Супруги Лихтенштейн и Морган якобы использовали «отстиранный список» технических мер, чтобы замести следы. Они не работали.
Во вторник Илья Лихтенштейн и Хизер Морган были арестованы в Нью-Йорке по обвинению в отмывании украденной криптовалюты на рекордную сумму в 4,5 миллиарда долларов. С тех пор в течение 24 часов мир кибербезопасности безжалостно высмеивал свои ошибки в операционной безопасности: Лихтенштейн якобы хранил многие закрытые ключи, контролирующие эти средства, в облачном кошельке, что облегчало их конфискацию, а Морган выставляла напоказ свою «самодельную» богатство в серии вызывающих отвращение рэп-роликов на YouTube и в колонках Forbes .
Но эти оплошности затмили значительное количество многоуровневых технических мер, которые, по словам прокуроров, пара действительно использовала, чтобы попытаться завести в тупик любого, кто следит за их деньгами. Возможно, еще более примечательным является то, что федеральным агентам во главе с отделом уголовных расследований IRS удалось отразить предполагаемые попытки сохранить финансовую анонимность на пути к возмещению украденной криптовалюты на сумму 3,6 миллиарда долларов. При этом они продемонстрировали, насколько продвинутым стало отслеживание криптовалюты — потенциально даже для монет, которые когда-то считались практически неотслеживаемыми.
«Что удивительно в этом деле, так это длинный список методов запутывания, которые [предположительно] использовали [Лихтенштейн и Морган]», — говорит Ари Редборд, глава юридического и государственного отдела TRM Labs, фирмы по отслеживанию криптовалюты и криминалистике. Редборд указывает на предполагаемое использование парой «цепных скачков» — перевода средств из одной криптовалюты в другую, чтобы за ними было труднее следить, — включая обмен биткойнов на «монеты конфиденциальности», такие как monero и dash, которые предназначены для того, чтобы помешать анализу блокчейна. Судебные документы говорят, что пара также якобы перевела свои деньги через даркнет-рынок Alphabay — крупнейший в своем роде в то время — в попытке поставить детективов в тупик.
Тем не менее, следователи, кажется, нашли пути преодоления всех этих препятствий. «Это просто показывает, что правоохранительные органы не собираются отказываться от этих дел, и они будут расследовать средства в течение четырех или пяти лет, пока не смогут проследить их до места назначения, о котором они смогут получить информацию», — говорит Редборд.
В 20-страничном «изложении фактов» , опубликованном во вторник вместе с уголовным иском Министерства юстиции против Лихтенштейна и Моргана, IRS-CI подробно описал извилистые и запутанные маршруты, которые пара якобы использовала для отмывания части почти 120 000 биткойнов, украденных из криптовалюты. обмен Bitfinex в 2016 году. Большинство этих монет были перемещены с адресов Bitfinex в блокчейне Биткойн в кошелек, обозначенный IRS как 1CGa4s, предположительно контролируемый Лихтенштейном. В конечном итоге федеральные следователи нашли ключи от этого кошелька в одной из учетных записей облачного хранилища Лихтенштейна, а также логины для многочисленных бирж криптовалют, которые он использовал.
Что было удивительно в этом случае, так это длинный список методов запутывания».
- АРИ РЕДБОРД, TRM LABS
Но чтобы добраться до точки идентификации Лихстенштейна — вместе с его женой Морган — и найти эту облачную учетную запись, IRS-CI проследил два ветвящихся пути, по которым прошли 25 000 биткойнов, которые переместились из кошелька 1CGa4s через блокчейн Биткойн. Одна из этих ветвей попала в коллекцию кошельков, размещенных на рынке даркнета AlphaBay, разработанных таким образом, чтобы быть непроницаемыми для следователей правоохранительных органов.
Другая, по-видимому, была преобразована в monero, криптовалюту, предназначенную для сокрытия следов средств в ее блокчейне путем смешивания платежей нескольких пользователей monero.— как реальных транзакций, так и искусственно сгенерированных — и сокрытия их стоимости. Тем не менее, IRS утверждает, что каким-то образом идентифицировала Лихтенштейна и Моргана, отследив обе эти ветви фондов до набора учетных записей обмена криптовалютами на их имена, а также на имена трех принадлежащих им компаний, известных как Demandpath, Endpass и Salesfolk.
Налоговое управление США не совсем объяснило, как его следователи победили эти два различных метода запутывания. Но подсказки в судебном документе — и анализ дела другими экспертами по анализу блокчейна — позволяют предположить некоторые вероятные теории.
Судя по всему, Лихтенштейн и Морган намеревались использовать Alphabay в качестве «микшера» или «тумблера», сервиса криптовалюты, который принимает монеты пользователя и возвращает разные монеты, чтобы предотвратить отслеживание цепочки блоков. В апреле 2016 года AlphaBay объявила, что предлагает эту функцию своим пользователям по умолчанию. «Теперь AlphaBay можно безопасно использовать как стакан для монет!» прочитайте сообщение от одного из его администраторов. «Внесение депозита, а затем снятие средств — теперь способ обрушить ваши монеты и разорвать связь с источником ваших средств».
Однако в июле 2017 года — через шесть месяцев после того, как IRS заявила, что Лихтенштейн перевел часть монет Bitfinex в кошельки AlphaBay — ФБР, Управление по борьбе с наркотиками и тайская полиция арестовали администратора AlphaBay и конфисковали его сервер в центре обработки данных в Литве.. Этот захват сервера не упоминается в фактах IRS. Но данные на этом сервере, вероятно, позволили бы следователям реконструировать движение средств через кошельки AlphaBay и идентифицировать снятие средств Лихтенштейном, чтобы снова найти их след, говорит Том Робинсон, соучредитель фирмы по отслеживанию криптовалюты Elliptic. «Данные, которые исследователи получили от AlphaBay, являются ключом ко всему этому», — говорит Робинсон. По данным IRS, вывод средств из AlphaBay в конечном итоге был отслежен посредством многочисленных перемещений по блокчейну до набора учетных записей на биржах криптовалюты, некоторые из которых контролировались Лихтенштейном и Морганом.
Следователи IRS говорят, что другая ветвь средств из кошелька 1CGa4s Лихтенштейна была отмыта с помощью «перехода по цепочке», но они лишь частично описывают, как работало это запутывание, не говоря уже о том, как IRS победил его. Одна диаграмма в заявлении фактов IRS показывает набор биткойнов, перемещающихся из кошелька 1CGa4s на два счета на неназванной бирже криптовалют. Однако эти две учетные записи, зарегистрированные на русские имена и адреса электронной почты, полностью финансировались за счет монеро, а не биткойнов, сообщает IRS. (Оба аккаунта в конечном итоге были заморожены после того, как биржа потребовала от владельцев аккаунтов дополнительную идентифицирующую информацию, а они не предоставили ее. Но к тому времени большая часть монеро была конвертирована в биткойны и выведена.)
В объяснении IRS не упоминается, в какой момент деньги в биткойн-кошельке Лихтенштейна были конвертированы в монеро, которые позже появились на этих двух биржевых счетах. И, что более важно, в нем не говорится, как следователи продолжали следить за криптовалютой, несмотря на функции Monero, предназначенные для предотвращения этого отслеживания — подвиг крипто-отслеживания, который никогда ранее не был задокументирован в уголовном деле.
ПРЕДОСТАВЛЕНО МИНИСТЕРСТВОМ ЮСТИЦИИ
Возможно, следователи IRS на самом деле не отслеживали monero, чтобы установить эту связь, отмечает Мэтт Грин, криптограф из Университета Джона Хопкинса и один из соавторов ориентированной на конфиденциальность криптовалюты Zcash. Они могли найти другие доказательства связи в одной из записей ответчика, так же как они нашли другие компрометирующие файлы в учетной записи облачного хранилища Лихтенштейна, хотя в изложении фактов IRS такие доказательства не упоминаются.
Или они могут просто сделать предположение, не подкрепленное доказательствами, хотя это не обычная практика для федеральных агентств, ведущих судебное преследование по громкому уголовному делу, которое готовилось годами. «Третья возможность, которую я определенно не исключаю, заключается в том, что у них есть какие-то возможности отслеживания, которые они не раскрывают в этой жалобе»,
Уже давно предполагалось, что отслеживание monero теоретически возможно. Исследование, проведенное в 2017 году одной группой исследователей , показало, что во многих случаях они могут использовать подсказки, такие как возраст монет в транзакции Monero, чтобы определить, кто какие монеты переместил, хотя впоследствии Monero обновила свои функции конфиденциальности, чтобы сделать это намного сложнее.
Фирма по отслеживанию криптовалюты Chainalysis, которая считает IRS своим клиентом, в частном порядке рекламировала свои собственные секретные методы отслеживания monero. В прошлом году хакеры слили в итальянскую полицию презентацию, в которой Chainalysis утверждала, что может предоставить «полезную информацию» в 65% случаев отслеживания монеро.
Еще в 20% случаев он мог определить отправителя транзакции, но не ее получателя. «Во многих случаях результаты могут быть доказаны далеко за пределами разумных сомнений», — говорится в просочившейся презентации на итальянском языке, хотя и предупреждается, что «анализ носит статистический характер, и поэтому любой результат имеет связанный с ним уровень достоверности».
Отдел уголовных расследований IRS отказался комментировать дело Bitfinex, кроме опубликованных им общедоступных документов, а Chainalysis отказалась сообщить, было ли это частью расследования, не говоря уже о том, помогло ли это IRS отследить монеро.
«Если эти аналитические фирмы не работают над монетами с повышенной анонимностью, то они не выполняют свою работу», — говорит Грин. «И я думаю, мы должны предположить, что они рассматривают эти системы и, вероятно, добились определенного успеха».
Невысказанное послание Лихтенштейнам и Морганам всего мира: даже если ваши рэп-видео и неаккуратные учетные записи в облачных хранилищах не поймают вас, ваши хитрые уловки по отмыванию денег все равно не спасут вас от постоянно развивающейся изощренности крипто-трейсеров правоохранительных органов. .
Источник: https://www.wired.com/