Дмитрий Носков
Дмитрий Носков личный блог
09 февраля 2022, 12:13

На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Криптовалютам зачастую приписывают суперанонимность, которой пользуются мошенники во всем мире. На самом же деле большинство сетей, включая Bitcoin, хранят полную историю транзакций. Это позволяет следователям размотать даже самые запутанные следы из тысячи транзакций и десятков учетных записей.

На днях стало известно об аресте семейной пары из США – Ильи Лихтенштейна и Хизер Морган, которым инкриминируют мошенничество, преступление против США и отмывание средств, добытых незаконным путем. Министерство юстиции уже провело крупнейшую конфискацию в своей истории, изъяв оставшиеся от взлома криптобиржи Bitfinex ₿94 тыс. на сумму $4,1 млрд.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: криптовалютная биржа StormGain

Взлом Bitfinex произошел в 2016 году: проведя 2000 транзакций на внешний кошелек 1CGA4s5…, хакерам удалось похитить ₿119 754, что на тот момент составляло $71 млн. Чтобы замести следы и обналичить средства, в последующие годы злоумышленники создали аккаунты в даркнете AlphaBay и десяток аккаунтов на различных криптобиржах под вымышленными именами или с участием фиктивных лиц.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: justice.gov

Чтобы скрыть историю транзакций, Лихтенштейн и Морган проводили переводы со счета на счет, нередко прибегая к монетам с повышенной анонимностью, в частности, Monero. Но, как это обычно бывает, повсюду оставляли хлебные крошки. Так, при создании аккаунтов на одной из криптовалютных бирж (VCE1) мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии. После запроса биржей дополнительных документов Илья и Хизер перестали выходить на связь, в результате чего были заморожены 18 счетов с общим депозитом на $186 тыс.

Из-за стилистической схожести аккаунтов следователи прошлись по цепочке транзакций каждого из них, установив родство. Несколько из них привели к счетам на имя LICHTENSTEIN криптовалютной биржи в США (VCE5), открытым еще в 2015 году.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: justice.gov

Поскольку для открытия счета на криптовалютной бирже в США Лихтенштейн использовал водительские права, следователи установили личность подозреваемого и прочие аккаунты и счета на территории США. Так выяснилось, что Лихтенштейн создал фиктивную фирму SalesFolk, якобы принимающую криптовалюту в счет оплаты за предоставленные услуги.  Дальнейший анализ транзакций подтвердил непосредственную связь с украденными средствами из Bitfinex, которые через многочисленные звенья цепи перетекали на банковские счета Лихтенштейна и Морган.

В какой-то момент злоумышленники уверовали в свою безнаказанность и стали использовать «кластер 3686mu» для оплаты покупок в криптовалюте, тем самым сократив сложность цепочки. Например, 3 мая 2020 года через него прошла оплата подарочной карты в Walmart на $500. IP-адрес использовался подменный, однако по запросу спецслужб «облачный провайдер» открыл имя арендатора и почту – они вели прямо к Лихтенштейну. Аналогично была оплачена покупка нового iPhone, который доставили по адресу проживания пары.
На чем попались криптомошенники, взломавшие Bitfinex на ₿119 754 ($5,2 млрд)

Источник изображения: justice.gov

После того как было собрано достаточно улик против семейной пары, спецслужбы с ордером на обыск обратились к сетевому провайдеру и запросили копии всех личных документов, хранящихся на «облаке». После расшифровки закодированных файлов следователи получили доступ ко всем криптоадресам, использовавшимся в цепочке, а также закрытые ключи. Это позволило вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников.

На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание, поскольку по остальным статьям Лихтенштейну и Морган грозит до 20 лет лишения свободы.

 

Аналитическая группа StormGain

(платформа для торговли, обмена и хранения криптовалюты)

26 Комментариев
  • Василий Федорович
    09 февраля 2022, 12:40
    Класс история, спасибо.
    А есть история со счастливым концом?
    Ну, без косяков, и со списком правильных действий.
    • Гуру Хренов
      09 февраля 2022, 17:28
      Василий Федорович, в теории — наверное :
      не светить свой IP
      не светить IMEI своего телефона
      не светить MAC адреса своего компа
      и регистрироваться на биржах по поддельным документам
      и банковский аккаунт тоже на них открывать
      все это я конечно никому делать не советую, и мне кажется, в штатах это все сделать очень сложно. 
      • Василий Федорович
        09 февраля 2022, 17:48
        Гуру Хренов, спасибо, но
        что трудно совмещается 5 млрд. и «мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии», уровень мозгов разный для первого и для второго действия.
  • Дмитрий
    09 февраля 2022, 13:04
    Ну вот, опять русские хакеры.
    • Dobermann
      09 февраля 2022, 13:14
      Дмитрий, Гусские?
    • Beach Bunny
      09 февраля 2022, 13:24
      Дмитрий, еврейские же?
  • Ветерок
    09 февраля 2022, 13:26
    Походу купить айфон за кэш выше их понимания…
  • Евгений Шевцов
    09 февраля 2022, 13:35
    Криптовалюты создавались западными спецслужбами для контроля чёрного рынка: наркоторговля, оружие, работорговля. Если счастливый обладатель крипты не интересует западные спецслужбы, до это до определённых сумм.
  • Роман Ранний
    09 февраля 2022, 13:39
    Биткоин оказывается не анонимный  
    • Ilja Krjuckovs
      09 февраля 2022, 15:46
      Роман Ранний, а никто и не говорил что он анонимный
      и кстати дело не в нем а в акаунтах на биржах

  • qwerrr
    09 февраля 2022, 14:11
    А меня другое интересует. Как можно было вывести «вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников».
    То есть куча кошельков была взломана? А как же пароли к ним? Или у спецслужб есть ключи шифрования, которые позволяют взламывать кошельки?
    В таком случае о какой вообще мало-мальски анонимности битка может идти речь.
    • ✔  ⓈⒺⓇⒼⒾⓄ:Ⓩ
      09 февраля 2022, 15:54
      qwerrr, а кто вам вообще сказал об анонимности битка? сам изобретатель оного? ничего не напоминает?)))
    • Mykolayovych
      09 февраля 2022, 22:18
      qwerrr, они сид фразы хранили в обычном word файле в облаке, зашифрованным либо простым алгоритмом либо средствами облака, а сид фраза это все, это приватный ключ, и не нужен никакой пароль от кошелька.

      Сертифицированные правительствами алгоритмы шифрования обычно имеют скрытые лазейки для взлома, так же если они использовали систему шифрования облака, то там была лазейка так же,  так же могли украсть пароль к этому файлу с их компьютера
  • СаМоучка
    09 февраля 2022, 14:33
    Дураку понятно что биток это проект фбр и mit. Очень часто выходят новости о конфинскации крипты за преступления но откуда ключики никто не говорит. Все просто. ключики дешифровки у властей в кармане
    • Гуру Хренов
      09 февраля 2022, 17:20
      СаМоучка, настоящего сторонника теорий заговора фактами и здравым смыслом не возьмешь!
  • СаМоучка
    09 февраля 2022, 14:39
    Джон Макафи по пьяни мог бы рассказать но не успел
  • ✔  ⓈⒺⓇⒼⒾⓄ:Ⓩ
    09 февраля 2022, 15:57
    Смешно было смотреть на потуги ололоши корвалолного, получал битки спонсорские, свято веря в свою недосягаемость))) ахаха
    • Гуру Хренов
      09 февраля 2022, 17:21
      ✔ ⓈⒺⓇⒼⒾⓄ, молодец, отработал, возьми с полки пирожок
  • mr. regik
    09 февраля 2022, 16:56
    На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание

    Если признания не будет, вся работа по выявлению всей схемы зря?
    • Гуру Хренов
      09 февраля 2022, 17:23
      mr. regik, там же написано — им уже 20 лет светит за какой нибудь mail fraud, за то, чтобы сесть на меньшее количество лет, они и ждут чистосердечного признания
    • Евгений Петров
      09 февраля 2022, 22:32
      mr. regik, Если признания не будет, вся работа по выявлению всей схемы зря?
      Там иначе все работает. Следователи (в лице департамента юстиции) деньги получили. Они же на счета департамента все перевели. Вопрос закрыт.
      А что пользователи криптобиржи своих денег не вернули это их проблема. Докажут, что это их — ок. Нет — деньги у юстиции и останутся.

      А Лихтенштейну скажут просто — так сидишь двадцатку (или сколько там ему насчитали), а берешь на себя, признаешься — часть срока скостят. Бабла на адвокатов у него нет (все же забрали). Так что шансов выйти у него считай нет. И не важно он стырил или кто другой. В Америке так — попал под каток юстиции — все.
      Прикол в том, что шьют судя по тексту ему 500 дол карту валмарт и 1000-2000 дол айфон. Не смог вообще потратить короче. 
  • Гуру Хренов
    09 февраля 2022, 17:11
    классная статья, но хотелось бы, чтобы авторы таких постов указывали ссылку на источник копипасты
    я вчера сам в недоумении читал linkedin — профиль героя публикации, и ничего не понимал, как успешный инвестор во всякие стартапы докатился до кражи 5 миллиардов
  • Алексей Defend KA
    10 февраля 2022, 06:57
    Ну ведь не крал он 5 млрд. Он украл 70 лямов. И по удачному стечению обстоятельств за 5 лет они превратились в 5 млрд… Пока это было 70 млн его никто даже не искал.
  • compositniy material
    10 февраля 2022, 14:30
    Балбес приватный ключ в башке держать нужно было вместе с сид фразой

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн