Năm năm Bitcoin bị đánh cắp: Trình theo dõi Monero, Trợ giúp của FBI, Vụ kiện tụng xuyên Đại Tây Dương

读者

2023-07-28 10:55

Bài viết này có khoảng 3939 từ, đọc toàn bộ bài viết mất khoảng 6 phút

Mất cái gì cũng được, nhưng không thể đánh mất trái tim mình.

Hãy tưởng tượng một thị trường tăng giá đang phát triển mạnh mẽ và tất cả tiền điện tử của bạn bị đánh cắp...đó là điều đã xảy ra với Andrew Schober của Colorado.

Vào năm 2018, Schober đã vô tình tải xuống phiên bản đã được chỉnh sửa của ví bitcoin Electrum trên diễn đàn con /r/BitcoinAirdrops subreddit. Bên trong chiếc ví giả này ẩn chứa phần mềm độc hại: một phần mềm chiếm quyền điều khiển clipboard được thiết kế đặc biệt để kiếm bitcoin.Phần mềm độc hại lấy bất kỳ địa chỉ chấp nhận bitcoin nào trên máy của Schober và giả mạo địa chỉ đó, thay thế địa chỉ của người nhận dự định bằng địa chỉ do tin tặc kiểm soát.

Schober đã dần dần tích lũy bitcoin kể từ năm 2014, cuối cùng gửi cho hacker 16,5 bitcoin, tương đương 95% giá trị tài sản ròng của anh ta, cho chương trình lừa đảo. Số bitcoin đó trị giá 180.000 USD khi anh ta bị troll, nhưng đã đạt 1,1 triệu USD ở mức cao nhất mọi thời đại của bitcoin vào năm 2021. Schober coi đó là tiền đã thay đổi cuộc đời anh.

Schober nói: “Tôi đã tìm thấy một liên kết trên Reddit dành cho phần mềm độc hại, cài đặt nó trên máy tính của mình và nhanh chóng nhận ra đó không phải là những gì đã quảng cáo”. Vì vậy tôi đã xóa nó khỏi máy tính của mình và không còn nghĩ về nó nữa.

“Nhưng thật không may, một khi trojan này được cài đặt trên ổ cứng của bạn, việc xóa chương trình gốc sẽ không loại bỏ được trojan. Vì vậy, kể từ đó, nó đã theo dõi ổ cứng của tôi và mỗi khi tôi sao chép địa chỉ bitcoin, nó sẽ hoạt động.” .

Phần mềm độc hại này đã mã hóa trước 195.112 địa chỉ Bitcoin khác nhau.Schober giải thích: “Nó không chỉ là thay đổi địa chỉ bitcoin thành một địa chỉ mới ngẫu nhiên nào đó”. Nó sẽ khớp với một số ký tự đầu tiên của địa chỉ bạn đã sao chép. Vì vậy, về mặt trực quan, nó trông rất giống nhau và nếu bạn không thực sự nhận thấy sự khác biệt, bạn sẽ không nhận thấy nó.

Vào thời điểm Schober tấn công, bốn trong số những địa chỉ đó đã nhận được bitcoin từ những nạn nhân không nghi ngờ, thu hẹp đáng kể phạm vi săn lùng của anh ta.

Theo dõi Bitcoin bị đánh cắp thông qua Monero

Vẻ đẹp của blockchain là sổ cái mở của nó. Hầu như tất cả các giao dịch tiền điện tử đều để lại dấu vết kỹ thuật số.

Thông thường, việc đi theo những con đường này bao gồm việc truy tìm các khoản chuyển tiền để xác định xem tiền sẽ đi đến đâu.

Trong trường hợp của Schober, anh ta đã lần theo dấu vết bitcoin bị đánh cắp bởi cùng một phần mềm độc hại đến nền tảng hoán đổi nguyên tử tiền điện tử ShapeShift.

ShapeShift được sử dụng để duy trì các địa chỉ chia sẻ API tham gia trao đổi. Dữ liệu API cho thấy,“Kẻ trộm” Schober gặp phải đã đổi Bitcoin lấy Monero (XMR) và sử dụng địa chỉ tương ứng.

Vì vậy Schober đã đăng trên Reddit hỏi liệu có thể theo dõi các giao dịch Monero hay không. Chuyên gia điều tra và thu hồi tài sản trên chuỗi Nick Bax đã đáp ứng yêu cầu của anh ấy.

Bax nói: “Anh ấy nhận được năm câu trả lời, tất cả đều nói là 'không thể'. Tôi đã gửi cho anh ấy một tin nhắn trực tiếp nói rằng 'điều đó thực sự khó thực hiện. Nhưng tôi đã từng làm điều đó trước đây. Tôi biết một luật sư đã thu hồi vốn thành công'”.

Mô tả hình ảnh

API của ShapeShift giúp việc theo dõi BTC bị đánh cắp trở nên dễ dàngTín dụng: Nick Bax

Anh ấy đã tự viết phần mềm theo dõi Monero."Bạn gắn thẻ một đầu ra (hướng dẫn chuỗi khối Monero nơi chỉ đạo giao dịch) và sau đó tìm kiếm mọi đầu ra có thể có của thẻ đó. Khi bạn làm điều này, các hình mẫu bắt đầu xuất hiện.

Phương pháp bẻ khóa chữ ký vòng Monero này – hiện được gọi là cuộc tấn công Eve-Alice-Eve (EAE) – nổi lên sau chiến dịch ransomware WannaCry, bắt đầu vào năm 2017 và do Triều Tiên thúc đẩy.

“RingCT của Monero… ẩn chính xác UTXO (đầu ra giao dịch chưa chi tiêu) đang được chi tiêu, nhưng cung cấp cho các nhà phân tích blockchain một danh sách các ‘thành viên trong nhóm’ đáng tin cậy, một trong số đó đang được chi tiêu và phần còn lại. Tất cả đều là ‘mồi nhử’,” Bax mô tả chi tiết những phát hiện của ông trong một bài đăng trên blog.

Một lỗi hiện đã được vá trong Monero có thể đã giúp việc tách UTXO thực khỏi mồi nhử trở nên dễ dàng hơn vào thời điểm đó và do đó theo dõi các giao dịch.

Bàn tay Chúa: Gõ cửa FBI

Bax xác định rằng các hacker bị cáo buộc của Schober đã sử dụng ShapeShift để chuyển đổi một số BTC bị đánh cắp từ một nạn nhân khác thành Monero, sau đó gửi lại thông qua giao thức để chuyển đổi lại thành BTC.

BTC đã được rửa sẽ được chuyển đến địa chỉ phù phiếm”。(Lưu ý hàng ngày: Địa chỉ ảo có nghĩa là khi hàm băm tính toán một chuỗi ngẫu nhiên, địa chỉ đó sẽ được tạo lặp lại cho đến khi địa chỉ đó chứa chuỗi mong muốn, giống như một số đẹp.)

Đối với Bitcoin của Schober, nó đã có mặt trên Bitfinex. Ví nóng của sàn giao dịch tiền điện tử thực sự là hộp đen vì số dư của chúng đại diện cho số tiền gộp của khách hàng.

Khi tiền điện tử đã nằm trong ví nóng, gần như không thể xác định chúng được rút ở đâu, ngoại trừ với số lượng tương tự và không phổ biến -- và thậm chí bằng chứng đó cũng không có tính thuyết phục.

Cuộc điều tra của Schober và Bax bị mắc kẹt trong hơn một năm và Schober đã yêu cầu Bitfinex tiết lộ chủ sở hữu tài khoản đã nhận được BTC bị đánh cắp nhưng bị từ chối.

“Bitfinex sẽ chỉ đáp ứng các yêu cầu thực thi pháp luật về thông tin khách hàng, không phải yêu cầu dân sự, bởi vì Bitfinex không liên quan đến các vấn đề dân sự, đặc biệt là ở Hoa Kỳ, vì tòa án Hoa Kỳ không có thẩm quyền đối với chúng tôi. Sarah Compani, cố vấn pháp lý của Bitfinex, cho biết trong một phản hồi qua email gửi luật sư của Schober, Ethan Mora.

Schober cho biết: “Lý do tại sao các sàn giao dịch tiền điện tử như FTX và Bitfinex được thành lập ở Quần đảo Virgin thuộc Anh hoặc Quần đảo Cayman là vì những lý do pháp lý này, họ không phải tuân thủ luật pháp Hoa Kỳ hoặc bất kỳ luật nào khác”.

Họ có thể ở lại đó và thực hiện hành động phi pháp. Họ thậm chí còn chưa cho chúng tôi câu trả lời.

Không có quyền truy cập trực tiếp vào Bitfinex, Mora đã khởi xướng cái gọi là yêu cầu Touhy,Yêu cầu tài liệu và thông tin khác từ bộ phận mạng của FBI liên quan đến cuộc điều tra phần mềm độc hại của cơ quan. Schober đã báo cáo vụ việc với FBI ngay sau khi mất số bitcoin của mình. Schober cho biết: “FBI bắt đầu gửi trát đòi hầu tòa cho các công ty liên quan đến phần mềm độc hại, chẳng hạn như Reddit (nơi phần mềm độc hại được đăng) và GitHub (nơi lưu trữ phần mềm độc hại). Việc triệu tập xảy ra vào cuối năm 2018, đầu năm 2019. FBI thậm chí còn tịch thu máy tính của anh ta trong nhiều tháng trong quá trình điều tra.

Sau khoảng 10 tháng, yêu cầu của Touhy đã thành công. Đột nhiên, nhóm của Schober có dữ liệu nội bộ của Bitfinex trỏ đến địa chỉ IP và email chính xác được liên kết với tài khoản đã nhận được số bitcoin bị đánh cắp của anh ta.

Mora nói: “Chúng tôi thực sự không biết cuộc điều tra của FBI đã phát hiện ra điều gì cho đến khi chúng tôi nhận được câu trả lời từ Bộ Tư pháp về các câu hỏi của Touhy”.

Địa chỉ ảo đã trở lại

Nhờ trát đòi hầu tòa của FBI, nhóm của Schober đã có thể xác định được tài khoản của hacker trên một loạt dịch vụ trực tuyến: Gmail, Keybase, Reddit, Twitter và Github. Mã cần thiết cho phần mềm độc hại, bao gồm cả trình tạo địa chỉ bitcoin mà nó dựa vào, đã được tìm thấy trong kho lưu trữ GitHub công khai của hacker.

Với một số tài khoản, địa chỉ số 1 BeNedict dùng để rửa tiền thông qua ShapeShift đã được xác minh, Bax lấy địa chỉ này làm bằng chứng về danh tính của hacker (địa chỉ phù hợp với tên của anh ta).

Trong một quy trình rửa tiền rõ ràng, địa chỉ trả lại được những kẻ tấn công đăng ký bằng ShapeShift (địa chỉ mà giao thức gửi tiền điện tử trong trường hợp giao dịch không thành công) chính xác là ví nóng Bitfinex nơi lưu trữ số bitcoin bị đánh cắp từ Schober. .

Thậm chí còn có một bài đăng trên danh sách gửi thư của các nhà phát triển Bitcoin trong đó địa chỉ email của người gửi khớp với tên thật của hacker bị cáo buộc, mô tả cách dễ dàng tạo một địa chỉ rất giống với địa chỉ Bitcoin được cung cấp. Bài đăng này hoàn toàn phù hợp với phương thức hoạt động của phần mềm độc hại Electrum.

Mô tả hình ảnh

Kể từ khi ví của Schober bị đánh cắp, Bitcoin đã trải qua toàn bộ chu kỳ tăng giá Biểu đồ của David Canellis

Điều đó có nghĩa là Schober có thể khởi kiện dân sự chống lại người có liên quan đến tội phạm cũng như một cá nhân khác bị cáo buộc đã bán phần mềm độc hại tương tự trên Reddit.Vào thời điểm phạm tội, cả hai đều là trẻ vị thành niên nên đơn kiện cũng nêu tên cha mẹ của họ là bị cáo. Tất cả các bên đều phủ nhận mọi hành vi sai trái.

Điều này xảy ra vào tháng 5 năm 2021, hơn ba năm sau khi BTC của Schober bị lừa đảo. Giá Bitcoin đã tăng hơn gấp đôi vào thời điểm đó.

Để làm phức tạp thêm vấn đề, hacker bị cáo buộc sống ở Vương quốc Anh. FBI đã chuyển vụ việc cho cơ quan thực thi pháp luật Anh và mở một cuộc điều tra chung. Schober cho biết cả hai nghi phạm đã bị bắt, thẩm vấn và tịch thu thiết bị của họ cũng như một cuộc điều tra pháp y được tiến hành.

Nhưng trước khi họ bị bắt, sự tuyệt vọng (và có lẽ là một chút ngây thơ) đã khiến Schober liên lạc với họ và cha mẹ họ để thông báo rằng họ đã được tìm thấy. Schober nói: “Tôi hy vọng họ sẽ sáng suốt và trả lại cho tôi những món đồ bị đánh cắp vì tất cả những gì tôi làm là yêu cầu họ trả lại những món đồ bị đánh cắp nhưng họ đã không làm như vậy”.

Cơ quan công tố Crown cuối cùng đã nói với tôi rằng sau khi tôi liên lạc với họ, có lẽ họ đã phá hủy thiết bị của mình vì họ có thiết bị hoàn toàn mới và không có đủ bằng chứng tòa án để khởi kiện.

(Bax nói rằng anh ấy sẽ làm những gì Schober đã làm - họ nghĩ cha mẹ họ có thể là những người tử tế vì họ làm việc cho ngân hàng và Cơ quan Y tế Quốc gia của Vương quốc Anh. “Họ nên trả lại tiền và tôi nghĩ chuyện này sẽ kết thúc thôi.”)

Vụ kiện dân sự của Schober giờ đây có thể là cơ hội duy nhất để anh theo đuổi công lý. Nhưng vụ án diễn ra chậm chạp, với các luật sư tranh cãi về thẩm quyền xét xử sẽ diễn ra.

Luật sư của bọn tin tặc nói rằng vụ kiện nên được bác bỏ,Vì Schober ở Mỹ nên anh ta không có thẩm quyền đối với ai đó ở Anh.Họ cũng lập luận rằng ông đã vượt quá thời hạn luật định để nộp đơn khiếu nại.

Schober nói: “Nhưng theo quan điểm của chúng tôi, điều đó không đúng vì phải mất rất nhiều thời gian, công sức và điều tra để xác định rằng có một con người ở đầu bên kia”.

Xem xét việc anh ta phải đợi 10 tháng để được FBI triệu tập sau khi bị Bitfinex từ chối cung cấp thông tin quan trọng, anh ta cảm thấy mình không nên bị trừng phạt bởi lập luận về thời hạn pháp lý.

trường hợp chưa từng có

Tình huống như của Schober có thể là duy nhất vì nó trải dài toàn bộ Đại Tây Dương.

“Thực tế có rất ít trường hợp như thế này, trên thực tế, tôi không biết trường hợp nào một người bị truy tìm, triệu tập hợp pháp (theo luật quốc tế) và truy tố một hacker như thế này… huống chi là một hacker đã đánh cắp tiền điện tử.” “, Mora nói.

“Tôi đã từng tham gia vào các vụ kiện mà các nguyên đơn đã kiện những kẻ lừa đảo/tin tặc trong nước từ các tiểu bang khác của Hoa Kỳ, nhưng những bị cáo đó đã bị bắt ở Hoa Kỳ.”

Mora trích dẫn các trường hợp chính phủ hình sự hóa các tin tặc trong và ngoài nước, cũng như những gã khổng lồ công nghệ như Amazon và Google truy tố các tin tặc, một số trong số đó yêu cầu thanh toán tiền chuộc bằng tiền điện tử.

Schober không phải là một tập đoàn đa quốc gia, anh ta chỉ là một chàng trai bình thường không kiện những kẻ tấn công mình như một số nạn nhân cấp cao và giàu có của vụ trộm tiền điện tử.

Mô tả hình ảnh

Việc GitHub không thể cho Schober biết liệu cơ quan thực thi pháp luật có điều tra hay không khiến yêu cầu của Touhy trở thành một canh bạc đã được đền đáp

Chính xác làm thế nào để giải quyết vấn đề này là điều ai cũng đoán được. Nếu tòa án Hoa Kỳ ra phán quyết rằng tin tặc nợ tiền Schober, thì tòa án Vương quốc Anh vẫn cần phải công nhận phán quyết trước khi phán quyết đó có thể được thi hành ở Vương quốc Anh. Cuối cùng, việc thu nợ, thế chấp và thậm chí thu giữ tiền lương có thể liên quan.

Schober cho biết họ có thể truy tìm một lượng lớn bitcoin đến các địa chỉ có được từ trát đòi hầu tòa của FBI, vì vậy có vẻ như các tin tặc bị cáo buộc đã có tiền để trả lại cho Schober.

Tình huống này đặc biệt khó chịu khi Schober dường như biết chính xác ai đã đánh cắp tiền điện tử của mình.

Bất chấp tất cả những điều này, bao gồm cả phí pháp lý và mất 500.000 đô la bitcoin, Schober vẫn ủng hộ bitcoin. Tôi vẫn tin vào triển vọng của Bitcoin. Đây là điều đã thu hút tôi tham gia ngay từ đầu. Nhưng không còn nghi ngờ gì nữa, lợi thế của tôi với tư cách là người chơi sớm đã không còn nữa, và điều đó thật đau đớn.

Nhưng tôi vẫn lạc quan về điều đó vào lúc này. Và tôi tự hào vì có thể tiếp tục vụ việc này khi biết rằng tỷ lệ thành công là rất mong manh.

Anh ấy lạc quan rằng tòa án Hoa Kỳ sẽ công nhận anh ấy là nạn nhân của vụ trộm. Nếu kẻ tấn công đến từ một quốc gia như Nga hoặc Bắc Triều Tiên, hắn sẽ có rất ít cơ hội để khắc phục.

Schober nói: “Đã 5 năm trôi qua và tôi muốn vấn đề này kết thúc càng sớm càng tốt. Nhưng mặt khác, tôi đã bỏ ra rất nhiều công sức và thời gian và có những người như Bax và những người khác ủng hộ tôi vì họ đã nghe câu chuyện và nghĩ rằng nó thật tuyệt vời.

Vì vậy, tôi quyết tâm vượt qua nó.