区块链技术资源分享
追寻中本聪先生的脚步

美国执法部门破获 2016 年 Bitfinex 被黑案件细节分析-洗钱罪和欺骗罪@慢雾@小灯冲冲冲@吴说Real

小灯冲冲冲
Bitfinex黑客Ilya Lichtenstein和Heather Morgan是因为洗钱罪和欺骗US ZF罪被诉。没有因为黑客行为本身被诉。US ZF最初要求1亿美元保释金,最后谈判到Lichtenstein 500万美元和Morgan 300万美元保释。所有电脑、手机被收走,发了翻盖手机和受监控的上网设备方便他们和律师联系。Lichtenstein在云盘上存储了一份电子表格,包含2000多个不同地址以及其对应的种子密语。(题外话,极不推荐这种存储方式,很容易丢币。)洗钱罪最高刑期20年,涉嫌洗钱资金2倍以内价值的罚款。欺骗US ZF罪最高刑期5年和/或罚款。照这来看,罚完了,不一定会有剩下的钱还给Bitfinex。

https://weibo.com/6434918630/LeHVi2Ans


慢雾:美国执法部门破获 2016 年 Bitfinex 被黑案件细节分析

当地时间周二(2 月 8 日)美国司法部(DOJ)发布公告称,它已经查获了价值 36 亿美元的比特币,这些比特币与 2016 年加密货币交易所 Bitfinex 的黑客事件有关。34 岁的 Ilya Lichtenstein 和其 31 岁的妻子 Heather Morgan 在纽约被捕,两人被指控共谋洗钱和诈骗罪。

美国司法部公告称,这是司法部有史以来最大规模的金融扣押,此次调查由 IRS-CI 华盛顿特区办事处的网络犯罪部门、联邦调查局(FBI)的芝加哥办事处和国土安全调查局(HSI)纽约办事处领导,德国安斯巴赫警察局在此次调查期间提供了协助。

事件背景

根据慢雾 AML 掌握的情报数据分析显示,Bitfinex 在 2016 年 8 月遭受网络攻击,有 2072 笔比特币交易在 Bitfinex 未授权的情况下转出,然后资金分散存储在 2072 个钱包地址中,统计显示 Bitfinex 共计损失 119,754.8121 BTC。事发当时价值约 6000 万美元,按今天的价格计算,被盗总额约为 45 亿美元。

慢雾 AML 曾于 2 月 1 日监测到 Bitfinex 被盗资金出现大额异动,后被证实该异动资金正是被司法部扣押了的 94,643.2984 BTC,约占被盗总额的 79%,目前这些资金保管在美国政府的钱包地址

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt 中。

图片

事件梳理

慢雾 AML 根据美国司法部公布的 statement_of_facts.pdf 文件进行梳理,将此案的关键要点和细节分享如下:

1、美国执法部门通过控制 Lichtenstein 的云盘账号,获取到了一份写着 2000 多个钱包地址和对应私钥的文件。该文件中的地址应该就是上文提到的 2072 个盗币黑客钱包地址,然后美国司法部才有能力扣押并将比特币集中转移到

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt 中。

图片

2、从 2017 年 1 月开始,被盗资金才开始转移,其通过剥离链(peel chain)技术,将被盗资金不断拆分、打散,然后进入了 7 个独立的 AlphaBay (暗网交易市场,2017 年 7 月被执法部门查封并关闭)平台账号进行混币,使 BTC 无法被轻易追踪。从结果看,使用 AlphaBay 进行混币的比特币约为 25000 BTC。

3、混币后,大部分资金被转入到 8 个在交易所-1(VCE 1)注册的账号,这些账号的邮箱都是用的同一家印度的邮箱服务提供商。除此之外,这 8 个账号使用过相同的登录 IP,并且都是在 2016 年 8 月左右注册的。更为致命的是,在 Lichtenstein 的云盘里有一份 Excel 表格,记录着这 8 个账号的各种信息,而且其中 6 个账号还被他标记为 FROZEN(被冻结)。美国司法部统计发现,交易所-1(VCE 1)里的 8 个账号共冻结着价值 18.6 万美元的资产。

4、混币后还有部分资金被转入到交易所-2(VCE 2)和一家美国的交易所(VCE 4),在这两家交易所上注册的账号,有些也是使用的上文提到的那一家印度的邮箱服务提供商。这些信息也是在上文提到的 Lichtenstein 的云盘中的 Excel 表格里发现的。通过 VCE 2 和 VCE 4,Lichtenstein 夫妇成功把 Bitfinex 被盗的 BTC 换成了法币,收入囊中。不过,他们在 VCE 4 上有 2 个用俄罗斯邮箱注册的账号,因为频繁充值 XMR(门罗币)而且无法说明资金来源,导致账号被平台封禁。美国司法部统计发现,上面冻结了价值约 15.5 万美元的资产。

图片5、在账号被冻结前,从交易所-1(VCE 1)提币的资金,大部分到了另一家美国的交易所(VCE 5)。在 Bitfinex 被盗前的 2015 年 1 月 13 日,Lichtenstein 在 VCE 5 交易所上用自己真实的身份和私人邮箱注册了账号并进行了 KYC 认证(实名认证)。在 VCE 5 交易所上,Lichtenstein 用 BTC 与平台上的商户购买了黄金,并快递到了自己真实的家庭住址。图片6、除了前面提到的 VCE 1、VCE 2、VCE 4、VCE 5 这几家交易所被他们用来洗钱,Lichtenstein 夫妇还注册了 VCE 7、VCE 8、VCE 9、VCE 10 等交易所(均为代号)用来洗钱。资金主要都是通过从 VCE 1 提币来的,不过在 VCE 7 - 10 这些交易所上注册的账号,都是用 Lichtenstein 夫妇的真实身份和他的公司(Endpass, Inc 和 SalesFolk LLC)来做 KYC 认证的。美国司法部统计发现,从 2017 年 3 月到 2021 年 10 月,Lichtenstein 夫妇在 VCE 7 上的 3 个账号共计收到了约 290 万美元等值的比特币资金。在这些交易所上,Lichtenstein 进一步通过买卖 altcoins(非主流币)、NFT 等方式来洗钱,并通过比特币 ATM 机器进行变现。

洗钱链路

图片

事件疑点

从 2016 年 8 月 Bitfinex 被盗,到现在过去了约 6 年的时间,在这期间美国执法部门是如何进行的深入调查,我们不得而知。通过公布的 statement_of_facts.pdf 文件内容我们可以发现,Lichtenstein 的云盘中存储着大量洗钱的账号和细节,相当于一本完美的“账本”,给执法部门认定犯罪事实提供了有力的支撑。

但是回过头全局来看,执法部门是怎么锁定 Lichtenstein 是嫌疑人的呢?

还有个细节是,美国司法部并没有控诉 Lichtenstein 夫妇涉嫌非法攻击 Bitfinex 并盗取资金。

最后一个疑问是,从 2016 年 8 月 Bitfinex 被盗,到 2017 年 1 月被盗资金开始转移,这其中的 5 个月时间发生了什么?真正攻击 Bitfinex 的盗币黑客又是谁?

参考资料:

https://www.justice.gov/opa/press-release/file/1470186/download

[signed] 22-mj-22 - Statement of Facts.pdf 

https://mp.weixin.qq.com/s/qN3f5Ji7Kimo-e5QDUwHyg

慢雾科技
微信号
SlowMist
功能介绍
慢雾科技是一家专注区块链生态安全的公司,成立于2018年初,总部位于厦门,主要通过“威胁发现到威胁防御一体化因地制宜的安全解决方案”服务了全球许多头部或知名的项目,已有商业客户上千家,客户分布在十几个主要国家与地区


Bitfinex12万比特币盗窃案破获 事件前因后果 黑客身份揭秘 砸盘不太可能

吴说作者 | Colin Wu

本期编辑 | Colin Wu

吴说获悉,北京时间2月9日凌晨,美国司法部披露,有两人2月8日上午在曼哈顿被捕,罪名是涉嫌串谋洗钱加密货币,该加密货币在 2016 年对虚拟货币交易所 Bitfinex 的黑客攻击中被盗,目前价值约 45 亿美元。被捕的34 岁的 Ilya Lichtenstein 和他的妻子、31 岁的 Heather Morgan 都住在纽约州纽约市。Lichtenstein 和 Morgan 被控串谋洗钱,最高可判处 20 年监禁,以及串谋诈骗美国政府,最高可判处 5 年监禁。但他们(很奇怪地)并未被指控黑客攻击。至少从去年 11 月起,在他们的一名服务提供商收到传票后,被告就已经“意识到”调查,但在被捕前并未逃走。目前两人以500万和300万美金被保释。

2016年,有 119,756 个比特币从 Bitfinex 用户账户中被盗,成为仅次于 Mr Gox 被盗案的第二大比特币盗币案。受此影响,当天比特币暴跌23%。在 2016 年被盗案之后,该交易所向所有受影响的用户提供了 BFX Token。每个 Token 代表 1 美元的损失。这些 BFX 在 Bitfinex 上以低于 0.20 美元的价格开始交易,并逐渐升值至近 1 美元。每月赎回从 2016 年 9 月 1 日开始,最后一个 BFX 在 2017 年 4 月初赎回。超过 5200 万个 BFX 以 1:1 对股票的比例转换为 iFinex Inc. 的股票。市场曾传闻人人比特赵东就是在那时成为了 Bitfinex 的小股东。

在黑客入侵 Bitfinex 的系统并发起 2,000 多笔未经授权的交易后,Lichtenstein 和 Morgan 合谋清洗从 Bitfinex 平台被盗的 119,754 比特币的收益。这些未经授权的交易将被盗的比特币发送到 Lichtenstein 控制下的数字钱包。在过去五年中,大约 25,000 个被盗比特币通过复杂的洗钱过程从 Lichtenstein 的钱包中转出,其中一些被盗资金存入了 Lichtenstein 和 Morgan 控制的金融账户。其余被盗资金,包括超过 94,000 比特币,仍留在用于接收和存储黑客非法收益的钱包中。在对 Lichtenstein 和 Morgan 控制的在线账户执行法院授权的搜查令后,特工获得了对 Lichtenstein 控制的在线账户中文件的访问权限。这些文件包含访问直接接收从 Bitfinex 被盗资金的数字钱包所需的私钥,并允许特工合法扣押并追回从 Bitfinex 被盗的 94,000 多个比特币。在扣押时,回收的比特币价值超过 36 亿美元。(2月1日时,据 Whale Alert,64,633 个 BTC 的 2016 年 Bitfinex 被盗案的赃款钱包,转移到未知钱包,疑似为美国司法部在持续移出资金)

刑事诉讼称,Lichtenstein 和 Morgan 使用了许多复杂的洗钱技术,包括使用虚拟身份建立在线账户;利用计算机程序使交易自动化,这是一种允许在短时间内进行许多交易的洗钱技术;将被盗资金存入各种虚拟货币交易所和暗网市场的账户,然后提取资金,通过破坏资金流向来混淆交易历史的踪迹;将比特币转换为其他形式的虚拟货币,包括增强匿名性的虚拟货币(AEC);并使用美国的商业账户使其银行活动合法化。

CoinDesk 的调查与法庭的辩论记录透露了两人的更多个人信息:Lichtenstein 出生于俄罗斯,6岁来到美国,持有俄罗斯护照,他是著名的硅谷加速器计划 Y Combinator 的校友;凭借最初的资金,他与其他人共同创立了一家名为 MixRank 的数据和广告技术初创公司,该公司从 Mark Cuban 等人那里获得了资金。偶尔,Lichtenstein 会在 Twitter 上警告人们黑客的威胁。

他的妻子 Morgan 是一位年轻的营销企业家和说唱歌手,在商业杂志上有很多署名,毕业于加州大学戴维斯分校,在开罗的美国大学获得了国际经济发展文学硕士学位,并在安卡拉的比尔肯特大学学习土耳其货币政策。23 岁时,她创办了一家名为 SalesFolk 的公司,该公司使用稳定的撰稿人为希望在互联网上推销其商品的公司发送电子邮件。

图片

Bitfinex 声明指出,我们很高兴美国司法部今天宣布,它已经追回了 2016 年 8 月安全漏洞期间被盗的大部分比特币。自 DOJ 开始调查以来,我们一直在与它进行广泛合作,并将继续这样做。Bitfinex 将与 DOJ 合作并遵循适当的法律程序来确立我们返还被盗比特币的权利。如果 Bitfinex 收到被盗比特币,如 LEO 白皮书中所述,Bitfinex 将在收到追回之日起 18 个月内使用相当于追回净资金的 80% 的金额回购和销毁 LEO。(此前 Bitfinex 为了弥补被盗的资金缺口发行了平台 Token LEO,受2月9日新闻影响 LEO 价格一度暴涨)行业人士指出,Bitfinex 作为市场上力挺比特币的老派传统支持者,部分市场人士所担心的收到比特币后砸盘效应几乎没有可能发生。Bitfinex 还在与萨尔瓦多合作发行比特币债券。

2020年 Bitfinex 曾表示,为 Bitfinex 与黑客建立联系的人将获得追回的总财产的5%,黑客(如果返还资产)将获得追回的总财产的25%市场价值。社区调侃,黑客要是早些接受了这一妥协条款就好了;也有人说,是否要将30%的比特币返还给美国司法部。

(由于公众号推送逻辑调整,老读者请给吴说公众号加上星标,以避免无法收到,加星标方式:如何给公众号设置星标)

根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。吴说内容未经许可,禁止进行转载、复制等,违者将追究法律责任。

吴说Real
微信号
wushuotech
功能介绍
吴说区块链官方账号,作者为资深记者,曾获中国新闻奖,为您提供加密行业、矿业、监管独家可靠的信息与观点。

 

分享到:更多 ()

来评论吐槽 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

快手号:神吐槽shentucao

交易所地址更多手机免费挖矿APP