Если бы хакер украл все биткойны, согласились бы вы потратить пять лет на его погоню?

После пяти лет отслеживания обычные люди действительно могут вернуть украденные биткойны. Эта статья взята из статьи Дэвида Канеллиса.
Представьте себе, что вы находитесь в центре бушующего бычьего рынка и у вас украли все ваши криптовалюты… Именно это случилось с Эндрю Шобером из Колорадо.
В 2018 году Шобер случайно загрузил подделанную версию биткойн-кошелька Electrum на субреддите /r/BitcoinAirdrops. В этом поддельном кошельке было спрятано вредоносное ПО: угонщик буфера обмена, специально разработанный для фишинга биткойнов. Вредоносная программа будет брать любой принимающий биткойны адрес на машине Шобера и маскироваться под него, заменяя адрес предполагаемого получателя адресом, контролируемым хакером.
Шобер, который медленно накапливал биткойны с 2014 года, в результате фишинговой программы в конечном итоге отправил хакеру 16,5 биткойнов, что эквивалентно 95% его собственного капитала. Когда его фишинговали, биткойны стоили 180 000 долларов, но достигли 1,1 миллиона долларов в 2021 году, когда биткойн был на рекордно высоком уровне. Шобер считает это «деньгами, которые изменили его жизнь».
«Я нашел ссылку на вредоносное ПО на Reddit, установил его на свой компьютер и быстро понял, что это не то, что рекламировали», — сказал Шобер. «Поэтому я просто удалил его со своего компьютера и больше никогда об этом не думал».
«Но, к сожалению, как только этот троян будет установлен на ваш жесткий диск, удаление исходной программы не избавит от трояна. Поэтому с тех пор он контролирует мой жесткий диск, и всякий раз, когда я копирую биткойн-адрес, он будет работать. "
Вредоносная программа была предварительно закодирована с использованием 195 112 различных биткойн-адресов.
«Это не просто изменение адреса Биткойна на какой-то случайный новый адрес», — объяснил Шобер. «Он будет соответствовать первым нескольким символам скопированного вами адреса. Поэтому визуально он будет очень похож, и если вы не заметите разницы, вы ее не заметите».
На момент атаки Шобера четыре адреса получили биткойны от ничего не подозревающих жертв, что значительно сузило его сферу деятельности.
Отслеживайте украденные биткойны с помощью MoneroПрелесть блокчейна в его открытом реестре. Почти все транзакции с криптовалютой оставляют цифровой след.
Обычно отслеживание этих путей включает в себя отслеживание переводов, чтобы определить, где в конечном итоге оказались деньги.
В случае Шобера он проследил поток биткойнов, украденных тем же вредоносным ПО, до давно действующей платформы атомного обмена криптовалют ShapeShift.
ShapeShift используется для поддержки API, который использует общие адреса, участвующие в обмене. Данные API показывают, что «вор», с которым столкнулся Шобер, обменял биткойны на Monero (XMR) и использовал соответствующий адрес.
Расширенное чтение: Что такое Monero XMR, прародитель монет конфиденциальности? Состояние развития, перспективы на будущее, рост рынка, регуляторный кризис
Поэтому Шобер разместил на Reddit вопрос, можно ли отслеживать транзакции Monero. На его запрос ответил сетевой следователь и эксперт по восстановлению активов Ник Бакс.
«Он получил пять ответов, и все они сказали: «Ни в коем случае». Я отправил ему личное сообщение и сказал: «Это действительно сложно сделать. Но я делал это раньше. Я знаю адвоката, который успешно вернул деньги». финансирование», — сказал Бакс.
В мае 2021 года Бакс наконец представил доказательства, которые идентифицировали хакеров в иске Шобера более двух лет назад. В процессе он проанализировал транзакции Monero и с высокой степенью уверенности определил происхождение монет Monero, использованных для украденных Шобером биткойнов.
Он сам написал программное обеспечение для отслеживания Monero.
«Вы помечаете выходные данные (инструктируя блокчейн Monero, куда направлять транзакции), а затем ищете каждую транзакцию, которая может использовать этот вывод. По мере того, как вы это делаете, начинают проявляться шаблоны».
Этот метод взлома кольцевых подписей Monero, ныне известный как атака Евы-Алисы-Евы (EAE), появился после WannaCry, кампании вымогателей, проводимой Северной Кореей, которая началась в 2017 году.
«RingCT Monero… скрывает точные тратимые UTXO (выходы неизрасходованных транзакций), но предоставляет аналитикам блокчейна список доверенных «членов кольца», один из которых потребляется, а остальные являются «приманкой»», — подробно описал свои выводы Бакс в сообщение в блоге.
Исправленная сейчас ошибка в Monero, возможно, в то время облегчила отделение настоящего UTXO от приманки и, таким образом, отслеживание транзакции.
Рука Бога: стучится в дверь ФБРБакс установил, что предполагаемый хакер Шобера конвертировал часть BTC, украденную у другой жертвы, в Monero через ShapeShift, а затем отправил их обратно через протокол, чтобы снова преобразовать в BTC.
Промытые BTC направляются на «тщеславный адрес», начинающийся с «1 BeNEdict». Что касается Биткойна Шобера, то он оказался на Bitfinex. Горячие кошельки для торговли криптовалютой по сути представляют собой черные ящики, поскольку их балансы представляют собой объединенные средства клиентов.
Когда криптовалюты попадают в горячий кошелек, практически невозможно определить, куда они были выведены, за исключением случаев, когда суммы одинаковы и необычны — и даже эти доказательства не являются убедительными.
Именно там расследование Шобера и Бакса застопорилось более чем на год: Шобер вызвал Bitfinex в суд с требованием раскрыть владельцев счетов, получивших украденные BTC, но получил отказ.
«Bitfinex будет отвечать только на запросы правоохранительных органов о предоставлении информации о клиентах, а не на гражданские запросы, потому что Bitfinex не будет вмешиваться в гражданские дела, особенно в Соединенных Штатах, поскольку суды США не имеют юрисдикции над нами». Юрисконсульт Bitfinex Сара Компани ответила по электронной почте». сказал адвокат Шобера Итан Мора.
«Причина, по которой криптовалютные биржи, такие как FTX и Bitfinex, создают компании на Британских Виргинских островах или Каймановых островах, заключается в том, что по этим юридическим причинам им не нужно соблюдать законы США или какие-либо другие законы, — сказал Шобер». .Принять внесудебные меры. Они даже не дали нам ответа. "
Не имея возможности получить прямой доступ к Bitfinex, Мора инициировал так называемый запрос Тухи, попросив киберотдел ФБР предоставить документы и другую информацию, связанную с расследованием агентства в отношении вредоносного ПО. Шобер немедленно сообщил об этом случае в ФБР после потери своего биткойна.
«ФБР начало выдавать повестки в суд компаниям, причастным к вредоносному ПО, таким как Reddit (где вредоносное ПО было выпущено) и GitHub (где размещалось вредоносное ПО)», — сказал Шобер.
Повестки в суд были сделаны в конце 2018 - начале 2019 года. Во время расследования ФБР даже конфисковало его компьютер на несколько месяцев.
Примерно через 10 месяцев запрос Тухи был удовлетворен. Внезапно команда Шобера получила доступ к внутренним материалам Bitfinex, указывающим на точный IP-адрес и адрес электронной почты, связанные с учетной записью, на которую были получены украденные биткойны.
«Пока мы не получим ответы от Министерства юстиции на вопросы Туи, мы действительно не узнаем, что открыло расследование ФБР», — сказал Мора.
Тщеславные адреса вернулисьБлагодаря повестке ФБР команда Шобера смогла идентифицировать учетные записи хакера в ряде онлайн-сервисов: Gmail, Keybase, Reddit, Twitter и Github. Код, необходимый для вредоносного ПО, включая генератор биткойн-адресов, на котором оно основано, был обнаружен в общедоступном репозитории кода предполагаемого хакера на GitHub.
Через некоторые учетные записи был проверен 1 адрес BeNedict, используемый для отмывания денег через ShapeShift, что Бакс расценил как доказательство личности хакера (личный адрес совпадал с его именем).
В явной попытке отмывания денег обратный адрес, зарегистрированный злоумышленниками с помощью ShapeShift (на который протокол передает криптовалюты в случае проблем с транзакцией), был идентичен горячему кошельку Bitfinex, из которого хранились биткойны, украденные у Шобера.
В списке рассылки разработчиков Биткойн даже есть сообщение, в котором адрес электронной почты отправителя совпадает с настоящим именем предполагаемого хакера, и описывается, как легко создать адрес, очень похожий на предоставленный адрес Биткойна. Этот пост полностью соответствует принципам работы вредоносного ПО Electrum.
Проведя достаточную диагностику, Бакс обнаружил, что «каждая биткойн-транзакция, отправленная операторами вредоносного ПО Electrum Atom, была отправлена ​​на целевой адрес, связанный с предполагаемыми хакерами, расследование которых ведет ФБР». Всего на адреса, связанные с вредоносным ПО, было получено 17 биткойнов (стоимостью 501 000 долларов США), 97% из которых принадлежали Шоберу. Он вступил в контакт с другой жертвой через давний биткойн-форум BitcoinTalk.
Это означает, что Шобер может подать гражданский иск против предполагаемого преступника, а также против другого человека, который предположительно распространял то же вредоносное ПО на Reddit. Оба на момент совершения преступления были несовершеннолетними, поэтому в иске обвиняемыми также названы их родители. Все стороны отрицают какие-либо нарушения.
Это произошло в мае 2021 года, более чем через три года после того, как BTC Шобера подвергся фишингу. За это время цена Биткойна выросла более чем вдвое.
Ситуация еще больше усложняется тем, что предполагаемый хакер проживает в Великобритании. ФБР передало дело британским правоохранительным органам, и было начато совместное расследование. Оба подозреваемых были арестованы, допрошены, их устройства конфискованы, а также проведено судебно-медицинское расследование, сказал Шобер.
Но прежде чем их удалось арестовать, отчаяние (и, возможно, некоторая наивность) побудило Шобера связаться с ними и их родителями, чтобы сообщить им, что их нашли.
«Я надеялся, что они откроются и вернут мне украденное имущество, потому что все, что я сделал, это попросил их вернуть украденное имущество, а они этого не сделали», - сказал Шобер.
«После того, как я связался с ними, Королевская прокуратура в конце концов сказала мне, что они, возможно, уничтожили свое устройство, потому что у них было совершенно новое устройство и не было достаточных доказательств для судебного преследования».
Бакс сказал, что поступил бы так же, как Шобер: они думали, что родители, вероятно, порядочные люди, потому что они работали в банках и Национальной службе здравоохранения. «Они должны вернуть деньги, и я думаю, что на этом все закончится».
Гражданский иск Шобера теперь может быть его единственным шансом добиться справедливости. Но дело продвигается медленно, и адвокаты спорят о том, в какой юрисдикции должен проходить судебный процесс.
Адвокаты хакеров заявили, что иск следует отклонить, поскольку Шобер находился в Соединенных Штатах и ​​не имел полномочий осуществлять юрисдикцию над лицом в Соединенном Королевстве. Они также утверждали, что он превысил установленный законом срок для подачи жалобы.
«Но с нашей точки зрения, это неправда, потому что потребовалось очень много времени, усилий и исследований, чтобы определить, что на другом конце провода был человек», — сказал Шобер.
Учитывая, что ему пришлось ждать 10 месяцев, чтобы получить повестку в суд от ФБР после того, как Bitfinex отказала ему в ключевой информации, он считает, что его не следует наказывать по закону об ограничении срока.
беспрецедентный случайСитуация, подобная ситуации Шобера, может быть уникальной, поскольку она охватывает всю Атлантику.
«На самом деле подобных случаев очень мало, на самом деле я не знаю ни одного случая, когда человека выследили, вызвали в суд (согласно международному праву) и привлекли к ответственности за такого хакера… не говоря уже о краже шифрования валюты. хакеры», — сказал Мора.
«Я участвовал в делах, когда некоторые отдельные истцы подали в суд на местных мошенников/хакеров из других штатов США, но эти ответчики были арестованы в Соединенных Штатах».
Мора привел случаи, когда правительства выдвигали уголовные обвинения против отечественных и иностранных хакеров, а также против таких технологических гигантов, как Amazon и Google, которые судились с хакерами, некоторые из которых требовали выкуп в криптовалюте.
Шобер не является транснациональной корпорацией, он просто обычный парень, который не судится со своими нападавшими, как некоторые известные и богатые жертвы кражи криптовалюты.
«Я считаю, что этот случай беспрецедентен во многих отношениях… Я не знаю, как долго продлится это дело», — сказал Мора.
Как решить эту проблему, никто точно сказать не может. Если суд США постановит, что хакеры должны Шоберу деньги, британскому суду все равно придется признать это решение, прежде чем оно сможет быть приведено в исполнение в Великобритании. В конечном итоге речь может идти о взыскании долгов, залоге и даже о взыскании заработной платы.
Шобер сказал, что им удалось отследить крупную сумму биткойнов по адресам, полученным по повестке в суд от ФБР, поэтому похоже, что у предполагаемых хакеров действительно были средства, чтобы вернуть долг Шоберу.
Эта ситуация особенно расстраивает, учитывая, что Шобер, похоже, точно знает, кто украл его криптовалюту.
Несмотря на все, что произошло, включая судебные издержки и потерю 500 000 долларов в биткойнах, Шобер по-прежнему поддерживает биткойн.
«Я все еще верю в обещания Биткойна. Это то, что в первую очередь привлекло меня присоединиться. Но нет никаких сомнений в том, что мое преимущество как раннего участника исчезло, и это болезненно».
«Но я по-прежнему отношусь к этому положительно. И я горжусь тем, что могу продвинуть это дело до этой точки, зная, что шанс на успех очень мал».
Он надеется, что суды США признают, что он стал жертвой кражи. Если злоумышленник прибыл из такой страны, как Россия или Северная Корея, у него мало возможностей для возмещения ущерба.
«Прошло пять лет, и я хочу покончить с этим как можно быстрее», — сказал Шобер. «Но, с другой стороны, я вложил много усилий и времени, и у меня есть такие люди, как Бакс и другие, которые поддерживают меня, потому что они услышали эту историю и подумали, что она потрясающая. Поэтому я был полон решимости довести дело до конца». "