美国司法部在 2022 年 2 月的一份声明中宣布,在控制了被盗资金的钱包后,它已成功扣押了 2016 年对加密交易所 Bitifinex 的黑客攻击中流失的大部分比特币。
尽管收回周期跨度如此之大的资金显然不太可能,但复杂且确定性的线索使执法部门能够抓住 Ilya Lichtenstein和 Heather Morgan,这对夫妇试图通过来混淆他们非法所得的比特币。
但看似经过深思熟虑的行为实际上却非常脆弱,充满了失误,这为分配给美国国税局刑事调查部门的特工 Christopher Janczewski 的工作提供了便利。这项工作最终导致 Janczewski 指控 Lichtenstein 和 Morgan 共谋以及。
本文根据司法部和特工 Janczewski 提供的账户,深入探讨了揭露被指控的 Bitfinex 黑客身份的执法工作的细微差别,以及被指控的夫妇的步骤。然而,由于官方文件没有披露调查的关键步骤,作者将提供合理的场景和可能的解释,以解决尚未回答的问题。
比特币的货币自主权以及抵制审查的特性,使得比特币交易不可能被阻止,比特币资产不可能被没收。但是执法部门如何能够在这种情况下抓住者的比特币呢?
根据特工 Janczewski 提出的诉讼,执法部门能够进入 Litchestein 的云存储,在他试图清理被盗资金时,他保留了大部分与他的操作相关的敏感信息——包括比特币钱包的私钥,该钱包中拥有被盗资产的大部分。
美国执法部门扣押相关的钱包的4.9万枚BTC转入Coinbase和俩新地址:金色财经报道,PeckShieldAlert监测数据显示,来自美国政府执法部门扣押相关地址钱包将49,000枚BTC(价值10亿美元)转至Coinbase(超过9,800枚BTC,价值约2.17亿美元)、bc1qf2开头地址(超过3万枚BTC)和bc1qe7开头地址(约9,000枚BTC)。
据悉,这部分BTC是美国执法部门于2021年11月和2022年3月扣押的SilkRoad(丝绸之路)非法所得。[2023/3/8 12:49:22]
比特币交易的抵制审查和比特币的主权取决于对私钥的正确处理,因为它们是将比特币从一个钱包转移到另一个钱包的唯一方法。
尽管 Lichtenstein 的私钥保存在云存储中,但根据司法部的说法,它们使用复杂的对称密码技术,以至于即使是老练的技术人员也可能无法在有生之年破解它。然而,司法部并没有回应关于如何解密文件和访问私钥。
对于执法部门如何破解 Lichtenstein 的加密云存储,有一些看似合理的猜测。
第一种可能性与密码存储的安全性有关:执法部门可以通过某种方式获得对密码的访问权限,而无需暴力破解云中的文件。
另一种方法可能是执法部门拥有比世界上任何其他技术员更多的关于这对夫妇的个人信息和计算能力,因此针对目标文件的解密实际上是可行的,并且与司法部的声明不矛盾。
Tether:美国执法部门尚未联系Tether要求冻结OFAC制裁的地址:8月25日消息,Tether官方发文表示,目前尚未收到有关执法部门提出的任何“冻结Tornado Cash受OFAC制裁相关地址”的指示,将维持现状并等待指示。Tether表示,其一直与世界各地的执法部门密切合作,协助调查,包括冻结地址。几乎每天都与主要执法人员保持联系,当Tether收到来自经过验证的执法机构的冻结私人钱包的合法请求时,公司会遵守规定(不会冻结交易平台或加密服务方的钱包)。[2022/8/25 12:46:25]
最可能的情况是执法部门一开始就不需要解密文件,考虑到司法部的评论,这是有道理的。特工 Janczewski 和他的团队本来就可以通过某种方式获得密码,而不需要暴力破解云存储的文件。这可以通过 Lichtenstein 委托创建或存储加密技术密码的第三方来促进,或者通过追查这对夫妇的某种失误留下的马脚。
Lichtenstein 将如此敏感的文件保存在在线数据库中的原因尚不清楚。然而,一些人假设这可能与黑客行为有关,这需要他将钱包的私钥保存在云端。来自 OXT Research 的 Ergo 在社交媒体上表示:“因为这允许远程访问第三方”。不过,这对夫妇没有受到执法部门的“黑客行为”指控。
与其他人合作的假设也支持本案的情况。虽然非对称加密技术非常适合发送和接收敏感数据(因为数据使用接收者的公钥加密,并且只能使用接收者的私钥解密),但对称加密技术非常适合共享对固定文件的访问,因为密码可以由两方共享。
韩国执法部门逮捕2名朝鲜黑客资助的间谍:金色财经报道,韩国执法部门最近宣布逮捕一名现役军官和一名加密货币交易所运营商,罪名是为一名朝鲜黑客从事间谍活动。作为间谍活动的回报,这两名韩国人据称分别获得了价值 60 万美元和 37,789 美元的比特币。(news.bitcoin)[2022/5/4 2:49:16]
另一种假设是疏忽。黑客可能只是认为他们的密码足够安全,并且为了方便将其放在云服务上,可以在世界任何地方使用互联网进行访问。但是这种情况仍然没有回答这对夫妇如何获得与黑客攻击相关的私钥的问题。
Bitfinex 未评论有关黑客的任何已知细节或他们是否仍在被追查。
Bitfinex 的首席技术官 Paolo Ardoino 表示:“我们无法评论任何正在调查的案件的细节。”并补充说“如此重大的安全漏洞不可避免涉及多方”。
司法部的声明称,这对夫妇使用了多种技术试图清洗比特币,包括跨链,以及在几个加密交易所使用虚假身份账户。那么,他们的行为是如何被发现的呢?
Lichtenstein 经常会在比特币交易所开立虚拟身份的账户。例如他在某一个交易所开设了 8 个账户(根据 Ergo 的说法是 Poloniex),起初这些账户似乎不相关,也没有微弱的联系。然而,根据诉讼书中的信息来看,所有这些账户都具有多个特征,这些特征暴露了这对夫妇的身份。
ETC计划引入执法部门监管算力出租 防止51%攻击再次发生:9月2日消息,在9月1日文章中,Ethereum Classic Labs指出加密货币挖矿市场NiceHash涉嫌参与对该网络的多次攻击。据称,恶意攻击者多次从Nice Hash市场购买算力,以执行所谓的51%的攻击。该公司表示,将采取一切必要措施保护以太坊经典网络,包括对实施或协助恶意攻击的人采取法律行动。它还计划引入执法部门,并与全球监管机构合作,为算力出租提供“问责制”和“透明度”。(Coindesk)[2020/9/2]
首先,所有 Poloniex 账户都使用位于印度的同一个电子邮件提供商,并且拥有“风格相似”的电子邮件地址。其次,它们是通过相同的 IP 地址访问的——这是一个重要的危险信号,可以推测这些虚假账户都是由同一实体控制。第三,这些账户是在同一时间创建的,与 Bitfinex 的黑客攻击相近。此外,在交易所要求进行 KYC 后,这些账户都不再被使用。
诉讼还称,Lichtenstein 将多个比特币从不同的 Poloniex 账户提款合并到一个比特币钱包集群中,之后他存入比特币交易所的一个账户(根据 Ergo 的说法是 Coinbase),他之前曾为此账户通过了 KYC。
诉讼书中的原话是:“该账户已通过 Lichtenstein 的加州驾照照片和自拍风格的照片进行了验证;该账户已注册到包含 Lichtenstein 名字的电子邮件地址。”
动态 | 用户猜测FBI和执法部门或参与关停Dream Market 论坛管理员予以否认:据Coinrivet消息,对于世界上最大暗网网站Dream Market关停一事,用户做出种种猜测,很多人认为联邦调查局和执法部门或参与其中。此前,在暗网“丝绸之路”网站关闭期间,FBI曾保持市场运行数周,以诱使用户提交个人信息。但联邦调查局参与的猜测遭到了Dream论坛管理员“Hugbunter”的否认。另外他还透露,市场曾遭到黑客攻击并被勒索40万美元赎金,而Dream Market迄今拒绝支付赎金。此外,为防止执法人员故技重施获取用户信息,Hugbunter建议论坛用户谨慎行事,如在输入个人信息时使用PGP加密,FBI几乎不可能获取用户信息。据此前消息,Dream Market官网发布消息称将于4月30日关闭,并将服务转让给合伙公司。[2019/4/16]
诉讼书中的信息还表明,Lichtenstein 在他的云存储中保存了一个电子表格,其中包含所有 8 个 Poloniex 账户的详细信息。
在谈到链上数据时,OXT Research 的 Ergo 表示,由于 Lichtenstein 早期使用暗网市场 AlphaBay 作为传递,所以我们作为被动调查者(非执法部门)无法评估许多诉讼书中提供的信息的有效性。
诉讼书详细说明了 Bitfinex 黑客攻击后的资金流向,但 AlphaBay 交易信息无法被执法部门审计,因此他们无法自己追踪资金。图片来源:美国司法部
Ergo 认为:“调查非常直接,但需要了解跨监管实体的内部知识,例如,[美国政府] 和数据监控公司共享了 AlphaBay 交易历史,但我们无权访问该信息。这就是我作为被动调查者必须停止分析的地方。”
根据 Ergo 的说法,另一个关键信息是钱包集群“36B6mu”,它是由 Bittrex 的两个账户中的比特币提款形成的,资金完全由 Monero 存款构成,随后被用于为其他比特币交易所的不同账户提供资金。尽管这些账户不包含这对夫妇的 KYC 信息,但根据诉讼书,同一交易所的五个不同账户使用相同的 IP 地址,由纽约的一家云服务提供商托管。当提供商将其记录提交给执法部门时,发现该 IP 是由一个以 Lichtenstein 名义的账户租用的,并与他的个人电子邮件地址相关联。
这对夫妇通过 Monero 的存款提供资金并提取 BTC,试图清洗资金。然而,执法部门通过 KYC 信息踪迹用来对他们在不同托管服务中的虚构身份进行去匿名化。图片来源:美国司法部
Ergo 表示,OXT 团队无法验证有关 36B6mu 钱包集群的任何声明。
“我们搜索了与钱包集群对应的 36B6mu 地址,并找到了一个地址,但该地址不是传统钱包集群的一部分。此外,时间和数量似乎与投诉中提到的不符。可能是笔误?因此,我们无法真正验证与 36B6mu 集群有关的任何事情。”
除了被动调查者无法独立证明的部分外,在分析诉讼书后,很明显,Lichtenstein 和 Morgan 为他们使用的几项服务中建立了不同程度的“信任”。
首先,Lichtenstein 和 Morgan 在云存储服务中在线保存敏感文件,该云存储服务容易被审查。比特币爱好者为了加强安全性,重要的文件或私钥应离线保存在安全的位置,最好分散保存,而不是集中的储存在同一家托管商。
他们信任的第一个服务是暗网市场 AlphaBay。尽管我们尚不清楚执法部门如何能够发现他们的 AlphaBay 交易记录,但暗网市场经常引起执法部门怀疑,并且始终是执法工作的主要焦点。
其次,盲目假设是危险的,因为它们会导致你放松警惕,这通常会留下精明的调查者或黑客可以利用的失误。在本案的情况下,Lichtenstein 和 Morgan 曾一度假设他们使用了如此多的技术来混淆资金来源,以至于他们认为将比特币存入拥有他们个人身份信息的账户是安全的——这一行为可能会导致一连串的对之前大部分的交易进行去匿名化的效果。
这对夫妇处理比特币的另一个危险信号涉及将来自不同来源的资金聚集在一起,这使得区块链分析公司和执法部门能够合理地假设同一个人控制了这些资金——另一个去匿名化的机会。
Lichtenstein 和 Morgan 确实尝试将跨链作为获得隐私的替代方案,然而,他们通过托管服务(主要是加密交易所)来执行它,这破坏了这种方案的可行性并引入了一个可以被传唤的可信第三方。
Lichtenstein 和 Morgan 还尝试使用化名或虚构身份在加密交易所开设账户以隐藏他们的真实姓名。但是,这样做的模式使调查者更加了解此类账户,而共同的 IP 地址可以使执法部门能够假设同一实体控制所有这些账户。
由于比特币是一个透明的网络,因此可以轻松地追踪资金。虽然比特币是匿名的,但也不是没有缺陷:使用比特币需要具有隐私意识和小心翼翼。
尽管这对夫妇已被美国执法部门指控犯有两项罪行,但法庭仍将有一个判断程序来确定他们是否被判有罪。Bitfinex 的首席技术官 Paolo Ardoino 表示,如果这对夫妇被判有罪并将资金归还 Bitfinex,交易所将制定行动计划。
“在 2016 年的黑客攻击之后,Bitfinex 创造了 BFX 代币,并以 1 美元的价格将它们提供给受影响的客户。在安全漏洞发生后的八个月内,Bitfinex 用美元或加密货币赎回了所有 BFX 代币,或者为客户将 BFX 代币转换为母公司 iFinex Inc 的股票,大约有 5440 万个 BFX 代币被转换。”
Ardoino 表示,BFX 代币的每月赎回始于 2016 年 9 月,最后一个 BFX 代币于次年 4 月初赎回。该代币开始以大约 0.20 美元的价格交易,但价值逐渐增加到近 1 美元。
“Bitfinex 还为某些将 BFX 代币转换为 iFinex 股票的客户创建了可交易的 RRT 代币,”Ardoino 解释说。“当我们成功收回资金时,我们将向 RRT 持有人分配高达每 RRT 1 美元的资金。大约有 3000 万个 RRT 未完成。”
根据 Ardoino 的说法,RRT 持有人对 2016 年黑客攻击恢复的任何财产拥有优先权,交易所可以用加密货币、现金或其他财产赎回 RRT,以帮助客户挽回损失。
原文作者 |?NAMCIOS-Bitcoin Magazine
编辑整理 | 白泽研究院(获准转载)
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。