Зломи Криптовалюта зазвичай стають новинами. Так само й арешти ймовірних злочинців. The недавній напад Bitcoin на суму близько 3,6 мільярда доларів разом із широко розголошений арешт двох осіб, причетних до атаки федеральних чиновників на Крипто Bitfinex у 2016 році, є лише ONE із прикладів.

Крипто зіграла ключову роль у допомозі федеральним чиновникам ідентифікувати ймовірних відмивачів Bitfinex. В іншому випадку аналіз блокчейну міг допомогти очистити імена двох підозрюваних у зламі біржі.

У листопаді 2020 року два венесуельські розробники програмного забезпечення, Хосе Мануель Осоріо Мендоза та Кельвін Джонатан Діас, були затримані місцевою владою за підозрою в крадіжці Bitcoin на суму близько 1 мільйона доларів з місцевої біржі Криптовалюта під назвою Bancar.

Мендоса та Діас наполягали на своїй невинності, але сумнівалися, що зможуть довести це в суді.

«У моїй країні багато технологічного невігластва, незважаючи на те, що економіка відкрита для Крипто … Незважаючи на те, що ми працювали на Технології підприємстві, ми відчували сумнів щодо того, як ми можемо пояснити щось таке нове і таке важке для розуміння» місцевому судді», — сказав Мендоза.

На момент затримання Мендоса і Діас працювали в ПОЗИЦІЯ, венесуельська компанія з розробки програмного забезпечення, яка раніше надавала послуги Bancar. Бажаючи очистити імена своєї компанії та колег, Денні Пенагос, операційний директор POSINT, найняв аналітичну компанію блокчейну CipherBlade для незалежного розслідування атаки на Bancar.

Кінцевий звіт CipherBlade, розглянутий CoinDesk, розповідає складну історію вразливостей системи безпеки та пошуків козлів відпущення під час відстеження вкрадених коштів із Bancar через нещодавно в чорному списку Suex.io аж до Росії. Звіт показує, що вкрадені Bitcoin в кінцевому підсумку опинилися на провідній біржі цифрових активів Binance.

Венесуельський суд погодився ознайомитися зі звітом CipherBlade. За результатами слідства, у січні 2021 року, через місяць після затримання дуету розробників, суд надав Мендозі та Діасу умовну свободу. Згідно з офіційним документом, отриманим CoinDesk, у серпні 2021 року суд офіційно зняв усі звинувачення проти них.

Тоді як обсяги незаконних Крипто транзакцій впав більш ніж наполовину з 2019 по 2020 рік, це все ще багатомільярдний ринок. І попит на розвідувальні служби блокчейну для відстеження незаконних транзакцій стрімко зростає. Фірма Chainalysis , що займається розвідкою блокчейнів, має багатомільйонний капітал контракти з урядом США, а у вересні минулого року глобальний платіжний гігант Mastercard домовилися купити CipherTrace, фірма, яка сканує блокчейни на наявність незаконної діяльності.

Читайте також: Офіційні особи США конфіскували Bitcoin на суму 3,6 мільярда доларів після злому Bitfinex у 2016 році

Мігель Алонсо Торрес, старший слідчий у CipherBlade (не плутати з придбанням Mastercard), сказав, що його фірма працює над низкою випадків, починаючи від зломів і крадіжок і закінчуючи випадковими справами про розлучення, коли подружжя підозрювали в нерозкритті своїх Крипто активів.

Але звільнення двох підозрюваних було першим для Торреса.

"Коли хтось перебуває у в'язниці і його просять розслідувати хакерство, щоб мати можливість довести суду, що він насправді невинний, це абсолютно унікально. Я ніколи не мав ONE випадку", - сказав Торрес.

Злом біржі

Все почалося з того, що Bancar найняв POSINT у 2018 році, щоб допомогти створити свою Криптовалюта біржу.

У 2018 році президент Венесуели Ніколас Мадуро запустив petro, суперечлива державна цифрова валюта країни, забезпечена частиною нафтових запасів Венесуели. Його агресивна тактика, щоб змусити Петро усиновити варіювалася від замовлення Як повідомляється, низка державних компаній перетворить частину своїх продажів на нафту вимагаючи громадяни платять за нові паспорти петро.

У жовтні 2018 року місцеві ЗМІ почали звіт що Мадуро схвалив шість місцевих бірж Криптовалюта для продажу нафти. Згідно з повідомленнями, Bancar був ONE із шести обмінів, схвалених Мадуро. Penagos сказав, що після схвалення Bancar POSINT було найнято для створення торгової платформи фірми. Він додав, що після завершення роботи POSINT передала Bancar вихідний код.

Bancar T відповів на численні запити про коментарі.

Згідно зі звітом CipherBlade, через рік 103,99 BTC вартістю близько $1 мільйона зникли з біржі Bancar в результаті кібератаки. Bitcoin було вкрадено в п’яти окремих транзакціях, які відбулися в два різні дні – три транзакції 4 вересня 2019 року, а решта – 7 вересня 2019 року.

За словами Пенагоса, Банкар одразу запідозрив у крадіжці POSINT, компанію, яка розробила програмне забезпечення, яке використовував Банкар. Penagos тим часом провів просте відстеження та виявив, що вкрадені Bitcoin опинилися на Binance.

«Я думаю, що професійний зловмисник або хакер не внесе таку суму грошей на велику біржу, як Binance», — сказав Пенагос.

Пенагос каже, що він повідомив Bancar електронною поштою та попросив розглянути можливість найняти CipherBlade для розслідування злому або зв’язатися з Binance, щоб спробувати повернути кошти.

Читайте також: Інструменти Крипто Analytics «Хвиля майбутнього, чувак», суддя цитує культовий фільм у справі про конфіскацію Bitcoin на суму 3,6 мільярда доларів

Потім, через рік, у грудні 2020 року, місцеві ЗМІ повідомили, що влада Венесуели затримала Мендосу та Діаса як підозрюваних у нападі. У той час Мендоза був головним Технології директором у POSINT, а Діаз був старшим розробником у компанії, сказав Пенагос.

«Ми були збентежені», — сказав Діас, згадуючи перші дні його затримання.

Місцеві новини і міжнародні Крипто новинні сайти опублікували статті про їхнє затримання.

«Після обходу системи безпеки платформи [Мендоса та Діас] нібито продовжили здійснювати перекази Bitcoin і фіатних грошей на різні пов’язані з ними облікові записи», — Крипто платформа новин. Розшифрувати написав.

Тим часом Мендоза та Діас T знали, як довести свою невинність.

«Поки нас затримували, сумніви зростали», — сказав Мендоза.

POSINT мав лише довести, що ці двоє T могли вкрасти кошти, але це було T .

«Криптовалюта є унікально прозорою, оскільки всі транзакції реєструються в загальнодоступній, незмінній, постійній книзі блокчейнів», — сказав Гурвейс Гріг, головний Технології директор глобального державного сектору в Chainalysis, в електронному листі. «Проблема полягає в тому, що блокчейн не читається людиною. Важко знати, які сервіси стоять за транзакціями в блокчейні, оскільки вони псевдонімні».

Після затримання його колег Пенагос сказав, що сам намагався зв’язатися з Binance, але не отримав відповіді. Оскільки це не вдалося, він нарешті звернувся до CipherBlade.

«Коли почалося розслідування, ми нарешті розслабилися», — сказав Мендоса.

Відстеження FLOW коштів

Протягом місяця після початку розслідування CipherBlade зміг досить детально намітити траєкторію викрадених коштів Bancar.

«Коли ви дивитеся на FLOW коштів, ви знаєте, що були деякі методи обфускації, які T були виконані особливо добре», — сказав Пол Сібенік, провідний менеджер із справ у CipherBlade.

Після того, як 103,99 BTC було вилучено з біржі п’ятьма окремими транзакціями, зловмисник передав вкрадені Bitcoin двом адресиабо віртуальні місця, позначені рядком цифр і літер, куди можна надіслати Bitcoin .

Потім вкрадений Bitcoin зрештою перейшов на адресу Binance: 1ECeZBxCVJ8Wm2JSN3Cyc6rge2gnvD3W5K.

Але щось T йшло.

«Спочатку ми бачили, що всі кошти йдуть на Binance», — сказав Шибеник. «Але ми могли сказати, що адреса, на яку пішли кошти, не була особистим обліковим записом у Binance, який належав хакеру. Це був якийсь тип послуги».

Згідно зі звітом CipherBlade, Binance повідомила слідчим, що адреса була пов’язана з Suex.io, московська фірма, яка пропонувала послуги позабіржової торгівлі.

Це означало, що викрадений Bancar Bitcoin спочатку опинився на двох адресах, які належали зловмиснику, а потім зловмисник використав Suex.io конвертувати Bitcoin в інший актив. Іншими словами, злочинець використав Suex.ioпозабіржовий сервіс для відмивання вкрадених Bitcoin. Suex.io потім відправив вкрадені Bitcoin на свій рахунок у Binance.

CipherBlade намагався Request інформацію від Suex.io але Шибенік і Торрес сказали, що російська фірма T співпрацює.

«По-перше, кожен, хто був потенційним клієнтом Suex.io у той час знали, що у них взагалі T вимог", - сказав Торрес. "Їм було T , з ким вони мають справу або звідки надходять кошти. Я дуже поважаю псевдонім і Політика конфіденційності , але є також етичні цінності. Цей випадок був критичним. У в’язниці було двоє».

Згідно зі звітом, Binance допоміг CipherBlade заповнити пробіли, зробивши Request джерела коштів до Suex.io. Крипто може надіслати такий Request клієнтам з проханням пояснити походження грошей або активів, розміщених на платформі.

Інформація, якою врешті-решт поділився Suex.io дозволив CipherBlade отримати все: від адреси інтернет-протоколу (IP) зловмисника до його ідентифікатора Telegram, інтернет-провайдера та веб-браузера. Вся інформація вказувала на громадянина Росії.

«Для нас стало очевидним, що Мендосу та Діаса справді просто вигадали», — сказав Шибенік.

Тим часом у вересні 2021 р. Suex.io став перша біржа Криптовалюта бути санкціоновано Управлінням контролю за іноземними активами Міністерства фінансів США (OFAC), ставлячи його в одну категорію з терористами та наркоторговцями. Цікаво, що Suex.io адреса на платформі Binance була ONE з адрес цифрової валюти, позначених у списку санкцій OFAC. Suex.io T відповів на численні запити про коментарі.

Читайте також: Ось що ми знаємо про Suex, першу Крипто , на яку США ввели санкції

Binance підтвердила CoinDesk , що брала участь у розслідуванні CipherBlade і брала участь деплатформований відповідного облікового запису на основі внутрішніх заходів безпеки. Однак T було зазначено, коли обліковий запис було деплатформено.

«Подібно до банків та інших традиційних фінансових установ, щоразу, коли будь-які незаконні потоки проходять через біржі, сама біржа не приховує справжні злочинні групи, а скоріше її використовують як посередника», — сказав представник Binance у заяві, надісланій електронною поштою.

Вразливості біржі

У звіті CipherBlade також було розглянуто Bancar і виявлено низку вразливостей, які могли піддати платформу атаці.

ONE, розслідування CipherBlade виявило, що на « <a href="http://bancarexchange.io​">http://bancarexchange.io</a> ​» є понад 7000 спам-сторінок, створених T Bancar. У звіті CipherBlade говориться (а CoinDesk підтвердив), що простий пошук на цьому веб-сайті повертає сторінки, які рекламують все: від російських наречених до оренди автомобілів і ghostwriting.

Під час розслідування CipherBlade також виявив, що SSL-сертифікат платформи, який засвідчує автентифікацію веб-сайту, був правильно встановлений, але відкликаний у грудні 2020 року, через рік після злому. Сертифікацію можна відкликати з кількох причин, у тому числі ознак того, що її приватні ключі зламано.

Читайте також: «Заморожений» Bitcoin , пов’язаний з протестами в Канаді, припадає на Coinbase, Крипто.Com

Наприкінці звіту розвідувальна фірма також описує можливі кроки, які може вжити венесуельська влада, щоб Соціальні мережі за злочинцем і закрити справу. Незрозуміло, чи влада Венесуели переслідує цю особу. Але CipherBlade вселяє надію.

"Спочатку я не був надто оптимістично налаштований щодо того, що влада візьме до уваги нашу думку. Але вони, очевидно, це зробили", - сказав Шибенік.