada transação de Bitcoin enviada pelos operadores de malware Electrum Atom foi enviada para um endereço de destino associado aos supostos hackers investigados pelo FBI”. Um total de 17 Bitcoins (avaliados em US$ 501.000) foram recebidos por endereços associados ao malware, 97% dos quais pertenciam a Schober. Ele fez contato com outra vítima por meio do antigo fórum Bitcoin BitcoinTalk.
Isso significa que Schober poderia abrir uma ação civil contra o suposto autor, bem como contra outro indivíduo que supostamente vendia o mesmo malware no Reddit. Ambos eram menores de idade na época dos crimes, por isso o processo também nomeia seus pais como réus. Todas as partes negam qualquer irregularidade.
Isso aconteceu em maio de 2021, mais de três anos após o phishing do BTC de Schober. O preço do Bitcoin mais que dobrou nesse período.
Para complicar ainda mais a situação, o suposto hacker reside no Reino Unido. O FBI entregou o caso às autoridades britânicas e uma investigação conjunta foi lançada. Ambos os suspeitos foram presos, interrogados e seus dispositivos confiscados e uma investigação forense realizada, disse Schober.
Mas antes que pudessem ser presos, o desespero (e talvez um toque de ingenuidade) levou Schober a contatá-los e a seus pais para informá-los de que haviam sido encontrados.
“Eu esperava que eles confessassem tudo e me devolvessem os bens roubados, porque tudo que fiz foi pedir-lhes que devolvessem os bens roubados e eles não fizeram isso”, disse Schober.
“O Crown Prosecution Service finalmente me disse, depois que os contatei, que eles podem ter destruído seu dispositivo porque tinham um novo e não havia evidências forenses suficientes para processar.”
Bax disse que faria o que Schober fez - eles pensaram que os pais provavelmente eram pessoas decentes porque trabalhavam em bancos e no Serviço Nacional de Saúde. "Eles deveriam devolver o dinheiro e acho que tudo isso acabará."
A ação civil de Schober pode agora ser sua única chance de buscar justiça. Mas o caso avança lentamente, com os advogados discutindo sobre qual jurisdição o julgamento deve ocorrer.
Os advogados dos hackers disseram que o processo deveria ser arquivado porque Schober estava nos Estados Unidos e não tinha autoridade para exercer jurisdição sobre uma pessoa no Reino Unido. Eles também argumentaram que ele havia excedido o prazo legal para registrar uma reclamação.
“Mas do nosso ponto de vista, isso não é verdade porque foi preciso muito tempo, esforço e investigação para determinar se era um ser humano do outro lado”, disse Schober.
Considerando que ele teve que esperar 10 meses para obter uma intimação do FBI depois de ter informações importantes negadas pela Bitfinex, ele sente que não deveria ser punido pelo argumento do limite de tempo legal.
caso inéditoUma situação como a de Schober pode ser única porque abrange todo o Atlântico.
"Na verdade, existem muito poucos casos como este, na verdade, não conheço nenhum caso em que um indivíduo tenha sido rastreado, intimado legalmente (de acordo com a lei internacional) e processado por um hacker como este... e muito menos por roubo de criptografia. Moeda hackers", disse Mora.
"Estive envolvido em casos em que alguns demandantes individuais processaram golpistas/hackers nacionais de outros estados dos Estados Unidos, mas esses réus foram presos nos Estados Unidos."
Mora citou casos em que governos apresentaram acusações criminais contra hackers nacionais e estrangeiros, bem como gigantes da tecnologia como Amazon e Google processando hackers, alguns dos quais exigiram pagamentos de resgate em criptomoedas.
Schober não é uma multinacional, ele é apenas um cara normal que não está processando seus agressores como algumas das vítimas ricas e de alto perfil do roubo de criptomoedas.
“Acredito que este caso não tem precedentes em muitos aspectos... não sei quanto tempo este caso vai durar”, disse Mora.
Como resolver este problema, ninguém pode dizer ao certo. Se um tribunal dos EUA decidir que os hackers devem dinheiro a Schober, um tribunal do Reino Unido ainda terá de reconhecer a sentença antes de esta poder ser executada no Reino Unido. Em última análise, podem estar envolvidos cobrança de dívidas, gravames e até penhoras de salários.
Schober disse que eles conseguiram rastrear uma grande soma de Bitcoins até endereços obtidos por meio de uma intimação do FBI, então parece que os supostos hackers tinham fundos para reembolsar Schober.
Esta situação é particularmente frustrante considerando que Schober parece saber exatamente quem roubou a sua criptomoeda.
Apesar de tudo o que aconteceu, incluindo honorários advocatícios e a perda de US$ 500.000 em Bitcoin, Schober continua apoiando o Bitcoin.
"Ainda acredito na promessa do Bitcoin. Foi isso que me atraiu a aderir, em primeiro lugar. Mas não há dúvida de que minha vantagem como participante inicial desapareceu, e isso é doloroso."
“Mas ainda tenho uma atitude positiva em relação a isso. E estou orgulhoso de poder levar este caso até este ponto, sabendo que a chance de sucesso é muito pequena”.
Ele está otimista de que os tribunais dos EUA reconhecerão que ele foi vítima de roubo. Se o agressor viesse de um país como a Rússia ou a Coreia do Norte, teria poucas possibilidades de reparação.
“Já se passaram cinco anos e quero acabar com isso o mais rápido possível”, disse Schober. “Mas, por outro lado, dediquei muito esforço e tempo, e tenho pessoas como Bax e outros que me apoiam porque ouviram a história e a acharam incrível. "