Изъятие биткойнов Министерством юстиции на сумму 3,6 миллиарда долларов показывает, насколько сложно отмывать криптовалюту

Супру­ги Лих­тен­штейн и Мор­ган яко­бы исполь­зо­ва­ли «отсти­ран­ный спи­сок» тех­ни­че­ских мер, что­бы заме­сти сле­ды. Они не работали.

Во втор­ник Илья Лих­тен­штейн и Хизер Мор­ган были аре­сто­ва­ны в Нью-Йор­ке по обви­не­нию в отмы­ва­нии укра­ден­ной крип­то­ва­лю­ты на рекорд­ную сум­му в 4,5 мил­ли­ар­да дол­ла­ров. С тех пор в тече­ние 24 часов мир кибер­без­опас­но­сти без­жа­лост­но высме­и­вал свои ошиб­ки в опе­ра­ци­он­ной без­опас­но­сти: Лих­тен­штейн яко­бы хра­нил мно­гие закры­тые клю­чи, кон­тро­ли­ру­ю­щие эти сред­ства, в облач­ном кошель­ке, что облег­ча­ло их кон­фис­ка­цию, а Мор­ган выстав­ля­ла напо­каз свою «само­дель­ную» богат­ство в серии вызы­ва­ю­щих отвра­ще­ние рэп-роли­ков на YouTube и в колон­ках Forbes .

Но эти оплош­но­сти затми­ли зна­чи­тель­ное коли­че­ство мно­го­уров­не­вых тех­ни­че­ских мер, кото­рые, по сло­вам про­ку­ро­ров, пара дей­стви­тель­но исполь­зо­ва­ла, что­бы попы­тать­ся заве­сти в тупик любо­го, кто сле­дит за их день­га­ми. Воз­мож­но, еще более при­ме­ча­тель­ным явля­ет­ся то, что феде­раль­ным аген­там во гла­ве с отде­лом уго­лов­ных рас­сле­до­ва­ний IRS уда­лось отра­зить пред­по­ла­га­е­мые попыт­ки сохра­нить финан­со­вую ано­ним­ность на пути к воз­ме­ще­нию укра­ден­ной крип­то­ва­лю­ты на сум­му 3,6 мил­ли­ар­да дол­ла­ров. При этом они про­де­мон­стри­ро­ва­ли, насколь­ко про­дви­ну­тым ста­ло отсле­жи­ва­ние крип­то­ва­лю­ты — потен­ци­аль­но даже для монет, кото­рые когда-то счи­та­лись прак­ти­че­ски неотслеживаемыми. 

«Что уди­ви­тель­но в этом деле, так это длин­ный спи­сок мето­дов запу­ты­ва­ния, кото­рые [пред­по­ло­жи­тель­но] исполь­зо­ва­ли [Лих­тен­штейн и Мор­ган]», — гово­рит Ари Ред­борд, гла­ва юри­ди­че­ско­го и госу­дар­ствен­но­го отде­ла TRM Labs, фир­мы по отсле­жи­ва­нию крип­то­ва­лю­ты и кри­ми­на­ли­сти­ке. Ред­борд ука­зы­ва­ет на пред­по­ла­га­е­мое исполь­зо­ва­ние парой «цеп­ных скач­ков» — пере­во­да средств из одной крип­то­ва­лю­ты в дру­гую, что­бы за ними было труд­нее сле­дить, — вклю­чая обмен бит­кой­нов на «моне­ты кон­фи­ден­ци­аль­но­сти», такие как monero и dash, кото­рые пред­на­зна­че­ны для того, что­бы поме­шать ана­ли­зу блок­чей­на. Судеб­ные доку­мен­ты гово­рят, что пара так­же яко­бы пере­ве­ла свои день­ги через дарк­нет-рынок Alphabay — круп­ней­ший в сво­ем роде в то вре­мя — в попыт­ке поста­вить детек­ти­вов в тупик.

Тем не менее, сле­до­ва­те­ли, кажет­ся, нашли пути пре­одо­ле­ния всех этих пре­пят­ствий. «Это про­сто пока­зы­ва­ет, что пра­во­охра­ни­тель­ные орга­ны не соби­ра­ют­ся отка­зы­вать­ся от этих дел, и они будут рас­сле­до­вать сред­ства в тече­ние четы­рех или пяти лет, пока не смо­гут про­сле­дить их до места назна­че­ния, о кото­ром они смо­гут полу­чить инфор­ма­цию», — гово­рит Редборд.

В 20-стра­нич­ном «изло­же­нии фак­тов» , опуб­ли­ко­ван­ном во втор­ник вме­сте с уго­лов­ным иском Мини­стер­ства юсти­ции про­тив Лих­тен­штей­на и Мор­га­на, IRS-CI подроб­но опи­сал изви­ли­стые и запу­тан­ные марш­ру­ты, кото­рые пара яко­бы исполь­зо­ва­ла для отмы­ва­ния части почти 120 000 бит­кой­нов, укра­ден­ных из крип­то­ва­лю­ты. обмен Bitfinex в 2016 году. Боль­шин­ство этих монет были пере­ме­ще­ны с адре­сов Bitfinex в блок­чейне Бит­койн в коше­лек, обо­зна­чен­ный IRS как 1CGa4s, пред­по­ло­жи­тель­но кон­тро­ли­ру­е­мый Лих­тен­штей­ном. В конеч­ном ито­ге феде­раль­ные сле­до­ва­те­ли нашли клю­чи от это­го кошель­ка в одной из учет­ных запи­сей облач­но­го хра­ни­ли­ща Лих­тен­штей­на, а так­же логи­ны для мно­го­чис­лен­ных бирж крип­то­ва­лют, кото­рые он использовал.

Что было уди­ви­тель­но в этом слу­чае, так это длин­ный спи­сок мето­дов запутывания».

- АРИ РЕДБОРД, TRM LABS

Но что­бы добрать­ся до точ­ки иден­ти­фи­ка­ции Лих­стен­штей­на — вме­сте с его женой Мор­ган — и най­ти эту облач­ную учет­ную запись, IRS-CI про­сле­дил два вет­вя­щих­ся пути, по кото­рым про­шли 25 000 бит­кой­нов, кото­рые пере­ме­сти­лись из кошель­ка 1CGa4s через блок­чейн Бит­койн. Одна из этих вет­вей попа­ла в кол­лек­цию кошель­ков, раз­ме­щен­ных на рын­ке дарк­не­та AlphaBay, раз­ра­бо­тан­ных таким обра­зом, что­бы быть непро­ни­ца­е­мы­ми для сле­до­ва­те­лей пра­во­охра­ни­тель­ных органов. 

Дру­гая, по-види­мо­му, была пре­об­ра­зо­ва­на в monero, крип­то­ва­лю­ту, пред­на­зна­чен­ную для сокры­тия сле­дов средств в ее блок­чейне путем сме­ши­ва­ния пла­те­жей несколь­ких поль­зо­ва­те­лей monero.— как реаль­ных тран­зак­ций, так и искус­ствен­но сге­не­ри­ро­ван­ных — и сокры­тия их сто­и­мо­сти. Тем не менее, IRS утвер­жда­ет, что каким-то обра­зом иден­ти­фи­ци­ро­ва­ла Лих­тен­штей­на и Мор­га­на, отсле­див обе эти вет­ви фон­дов до набо­ра учет­ных запи­сей обме­на крип­то­ва­лю­та­ми на их име­на, а так­же на име­на трех при­над­ле­жа­щих им ком­па­ний, извест­ных как Demandpath, Endpass и Salesfolk.

Нало­го­вое управ­ле­ние США не совсем объ­яс­ни­ло, как его сле­до­ва­те­ли побе­ди­ли эти два раз­лич­ных мето­да запу­ты­ва­ния. Но под­сказ­ки в судеб­ном доку­мен­те — и ана­лиз дела дру­ги­ми экс­пер­та­ми по ана­ли­зу блок­чей­на — поз­во­ля­ют пред­по­ло­жить неко­то­рые веро­ят­ные теории.

Судя по все­му, Лих­тен­штейн и Мор­ган наме­ре­ва­лись исполь­зо­вать Alphabay в каче­стве «мик­ше­ра» или «тум­бле­ра», сер­ви­са крип­то­ва­лю­ты, кото­рый при­ни­ма­ет моне­ты поль­зо­ва­те­ля и воз­вра­ща­ет раз­ные моне­ты, что­бы предот­вра­тить отсле­жи­ва­ние цепоч­ки бло­ков. В апре­ле 2016 года AlphaBay объ­яви­ла, что пред­ла­га­ет эту функ­цию сво­им поль­зо­ва­те­лям по умол­ча­нию. «Теперь AlphaBay мож­но без­опас­но исполь­зо­вать как ста­кан для монет!» про­чи­тай­те сооб­ще­ние от одно­го из его адми­ни­стра­то­ров. «Вне­се­ние депо­зи­та, а затем сня­тие средств — теперь спо­соб обру­шить ваши моне­ты и разо­рвать связь с источ­ни­ком ваших средств».

Одна­ко в июле 2017 года — через шесть меся­цев после того, как IRS заяви­ла, что Лих­тен­штейн пере­вел часть монет Bitfinex в кошель­ки AlphaBay — ФБР, Управ­ле­ние по борь­бе с нар­ко­ти­ка­ми и тай­ская поли­ция аре­сто­ва­ли адми­ни­стра­то­ра AlphaBay и кон­фис­ко­ва­ли его сер­вер в цен­тре обра­бот­ки дан­ных в Лит­ве.. Этот захват сер­ве­ра не упо­ми­на­ет­ся в фак­тах IRS. Но дан­ные на этом сер­ве­ре, веро­ят­но, поз­во­ли­ли бы сле­до­ва­те­лям рекон­стру­и­ро­вать дви­же­ние средств через кошель­ки AlphaBay и иден­ти­фи­ци­ро­вать сня­тие средств Лих­тен­штей­ном, что­бы сно­ва най­ти их след, гово­рит Том Робин­сон, соучре­ди­тель фир­мы по отсле­жи­ва­нию крип­то­ва­лю­ты Elliptic. «Дан­ные, кото­рые иссле­до­ва­те­ли полу­чи­ли от AlphaBay, явля­ют­ся клю­чом ко все­му это­му», — гово­рит Робин­сон. По дан­ным IRS, вывод средств из AlphaBay в конеч­ном ито­ге был отсле­жен посред­ством мно­го­чис­лен­ных пере­ме­ще­ний по блок­чей­ну до набо­ра учет­ных запи­сей на бир­жах крип­то­ва­лю­ты, неко­то­рые из кото­рых кон­тро­ли­ро­ва­лись Лих­тен­штей­ном и Морганом.

Сле­до­ва­те­ли IRS гово­рят, что дру­гая ветвь средств из кошель­ка 1CGa4s Лих­тен­штей­на была отмы­та с помо­щью «пере­хо­да по цепоч­ке», но они лишь частич­но опи­сы­ва­ют, как рабо­та­ло это запу­ты­ва­ние, не гово­ря уже о том, как IRS побе­дил его. Одна диа­грам­ма в заяв­ле­нии фак­тов IRS пока­зы­ва­ет набор бит­кой­нов, пере­ме­ща­ю­щих­ся из кошель­ка 1CGa4s на два сче­та на нена­зван­ной бир­же крип­то­ва­лют. Одна­ко эти две учет­ные запи­си, заре­ги­стри­ро­ван­ные на рус­ские име­на и адре­са элек­трон­ной почты, пол­но­стью финан­си­ро­ва­лись за счет моне­ро, а не бит­кой­нов, сооб­ща­ет IRS. (Оба акка­ун­та в конеч­ном ито­ге были замо­ро­же­ны после того, как бир­жа потре­бо­ва­ла от вла­дель­цев акка­ун­тов допол­ни­тель­ную иден­ти­фи­ци­ру­ю­щую инфор­ма­цию, а они не предо­ста­ви­ли ее. Но к тому вре­ме­ни боль­шая часть моне­ро была кон­вер­ти­ро­ва­на в бит­кой­ны и выведена.)

В объ­яс­не­нии IRS не упо­ми­на­ет­ся, в какой момент день­ги в бит­койн-кошель­ке Лих­тен­штей­на были кон­вер­ти­ро­ва­ны в моне­ро, кото­рые поз­же появи­лись на этих двух бир­же­вых сче­тах. И, что более важ­но, в нем не гово­рит­ся, как сле­до­ва­те­ли про­дол­жа­ли сле­дить за крип­то­ва­лю­той, несмот­ря на функ­ции Monero, пред­на­зна­чен­ные для предот­вра­ще­ния это­го отсле­жи­ва­ния — подвиг крип­то-отсле­жи­ва­ния, кото­рый нико­гда ранее не был задо­ку­мен­ти­ро­ван в уго­лов­ном деле.

Воз­мож­но, сле­до­ва­те­ли IRS на самом деле не отсле­жи­ва­ли monero, что­бы уста­но­вить эту связь, отме­ча­ет Мэтт Грин, крип­то­граф из Уни­вер­си­те­та Джо­на Хоп­кин­са и один из соав­то­ров ори­ен­ти­ро­ван­ной на кон­фи­ден­ци­аль­ность крип­то­ва­лю­ты Zcash. Они мог­ли най­ти дру­гие дока­за­тель­ства свя­зи в одной из запи­сей ответ­чи­ка, так же как они нашли дру­гие ком­про­ме­ти­ру­ю­щие фай­лы в учет­ной запи­си облач­но­го хра­ни­ли­ща Лих­тен­штей­на, хотя в изло­же­нии фак­тов IRS такие дока­за­тель­ства не упоминаются. 

Или они могут про­сто сде­лать пред­по­ло­же­ние, не под­креп­лен­ное дока­за­тель­ства­ми, хотя это не обыч­ная прак­ти­ка для феде­раль­ных агентств, веду­щих судеб­ное пре­сле­до­ва­ние по гром­ко­му уго­лов­но­му делу, кото­рое гото­ви­лось года­ми. «Тре­тья воз­мож­ность, кото­рую я опре­де­лен­но не исклю­чаю, заклю­ча­ет­ся в том, что у них есть какие-то воз­мож­но­сти отсле­жи­ва­ния, кото­рые они не рас­кры­ва­ют в этой жалобе»,

Уже дав­но пред­по­ла­га­лось, что отсле­жи­ва­ние monero тео­ре­ти­че­ски воз­мож­но. Иссле­до­ва­ние, про­ве­ден­ное в 2017 году одной груп­пой иссле­до­ва­те­лей , пока­за­ло, что во мно­гих слу­ча­ях они могут исполь­зо­вать под­сказ­ки, такие как воз­раст монет в тран­зак­ции Monero, что­бы опре­де­лить, кто какие моне­ты пере­ме­стил, хотя впо­след­ствии Monero обно­ви­ла свои функ­ции кон­фи­ден­ци­аль­но­сти, что­бы сде­лать это намно­го сложнее.

Фир­ма по отсле­жи­ва­нию крип­то­ва­лю­ты Chainalysis, кото­рая счи­та­ет IRS сво­им кли­ен­том, в част­ном поряд­ке рекла­ми­ро­ва­ла свои соб­ствен­ные сек­рет­ные мето­ды отсле­жи­ва­ния monero. В про­шлом году хаке­ры сли­ли в ита­льян­скую поли­цию пре­зен­та­цию, в кото­рой Chainalysis утвер­жда­ла, что может предо­ста­вить «полез­ную инфор­ма­цию» в 65% слу­ча­ев отсле­жи­ва­ния монеро. 

Еще в 20% слу­ча­ев он мог опре­де­лить отпра­ви­те­ля тран­зак­ции, но не ее полу­ча­те­ля. «Во мно­гих слу­ча­ях резуль­та­ты могут быть дока­за­ны дале­ко за пре­де­ла­ми разум­ных сомне­ний», — гово­рит­ся в про­со­чив­шей­ся пре­зен­та­ции на ита­льян­ском язы­ке, хотя и пре­ду­пре­жда­ет­ся, что «ана­лиз носит ста­ти­сти­че­ский харак­тер, и поэто­му любой резуль­тат име­ет свя­зан­ный с ним уро­вень достоверности».

Отдел уго­лов­ных рас­сле­до­ва­ний IRS отка­зал­ся ком­мен­ти­ро­вать дело Bitfinex, кро­ме опуб­ли­ко­ван­ных им обще­до­ступ­ных доку­мен­тов, а Chainalysis отка­за­лась сооб­щить, было ли это частью рас­сле­до­ва­ния, не гово­ря уже о том, помог­ло ли это IRS отсле­дить монеро.

«Если эти ана­ли­ти­че­ские фир­мы не рабо­та­ют над моне­та­ми с повы­шен­ной ано­ним­но­стью, то они не выпол­ня­ют свою рабо­ту», — гово­рит Грин. «И я думаю, мы долж­ны пред­по­ло­жить, что они рас­смат­ри­ва­ют эти систе­мы и, веро­ят­но, доби­лись опре­де­лен­но­го успеха».

Невы­ска­зан­ное посла­ние Лих­тен­штей­нам и Мор­га­нам все­го мира: даже если ваши рэп-видео и неак­ку­рат­ные учет­ные запи­си в облач­ных хра­ни­ли­щах не пой­ма­ют вас, ваши хит­рые улов­ки по отмы­ва­нию денег все рав­но не спа­сут вас от посто­ян­но раз­ви­ва­ю­щей­ся изощ­рен­но­сти крип­то-трей­се­ров пра­во­охра­ни­тель­ных органов. .

Источ­ник: https://www.wired.com/