Gli hack Criptovaluta di solito fanno notizia. Così come gli arresti dei presunti autori. crisi recente di circa 3,6 miliardi di dollari in Bitcoin insieme al arresto molto pubblicizzato L'accusa di due individui legati all'attacco del 2016 al exchange di Cripto Bitfinex da parte di funzionari federali è solo ONE esempio.

L'analisi Cripto ha svolto un ruolo chiave nell'aiutare i funzionari federali a identificare i presunti riciclatori di Bitfinex. In un altro caso, l'analisi della blockchain potrebbe aver aiutato a ripulire i nomi di due sospettati in un hack di exchange.

Nel novembre 2020, due sviluppatori di software venezuelani, José Manuel Osorio Mendoza e Kelvin Jonathan Diaz, sono stati arrestati dalle autorità locali perché sospettati di aver rubato circa 1 milione di dollari in Bitcoin da un exchange Criptovaluta locale chiamato Bancar.

Mendoza e Diaz hanno sostenuto la loro innocenza, ma hanno espresso dubbi sulla loro capacità di dimostrarlo in tribunale.

"C'è molta ignoranza tecnologica nel mio Paese, nonostante sia un'economia aperta alle Cripto ... Anche se lavoravamo in un'azienda Tecnologie , avevamo dubbi su come avremmo potuto spiegare qualcosa di così nuovo e così difficile da capire" ha detto Mendoza a un giudice locale.

Al momento della loro detenzione, Mendoza e Diaz lavoravano pressoPOSIZIONE, una società venezuelana di sviluppo software che in precedenza aveva fornito servizi a Bancar. Desideroso di riabilitare i nomi della sua azienda e dei suoi colleghi, Danny Penagos, direttore operativo di POSINT, ha assunto la società di analisi blockchain CipherBlade per indagare in modo indipendente sull'attacco a Bancar.

Il rapporto risultante di CipherBlade, esaminato da CoinDesk, racconta una storia complessa di vulnerabilità della sicurezza e capri espiatori durante il tracciamento dei fondi rubati da Bancar attraverso recentemente inserito nella lista nera Suex.io fino in Russia. Il rapporto mostra che i Bitcoin rubati sono finiti sul principale exchange di asset digitali Binance.

La corte venezuelana ha accettato di dare un'occhiata al rapporto di CipherBlade. Sulla base dei risultati dell'indagine, a gennaio 2021, più di un mese dopo la detenzione del duo di sviluppatori, la corte ha concesso a Mendoza e Diaz la libertà condizionata. Ad agosto 2021, la corte ha ufficialmente archiviato tutte le accuse contro di loro, secondo un documento ufficiale ottenuto da CoinDesk.

Mentre i volumi di transazioni Cripto illecite caduto di oltre la metà dal 2019 al 2020, è ancora un mercato multimiliardario. E la domanda di servizi di intelligence blockchain per tracciare le transazioni illecite è in forte espansione. La società di intelligence blockchain Chainalysis ha un fatturato multimilionario contratticon il governo degli Stati Uniti e, lo scorso settembre, il gigante dei pagamenti globali Mastercardha accettato di acquistareCipherTrace, un'azienda che analizza le blockchain per rilevare attività illecite.

Continua a leggere: Funzionari statunitensi sequestrano 3,6 miliardi di dollari in Bitcoin dall'attacco informatico a Bitfinex del 2016

Miguel Alonso Torres, investigatore senior presso CipherBlade (da non confondere con l'acquisizione di Mastercard), ha affermato che il suo studio si occupa di una vasta gamma di casi, dagli attacchi informatici ai furti, fino all'occasionale caso di divorzio in cui si sospetta che un coniuge non abbia rivelato l'ammontare totale dei propri averi in Cripto .

Ma scagionare due sospettati è stata una prima volta per Torres.

"Avere qualcuno in prigione e a cui viene chiesto di indagare su un hackeraggio solo per poter dimostrare alla corte che era effettivamente innocente, è assolutamente unico. Non ho mai avuto un caso come ONE", ha detto Torres.

L'hacking dello scambio

Tutto ebbe inizio quando Bancar assunse POSINT nel 2018 per aiutarla a sviluppare il suo exchange Criptovaluta .

Nel 2018, il presidente del Venezuela, Nicolas Maduro, ha lanciato ilpetrolio, la controversa valuta digitale emessa dal governo del paese, sostenuta da una parte delle riserve petrolifere del Venezuela. Le sue tattiche aggressive per forzare l'adozione del petro spaziavano daordinazioneun certo numero di aziende statali convertiranno una parte delle loro vendite in petrolio, secondo quanto riferitorichiedentecittadini di pagare i nuovi passaporti con il petrolio.

Nell'ottobre 2018, i media locali hanno iniziato arapporto che Maduro aveva approvato sei exchange Criptovaluta locali per vendere petro. Secondo i resoconti, Bancar era ONE dei sei exchange approvati da Maduro. Penagos ha affermato che in seguito all'approvazione di Bancar, POSINT è stata assunta per sviluppare la piattaforma di trading dell'azienda. Ha aggiunto che dopo aver completato il lavoro, POSINT ha consegnato il codice sorgente a Bancar.

Bancar T ha risposto alle numerose richieste di commento.

Un anno dopo, 103,99 BTC per un valore di circa 1 milione di $ sono scomparsi dall'exchange Bancar in un attacco informatico, secondo il rapporto CipherBlade. Il Bitcoin è stato rubato in cinque transazioni separate avvenute in due giorni diversi: tre transazioni il 4 settembre 2019 e il resto il 7 settembre 2019.

Secondo Penagos, Bancar ha immediatamente sospettato del furto POSINT, la società che aveva creato il software che Bancar stava utilizzando. Penagos, nel frattempo, ha eseguito una semplice traccia e ha scoperto che i Bitcoin rubati erano finiti su Binance.

"Penso che un aggressore professionista o un hacker non depositerebbe quella quantità di denaro in un grande exchange come Binance", ha affermato Penagos.

Penagos afferma di aver avvisato Bancar via e-mail e di aver chiesto di valutare l'assunzione di CipherBlade per indagare sull'attacco informatico o di contattare Binance per provare a recuperare i fondi.

Continua a leggere: Strumenti di analisi Cripto "L'onda del futuro, amico", il giudice cita un film cult nel caso di sequestro Bitcoin da 3,6 miliardi di dollari

Poi, un anno dopo, nel dicembre 2020, i media locali hanno riferito che le autorità venezuelane avevano arrestato Mendoza e Diaz come sospettati dell'attacco. All'epoca, Mendoza era il direttore Tecnologie di POSINT e Diaz era uno sviluppatore senior dell'azienda, ha detto Penagos.

"Eravamo confusi", ha detto Diaz, ricordando i primi giorni in cui è stato detenuto.

Notizie locali e siti internazionali di notizie Cripto hanno pubblicato articoli sulla loro detenzione.

"Dopo aver eluso la sicurezza della piattaforma, [Mendoza e Diaz] avrebbero proceduto a effettuare trasferimenti Bitcoin e fiat su vari conti a loro associati", ha affermato la piattaforma di notizie Cripto Decifrare ha scritto.

Nel frattempo, Mendoza e Diaz T sapevano come dimostrare la loro innocenza.

"Mentre eravamo detenuti, i dubbi continuavano ad aumentare", ha detto Mendoza.

Tutto quello che POSINT doveva fare era dimostrare che i due T potevano aver rubato i fondi, ma T era facile.

"La Criptovaluta è straordinariamente trasparente poiché tutte le transazioni vengono registrate su un registro blockchain pubblico, immutabile e permanente", ha affermato in un'e-mail Gurvais Grigg, responsabile Tecnologie del settore pubblico globale presso Chainalysis. "La sfida è che la blockchain non è leggibile dagli esseri umani. È difficile sapere quali servizi sono dietro le transazioni sulla blockchain perché sono pseudonimi".

Dopo che i suoi colleghi sono stati arrestati, Penagos ha detto di aver provato a contattare Binance personalmente, ma non ha ricevuto risposta. Non riuscendoci, si è infine rivolto a CipherBlade.

"Quando sono iniziate le indagini, finalmente abbiamo iniziato a sentirci rilassati", ha detto Mendoza.

Tracciamento del FLOW di fondi

Nel giro di un mese dall'inizio delle indagini, CipherBlade è riuscita a tracciare in modo molto dettagliato la traiettoria dei fondi Bancar rubati.

"Quando si esamina il FLOW di fondi, si scopre che alcune tecniche di offuscamento T sono state eseguite particolarmente bene", ha affermato Paul Sibenik, responsabile dei casi presso CipherBlade.

Una volta che i 103,99 BTC sono stati sottratti allo scambio in cinque transazioni separate, il colpevole ha depositato i Bitcoin rubati in due indirizzi, ovvero posizioni virtuali contrassegnate da una stringa di numeri e lettere in cui è possibile inviare Bitcoin .

Quindi, i Bitcoin rubati sono confluiti in un indirizzo su Binance: 1ECeZBxCVJ8Wm2JSN3Cyc6rge2gnvD3W5K.

Ma qualcosa T tornava.

"Inizialmente abbiamo visto che tutti i fondi andavano a Binance", ha detto Sibenik. "Ma potevamo dire che l'indirizzo a cui andavano i fondi non era un account personale su Binance che apparteneva all'hacker. Era un qualche tipo di servizio".

Secondo il rapporto di CipherBlade, Binance ha informato gli investigatori che l'indirizzo era associato aSuex.io, una società con sede a Mosca che offriva servizi di trading over-the-counter (OTC).

Ciò significa che i Bitcoin rubati a Bancar sono finiti prima in due indirizzi appartenenti al criminale, e il criminale ha poi utilizzato Suex.io per convertire il Bitcoin in un altro asset. In altre parole, l'autore ha utilizzato Suex.ioIl servizio OTC per riciclare i Bitcoin rubati. Suex.io quindi ha inviato i Bitcoin rubati al suo conto su Binance.

CipherBlade ha provato a Request informazioni da Suex.io Ma Sibenik e Torres hanno affermato che l'azienda russa T è collaborativa.

“La prima cosa è che chiunque fosse un potenziale cliente diSuex.io all'epoca sapevano di T avere alcun requisito", ha detto Torres. "T gli importava con chi avevano a che fare o da dove provenissero i fondi. Rispetto molto lo pseudonimato e la Privacy , ma ci sono anche valori etici. Questo caso è stato critico. C'erano due persone in prigione".

Secondo il rapporto, Binance ha aiutato CipherBlade a colmare le lacune inviando una Request sulla fonte dei fondi a Suex.ioUn exchange Cripto può fare una Request del genere ai clienti, chiedendo loro di spiegare l'origine del denaro o degli asset depositati sulla piattaforma.

Le informazioni eventualmente condivise daSuex.ioha permesso a CipherBlade di recuperare tutto, dall'indirizzo IP (Internet Protocol) del colpevole al suo handle Telegram, al provider di servizi Internet e al browser web. Tutte le informazioni puntavano a un cittadino russo.

"Ci è diventato evidente che, in effetti, Mendoza e Diaz erano solo dei capri espiatori", ha detto Sibenik.

Nel frattempo, a settembre 2021,Suex.ioè diventato ilprimo scambio Criptovaluta essere sanzionatodall’Ufficio per il controllo dei beni esteri del Dipartimento del Tesoro degli Stati Uniti (L'OFAC), collocandolo nella stessa categoria dei terroristi e dei trafficanti di droga. È interessante notare che ilSuex.io l'indirizzo sulla piattaforma Binance era ONE degli indirizzi di valuta digitale segnalati nell'elenco delle sanzioni dell'OFAC. Suex.io T ha risposto alle molteplici richieste di commento.

Continua a leggere: Ecco cosa sappiamo di Suex, la prima società Cripto sanzionata dagli Stati Uniti

Binance ha confermato a CoinDesk di aver partecipato all'indagine di CipherBlade e di aver de-piattaformato l'account in questione in base a misure di sicurezza interne. Tuttavia, T ha specificato quando l'account è stato de-piattaformato.

"Analogamente alle banche e ad altre istituzioni finanziarie tradizionali, ogni volta che dei flussi illeciti passano attraverso gli exchange, l'exchange stesso non ospita i veri gruppi criminali, ma piuttosto viene sfruttato come intermediario", ha affermato un portavoce di Binance in una dichiarazione via e-mail.

Vulnerabilità di Exchange

Il rapporto di CipherBlade ha esaminato anche Bancar e ha trovato una serie di vulnerabilità che potrebbero aver esposto la piattaforma ad attacchi.

Per ONE, l'indagine di CipherBlade ha scoperto che ci sono più di 7.000 pagine web di spam su "<a href="http://bancarexchange.io​">​ http://bancarexchange.io</a>​ " che T sono state create da Bancar. Il rapporto di CipherBlade ha affermato (e CoinDesk ha confermato) che una semplice ricerca del sito web restituisce pagine che pubblicizzano di tutto, dalle spose russe al noleggio auto al ghostwriting.

Durante la sua indagine, CipherBlade ha anche scoperto che il certificato SSL della piattaforma, che autentica l'identità del sito web, era stato installato correttamente ma revocato a dicembre 2020, un anno dopo l'hacking. Una certificazione può essere revocata per una serie di motivi, tra cui segnali che le sue chiavi private sono state compromesse.

Continua a leggere: Il Bitcoin "congelato" legato alle proteste canadesi approda su Coinbase, Cripto.Com

Alla fine del rapporto, la società di intelligence delinea anche i potenziali passi che le autorità venezuelane potrebbero intraprendere per Seguici il colpevole e chiudere il caso. Non è chiaro se le autorità venezuelane stiano perseguendo l'individuo in questione. Ma CipherBlade è fiducioso.

"All'inizio non ero molto ottimista sul fatto che le autorità avrebbero preso in considerazione le nostre opinioni. Ma ovviamente lo hanno fatto", ha detto Sibenik.