Os hacks de Criptomoeda geralmente são notícia. Assim como as prisões de supostos perpetradores. convulsão recente de cerca de US$ 3,6 bilhões em Bitcoin , juntamente com o prisão altamente divulgada de dois indivíduos ligados a um ataque de 2016 à bolsa de Cripto Bitfinex por autoridades federais é apenas um exemplo.

A análise de Cripto teve um papel fundamental em ajudar autoridades federais a identificar os supostos lavadores da Bitfinex. Em outro caso, a análise de blockchain pode ter ajudado a limpar os nomes de dois suspeitos em um hack de exchange.

Em novembro de 2020, dois desenvolvedores de software venezuelanos, José Manuel Osorio Mendoza e Kelvin Jonathan Diaz, foram detidos pelas autoridades locais sob suspeita de roubar cerca de US$ 1 milhão em Bitcoin de uma bolsa de Criptomoeda local chamada Bancar.

Mendoza e Diaz mantiveram sua inocência, mas duvidaram que conseguiriam provar isso no tribunal.

“Há muita ignorância tecnológica no meu país, apesar de ser uma economia aberta à Cripto ... Mesmo que trabalhássemos em uma empresa de Tecnologia , sentíamos essa dúvida sobre como poderíamos explicar algo que era tão novo e tão difícil de entender” a um juiz local, disse Mendoza.

Na época da detenção, Mendoza e Diaz trabalhavam emPOSTO, uma empresa venezuelana de desenvolvimento de software que anteriormente havia prestado serviços ao Bancar. Ansioso para limpar os nomes de sua empresa e de seus colegas, Danny Penagos, diretor de operações da POSINT, contratou a empresa de análise de blockchain CipherBlade para investigar de forma independente o ataque ao Bancar.

O relatório resultante da CipherBlade, revisado pela CoinDesk, conta uma história complexa de vulnerabilidades de segurança e bodes expiatórios ao rastrear os fundos roubados do Bancar por meio de recentemente na lista negra Suex.io todo o caminho até a Rússia. O relatório mostra que o Bitcoin roubado eventualmente acabou na principal exchange de ativos digitais Binance.

O tribunal venezuelano concordou em dar uma olhada no relatório da CipherBlade. Com base nas descobertas da investigação, em janeiro de 2021, mais de um mês após a dupla de desenvolvedores ter sido detida, o tribunal concedeu liberdade condicional a Mendoza e Diaz. Em agosto de 2021, o tribunal rejeitou oficialmente todas as acusações contra eles, de acordo com um documento oficial obtido pela CoinDesk.

Embora os volumes de transações Cripto ilícitas caiu em mais da metade de 2019 a 2020, ainda é um mercado multibilionário. E a demanda por serviços de inteligência de blockchain para rastrear transações ilícitas está crescendo. A empresa de inteligência de blockchain Chainalysis tem contratoscom o governo dos EUA e, em setembro passado, a gigante global de pagamentos Mastercardconcordou em comprarCipherTrace, uma empresa que verifica blockchains em busca de atividades ilícitas.

Leia Mais: Autoridades dos EUA apreendem US$ 3,6 bilhões em Bitcoin do hack da Bitfinex em 2016

Miguel Alonso Torres, investigador sênior da CipherBlade (não confundir com a aquisição da Mastercard), disse que sua empresa trabalha em uma variedade de casos, desde hacks e roubos até casos ocasionais de divórcio em que um cônjuge era suspeito de não revelar seus ativos totais em Cripto .

Mas inocentar dois suspeitos foi uma novidade para Torres.

“Ter alguém na prisão e ser solicitado a investigar um hack apenas para poder provar ao tribunal que ele era de fato inocente, isso é absolutamente único. Nunca tive um caso como ONE”, disse Torres.

O hack de troca

Tudo começou quando o Bancar contratou a POSINT em 2018 para ajudar a construir sua exchange de Criptomoeda .

Em 2018, o presidente da Venezuela, Nicolás Maduro, lançou opetróleo, a controversa moeda digital emitida pelo governo do país, apoiada por uma parte das reservas de petróleo da Venezuela. Suas táticas agressivas para forçar a adoção do petro variaram deordenandovárias empresas estatais converteram parte das suas vendas em petróleo, segundo constarequerendocidadãos a pagar por novos passaportes com petro.

Em outubro de 2018, os meios de comunicação locais começaram arelatório que Maduro havia aprovado seis exchanges locais de Criptomoeda para vender petro. De acordo com os relatórios, Bancar foi uma das seis exchanges aprovadas por Maduro. Penagos disse que após a aprovação de Bancar, a POSINT foi contratada para construir a plataforma de negociação da empresa. Ele acrescentou que após concluir o trabalho, a POSINT entregou o código-fonte para Bancar.

Bancar T respondeu a vários pedidos de comentário.

Um ano depois, 103,99 BTC , no valor de cerca de US$ 1 milhão, desapareceram da bolsa Bancar em um ataque cibernético, de acordo com o relatório da CipherBlade. O Bitcoin foi roubado em cinco transações separadas que ocorreram em dois dias diferentes — três transações em 4 de setembro de 2019 e o restante em 7 de setembro de 2019.

De acordo com Penagos, Bancar imediatamente suspeitou da POSINT, a empresa que havia construído o software que Bancar estava usando, do roubo. Penagos, enquanto isso, executou um rastreamento simples e descobriu que o Bitcoin roubado tinha acabado na Binance.

“Acho que um invasor ou hacker profissional não depositaria essa quantia de dinheiro em uma grande bolsa como a Binance”, disse Penagos.

Penagos diz que notificou o Bancar por e-mail e pediu que considerasse contratar a CipherBlade para investigar o hack ou entrar em contato com a Binance para tentar recuperar os fundos.

Leia Mais: Ferramentas de análise de Cripto 'Onda do futuro, cara', juiz cita filme cult em caso de apreensão de Bitcoin de US$ 3,6 bilhões

Então, um ano depois, em dezembro de 2020, a mídia local relatou que as autoridades venezuelanas haviam detido Mendoza e Diaz como suspeitos por trás do ataque. Na época, Mendoza era o diretor de Tecnologia da POSINT e Diaz era um desenvolvedor sênior na empresa, disse Penagos.

“Ficamos confusos”, disse Diaz, relembrando os primeiros dias em que foi detido.

Meios de comunicação locais e sites internacionais de notícias sobre Cripto publicaram histórias sobre sua detenção.

“Após contornar a segurança da plataforma, [Mendoza e Diaz] supostamente procederam a transferências de Bitcoin e fiduciárias para várias contas associadas a eles”, plataforma de notícias sobre Cripto Decifrar escreveu.

Enquanto isso, Mendoza e Diaz T tinham certeza de como provar sua inocência.

“Enquanto estávamos detidos, as dúvidas continuaram aumentando”, disse Mendoza.

Tudo o que a POSINT precisava fazer era provar que os dois T poderiam ter roubado os fundos, mas isso T foi fácil.

“A Criptomoeda é excepcionalmente transparente, pois todas as transações são registradas em um livro-razão público, imutável e permanente do blockchain", disse Gurvais Grigg, diretor de Tecnologia do setor público global da Chainalysis, em um e-mail. "O desafio é que o blockchain não é legível por humanos. É difícil saber quais serviços estão por trás das transações no blockchain porque eles são pseudônimos."

Após seus colegas serem detidos, Penagos disse que tentou contatar a Binance pessoalmente, mas não recebeu resposta. Não conseguindo, ele finalmente recorreu à CipherBlade.

“Quando a investigação começou, finalmente começamos a nos sentir relaxados”, disse Mendoza.

Acompanhamento do FLOW de fundos

Um mês após o início da investigação, a CipherBlade conseguiu mapear a trajetória dos fundos roubados do Bancar em detalhes consideráveis.

“Quando você analisa o FLOW de fundos, você sabe que houve algumas técnicas de ofuscação que T foram executadas particularmente bem”, disse Paul Sibenik, gerente de caso líder na CipherBlade.

Depois que os 103,99 BTC foram retirados da bolsa em cinco transações separadas, o criminoso depositou o Bitcoin roubado em dois endereços, ou locais virtuais indicados por uma sequência de números e letras para onde o Bitcoin pode ser enviado.

Então, o Bitcoin roubado eventualmente convergiu para um endereço na Binance: 1ECeZBxCVJ8Wm2JSN3Cyc6rge2gnvD3W5K.

Mas alguma coisa T estava batendo.

“Inicialmente, vimos todos os fundos indo para a Binance", disse Sibenik. "Mas pudemos dizer que o endereço para onde os fundos foram não era uma conta pessoal na Binance que pertencia ao hacker. Era algum tipo de serviço."

De acordo com o relatório da CipherBlade, a Binance informou aos investigadores que o endereço estava associado aSuex.io, uma empresa sediada em Moscou que oferecia serviços de negociação de balcão (OTC).

Isso significa que o Bitcoin roubado de Bancar foi parar primeiro em dois endereços pertencentes ao autor do crime, e o autor então usou Suex.io para converter o Bitcoin em outro ativo. Em outras palavras, o perpetrador usou Suex.ioServiço OTC da 's para lavar o Bitcoin roubado. Suex.io então enviou o Bitcoin roubado para sua conta na Binance.

CipherBlade tentou Request informações de Suex.io mas Sibenik e Torres disseram que a empresa russa T estava cooperativa.

“A primeira coisa é que qualquer pessoa que fosse um cliente potencial deSuex.io na época sabiam que T tinham requisitos nenhum", disse Torres. "Eles T se importavam com quem estavam lidando ou de onde vinham os fundos. Respeito muito o pseudonimato e a Política de Privacidade , mas também há valores éticos. Este caso foi crítico. Havia duas pessoas na prisão."

De acordo com o relatório, a Binance ajudou a CipherBlade a preencher as lacunas fazendo uma Request de fonte de fundos para Suex.io. Uma exchange de Cripto pode fazer tal Request aos clientes, pedindo que eles expliquem a origem do dinheiro ou dos ativos depositados na plataforma.

As informações eventualmente compartilhadas porSuex.iopermitiu que a CipherBlade recuperasse tudo, do endereço de protocolo de internet (IP) do perpetrador até seu identificador do Telegram, provedor de serviços de internet e navegador da web. Todas as informações apontavam para um cidadão russo.

“Ficou evidente para nós que, de fato, Mendoza e Diaz estavam apenas sendo usados como bodes expiatórios”, disse Sibenik.

Enquanto isso, em setembro de 2021,Suex.iotornou-se oprimeira troca de Criptomoeda ser sancionadopelo Gabinete de Controlo de Activos Estrangeiros do Departamento do Tesouro dos EUA (OFAC), colocando-o na mesma categoria dos terroristas e dos traficantes de drogas. Curiosamente, oSuex.io endereço na plataforma Binance foi um dos endereços de moeda digital sinalizados na lista de sanções do OFAC. Suex.io T respondeu a vários pedidos de comentário.

Leia Mais: Aqui está o que sabemos sobre a Suex, a primeira empresa de Cripto sancionada pelos EUA

A Binance confirmou ao CoinDesk que participou da investigação da CipherBlade e que havia desplataforma a conta em questão com base em salvaguardas internas. No entanto, T especificou quando a conta foi desplataformada.

“Da mesma forma que acontece com bancos e outras instituições financeiras tradicionais, sempre que qualquer fluxo ilícito passa por bolsas, a bolsa em si não está abrigando os grupos criminosos reais, mas sim sendo explorada como intermediária”, disse um porta-voz da Binance em uma declaração por e-mail.

Vulnerabilidades de troca

O relatório da CipherBlade também analisou o Bancar e encontrou uma série de vulnerabilidades que podem ter exposto a plataforma a ataques.

Para ONE, a investigação da CipherBlade descobriu que há mais de 7.000 páginas da web de spam em "<a href="http://bancarexchange.io​">​ http://bancarexchange.io</a>​ " que T foram criadas pelo Bancar. O relatório da CipherBlade disse (e a CoinDesk confirmou) que uma simples busca pelo site retorna páginas anunciando de tudo, de noivas russas a aluguel de carros e ghostwriting.

Durante sua investigação, a CipherBlade também descobriu que o certificado SSL da plataforma, que autentica a identidade do site, havia sido instalado corretamente, mas revogado em dezembro de 2020, um ano após o hack. Uma certificação pode ser revogada por vários motivos, incluindo sinais de que suas chaves privadas foram comprometidas.

Leia Mais: Bitcoin 'congelado' vinculado a protestos canadenses chega à Coinbase e Cripto.Com

No final do relatório, a empresa de inteligência também descreve medidas potenciais que as autoridades venezuelanas poderiam tomar para Siga o culpado e encerrar o caso. Não está claro se as autoridades venezuelanas estão perseguindo o indivíduo em questão. Mas a CipherBlade está esperançosa.

“Eu não estava super otimista no começo de que as autoridades levariam nossas opiniões em consideração. Mas elas obviamente levaram”, disse Sibenik.