Блог им. DmitriyNoskov

На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Криптовалютам зачастую приписывают суперанонимность, которой пользуются мошенники во всем мире. На самом же деле большинство сетей, включая Bitcoin, хранят полную историю транзакций. Это позволяет следователям размотать даже самые запутанные следы из тысячи транзакций и десятков учетных записей.

На днях стало известно об аресте семейной пары из США – Ильи Лихтенштейна и Хизер Морган, которым инкриминируют мошенничество, преступление против США и отмывание средств, добытых незаконным путем. Министерство юстиции уже провело крупнейшую конфискацию в своей истории, изъяв оставшиеся от взлома криптобиржи Bitfinex ₿94 тыс. на сумму $4,1 млрд.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: криптовалютная биржа StormGain

Взлом Bitfinex произошел в 2016 году: проведя 2000 транзакций на внешний кошелек 1CGA4s5…, хакерам удалось похитить ₿119 754, что на тот момент составляло $71 млн. Чтобы замести следы и обналичить средства, в последующие годы злоумышленники создали аккаунты в даркнете AlphaBay и десяток аккаунтов на различных криптобиржах под вымышленными именами или с участием фиктивных лиц.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: justice.gov

Чтобы скрыть историю транзакций, Лихтенштейн и Морган проводили переводы со счета на счет, нередко прибегая к монетам с повышенной анонимностью, в частности, Monero. Но, как это обычно бывает, повсюду оставляли хлебные крошки. Так, при создании аккаунтов на одной из криптовалютных бирж (VCE1) мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии. После запроса биржей дополнительных документов Илья и Хизер перестали выходить на связь, в результате чего были заморожены 18 счетов с общим депозитом на $186 тыс.

Из-за стилистической схожести аккаунтов следователи прошлись по цепочке транзакций каждого из них, установив родство. Несколько из них привели к счетам на имя LICHTENSTEIN криптовалютной биржи в США (VCE5), открытым еще в 2015 году.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: justice.gov

Поскольку для открытия счета на криптовалютной бирже в США Лихтенштейн использовал водительские права, следователи установили личность подозреваемого и прочие аккаунты и счета на территории США. Так выяснилось, что Лихтенштейн создал фиктивную фирму SalesFolk, якобы принимающую криптовалюту в счет оплаты за предоставленные услуги.  Дальнейший анализ транзакций подтвердил непосредственную связь с украденными средствами из Bitfinex, которые через многочисленные звенья цепи перетекали на банковские счета Лихтенштейна и Морган.

В какой-то момент злоумышленники уверовали в свою безнаказанность и стали использовать «кластер 3686mu» для оплаты покупок в криптовалюте, тем самым сократив сложность цепочки. Например, 3 мая 2020 года через него прошла оплата подарочной карты в Walmart на $500. IP-адрес использовался подменный, однако по запросу спецслужб «облачный провайдер» открыл имя арендатора и почту – они вели прямо к Лихтенштейну. Аналогично была оплачена покупка нового iPhone, который доставили по адресу проживания пары.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: justice.gov

После того как было собрано достаточно улик против семейной пары, спецслужбы с ордером на обыск обратились к сетевому провайдеру и запросили копии всех личных документов, хранящихся на «облаке». После расшифровки закодированных файлов следователи получили доступ ко всем криптоадресам, использовавшимся в цепочке, а также закрытые ключи. Это позволило вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников.

На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание, поскольку по остальным статьям Лихтенштейну и Морган грозит до 20 лет лишения свободы.

 

Аналитическая группа StormGain

(платформа для торговли, обмена и хранения криптовалюты)

★7
26 комментариев
Класс история, спасибо.
А есть история со счастливым концом?
Ну, без косяков, и со списком правильных действий.
Василий Федорович, в теории — наверное :
не светить свой IP
не светить IMEI своего телефона
не светить MAC адреса своего компа
и регистрироваться на биржах по поддельным документам
и банковский аккаунт тоже на них открывать
все это я конечно никому делать не советую, и мне кажется, в штатах это все сделать очень сложно. 
avatar
Гуру Хренов, спасибо, но
что трудно совмещается 5 млрд. и «мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии», уровень мозгов разный для первого и для второго действия.
Ну вот, опять русские хакеры.
avatar
Дмитрий, Гусские?
avatar
Дмитрий, еврейские же?
avatar
Походу купить айфон за кэш выше их понимания…
avatar
Криптовалюты создавались западными спецслужбами для контроля чёрного рынка: наркоторговля, оружие, работорговля. Если счастливый обладатель крипты не интересует западные спецслужбы, до это до определённых сумм.
avatar
Биткоин оказывается не анонимный  
avatar
Роман Ранний, а никто и не говорил что он анонимный
и кстати дело не в нем а в акаунтах на биржах

avatar
А меня другое интересует. Как можно было вывести «вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников».
То есть куча кошельков была взломана? А как же пароли к ним? Или у спецслужб есть ключи шифрования, которые позволяют взламывать кошельки?
В таком случае о какой вообще мало-мальски анонимности битка может идти речь.
avatar
qwerrr, после расшифровки закодированных файлов следователи получили доступ ко всем криптоадресам, использовавшимся в цепочке, а также закрытые ключи.
avatar
qwerrr, а кто вам вообще сказал об анонимности битка? сам изобретатель оного? ничего не напоминает?)))
avatar
qwerrr, они сид фразы хранили в обычном word файле в облаке, зашифрованным либо простым алгоритмом либо средствами облака, а сид фраза это все, это приватный ключ, и не нужен никакой пароль от кошелька.

Сертифицированные правительствами алгоритмы шифрования обычно имеют скрытые лазейки для взлома, так же если они использовали систему шифрования облака, то там была лазейка так же,  так же могли украсть пароль к этому файлу с их компьютера
avatar
Дураку понятно что биток это проект фбр и mit. Очень часто выходят новости о конфинскации крипты за преступления но откуда ключики никто не говорит. Все просто. ключики дешифровки у властей в кармане
avatar
СаМоучка, настоящего сторонника теорий заговора фактами и здравым смыслом не возьмешь!
avatar
Джон Макафи по пьяни мог бы рассказать но не успел
avatar
Смешно было смотреть на потуги ололоши корвалолного, получал битки спонсорские, свято веря в свою недосягаемость))) ахаха
avatar
✔ ⓈⒺⓇⒼⒾⓄ, молодец, отработал, возьми с полки пирожок
avatar
На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание

Если признания не будет, вся работа по выявлению всей схемы зря?
avatar
mr. regik, там же написано — им уже 20 лет светит за какой нибудь mail fraud, за то, чтобы сесть на меньшее количество лет, они и ждут чистосердечного признания
avatar
mr. regik, Если признания не будет, вся работа по выявлению всей схемы зря?
Там иначе все работает. Следователи (в лице департамента юстиции) деньги получили. Они же на счета департамента все перевели. Вопрос закрыт.
А что пользователи криптобиржи своих денег не вернули это их проблема. Докажут, что это их — ок. Нет — деньги у юстиции и останутся.

А Лихтенштейну скажут просто — так сидишь двадцатку (или сколько там ему насчитали), а берешь на себя, признаешься — часть срока скостят. Бабла на адвокатов у него нет (все же забрали). Так что шансов выйти у него считай нет. И не важно он стырил или кто другой. В Америке так — попал под каток юстиции — все.
Прикол в том, что шьют судя по тексту ему 500 дол карту валмарт и 1000-2000 дол айфон. Не смог вообще потратить короче. 
avatar
классная статья, но хотелось бы, чтобы авторы таких постов указывали ссылку на источник копипасты
я вчера сам в недоумении читал linkedin — профиль героя публикации, и ничего не понимал, как успешный инвестор во всякие стартапы докатился до кражи 5 миллиардов
avatar
Ну ведь не крал он 5 млрд. Он украл 70 лямов. И по удачному стечению обстоятельств за 5 лет они превратились в 5 млрд… Пока это было 70 млн его никто даже не искал.
avatar
Балбес приватный ключ в башке держать нужно было вместе с сид фразой
avatar

теги блога Дмитрий Носков

....все тэги



UPDONW
Новый дизайн