Dacă un hacker ar fura toți bitcoinii, ai fi dispus să petreci cinci ani urmărindu-l?

După cinci ani de urmărire, oamenii obișnuiți își pot recupera de fapt bitcoinii furați. Acest articol este derivat dintr-un articol scris de David Canellis
Imaginați-vă că vă aflați în mijlocul unei piețe tari înfuriate și vi se fură toate criptomonedele... Exact asta s-a întâmplat cu Andrew Schober din Colorado.
În 2018, Schober a descărcat din neatenție o versiune manipulată a portofelului Electrum Bitcoin pe subreddit-ul /r/BitcoinAirdrops. În acest portofel fals se afla ascuns programe malware: un piratator de clipboard conceput special pentru phishing pentru Bitcoin. Malware-ul ar lua orice adresă care acceptă Bitcoin de pe mașina lui Schober și o va masca, înlocuind adresa destinatarului dorit cu o adresă controlată de hacker.
Schober, care acumulase încet Bitcoin din 2014, în cele din urmă i-a trimis hackerului 16,5 Bitcoin, echivalentul a 95% din valoarea sa netă, ca urmare a programului de phishing. Când a fost phishing, bitcoinii valorau 180.000 de dolari, dar au ajuns la 1,1 milioane de dolari în 2021, când Bitcoin era la cel mai ridicat nivel istoric. Schober consideră că sunt „banii care i-au schimbat viața”.
„Am găsit un link către programul malware pe Reddit, l-am instalat pe computerul meu și mi-am dat seama rapid că nu este ceea ce se anunță”, a spus Schober. „Așa că tocmai l-am șters de pe computer și nu m-am mai gândit niciodată la asta”.
„Dar, din păcate, odată ce acest troian este instalat pe hard disk-ul tău, ștergerea programului original nu scapă de troian. Așa că de atunci, mi-a monitorizat hard disk-ul și de fiecare dată când copiez o adresă Bitcoin, va funcționa. "
Malware-ul a fost pre-codat cu 195.112 adrese Bitcoin diferite.
„Nu este doar schimbarea adresei Bitcoin cu o nouă adresă aleatorie”, a explicat Schober. "Se va potrivi cu primele caractere ale adresei pe care ai copiat-o. Așa că va arăta foarte asemănător din punct de vedere vizual, iar dacă nu observi cu adevărat diferența, nu o vei observa."
La momentul atacului lui Schober, patru dintre adrese primiseră Bitcoin de la victime nebănuitoare, restrângându-i semnificativ domeniul de aplicare.
Urmăriți Bitcoin furat cu MoneroFrumusețea blockchain-ului este registrul său deschis. Aproape toate tranzacțiile cu criptomonede lasă o urmă digitală.
De obicei, urmărirea acestor căi implică urmărirea transferurilor pentru a determina unde au ajuns banii.
În cazul lui Schober, el a urmărit fluxul de Bitcoin furat de același malware către platforma de schimb atomic de criptomonede ShapeShift.
ShapeShift a folosit pentru a menține un API care a partajat adresele care participa la schimbul său. Datele API arată că „hoțul” întâlnit de Schober a schimbat Bitcoin cu Monero (XMR) și a folosit adresa corespunzătoare.
Lectură extinsă: Ce este Monero XMR, strămoșul monedelor de confidențialitate? Starea dezvoltării, perspectivele de viitor, creșterea pieței, criza de reglementare
Așa că Schober a postat pe Reddit întrebând dacă este posibil să urmăriți tranzacțiile Monero. Investigatorul în lanț și expert în recuperarea activelor Nick Bax a răspuns solicitării sale.
„A primit cinci răspunsuri și toți mi-au spus „Niciodată”. I-am trimis un mesaj privat și i-am spus: „Este foarte greu de făcut. Dar am mai făcut-o înainte. Cunosc un avocat care a recuperat cu succes bani. finanțare”, a spus Bax.
Bax a prezentat în sfârșit dovezi în lanț în mai 2021 care i-au identificat pe hackeri în procesul lui Schober, acum mai bine de doi ani. În acest proces, el a analizat tranzacțiile Monero și a determinat cu un grad ridicat de certitudine originea monedelor Monero folosite pentru Bitcoin-urile furate de Schober.
El a scris el însuși software-ul de urmărire Monero.
„Etichetați o ieșire (instruind blockchain-ului Monero unde să direcționați tranzacțiile) și apoi căutați fiecare tranzacție care ar putea folosi acea ieșire a etichetei. Pe măsură ce faceți acest lucru, încep să apară modele.
Această metodă de a sparge semnăturile inelului Monero – cunoscută acum ca atacul Eve-Alice-Eve (EAE) – a apărut în urma WannaCry, campania de ransomware condusă de Coreea de Nord, care a început în 2017.
„Monero’s RingCT... ascunde exact UTXO-urile (Uncheltuite de ieșiri ale tranzacțiilor) care sunt cheltuite, dar oferă analiștilor blockchain o listă de „membri de inel” de încredere, dintre care unul este consumat, restul este „momeală”” Bax a detaliat descoperirile sale în o postare pe blog.
Este posibil ca bug-ul corectat din Monero să fi făcut mai ușoară la acea vreme separarea UTXO reală de momeală și, astfel, urmărirea tranzacției.
Mâna lui Dumnezeu: Bătând la ușa FBIBax a stabilit că presupusul hacker al lui Schober a convertit unele BTC furate de la o altă victimă în Monero prin ShapeShift, apoi le-a trimis înapoi prin protocol pentru a-l converti din nou în BTC.
BTC-ul spălat este direcționat către o „adresă de vanitate” începând cu „1 BeNEdict”. În ceea ce privește Bitcoin-ul lui Schober, acesta a ajuns pe Bitfinex. Portofelele de tranzacționare cu criptomonede sunt efectiv cutii negre, deoarece soldurile lor reprezintă fonduri comune ale clienților.
Odată ce criptomonedele sunt într-un portofel fierbinte, este aproape imposibil să se stabilească unde au fost retrase, cu excepția cazului în care sumele sunt aceleași și neobișnuite – și nici măcar acele dovezi nu sunt concludente.
Acolo, ancheta Schober și Bax a rămas blocată de mai bine de un an, Schober a citat Bitfinex să dezvăluie proprietarii de conturi care au primit BTC furat, dar fiind respinși.
„Bitfinex va răspunde numai solicitărilor de aplicare a legii pentru informații despre clienți, nu solicitărilor civile, deoarece Bitfinex nu va interveni în chestiuni civile, în special în Statele Unite, deoarece instanțele din SUA nu au jurisdicție asupra noastră, Sarah Compani, consilierul juridic Bitfinex, a răspuns prin e-mail a spus avocatul lui Schober, Ethan Mora.
„Motivul pentru care schimburile de criptomonede precum FTX și Bitfinex au înființat companii în Insulele Virgine Britanice sau Insulele Cayman este din aceste motive legale, că nu trebuie să respecte legea SUA sau orice altă lege”, a spus Schober . Luați măsuri extrajudiciare. Nici măcar nu ne-au dat un răspuns. "
Neputând să obțină acces direct la Bitfinex, Mora a inițiat ceea ce este cunoscut sub numele de cerere Touhy, cerând diviziei cibernetice a FBI să furnizeze documente și alte informații legate de investigația agenției asupra malware-ului. Schober a raportat imediat cazul FBI-ului după ce și-a pierdut Bitcoin.
„FBI a început să emită citații companiilor implicate în malware, cum ar fi Reddit (unde a fost lansat malware) și GitHub (unde a fost găzduit malware)”, a spus Schober.
Citațiile au avut loc la sfârșitul lui 2018 și începutul lui 2019. FBI-ul i-a confiscat chiar computerul timp de câteva luni în timpul anchetei.
După aproximativ 10 luni, cererea lui Touhy a avut succes. Dintr-o dată, echipa lui Schober a avut acces la materialul intern Bitfinex care indică IP-ul exact și adresa de e-mail asociată contului care a primit Bitcoin-urile furate.
„Până nu vom primi răspunsuri de la Departamentul de Justiție la întrebările lui Touhy, chiar nu vom ști ce a descoperit investigația FBI”, a spus Mora.
Adresele de vanitate s-au întorsDatorită citației FBI, echipa lui Schober a reușit să identifice conturile hackerului printr-o gamă largă de servicii online: Gmail, Keybase, Reddit, Twitter și Github. Codul necesar pentru malware, inclusiv generatorul de adrese Bitcoin pe care se bazează, a fost descoperit în depozitul public de coduri GitHub al presupusului hacker.
Prin unele conturi, a fost verificată o adresă BeNedict folosită pentru spălarea banilor prin ShapeShift, pe care Bax a văzut-o ca o dovadă a identității hackerului (adresa de vanitate se potrivea cu numele lui).
Într-un aparent efort de spălare de bani, adresa de retur înregistrată de atacatori cu ShapeShift (căreia protocolul transferă criptomonede în cazul unor probleme cu o tranzacție) a fost identică cu portofelul Bitfinex din care era stocat Bitcoin-ul furat de la Schober.
Există chiar și o postare pe lista de corespondență a dezvoltatorilor Bitcoin în care adresa de e-mail a expeditorului se potrivește cu numele real al presupusului hacker, care descrie cum să generezi cu ușurință o adresă care este foarte asemănătoare cu adresa Bitcoin furnizată. Această postare este complet în concordanță cu modul de operare al malware-ului Electrum.
După ce a efectuat suficiente diagnostice, Bax a descoperit că „fiecare tranzacție Bitcoin trimisă de operatorii de malware Electrum Atom a fost trimisă la o adresă țintă asociată cu presupușii hackeri investigați de FBI”. Un total de 17 Bitcoins (evaluate la 501.000 USD) au fost primite de adresele asociate malware-ului, dintre care 97% au aparținut lui Schober. El a luat contact cu o altă victimă prin intermediul forumului Bitcoin de lungă durată BitcoinTalk.
Aceasta înseamnă că Schober ar putea intenta un proces civil împotriva presupusului făptuitor, precum și a unei alte persoane care ar fi vândut același malware pe Reddit. Ambii erau minori la momentul săvârșirii faptelor, așa că procesul îi numește și părinții drept inculpați. Toate părțile neagă orice faptă greșită.
Acest lucru s-a întâmplat în mai 2021, la mai bine de trei ani după ce BTC-ul lui Schober a fost phishing. Prețul Bitcoin s-a mai mult decât dublat în acest timp.
Pentru a complica și mai mult lucrurile, presupusul hacker locuiește în Regatul Unit. FBI a predat cazul forțelor de ordine britanice și a fost lansată o anchetă comună. Ambii suspecți au fost arestați, interogați, iar dispozitivele lor au fost confiscate și a fost efectuată o anchetă criminalistică, a spus Schober.
Dar înainte de a putea fi arestați, disperarea (și poate un strop de naivitate) l-a determinat pe Schober să-i contacteze pe ei și pe părinții lor pentru a-i anunța că au fost găsiți.
„Speram că vor veni curat și vor returna bunurile furate pentru că tot ce am făcut a fost să le cer să returneze bunurile furate și nu au făcut asta”, a spus Schober.
„Serviciul Procuraturii Coroanei mi-a spus în cele din urmă, după ce i-am contactat, că este posibil să le fi distrus dispozitivul pentru că aveau unul nou-nouț și nu existau dovezi criminalistice suficiente pentru a urmări penal.”
Bax a spus că va face ceea ce a făcut Schober - ei au crezut că părinții sunt probabil oameni decente pentru că lucrau în bănci și în Serviciul Național de Sănătate. „Ar trebui să dea banii înapoi și cred că totul se va termina”.
Procesul civil al lui Schober ar putea fi acum singura lui șansă de a face dreptate. Dar cazul se mișcă încet, avocații care se cereau în ce jurisdicție ar trebui să aibă loc procesul.
Avocații hackerilor au spus că procesul ar trebui respins deoarece Schober se afla în Statele Unite și nu avea autoritatea de a-și exercita jurisdicția asupra unei persoane în Regatul Unit. Ei au mai susținut că acesta a depășit termenul legal pentru depunerea unei plângeri.
„Dar din perspectiva noastră, acest lucru nu este adevărat, deoarece a fost nevoie de mult timp, efort și investigație pentru a determina că a fost o ființă umană la celălalt capăt”, a spus Schober.
Având în vedere că a trebuit să aștepte 10 luni pentru a obține o citație FBI după ce i s-a refuzat informații cheie de către Bitfinex, el consideră că nu ar trebui să fie pedepsit de argumentul privind termenul legal.
caz fără precedentO situație ca cea a lui Schober poate fi unică, deoarece se întinde pe întreg Atlanticul.
„Există, de fapt, foarte puține cazuri ca acesta, de fapt nu cunosc niciun caz în care o persoană a fost urmărită, citată legal (conform dreptului internațional) și urmărită penal pentru un hacker ca acesta... să nu mai vorbim de furtul monedei de criptare. hackeri”, a spus Mora.
„Am fost implicat în cazuri în care unii reclamanți individuali au dat în judecată escrocii/hackeri autohtoni din alte state din Statele Unite, dar acești inculpați au fost arestați în Statele Unite”.
Mora a citat cazuri în care guvernele au introdus urmăriri penale împotriva hackerilor interni și străini, precum și giganții tehnologici precum Amazon și Google care au dat în judecată hackerii, dintre care unii au cerut plăți de răscumpărare în criptomonede.
Schober nu este o multinațională, el este doar un tip obișnuit care nu își dă în judecată atacatorii ca unele dintre victimele de înaltă calitate și bogate ale furtului de criptomonede.
„Cred că acest caz este fără precedent în multe privințe... Nu știu cât va dura acest caz”, a spus Mora.
Cum să rezolvi această problemă, nimeni nu poate spune cu siguranță. Dacă o instanță din SUA decide că hackerii îi datorează bani lui Schober, o instanță din Marea Britanie va trebui totuși să recunoască hotărârea înainte de a putea fi executată în Regatul Unit. În cele din urmă, pot fi implicate colectarea datoriilor, garanțiile și chiar poprirea salariului.
Schober a spus că au reușit să urmărească o sumă mare de Bitcoin până la adresele obținute dintr-o citație FBI, așa că se pare că presupușii hackeri au avut fondurile pentru a-l rambursa pe Schober.
Această situație este deosebit de frustrantă, având în vedere că Schober pare să știe exact cine i-a furat criptomoneda.
În ciuda a tot ceea ce s-a întâmplat, inclusiv taxele legale și pierderea a 500.000 USD în Bitcoin, Schober rămâne în sprijinul Bitcoin.
„Cred în continuare în promisiunea Bitcoin. Acesta este ceea ce m-a atras să mă alătur în primul rând. Dar nu există nicio îndoială că avantajul meu ca un participant timpuriu a dispărut, iar asta este dureros.”
"Dar încă am o atitudine pozitivă față de asta. Și sunt mândru că pot avansa acest caz până în acest punct, știind că șansa de succes este foarte mică."
El este optimist că instanțele americane vor recunoaște că a fost victima furtului. Dacă atacatorul provine dintr-o țară precum Rusia sau Coreea de Nord, are puține căi de reparație.
„Au trecut cinci ani și vreau să termin cu asta cât mai repede posibil”, a spus Schober. „Dar, pe de altă parte, am depus mult efort și timp și am oameni ca Bax și alții care mă susțin pentru că au auzit povestea și au considerat că este uimitoare. Așa că eram hotărât să o duc până la capăt. "