5 年間にわたるビットコイン盗難: Monero Tracker、FBI の支援、大西洋横断訴訟
強気相場が本格化し、暗号通貨がすべて盗まれたことを想像してみてください...それがコロラド州のアンドリュー・ショーバーに起こったことです。
2018 年、ショーバー氏は誤って /r/BitcoinAirdrops サブレディット サブフォーラムで Electrum ビットコイン ウォレットの改ざんバージョンをダウンロードしてしまいました。この偽のウォレットの内部には、ビットコインを狙うために特別に設計されたクリップボード ハイジャッカーであるマルウェアが隠されていました。このマルウェアは、Schober のマシン上のビットコインを受け入れるアドレスを取得して偽装し、意図した受信者のアドレスをハッカーが管理するアドレスに置き換えます。
ショーバー氏は2014年からビットコインを少しずつ貯め続け、最終的には彼の純資産の95パーセントに相当する16.5ビットコインをフィッシングプログラムのためにハッカーに送った。これらのビットコインは、彼が荒らし行為を受けた当時は18万ドルの価値があったが、2021年にはビットコインの史上最高値となる110万ドルに達した。ショーバーさんはそれを「人生を変えたお金」だと考えている。
「Reddit でマルウェアのリンクを見つけて、自分のコンピュータにインストールしましたが、誇大広告の内容ではないことがすぐにわかりました」とショーバー氏は語ります。 「それで、コンピューターからそれを削除して、考えるのをやめました。」
「しかし、残念ながら、このトロイの木馬がハードドライブにインストールされると、元のプログラムを削除してもトロイの木馬を取り除くことはできません。それ以来、このトロイの木馬は私のハードドライブを監視しており、私がビットコインアドレスをコピーするたびに、トロイの木馬は機能するようになります」 。」
このマルウェアは、195,112 個の異なるビットコイン アドレスを事前にコーディングしました。「ビットコインアドレスをランダムな新しいアドレスに変更するだけではありません」とショーバー氏は説明した。 「コピーしたアドレスの最初の数文字と一致します。したがって、視覚的には非常によく似ていますが、実際に違いが分からなければ、気付かないでしょう。」
ショーバー氏の攻撃当時、これらのアドレスのうち 4 つは何も疑っていない被害者からビットコインを受け取っていたため、彼の狩場は大幅に狭まっていた。
Monero を介して盗まれたビットコインを追跡する
ブロックチェーンの利点は、そのオープンな台帳です。ほぼすべての暗号通貨取引はデジタル痕跡を残します。
通常、これらのパスをたどるには、送金を追跡して資金が最終的にどこに送られるかを判断する必要があります。
ショーバー氏の場合、同じマルウェアによって盗まれたビットコインを追跡し、長年サービスを提供してきた仮想通貨アトミックスワッププラットフォーム「シェイプシフト」にたどり着いた。
ShapeShift は、交換に参加する API 共有アドレスを維持するために使用されます。 API データによると、ショーバーが遭遇した「泥棒」は、ビットコインをモネロ(XMR)に交換し、対応するアドレスを使用していました。
そこでSchober氏はRedditに、Moneroの取引を追跡できるかどうかを尋ねる投稿をした。オンチェーン調査員で資産回収の専門家であるニック・バックス氏が彼の要請に応じた。
「彼から5通の返信が来て、すべて『不可能』だった。私は彼にDMを送り、『それは本当に難しい。でも、以前にやったことがある。資金回収に成功した弁護士を知っている』と伝えた」とバックス氏は語った。
画像の説明
ShapeShift の API により、盗まれた BTC の追跡が簡単になりますクレジット: Nick Bax
彼は Monero 追跡ソフトウェアを自分で作成しました。"出力にタグを付けて (Monero ブロックチェーンにトランザクションを指示する場所を指示します)、そのタグの考えられるすべての出力を探します。これを行うと、パターンが現れ始めます。 」
Monero のリング署名を解読するこの手法は、現在は Eve-Alice-Eve (EAE) 攻撃として知られていますが、2017 年に始まり北朝鮮が主導した WannaCry ランサムウェア キャンペーンの余波で出現しました。
「MoneroのRingCTは…消費されている正確なUTXO(未使用のトランザクション出力)を隠しますが、ブロックチェーンアナリストには信頼できる『リングメンバー』のリストを提供します。そのうちの1つは使用されており、残りはすべて『おとり』です」とバックス氏は詳しく説明した。彼の発見はブログ投稿にあります。
現在パッチが適用された Monero のバグにより、当時は実際の UTXO をおとりから分離し、トランザクションを追跡することが容易になった可能性があります。
神の手: FBI のドアをノックする
バックス氏は、ショーバー氏のハッカー容疑者がシェイプシフトを利用して別の被害者から盗んだBTCの一部をモネロに変換し、プロトコルを通じて送り返して再びBTCに変換したと断定した。
洗浄されたBTCは「」に送られます。バニティアドレス”。(日常のメモ: バニティ アドレスとは、ハッシュ関数がランダムな文字列を計算するときに、アドレスに目的の文字列が含まれるまでアドレスが繰り返し生成されることを意味します。ちょうど「きれいな数字」と同じです。)
ショーバーのビットコインに関しては、最終的には Bitfinex に落ち着きました。仮想通貨取引所のホットウォレットは、その残高がプールされた顧客の資金を表すため、事実上ブラックボックスです。
仮想通貨がホットウォレットに入ると、同じ金額や珍しい金額を除いて、どこから引き出されたかを特定することはほぼ不可能であり、その証拠さえ決定的ではありません。
ショーバー氏とバックス氏の捜査は1年以上滞り、ショーバー氏はビットフィネックスに対し、盗まれたBTCを受け取ったアカウント所有者を開示するよう召喚状を提出したが、拒否された。
“Bitfinex は顧客情報に関する法執行機関の要求にのみ対応し、民事上の要求には対応しません。, 米国の裁判所には管轄権がないため、Bitfinex は民事問題、特に米国では関与しません。 Bitfinexの法律顧問サラ・コンパニ氏は、ショーバー氏の弁護士イーサン・モラ氏への電子メールでの返答でこう述べた。
「FTXやBitfinexのような仮想通貨取引所が英領ヴァージン諸島やケイマン諸島に法人化されているのは、こうした法的理由によるものであり、米国法やその他の法律に従う必要はない」とショーバー氏は述べた。
「彼らはそこに留まり、超法規的措置を講じることができる。彼らは私たちに答えすら与えていない。」
Bitfinex に直接アクセスできない状態で、Mora はいわゆる Touhy リクエストを開始しました。FBI のマルウェア捜査に関連する FBI サイバー部門への文書およびその他の情報の要求。ショーバー氏はビットコインを失った直後にこの事件をFBIに報告した。 「FBIは、Reddit(マルウェアが投稿された場所)やGitHub(マルウェアがホストされていた場所)など、マルウェアに関与した企業に召喚状を発行し始めた」とショーバー氏は述べた。召喚状は2018年末から2019年初めにかけて発生した。 FBIは捜査中、数か月間にわたって彼のコンピュータを押収したこともあった。
約10か月後、トゥーイさんの依頼は成功した。突然、ショーバー氏のチームは、盗まれたビットコインを受け取ったアカウントに関連付けられた正確な IP アドレスと電子メール アドレスを示す内部 Bitfinex データを取得しました。
「トゥーイ氏の質問について司法省から回答が得られるまで、FBIの捜査で何が判明したのかは本当に分からない」とモーラ氏は語った。
バニティアドレスが戻ってきました
FBI の召喚状のおかげで、ショーバー氏のチームは、Gmail、Keybase、Reddit、Twitter、Github など、さまざまなオンライン サービスにわたってハッカーのアカウントを特定することができました。マルウェアが依存するビットコイン アドレス ジェネレーターを含む、このマルウェアに必要なコードは、ハッカーとされる者の公開 GitHub リポジトリで発見されました。
一部のアカウントでは、ShapeShift を介してマネーロンダリングに使用された 1 BeNedict アドレスが確認され、バックス氏はそれをハッカーの身元の証拠として利用しました (バニティ アドレスは彼の名前と一致しました)。
明らかなマネーロンダリングのプロセスで、攻撃者が ShapeShift で登録した返信先アドレス (トランザクションが失敗した場合にプロトコルが暗号通貨を送信するアドレス) は、Schober から盗まれたビットコインが保管されていた Bitfinex ホットウォレットとまったく同じでした。 。
ビットコイン開発者のメーリングリストには、送信者の電子メールアドレスがハッカー容疑者の本名と一致し、提供されたビットコインアドレスに非常によく似たアドレスを生成することがいかに簡単であるかを説明する投稿さえあった。この投稿は、Electrum マルウェアの手口と完全に一致しています。
画像の説明
ショーバー氏の財布が盗まれて以来、ビットコインは強気サイクル全体を経た デビッド・カネリス著のチャート
つまり、Schober氏は犯罪に関与した人物だけでなく、Reddit上で同じマルウェアを販売したとされる別の個人に対しても民事訴訟を起こすことができるということだ。2人は犯行当時未成年だったため、訴訟では両親も被告として指名されている。すべての当事者は不正行為を否定している。
これは、ショーバーのBTCがフィッシングされてから3年以上経った2021年5月に起こりました。当時、ビットコインの価格は2倍以上に上昇しました。
問題をさらに複雑にしているのは、ハッカーとされる人物が英国に住んでいることです。 FBIはこの事件を英国法執行機関に付託し、共同捜査を開始した。ショーバー氏によると、両容疑者は逮捕され、取り調べを受け、機器が押収され、法医学捜査が行われたという。
しかし、彼らが逮捕される前に、ショーバーさんは絶望感(そしておそらくは少しの世間知らず)から、彼らとその両親に連絡して、発見されたことを知らせた。 「彼らが潔白を示し、盗まれた品物を返してくれることを願っています。なぜなら、私が彼らに盗んだ品物を返してほしいと頼んだだけなのに、彼らはそうしなかったからです」とショーバーさんは語った。
「最終的にクラウン検察局は、私が連絡した後、彼らは新品の機器を持っていたが、訴訟を起こすのに十分な法廷証拠がなかったため、機器を破壊した可能性があると言いました。」
(バックス氏は、ショーバー氏と同じことをすると言う。両親は銀行と英国の国民保健サービスで働いているため、まともな人間かもしれないと考えている。「彼らはお金を返すべきだ。そうすればこの問題は終わると思う。」)
ショーバー氏の民事訴訟は、今や正義を追求する唯一のチャンスかもしれない。しかし、訴訟はゆっくりと進み、弁護士らは裁判をどの管轄で行うべきかで争っていた。
ハッカー側の弁護士らは訴訟は棄却されるべきだと主張しているが、ショーバー氏は米国にいるため、英国内の誰かに対して管轄権を持ちません。彼らはまた、彼が告訴を提出するための法定期限を超過したとも主張した。
「しかし、私たちの観点からすると、それは真実ではありません。なぜなら、相手側に人間がいると判断するには、非常に多くの時間、労力、調査が必要だったからです」とショーバー氏は述べた。
Bitfinex から重要な情報を拒否された後、FBI からの召喚状が届くまで 10 か月待たなければならなかったということを考えると、法的期限の議論によって罰せられるべきではないと彼は感じた。
前例のない事件
ショーバーのような状況は、大西洋全体に広がっているため、特殊である可能性があります。
「実際、このような事件はほとんどない。実際、私はこのようなハッカーを追跡し、法的に(国際法に基づいて)召喚状を発行し、起訴した例を知らない。ましてや暗号通貨を盗んだハッカーはなおさらだ」 」とモラは言いました。
「私は、個々の原告が米国の他州の国内の詐欺師/ハッカーを告訴した事件に関わってきましたが、それらの被告は米国で逮捕されました。」
モーラ氏は、政府が国内外のハッカーを犯罪者扱いしている例や、アマゾンやグーグルなどのハイテク大手がハッカーを訴追し、中には仮想通貨での身代金の支払いを要求した例を挙げた。
ショーバー氏は多国籍企業ではなく、暗号通貨窃盗の著名で裕福な被害者のように自身の攻撃者を告訴しない普通の男だ。
画像の説明
GitHub は法執行機関が捜査したかどうかをショーバーに知らせることができなかったため、Touhy の要求は成功する賭けとなった
この問題を正確に解決する方法は誰にもわかりません。もし米国の裁判所がハッカーらがショーバー氏に金銭を支払う義務があるとの判決を下したとしても、英国で判決が執行される前に英国の裁判所はその判決を認める必要がある。最終的には、債権回収、先取特権、さらには賃金の差し押さえが行われる可能性があります。
ショーバー氏は、FBIの召喚状から得たアドレスまで多額のビットコインを追跡することができたため、ハッカー容疑者らはショーバー氏に返済する資金を持っていたようだと述べた。
ショーバー氏が自分の暗号通貨を盗んだ人物を正確に知っているようであることを考えると、この状況は特にイライラさせられる。
訴訟費用やビットコインでの50万ドルの損失を含むこれらすべてにもかかわらず、ショーバー氏はビットコインを支持し続けている。 」私は今でもビットコインの可能性を信じています。これが私が最初に参加しようと思ったきっかけです。でも、初期プレイヤーとしてのアドバンテージがなくなったのは間違いなく、痛かったです。 」
「しかし、現時点ではまだ前向きに考えています。成功の可能性が非常に低いことを承知の上で、この訴訟を進めることができたことを誇りに思います。」
彼は、米国の裁判所が彼を窃盗の被害者として認めるだろうと楽観視している。攻撃者がロシアや北朝鮮などの国出身の場合、救済の道はほとんどありません。
ショーバー氏は「5年が経ったが、この問題はできるだけ早く終わってほしい」と語った。 「でもその一方で、私は多くの努力と時間を費やしてきたし、バックスやその他の人々のような人々が私をサポートしてくれている。なぜなら彼らはこの話を聞いて素晴らしいと思ったからだよ。」
「だから私はそれを最後までやり遂げる決意をしている。」
IOS
Android