Блог им. DmitriyNoskov
Криптовалютам зачастую приписывают суперанонимность, которой пользуются мошенники во всем мире. На самом же деле большинство сетей, включая Bitcoin, хранят полную историю транзакций. Это позволяет следователям размотать даже самые запутанные следы из тысячи транзакций и десятков учетных записей.
На днях стало известно об аресте семейной пары из США – Ильи Лихтенштейна и Хизер Морган, которым инкриминируют мошенничество, преступление против США и отмывание средств, добытых незаконным путем. Министерство юстиции уже провело крупнейшую конфискацию в своей истории, изъяв оставшиеся от взлома криптобиржи Bitfinex ₿94 тыс. на сумму $4,1 млрд.
Источник изображения: криптовалютная биржа StormGain
Взлом Bitfinex произошел в 2016 году: проведя 2000 транзакций на внешний кошелек 1CGA4s5…, хакерам удалось похитить ₿119 754, что на тот момент составляло $71 млн. Чтобы замести следы и обналичить средства, в последующие годы злоумышленники создали аккаунты в даркнете AlphaBay и десяток аккаунтов на различных криптобиржах под вымышленными именами или с участием фиктивных лиц.
Источник изображения: justice.gov
Чтобы скрыть историю транзакций, Лихтенштейн и Морган проводили переводы со счета на счет, нередко прибегая к монетам с повышенной анонимностью, в частности, Monero. Но, как это обычно бывает, повсюду оставляли хлебные крошки. Так, при создании аккаунтов на одной из криптовалютных бирж (VCE1) мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии. После запроса биржей дополнительных документов Илья и Хизер перестали выходить на связь, в результате чего были заморожены 18 счетов с общим депозитом на $186 тыс.
Из-за стилистической схожести аккаунтов следователи прошлись по цепочке транзакций каждого из них, установив родство. Несколько из них привели к счетам на имя LICHTENSTEIN криптовалютной биржи в США (VCE5), открытым еще в 2015 году.
Источник изображения: justice.gov
Поскольку для открытия счета на криптовалютной бирже в США Лихтенштейн использовал водительские права, следователи установили личность подозреваемого и прочие аккаунты и счета на территории США. Так выяснилось, что Лихтенштейн создал фиктивную фирму SalesFolk, якобы принимающую криптовалюту в счет оплаты за предоставленные услуги. Дальнейший анализ транзакций подтвердил непосредственную связь с украденными средствами из Bitfinex, которые через многочисленные звенья цепи перетекали на банковские счета Лихтенштейна и Морган.
В какой-то момент злоумышленники уверовали в свою безнаказанность и стали использовать «кластер 3686mu» для оплаты покупок в криптовалюте, тем самым сократив сложность цепочки. Например, 3 мая 2020 года через него прошла оплата подарочной карты в Walmart на $500. IP-адрес использовался подменный, однако по запросу спецслужб «облачный провайдер» открыл имя арендатора и почту – они вели прямо к Лихтенштейну. Аналогично была оплачена покупка нового iPhone, который доставили по адресу проживания пары.
Источник изображения: justice.gov
После того как было собрано достаточно улик против семейной пары, спецслужбы с ордером на обыск обратились к сетевому провайдеру и запросили копии всех личных документов, хранящихся на «облаке». После расшифровки закодированных файлов следователи получили доступ ко всем криптоадресам, использовавшимся в цепочке, а также закрытые ключи. Это позволило вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников.
На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание, поскольку по остальным статьям Лихтенштейну и Морган грозит до 20 лет лишения свободы.
Аналитическая группа StormGain
(платформа для торговли, обмена и хранения криптовалюты)
А есть история со счастливым концом?
Ну, без косяков, и со списком правильных действий.
не светить свой IP
не светить IMEI своего телефона
не светить MAC адреса своего компа
и регистрироваться на биржах по поддельным документам
и банковский аккаунт тоже на них открывать
все это я конечно никому делать не советую, и мне кажется, в штатах это все сделать очень сложно.
что трудно совмещается 5 млрд. и «мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии», уровень мозгов разный для первого и для второго действия.
и кстати дело не в нем а в акаунтах на биржах
То есть куча кошельков была взломана? А как же пароли к ним? Или у спецслужб есть ключи шифрования, которые позволяют взламывать кошельки?
В таком случае о какой вообще мало-мальски анонимности битка может идти речь.
Сертифицированные правительствами алгоритмы шифрования обычно имеют скрытые лазейки для взлома, так же если они использовали систему шифрования облака, то там была лазейка так же, так же могли украсть пароль к этому файлу с их компьютера
Если признания не будет, вся работа по выявлению всей схемы зря?
А что пользователи криптобиржи своих денег не вернули это их проблема. Докажут, что это их — ок. Нет — деньги у юстиции и останутся.
А Лихтенштейну скажут просто — так сидишь двадцатку (или сколько там ему насчитали), а берешь на себя, признаешься — часть срока скостят. Бабла на адвокатов у него нет (все же забрали). Так что шансов выйти у него считай нет. И не важно он стырил или кто другой. В Америке так — попал под каток юстиции — все.
Прикол в том, что шьют судя по тексту ему 500 дол карту валмарт и 1000-2000 дол айфон. Не смог вообще потратить короче.
я вчера сам в недоумении читал linkedin — профиль героя публикации, и ничего не понимал, как успешный инвестор во всякие стартапы докатился до кражи 5 миллиардов