Nếu một hacker đánh cắp tất cả Bitcoin, bạn có sẵn sàng dành 5 năm để theo đuổi hắn không?

Sau 5 năm theo dõi, những người bình thường thực sự có thể lấy lại số Bitcoin bị đánh cắp của mình. Bài viết này được lấy từ một bài viết của David Canellis
Hãy tưởng tượng bạn đang ở giữa một thị trường tăng giá điên cuồng và tất cả tiền điện tử của bạn bị đánh cắp… Đó chính xác là những gì đã xảy ra với Andrew Schober của Colorado.
Vào năm 2018, Schober đã vô tình tải xuống phiên bản đã được chỉnh sửa của ví Electrum Bitcoin trên subreddit /r/BitcoinAirdrops. Ẩn trong ví giả này là phần mềm độc hại: một phần mềm chiếm quyền điều khiển clipboard được thiết kế đặc biệt để lừa đảo Bitcoin. Phần mềm độc hại sẽ lấy bất kỳ địa chỉ chấp nhận Bitcoin nào trên máy của Schober và giả mạo địa chỉ đó, thay thế địa chỉ người nhận dự định bằng địa chỉ do tin tặc kiểm soát.
Schober, người đã dần dần tích lũy Bitcoin kể từ năm 2014, cuối cùng đã gửi cho hacker 16,5 Bitcoin, tương đương 95% giá trị tài sản ròng của anh ta, do chương trình lừa đảo. Khi anh ta bị lừa đảo, số Bitcoin trị giá 180.000 USD nhưng đã đạt 1,1 triệu USD vào năm 2021, khi Bitcoin ở mức cao nhất mọi thời đại. Schober coi đó là "tiền đã thay đổi cuộc đời anh".
Schober cho biết: “Tôi đã tìm thấy liên kết đến phần mềm độc hại trên Reddit, cài đặt nó trên máy tính của mình và nhanh chóng nhận ra nó không giống như những gì được quảng cáo”. "Vì vậy tôi đã xóa nó khỏi máy tính của mình và không bao giờ nghĩ đến nó nữa."
“Nhưng thật không may, một khi Trojan này được cài đặt trên ổ cứng của bạn, việc xóa chương trình gốc cũng không loại bỏ được Trojan. Vì vậy, kể từ đó, nó đã theo dõi ổ cứng của tôi và bất cứ khi nào tôi sao chép địa chỉ Bitcoin, nó sẽ hoạt động. "
Phần mềm độc hại đã được mã hóa trước với 195.112 địa chỉ Bitcoin khác nhau.
Schober giải thích: “Nó không chỉ thay đổi địa chỉ Bitcoin thành một số địa chỉ mới ngẫu nhiên”. "Nó sẽ khớp với một số ký tự đầu tiên của địa chỉ bạn đã sao chép. Vì vậy, về mặt trực quan, nó sẽ trông rất giống nhau và nếu bạn không thực sự nhận thấy sự khác biệt, bạn sẽ không nhận thấy nó."
Vào thời điểm Schober tấn công, bốn trong số các địa chỉ đã nhận Bitcoin từ những nạn nhân không nghi ngờ, thu hẹp đáng kể phạm vi của anh ta.
Theo dõi Bitcoin bị đánh cắp bằng MoneroVẻ đẹp của blockchain là sổ cái mở của nó. Hầu như tất cả các giao dịch tiền điện tử đều để lại dấu vết kỹ thuật số.
Thông thường, việc truy tìm những đường dẫn này bao gồm việc theo dõi các giao dịch chuyển tiền để xác định xem tiền đã đến đâu.
Trong trường hợp của Schober, anh ta đã lần theo dòng Bitcoin bị đánh cắp bởi cùng một phần mềm độc hại tới nền tảng hoán đổi nguyên tử tiền điện tử ShapeShift.
ShapeShift được sử dụng để duy trì API chia sẻ các địa chỉ tham gia trao đổi. Dữ liệu API cho thấy “kẻ trộm” Schober gặp phải đã đổi Bitcoin lấy Monero (XMR) và sử dụng địa chỉ tương ứng.
Đọc mở rộng: Monero XMR, tổ tiên của đồng tiền riêng tư là gì? Tình trạng phát triển, triển vọng tương lai, tăng trưởng thị trường, khủng hoảng pháp lý
Vì vậy Schober đã đăng trên Reddit hỏi liệu có thể theo dõi các giao dịch Monero hay không. Chuyên gia điều tra và thu hồi tài sản trên chuỗi Nick Bax đã đáp ứng yêu cầu của anh ấy.
"Anh ấy nhận được năm phản hồi và tất cả đều nói 'Không thể nào'. Tôi đã gửi cho anh ấy một tin nhắn riêng và nói, 'Việc này thực sự khó thực hiện. Nhưng tôi đã từng làm điều đó trước đây. Tôi biết một luật sư đã thu hồi được tiền thành công.' tài trợ'", Bax nói.
Bax cuối cùng đã gửi bằng chứng trực tuyến vào tháng 5 năm 2021 để xác định các tin tặc trong vụ kiện của Schober hơn hai năm trước. Trong quá trình này, anh đã phân tích các giao dịch Monero và xác định với mức độ chắc chắn cao về nguồn gốc của đồng tiền Monero được sử dụng để đánh cắp Bitcoin của Schober.
Anh ấy đã tự viết phần mềm theo dõi Monero.
“Bạn gắn thẻ một đầu ra (hướng dẫn chuỗi khối Monero nơi giao dịch trực tiếp) và sau đó tìm kiếm mọi giao dịch có thể sử dụng đầu ra thẻ đó, khi bạn thực hiện việc này, các mẫu bắt đầu xuất hiện.”
Phương pháp phá vỡ chữ ký vòng Monero này – hiện được gọi là cuộc tấn công Eve-Alice-Eve (EAE) – xuất hiện sau WannaCry, chiến dịch ransomware do Triều Tiên điều khiển bắt đầu vào năm 2017.
“RingCT của Monero... ẩn các UTXO (Đầu ra giao dịch chưa chi tiêu) chính xác đang được chi tiêu, nhưng cung cấp cho các nhà phân tích blockchain một danh sách các 'thành viên vòng' đáng tin cậy, một trong số đó đã được tiêu thụ, phần còn lại là 'mồi nhử'" Bax trình bày chi tiết những phát hiện của mình trong một bài đăng trên blog.
Lỗi hiện đã được vá trong Monero có thể đã giúp việc tách UTXO thực khỏi mồi nhử trở nên dễ dàng hơn vào thời điểm đó và do đó theo dõi giao dịch.
Bàn tay của Chúa: Gõ cửa FBIBax xác định rằng hacker bị cáo buộc của Schober đã chuyển đổi một số BTC bị đánh cắp từ một nạn nhân khác thành Monero thông qua ShapeShift, sau đó gửi lại thông qua giao thức để chuyển đổi lại thành BTC.
BTC đã rửa được chuyển hướng đến một "địa chỉ ảo" bắt đầu bằng "1 BeNEdict". Đối với Bitcoin của Schober, nó đã có mặt trên Bitfinex. Ví nóng giao dịch tiền điện tử thực sự là hộp đen vì số dư của chúng đại diện cho số tiền gộp của khách hàng.
Khi tiền điện tử nằm trong ví nóng, gần như không thể xác định chúng được rút đến đâu, trừ khi số tiền giống nhau và không phổ biến – và thậm chí bằng chứng đó cũng không có tính thuyết phục.
Tại đó, cuộc điều tra của Schober và Bax đã bị mắc kẹt trong hơn một năm, khi Schober triệu tập Bitfinex để tiết lộ chủ sở hữu tài khoản đã nhận được BTC bị đánh cắp nhưng bị từ chối.
“Bitfinex sẽ chỉ đáp ứng các yêu cầu thực thi pháp luật về thông tin khách hàng chứ không phải yêu cầu dân sự, vì Bitfinex sẽ không can thiệp vào các vấn đề dân sự, đặc biệt là ở Hoa Kỳ, vì tòa án Hoa Kỳ không có thẩm quyền đối với chúng tôi, cố vấn pháp lý của Bitfinex, Sarah Compani đã trả lời qua email.” Luật sư của Schober, Ethan Mora cho biết.
Schober nói: “Lý do các sàn giao dịch tiền điện tử như FTX và Bitfinex thành lập công ty ở Quần đảo Virgin thuộc Anh hoặc Quần đảo Cayman là vì những lý do pháp lý này, họ không phải tuân thủ luật pháp Hoa Kỳ hoặc bất kỳ luật nào khác”. . Thực hiện hành động ngoài vòng pháp luật. Họ thậm chí không cho chúng tôi câu trả lời. "
Không thể truy cập trực tiếp vào Bitfinex, Mora đã khởi xướng yêu cầu Touhy, yêu cầu bộ phận mạng của FBI cung cấp tài liệu và thông tin khác liên quan đến cuộc điều tra của cơ quan về phần mềm độc hại. Schober ngay lập tức báo cáo vụ việc cho FBI sau khi bị mất Bitcoin.
Schober cho biết: “FBI bắt đầu gửi trát đòi hầu tòa cho các công ty liên quan đến phần mềm độc hại, chẳng hạn như Reddit (nơi phần mềm độc hại được phát hành) và GitHub (nơi lưu trữ phần mềm độc hại).
Các trát đòi hầu tòa xảy ra vào cuối năm 2018 và đầu năm 2019. FBI thậm chí còn tịch thu máy tính của anh ta trong vài tháng trong quá trình điều tra.
Sau khoảng 10 tháng, yêu cầu của Touhy đã thành công. Đột nhiên, nhóm của Schober có quyền truy cập vào tài liệu nội bộ của Bitfinex chỉ ra địa chỉ IP và email chính xác được liên kết với tài khoản đã nhận số Bitcoin bị đánh cắp của anh ta.
Mora nói: “Cho đến khi chúng tôi nhận được câu trả lời từ Bộ Tư pháp về các câu hỏi của Touhy, chúng tôi thực sự sẽ không biết cuộc điều tra của FBI đã phát hiện ra điều gì”.
Địa chỉ ảo đã trở lạiNhờ trát đòi hầu tòa của FBI, nhóm của Schober đã có thể xác định được tài khoản của hacker trên một loạt dịch vụ trực tuyến: Gmail, Keybase, Reddit, Twitter và Github. Mã cần thiết cho phần mềm độc hại, bao gồm cả trình tạo địa chỉ Bitcoin mà nó dựa vào, đã được phát hiện trong kho lưu trữ mã GitHub công khai của hacker.
Thông qua một số tài khoản, 1 địa chỉ BeNedict dùng để rửa tiền thông qua ShapeShift đã được xác minh, Bax xem địa chỉ này là bằng chứng về danh tính của hacker (địa chỉ phù hợp với tên của anh ta).
Trong một nỗ lực rửa tiền rõ ràng, địa chỉ trả lại được những kẻ tấn công đăng ký bằng ShapeShift (giao thức chuyển tiền điện tử trong trường hợp xảy ra sự cố với giao dịch) giống hệt với ví nóng Bitfinex nơi lưu trữ Bitcoin bị đánh cắp từ Schober.
Thậm chí còn có một bài đăng trên danh sách gửi thư của các nhà phát triển Bitcoin trong đó địa chỉ email của người gửi khớp với tên thật của hacker bị cáo buộc, mô tả cách dễ dàng tạo một địa chỉ rất giống với địa chỉ Bitcoin được cung cấp. Bài đăng này hoàn toàn phù hợp với phương thức hoạt động của phần mềm độc hại Electrum.
Sau khi tiến hành chẩn đoán đầy đủ, Bax phát hiện ra rằng “mọi giao dịch Bitcoin do kẻ điều hành phần mềm độc hại Electrum Atom gửi đều được gửi đến một địa chỉ mục tiêu liên quan đến các tin tặc bị cáo buộc do FBI điều tra”. Tổng cộng 17 Bitcoin (trị giá 501.000 USD) đã được nhận bởi các địa chỉ liên quan đến phần mềm độc hại, 97% trong số đó thuộc về Schober. Anh ta đã liên lạc với một nạn nhân khác thông qua diễn đàn Bitcoin lâu đời BitcoinTalk.
Điều đó có nghĩa là Schober có thể đệ đơn kiện dân sự chống lại thủ phạm bị cáo buộc, cũng như một cá nhân khác bị cáo buộc đã bán phần mềm độc hại tương tự trên Reddit. Vào thời điểm phạm tội, cả hai đều là trẻ vị thành niên nên đơn kiện cũng nêu tên cha mẹ họ là bị cáo. Tất cả các bên đều phủ nhận mọi hành vi sai trái.
Điều này xảy ra vào tháng 5 năm 2021, hơn ba năm sau khi BTC của Schober bị lừa đảo. Giá Bitcoin đã tăng hơn gấp đôi trong thời gian đó.
Để làm phức tạp thêm vấn đề, hacker bị cáo buộc cư trú tại Vương quốc Anh. FBI đã bàn giao vụ việc cho cơ quan thực thi pháp luật Anh và một cuộc điều tra chung đã được tiến hành. Schober cho biết cả hai nghi phạm đã bị bắt, thẩm vấn và thiết bị của họ bị tịch thu và một cuộc điều tra pháp y được tiến hành.
Nhưng trước khi họ có thể bị bắt, sự tuyệt vọng (và có lẽ là một chút ngây thơ) đã khiến Schober liên lạc với họ và cha mẹ họ để thông báo rằng họ đã được tìm thấy.
Schober nói: “Tôi đã hy vọng rằng họ sẽ thành thật và trả lại tài sản bị đánh cắp cho tôi vì tất cả những gì tôi làm là yêu cầu họ trả lại tài sản bị đánh cắp và họ đã không làm như vậy”.
"Cơ quan công tố Crown cuối cùng đã nói với tôi sau khi tôi liên hệ với họ rằng họ có thể đã phá hủy thiết bị của mình vì họ có một thiết bị hoàn toàn mới và không có đủ bằng chứng pháp y để truy tố."
Bax nói anh sẽ làm những gì Schober đã làm - họ nghĩ cha mẹ anh có lẽ là những người tử tế vì họ làm việc trong ngân hàng và Dịch vụ Y tế Quốc gia. "Họ nên trả lại tiền và tôi nghĩ mọi chuyện sẽ kết thúc."
Vụ kiện dân sự của Schober giờ đây có thể là cơ hội duy nhất để anh theo đuổi công lý. Nhưng vụ án đang diễn ra chậm chạp khi các luật sư tranh cãi về thẩm quyền xét xử nên diễn ra.
Luật sư của các tin tặc cho biết vụ kiện nên bị bác bỏ vì Schober đang ở Hoa Kỳ và không có thẩm quyền thực thi quyền tài phán đối với một người ở Vương quốc Anh. Họ cũng cho rằng ông đã vượt quá thời hạn pháp lý để nộp đơn khiếu nại.
Schober nói: “Nhưng theo quan điểm của chúng tôi, điều đó không đúng vì phải mất rất nhiều thời gian, công sức và điều tra để xác định rằng đó là một con người ở đầu bên kia”.
Xem xét việc anh ta phải đợi 10 tháng để nhận được trát đòi hầu tòa của FBI sau khi bị Bitfinex từ chối cung cấp thông tin quan trọng, anh ta cảm thấy mình không nên bị trừng phạt bởi lập luận về thời hạn theo luật định.
trường hợp chưa từng cóTình huống như của Schober có thể là duy nhất vì nó trải dài khắp Đại Tây Dương.
“Thực tế có rất ít trường hợp như thế này, thực tế là tôi không biết trường hợp nào một cá nhân bị theo dõi, triệu tập hợp pháp (theo luật quốc tế) và bị truy tố vì một hacker như thế này… chứ đừng nói đến việc đánh cắp tiền mã hóa tin tặc," Mora nói.
"Tôi đã tham gia vào các vụ án trong đó một số nguyên đơn kiện những kẻ lừa đảo/tin tặc trong nước từ các bang khác ở Hoa Kỳ, nhưng những bị cáo đó đã bị bắt tại Hoa Kỳ."
Mora trích dẫn các trường hợp chính phủ đưa ra cáo buộc hình sự đối với các hacker trong và ngoài nước, cũng như những gã khổng lồ công nghệ như Amazon và Google kiện các hacker, một số trong số họ đã yêu cầu thanh toán tiền chuộc bằng tiền điện tử.
Schober không phải là một công ty đa quốc gia, anh ta chỉ là một người bình thường không kiện những kẻ tấn công mình như một số nạn nhân nổi tiếng và giàu có của hành vi trộm cắp tiền điện tử.
“Tôi tin rằng vụ việc này chưa từng có về nhiều mặt… Tôi không biết vụ việc này sẽ kéo dài bao lâu”, Mora nói.
Làm thế nào để giải quyết vấn đề này, không ai có thể nói chắc chắn. Nếu tòa án Hoa Kỳ ra phán quyết rằng tin tặc nợ tiền Schober, thì tòa án Vương quốc Anh vẫn sẽ cần công nhận phán quyết trước khi phán quyết đó có thể được thi hành ở Vương quốc Anh. Cuối cùng, việc thu nợ, thế chấp và thậm chí cả việc thu hồi tiền lương có thể liên quan.
Schober cho biết họ có thể truy tìm một lượng lớn Bitcoin đến các địa chỉ có được từ trát đòi hầu tòa của FBI, vì vậy có vẻ như các tin tặc bị cáo buộc đã có đủ tiền để trả nợ cho Schober.
Tình huống này đặc biệt khó chịu khi Schober dường như biết chính xác ai đã đánh cắp tiền điện tử của mình.
Bất chấp mọi điều đã xảy ra, bao gồm cả phí pháp lý và việc mất 500.000 đô la Bitcoin, Schober vẫn ủng hộ Bitcoin.
“Tôi vẫn tin vào lời hứa của Bitcoin. Đó là điều đã thu hút tôi tham gia ngay từ đầu. Nhưng không còn nghi ngờ gì nữa, lợi thế của tôi với tư cách là người tham gia sớm đã biến mất và điều đó thật đau đớn.”
"Nhưng tôi vẫn có thái độ tích cực với nó. Và tôi tự hào vì có thể đẩy vụ việc này đến thời điểm này dù biết rằng cơ hội thành công là rất nhỏ".
Ông lạc quan rằng tòa án Mỹ sẽ công nhận ông là nạn nhân của một vụ trộm. Nếu kẻ tấn công đến từ một quốc gia như Nga hoặc Bắc Triều Tiên, hắn sẽ có rất ít cơ hội để khắc phục.
Schober nói: “Đã 5 năm trôi qua và tôi muốn kết thúc chuyện này càng nhanh càng tốt. “Nhưng mặt khác, tôi đã bỏ ra rất nhiều công sức và thời gian, và tôi có những người như Bax và những người khác ủng hộ tôi vì họ đã nghe câu chuyện và cho rằng nó thật tuyệt vời. Vì vậy, tôi quyết tâm phải vượt qua nó. "