ห้าปีแห่งการขโมย Bitcoin: Monero Tracker, FBI Help, การฟ้องร้องข้ามมหาสมุทรแอตแลนติก

读者

2023-07-28 10:55

บทความนี้มีประมาณ 3939 คำ การอ่านทั้งหมดใช้เวลาประมาณ 6 นาที

ยอมสูญเสียอะไรก็ได้ แต่เสียหัวใจไม่ได้

ลองนึกภาพตลาดกระทิงที่แกว่งไปมาและสกุลเงินดิจิทัลทั้งหมดของคุณถูกขโมย...นั่นคือสิ่งที่เกิดขึ้นกับ Andrew Schober จากโคโลราโด

ในปี 2018 Schober ดาวน์โหลด Electrum bitcoin wallet เวอร์ชันดัดแปลงโดยไม่ได้ตั้งใจบนฟอรัมย่อย /r/BitcoinAirdrops ภายในกระเป๋าสตางค์ปลอมนี้มีมัลแวร์ซ่อนอยู่: นักจี้คลิปบอร์ดที่ออกแบบมาเพื่อหา Bitcoins โดยเฉพาะมัลแวร์จะนำที่อยู่ที่รับ Bitcoin บนเครื่องของ Schober และปลอมแปลงที่อยู่นั้น โดยแทนที่ที่อยู่ของผู้รับด้วยที่อยู่ที่ถูกควบคุมโดยแฮ็กเกอร์

Schober ค่อยๆ สะสม bitcoins ตั้งแต่ปี 2014 และในที่สุดก็ส่งแฮ็กเกอร์ 16.5 bitcoins หรือเทียบเท่ากับ 95 เปอร์เซ็นต์ของมูลค่าสุทธิของเขา สำหรับโปรแกรมฟิชชิ่ง บิตคอยน์เหล่านั้นมีมูลค่า 180,000 ดอลลาร์เมื่อเขาถูกหลอก แต่แตะระดับสูงสุดตลอดกาลของบิตคอยน์ในปี 2564 ถึง 1.1 ล้านดอลลาร์ Schober มองว่าเป็น เงินที่เปลี่ยนชีวิตของเขา

“ฉันพบลิงก์เกี่ยวกับมัลแวร์บน Reddit ติดตั้งมันบนคอมพิวเตอร์ของฉัน และรู้ได้อย่างรวดเร็วว่านี่ไม่ใช่สิ่งที่คนกระแสฮือฮาพูด” Schober กล่าว “ฉันก็เลยลบมันออกจากคอมพิวเตอร์และหยุดคิดถึงมัน”

“แต่น่าเสียดาย เมื่อโทรจันนี้ถูกติดตั้งบนฮาร์ดไดรฟ์ของคุณ การลบโปรแกรมดั้งเดิมออกจะไม่สามารถกำจัดโทรจันได้ ดังนั้นตั้งแต่นั้นมา มันก็ติดตามฮาร์ดไดรฟ์ของฉัน และทุกครั้งที่ฉันคัดลอกที่อยู่ Bitcoin มันจะทำงาน ”

มัลแวร์นี้เข้ารหัสที่อยู่ Bitcoin ที่แตกต่างกัน 195,112 แห่ง“มันไม่ใช่แค่การเปลี่ยนที่อยู่ bitcoin ไปเป็นที่อยู่ใหม่แบบสุ่ม” Schober อธิบาย มันจะตรงกับอักขระสองสามตัวแรกของที่อยู่ที่คุณคัดลอก ดังนั้นมันจึงดูคล้ายกันมาก และถ้าคุณไม่สังเกตเห็นความแตกต่างจริงๆ คุณจะไม่สังเกตเห็นมัน

ในช่วงเวลาของการโจมตีของ Schober ที่อยู่สี่แห่งได้รับ bitcoins จากเหยื่อที่ไม่สงสัย ซึ่งทำให้พื้นที่การล่าสัตว์ของเขาแคบลงอย่างมาก

ติดตาม Bitcoins ที่ถูกขโมยผ่าน Monero

ความงดงามของบล็อคเชนคือบัญชีแยกประเภทแบบเปิด ธุรกรรมสกุลเงินดิจิทัลเกือบทั้งหมดทิ้งร่องรอยทางดิจิทัล

โดยทั่วไปแล้ว การติดตามเส้นทางเหล่านี้เกี่ยวข้องกับการติดตามการโอนเงินเพื่อพิจารณาว่าเงินจะไปอยู่ที่ใด

ในกรณีของ Schober เขาติดตาม Bitcoin ที่ถูกขโมยโดยมัลแวร์ตัวเดียวกันไปยังแพลตฟอร์ม ShapeShift ของแพลตฟอร์ม Cryptocurrency Exchange ที่มีมายาวนาน

ShapeShift ใช้เพื่อรักษาที่อยู่การแบ่งปัน API ที่เข้าร่วมในการแลกเปลี่ยน ข้อมูล API แสดง“หัวขโมย” ที่ Schober พบได้แลกเปลี่ยน Bitcoin เป็น Monero (XMR) และใช้ที่อยู่ที่เกี่ยวข้อง

ดังนั้น Schober จึงโพสต์บน Reddit เพื่อถามว่าจะสามารถติดตามธุรกรรม Monero ได้หรือไม่ Nick Bax ผู้ตรวจสอบออนไลน์และผู้เชี่ยวชาญด้านการกู้คืนสินทรัพย์ตอบสนองต่อคำขอของเขา

“เขาได้รับคำตอบ 5 คำตอบ ทั้งหมดบอกว่า 'เป็นไปไม่ได้' ฉันส่ง DM ไปให้เขาแล้วบอกว่า 'มันยากมากที่จะทำ แต่ฉันเคยทำมาก่อน ฉันรู้จักทนายความที่สามารถกู้เงินทุนกลับคืนมาได้สำเร็จ'” Bax กล่าว

คำอธิบายรูปภาพ

API ของ ShapeShift ทำให้การติดตาม BTC ที่ถูกขโมยเป็นเรื่องง่ายเครดิต: Nick Bax

เขาเขียนซอฟต์แวร์ติดตาม Monero ด้วยตัวเอง"คุณแท็กเอาต์พุต (สั่ง Monero blockchain ว่าต้องกำหนดทิศทางธุรกรรมไว้ที่ใด) จากนั้นค้นหาทุกเอาต์พุตที่เป็นไปได้ของแท็กนั้น เมื่อคุณทำเช่นนี้ รูปแบบต่างๆ จะเริ่มปรากฏให้เห็น

วิธีการถอดรหัสลายเซ็นแหวน Monero นี้ ซึ่งปัจจุบันรู้จักกันในชื่อการโจมตี Eve-Alice-Eve (EAE) เกิดจากการได้รับผลกระทบจากแคมเปญแรนซัมแวร์ WannaCry ซึ่งเริ่มขึ้นในปี 2560 และขับเคลื่อนโดยเกาหลีเหนือ

“RingCT ของ Monero... ซ่อน UTXO (เอาท์พุตธุรกรรมที่ยังไม่ได้ใช้) ที่กำลังถูกใช้ไป แต่ให้รายชื่อ 'สมาชิกวงแหวน' ที่เชื่อถือได้แก่นักวิเคราะห์บล็อคเชน ซึ่งหนึ่งในนั้นถูกใช้ไปและส่วนที่เหลือเป็น 'เหยื่อ' ทั้งหมด Bax ให้รายละเอียด การค้นพบของเขาในโพสต์บล็อก

จุดบกพร่องที่ได้รับการปรับปรุงแล้วใน Monero อาจทำให้การแยก UTXO จริงออกจากตัวล่อได้ง่ายขึ้นในขณะนั้น และติดตามธุรกรรมได้

หัตถ์ของพระเจ้า: เคาะประตูเอฟบีไอ

Bax ระบุว่าแฮกเกอร์ที่ถูกกล่าวหาของ Schober ใช้ ShapeShift เพื่อแปลง BTC บางส่วนที่ถูกขโมยจากเหยื่อรายอื่นเป็น Monero จากนั้นส่งกลับผ่านโปรโตคอลเพื่อแปลงกลับเป็น BTC อีกครั้ง

BTC ที่ถูกล้างจะถูกส่งไปยัง ที่อยู่ที่ไร้สาระ”。(หมายเหตุ Odaily: ที่อยู่แบบสื่อความหมายว่าเมื่อฟังก์ชันแฮชคำนวณสตริงสุ่ม ที่อยู่จะถูกสร้างขึ้นซ้ำๆ จนกว่าที่อยู่จะมีสตริงที่ต้องการ เช่นเดียวกับ ตัวเลขสวย)

สำหรับ Bitcoin ของ Schober นั้นจบลงที่ Bitfinex กระเป๋าเงินร้อนสำหรับการแลกเปลี่ยน Cryptocurrency เป็นกล่องดำที่มีประสิทธิภาพ เนื่องจากยอดคงเหลือแสดงถึงเงินทุนของลูกค้าที่รวมกัน

เมื่อ cryptocurrencies อยู่ใน hot wallet แทบจะเป็นไปไม่ได้เลยที่จะระบุได้ว่าพวกมันถูกถอนออกจากที่ใด ยกเว้นในจำนวนที่เท่ากันและผิดปกติ และแม้แต่หลักฐานนั้นก็ยังไม่สามารถสรุปได้

การสอบสวนของ Schober และ Bax ติดอยู่ที่นั่นมานานกว่าหนึ่งปี และ Schober หมายเรียก Bitfinex ให้เปิดเผยเจ้าของบัญชีที่ได้รับ BTC ที่ถูกขโมยไป แต่ถูกปฏิเสธ

“Bitfinex จะตอบสนองต่อคำขอของหน่วยงานบังคับใช้กฎหมายสำหรับข้อมูลของลูกค้าเท่านั้น ไม่ใช่คำขอทางแพ่งเนื่องจาก Bitfinex ไม่เกี่ยวข้องกับเรื่องแพ่ง โดยเฉพาะในสหรัฐอเมริกา เนื่องจากศาลของสหรัฐอเมริกาไม่มีเขตอำนาจศาลเหนือเรา Sarah Compani ที่ปรึกษากฎหมายของ Bitfinex กล่าวในอีเมลตอบกลับ Ethan Mora ทนายความของ Schober

“เหตุผลที่การแลกเปลี่ยน crypto เช่น FTX และ Bitfinex ถูกรวมอยู่ในหมู่เกาะบริติชเวอร์จินหรือหมู่เกาะเคย์แมนก็ด้วยเหตุผลทางกฎหมายเหล่านี้ พวกเขาไม่จำเป็นต้องปฏิบัติตามกฎหมายของสหรัฐอเมริกาหรือกฎหมายอื่นใด” Schober กล่าว

“พวกเขาสามารถอยู่ที่นั่นและดำเนินการวิสามัญฆาตกรรมได้ พวกเขาไม่ได้ให้คำตอบแก่เราด้วยซ้ำ”

เนื่องจากไม่มีการเข้าถึง Bitfinex โดยตรง Mora จึงริเริ่มสิ่งที่เรียกว่าคำขอ Touhyขอเอกสารและข้อมูลอื่นๆ จากแผนกไซเบอร์ของ FBI ที่เกี่ยวข้องกับการสืบสวนมัลแวร์ของหน่วยงาน. Schober รายงานคดีนี้ต่อ FBI ทันทีหลังจากสูญเสีย Bitcoins “FBI เริ่มออกหมายเรียกไปยังบริษัทที่เกี่ยวข้องกับมัลแวร์ เช่น Reddit (ที่มีการโพสต์มัลแวร์) และ GitHub (ซึ่งเป็นโฮสต์ของมัลแวร์)” Schober กล่าว หมายเรียกดังกล่าวเกิดขึ้นช่วงปลายปี 2561 ถึงต้นปี 2562 FBI ยังยึดคอมพิวเตอร์ของเขาเป็นเวลาหลายเดือนในระหว่างการสอบสวน

หลังจากนั้นประมาณ 10 เดือน คำขอของ Touhy ก็สำเร็จ ทันใดนั้น ทีมงานของ Schober มีข้อมูล Bitfinex ภายในที่ชี้ไปยัง IP และที่อยู่อีเมลที่เกี่ยวข้องกับบัญชีที่ได้รับ Bitcoins ที่ถูกขโมยไป

“เราไม่รู้จริงๆ ว่าการสืบสวนของ FBI พบอะไรจนกว่าเราจะได้รับคำตอบจากกระทรวงยุติธรรมเกี่ยวกับคำถามของ Touhy” โมรากล่าว

ที่อยู่แบบไร้สาระกลับมาแล้ว

ต้องขอบคุณหมายเรียกของ FBI ที่ทำให้ทีมของ Schober สามารถระบุบัญชีของแฮกเกอร์ผ่านบริการออนไลน์ต่างๆ ได้ เช่น Gmail, Keybase, Reddit, Twitter และ Github รหัสที่จำเป็นสำหรับมัลแวร์ รวมถึงตัวสร้างที่อยู่ bitcoin ที่ใช้นั้น ถูกพบในพื้นที่เก็บข้อมูล GitHub สาธารณะของแฮ็กเกอร์ที่ถูกกล่าวหา

สำหรับบางบัญชี ที่อยู่ 1 BeNedict ที่ใช้ในการฟอกเงินผ่าน ShapeShift ได้รับการยืนยันแล้ว ซึ่ง Bax ใช้เป็นหลักฐานยืนยันตัวตนของแฮ็กเกอร์ (ที่อยู่แบบไร้สาระตรงกับชื่อของเขา)

ในกระบวนการฟอกเงินที่ชัดเจน ที่อยู่ผู้ส่งที่ลงทะเบียนโดยผู้โจมตีด้วย ShapeShift (ที่อยู่ที่โปรโตคอลส่งสกุลเงินดิจิตอลในกรณีที่การทำธุรกรรมผิดพลาด) นั้นเป็นกระเป๋าเงินร้อน Bitfinex เดียวกันกับที่จัดเก็บ bitcoins ที่ถูกขโมยจาก Schober .

มีกระทั่งโพสต์ในรายชื่อผู้รับจดหมายของนักพัฒนา Bitcoin ซึ่งที่อยู่อีเมลของผู้ส่งตรงกับชื่อจริงของแฮ็กเกอร์ที่ถูกกล่าวหา โดยอธิบายว่าการสร้างที่อยู่คล้ายกับที่อยู่ Bitcoin ที่ให้ไว้นั้นทำได้ง่ายเพียงใด โพสต์นี้เข้ากันได้อย่างลงตัวกับวิธีการทำงานของมัลแวร์ Electrum

คำอธิบายรูปภาพ

เนื่องจากกระเป๋าเงินของ Schober ถูกขโมย Bitcoin ได้ผ่านแผนภูมิวงจรกระทิงทั้งหมดโดย David Canellis

นั่นหมายความว่า Schober สามารถฟ้องร้องคดีแพ่งต่อบุคคลที่เกี่ยวข้องกับอาชญากรรมได้ เช่นเดียวกับบุคคลอื่นที่ถูกกล่าวหาว่าขายมัลแวร์ตัวเดียวกันบน Redditทั้งสองเป็นผู้เยาว์ในขณะที่ก่ออาชญากรรม ดังนั้นคดีดังกล่าวจึงตั้งชื่อพ่อแม่ของพวกเขาเป็นจำเลยด้วย ทุกฝ่ายได้ปฏิเสธการกระทำผิดใดๆ

สิ่งนี้เกิดขึ้นในเดือนพฤษภาคม 2021 มากกว่าสามปีหลังจากที่ BTC ของ Schober ถูกฟิชชิง ราคาของ Bitcoin เพิ่มขึ้นกว่าสองเท่าในขณะนั้น

เพื่อให้เรื่องยุ่งยากยิ่งขึ้น แฮ็กเกอร์ที่ถูกกล่าวหาอาศัยอยู่ในสหราชอาณาจักร FBI ส่งคดีนี้ไปยังหน่วยงานบังคับใช้กฎหมายของอังกฤษ และเปิดการสอบสวนร่วมกัน ผู้ต้องสงสัยทั้งสองถูกจับกุม สอบปากคำ และยึดอุปกรณ์ของพวกเขา และดำเนินการสอบสวนทางนิติวิทยาศาสตร์ โชเบอร์กล่าว

แต่ก่อนที่พวกเขาจะถูกจับกุม ความสิ้นหวัง (และบางทีอาจบ่งบอกถึงความไร้เดียงสา) ทำให้โชเบอร์ติดต่อพวกเขาและพ่อแม่เพื่อแจ้งให้ทราบว่าพวกเขาถูกพบแล้ว “ฉันหวังว่าพวกเขาจะมาทำความสะอาดและคืนของที่ถูกขโมยมาให้ฉัน เพราะสิ่งที่ฉันทำก็แค่ขอให้พวกเขาคืนของที่ถูกขโมยไป แต่พวกเขาก็ไม่ยอมคืน” Schober กล่าว

“ในที่สุดกรมอัยการบอกฉันว่าหลังจากที่ฉันติดต่อพวกเขา พวกเขาอาจจะทำลายอุปกรณ์ของพวกเขาเพราะพวกเขามีอุปกรณ์ใหม่เอี่ยม และไม่มีหลักฐานของศาลเพียงพอที่จะดำเนินคดี”

(แบ็กซ์บอกว่าเขาจะทำแบบที่โชเบอร์ทำ พวกเขาคิดว่าพ่อแม่อาจเป็นคนดีเพราะพวกเขาทำงานให้กับธนาคารและบริการสุขภาพแห่งชาติของสหราชอาณาจักร พวกเขาควรคืนเงินให้และฉันคิดว่ามันจะจบลง)

การฟ้องร้องทางแพ่งของ Schober อาจเป็นโอกาสเดียวของเขาในการดำเนินคดีตามความยุติธรรม แต่คดีดำเนินไปอย่างช้าๆ โดยมีทนายความถกเถียงกันเรื่องเขตอำนาจศาลที่การพิจารณาคดีควรเกิดขึ้น

ทนายความของแฮกเกอร์กล่าวว่าควรยกฟ้องคดีนี้เนื่องจาก Schober อยู่ในสหรัฐอเมริกา เขาจึงไม่มีอำนาจเหนือบุคคลในสหราชอาณาจักรพวกเขายังโต้แย้งว่าเขายื่นเรื่องร้องเรียนเกินกำหนดเวลาตามกฎหมายด้วย

“แต่จากมุมมองของเรา นั่นไม่เป็นความจริง เพราะต้องใช้เวลา ความพยายาม และการสืบสวนอย่างมากเพื่อตัดสินว่ามีมนุษย์อยู่อีกด้านหนึ่ง” โชเบอร์กล่าว

เมื่อพิจารณาว่าเขาต้องรอเป็นเวลา 10 เดือนกว่าที่ FBI จะออกหมายเรียกหลังจากถูก Bitfinex ปฏิเสธข้อมูลสำคัญ เขารู้สึกว่าเขาไม่ควรถูกลงโทษด้วยการโต้แย้งเรื่องเวลาทางกฎหมาย

กรณีที่ไม่เคยเกิดขึ้นมาก่อน

สถานการณ์เช่น Schober อาจไม่ซ้ำกันเพราะมันครอบคลุมทั่วทั้งมหาสมุทรแอตแลนติก

“จริงๆ แล้วมีกรณีเช่นนี้น้อยมาก จริงๆ แล้ว ฉันไม่รู้ว่ามีบุคคลใดบ้างที่ถูกติดตาม ถูกหมายศาลตามกฎหมาย (ภายใต้กฎหมายระหว่างประเทศ) และดำเนินคดีกับแฮ็กเกอร์เช่นนี้...นับประสาอะไรกับแฮ็กเกอร์ที่ขโมยสกุลเงินดิจิทัล “โมรากล่าว

“ฉันมีส่วนเกี่ยวข้องในกรณีที่โจทก์แต่ละรายฟ้องนักต้มตุ๋น/แฮกเกอร์ในประเทศจากรัฐอื่นๆ ของสหรัฐอเมริกา แต่จำเลยเหล่านั้นถูกจับกุมในสหรัฐอเมริกา”

โมราอ้างถึงกรณีของรัฐบาลที่เอาผิดแฮกเกอร์ในประเทศและต่างประเทศ เช่นเดียวกับบริษัทยักษ์ใหญ่ด้านเทคโนโลยี เช่น Amazon และ Google ดำเนินคดีกับแฮกเกอร์ ซึ่งบางคนเรียกร้องค่าไถ่เป็นสกุลเงินดิจิทัล

Schober ไม่ใช่บริษัทข้ามชาติ เขาเป็นเพียงคนธรรมดาที่ไม่ฟ้องร้องผู้โจมตีของเขาเอง เช่นเดียวกับเหยื่อผู้มีชื่อเสียงและร่ำรวยจากการโจรกรรมสกุลเงินดิจิตอล

คำอธิบายรูปภาพ

การที่ GitHub ไม่สามารถแจ้งให้ Schober ทราบว่าหน่วยงานบังคับใช้กฎหมายได้สอบสวนหรือไม่ ทำให้คำขอของ Touhy เป็นการพนันที่ได้ผล

วิธีแก้ปัญหานี้เป็นสิ่งที่ใครๆ ก็เดาได้ หากศาลสหรัฐฯ ตัดสินว่าแฮกเกอร์เป็นหนี้เงินของ Schober ศาลในสหราชอาณาจักรยังคงต้องรับรู้คำตัดสินก่อนจึงจะสามารถบังคับใช้ในสหราชอาณาจักรได้ ท้ายที่สุดแล้ว การเก็บหนี้ การยึดหน่วง และแม้กระทั่งการอายัดค่าจ้างอาจเกี่ยวข้องด้วย

Schober กล่าวว่าพวกเขาสามารถติดตาม bitcoin จำนวนมากไปยังที่อยู่ที่ได้รับจากหมายเรียกของ FBI ได้ ดังนั้นดูเหมือนว่าแฮกเกอร์ที่ถูกกล่าวหาว่ามีเงินทุนที่จะจ่ายเงินคืนให้กับ Schober

สถานการณ์นี้น่าหงุดหงิดเป็นพิเศษเมื่อพิจารณาว่า Schober ดูเหมือนจะรู้แน่ชัดว่าใครขโมยสกุลเงินดิจิทัลของเขา

แม้ว่าทั้งหมดนี้ รวมถึงค่าธรรมเนียมทางกฎหมายและการสูญเสีย Bitcoin ไป 500,000 ดอลลาร์แล้ว Schober ยังคงสนับสนุน Bitcoin ฉันยังคงเชื่อในอนาคตของ Bitcoin. นี่คือสิ่งที่ดึงดูดให้ฉันเข้าร่วมตั้งแต่แรก แต่ไม่ต้องสงสัยเลย ความได้เปรียบของฉันในฐานะผู้เล่นยุคแรกๆ หมดไป และมันก็เจ็บปวดมาก

“แต่ตอนนี้ฉันยังคงมีทัศนคติเชิงบวกเกี่ยวกับเรื่องนี้ และฉันก็ภูมิใจที่สามารถขับเคลื่อนคดีนี้ไปข้างหน้าโดยรู้ว่าโอกาสที่จะประสบความสำเร็จมีน้อยมาก”

เขามองโลกในแง่ดีว่าศาลสหรัฐฯ จะรับรู้ว่าเขาเป็นเหยื่อของการโจรกรรม หากผู้โจมตีมาจากประเทศเช่นรัสเซียหรือเกาหลีเหนือ เขามีหนทางเพียงเล็กน้อยในการชดใช้

“ผ่านมาห้าปีแล้ว และฉันต้องการให้ปัญหานี้ยุติโดยเร็วที่สุด” โชเบอร์กล่าว “แต่ในทางกลับกัน ฉันทำงานหนักและเวลามากมาย และมีคนอย่างแบ็กซ์และคนอื่นๆ ที่สนับสนุนฉันเพราะพวกเขาได้ยินเรื่องราวนี้และคิดว่ามันน่าทึ่งมาก”

“ฉันก็เลยตั้งใจจะดูมันให้จบ”