En tidlig Bitcoin-adopter mistede hele sit gemme til en risikable tegnebog for mere end fem år siden - og han siger, at han ved præcis, hvem der gjorde det
Det er varmen på et bitcoin-tyremarked, og du er lige blevet phishet efter al din krypto.
Hvis du er noget som Colorado bosiddende Andrew Schober, ville du henvende dig til Reddit.
Tilbage i 2018 downloadede Schober ubevidst en kompromitteret iteration af Electrum bitcoin pung han havde fundet på /r/BitcoinAirdrops subreddit.
Begravet inde i den falske tegnebog var malware: en clipboard-kaprer designet specielt til at phishe bitcoin.
Malwaren ville tage enhver udgående Bitcoin-adresse på Schobers maskine og efterligne den og erstatte den tilsigtede modtageradresse med en, der kontrolleres af hackeren.
Schober, der langsomt havde erhvervet bitcoin siden 2014, endte med at tabe 16.5 BTC ($487,000) sendt via den risikable software - 95% af hans nettoformue.
Bitcoin blev vurderet til $180,000, da han blev phishet, men $1.1 millioner på bitcoins rekordhøje niveau i 2021. Schober betragtede det som "livsændrende penge."
"Jeg stødte på et link til malwaren på Reddit og installerede det på min pc og indså ret hurtigt, at det ikke gjorde, hvad det blev annonceret for at gøre," fortalte Schober Blockworks. "Så jeg har lige slettet det fra min pc og tænkte ikke mere over det."
"Men desværre, når først den trojanske hest er installeret på din harddisk, slipper du ikke for trojaneren ved at slette det originale kildeprogram. Så fra det tidspunkt og frem overvågede den min harddisk, når jeg kopierede en Bitcoin-adresse."
Malwaren var prækodet med 195,112 forskellige BTC-adresser. "Det ændrer ikke bare Bitcoin-adressen til en tilfældig ny adresse," forklarede Schober. "Det matcher de første par tegn i den adresse, du kopierede. Så det ligner ret visuelt, og hvis du ikke rigtig er opmærksom, vil du ikke fange forskellen, og det er, hvad der skete for mig.”
Fire af disse adresser endte med at modtage BTC fra uvidende ofre omkring tidspunktet for Schobers angreb, hvilket betydeligt indsnævrede hans omfang.
Sporing af stjålne bitcoin gennem Monero
Det smukke ved blockchain er i dens åbne hovedbog. Næsten alle kryptotransaktioner efterlader brødkrummer, der danner et digitalt papirspor.
Oftest involverer det at følge dette spor at gå gennem overførsler for at spore, hvor mønter ender. Men for anonymitetsfokuserede Monero hjælper sekundære data såsom IP-adresser, sociale medieaktivitet og endda beskyttede kryptoudvekslingsdata med at linke transaktioner ud over enhver rimelig tvivl.
I Schobers tilfælde havde han sporet bitcoin, der var blevet stjålet af den samme malware shapeshift, den langvarige platform til atomswap mellem kryptovalutaer.
ShapeShift vedligeholdt i en periode en API, der delte adresser, der var involveret i dets swaps. API-dataene viste, at Schobers angriber havde byttet BTC til XMR, samt de anvendte adresser.
Altså Schober indsendt på Reddit og spurgte, om det var muligt at spore Monero transaktioner. Nick Bax, en efterforsker i kæden og specialist i inddrivelse af aktiver, besvarede opkaldet.
"Han fik ligesom fem svar, der var som: 'Nej, det er umuligt.' Jeg sendte ham en direkte besked, der sagde: 'Dette er virkelig svært at gøre. Men jeg har gjort det før. Og jeg kender en advokat, der formåede at få penge inddrevet én gang," sagde Bax til Blockworks.
Bax endte med at indsende on-chain beviser, der identificerede hackeren som en del af Schobers retssag indgivet i maj 2021 - for mere end to år siden. En del af denne proces involverede at analysere Monero-transaktioner for med stor sikkerhed at fastslå herkomsten af XMR i forsøg på at hvidvaske Schobers stjålne BTC.
Han kodede selv Monero-sporingssoftwaren. "Du markerer et output [strenge, der instruerer Monero blockchain, hvor de skal dirigere transaktioner] og leder efter hver transaktion, der muligvis kunne have brugt det markerede output. Når du gør det, begynder mønstre at dukke op.”
Denne metode af knækkende Monero-ringsignaturer - nu kendt som en Eve-Alice-Eve (EAE) angreb - dukkede op som følge af den produktive Nordkorea-drevne ransomware-kampagne WannaCry der startede i 2017.
"Monero's RingCT ... skjuler det nøjagtige UTXO bliver brugt, men giver blockchain-analytikere en liste over plausible 'ringmedlemmer', hvoraf den ene bliver brugt, og resten af dem er 'lokkefugle'," skrev Bax i en blog udpakning af sin undersøgelse.
En nu rettet fejl i Monero kan have gjort det nemmere at adskille rigtige UTXO'er fra lokkefuglene - og dermed spore transaktionerne - dengang.
En genial idé: Stævning af FBI
Bax fastslog, at Schobers påståede hacker havde konverteret noget BTC stjålet fra et andet offer til XMR gennem ShapeShift, før han sendte det tilbage gennem protokollen for at transformere det til BTC igen.
Den vaskede BTC blev rettet til det, der er kendt som en "forfængelighedsadresse", der startede med "1BeNEdict."
Hvad angår Schobers bitcoin, endte det på Bitfinex. Crypto exchange hot wallets er faktisk sorte bokse, da deres saldi repræsenterer samlede kundemidler.
Når først krypto går ind i en hot wallet, er det næsten umuligt at afgøre, hvor de trækkes hen, medmindre beløbene er identiske og ualmindelige - og selv det bevis er ikke endegyldigt.
Det var der, Schober og Bax' undersøgelse sad i mere end et år. Sidde fast. Schober havde stævnet Bitfinex til at afsløre ejeren af de konti, som modtog den stjålne BTC, men han var stenet.
"Bitfinex vil kun reagere på retshåndhævende anmodninger om kundeoplysninger, ikke civile anmodninger, fordi Bitfinex ikke bliver involveret i civile sager, især i USA, da amerikanske domstole ikke har jurisdiktion over os," Sarah Compani, Bitfinex juridiske rådgiver , fortalte Schobers advokat Ethan Mora via e-mail som svar.
"Grunden til, at nogle af disse kryptobørser som FTX og Bitfinex inkorporerer i De Britiske Jomfruøer eller Caymans er af disse juridiske årsager, hvor de ikke nødvendigvis skal overholde amerikansk lovgivning eller nogen anden lov," sagde Schober.
»De kan bare være dernede og være lidt udenretslige. De gav os ikke engang rigtigt svar.”
Blockworks har kontaktet Bitfinex for en kommentar.
Uden nogen vej ind i Bitfinex direkte, startede Mora det, der er kendt som en Touhy anmodning til FBI's cyberdivision — forlangende dokumenter og anden information relateret til agenturets egne undersøgelser af malwaren. Schober havde rapporteret hacket til FBI, lige efter at han mistede bitcoin.
"FBI begyndte at udstede stævninger til virksomheder, der var involveret i malwaren, som Reddit [hvor den blev offentliggjort] og GitHub, som var vært for den," sagde Schober. Stævningerne skete i slutningen af 2018, begyndelsen af 2019. FBI havde endda beslaglagt hans computer i et par måneder som led i deres efterforskning.
Det tog omkring 10 måneder, men Touhy-anmodningen virkede. Pludselig havde Schobers team interne Bitfinex-data, der pegede på den nøjagtige IP-adresse og e-mail-adresser knyttet til de konti, som havde modtaget hans stjålne bitcoin.
"Vi havde virkelig ingen idé om, hvad FBI-undersøgelsen havde afsløret, før vi fik svar fra DOJ vedrørende Touhy-spørgsmålene," sagde Mora.
Forfængelighedsadresse kommer tilbage til at bide
Takket være FBI-stævningen kunne Schobers team identificere hackerens konti på tværs af en række onlinetjenester: Gmail, Keybase, Reddit, Twitter og Github. Kode, der er nødvendig for malwaren, blev fundet på den påståede hackers offentlige GitHub-lager, inklusive BTC-adressegeneratoren, som den var hængslet på.
1BeNedict-adressen, der blev brugt til at hvidvaske stjålne BTC gennem ShapeShift, blev også verificeret af nogle af disse konti - som Bax citerede som bevis på hackerens identitet (forfængelighedsadressen matchede hans fornavn).
En returadresse indgivet til ShapeShift af angriberen under den tilsyneladende hvidvaskproces, hvor protokollen ville sende krypto i tilfælde af transaktionsproblemer, var identisk med Bitfinex hot wallets, som havde modtaget BTC stjålet fra Schober.
Der var endda et opslag på bitcoin-dev-mailinglisten, sendt fra en e-mailadresse, der matchede den påståede hackers rigtige navn, som beskrev, hvor nemt det var at generere Bitcoin-adresser med en slående lighed med dem, der var angivet. Indlægget matchede Electrum malwares modus operandi til en tee.
Efter at have kørt nok diagnostik fandt Bax ud af, at "hver bitcoin-transaktion sendt af Electrum Atom-malwareoperatøren gik til en destinationsadresse, der var knyttet" til den påståede hacker, der var blevet undersøgt af FBI. Adresser knyttet til malware havde modtaget 17 BTC ($501,000) i alt - 97% af det Schobers. Han var i stand til at komme i kontakt med et andet offer via et langvarigt Bitcoin-forum BitcoinTalk.
Alt dette betød, at Schober kunne anlægge et civilt søgsmål mod den formodede gerningsmand - sammen med en anden person, der angiveligt havde solgt den samme malware på Reddit. Begge var mindreårige på tidspunktet for røveriet, så dragten navngav også deres forældre. Alle parter benægter enhver fejl.
Det var i maj 2021, mere end tre år efter Schober blev phishet for sin BTC. Prisen på bitcoin var mere end fordoblet på den tid.
Det komplicerede er, at den påståede hacker bor i Storbritannien. FBI henviste sagen til den britiske retshåndhævelse, hvilket førte til en fælles undersøgelse. Begge mistænkte blev anholdt, afhørt og fik deres enheder beslaglagt og retsmedicinsk ransaget, sagde Schober.
Men før deres arrestation betød desperation (og måske et strejf af naivitet) Schober kontaktede dem og deres forældre for at fortælle dem, at de var blevet identificeret. "Jeg håbede, at de ville komme rene og bare returnere det til mig, fordi alt, hvad jeg gjorde, var at bede dem om at returnere det stjålne, og de gjorde det ikke," sagde Schober.
"Den britiske anklagemyndighed endte med at fortælle mig, at efter at jeg kontaktede dem, ødelagde de sandsynligvis deres enheder, fordi de havde helt nye enheder, og der var ikke nok retsmedicinske beviser til, at de kunne berettige en anklage."
(Bax sagde, at han ville have gjort præcis det samme som Schober - de regnede med, at forældrene sandsynligvis var anstændige mennesker, fordi de arbejdede i en bank og hos det britiske sundhedsvæsen. "De skulle bare give pengene tilbage, og jeg ville tror det hele går væk.”)
Schobers civile sag er nu potentielt hans eneste skud på retten. Men sagen går langsomt, hvor advokater skændes om, i hvilken jurisdiktion en retssag skal finde sted.
Advokater for den påståede hacker siger, at sagen bør afvises, fordi Schober, der er baseret i USA, ikke har jurisdiktion over nogen i Storbritannien. De hævder også, at forældelsesfristen er udløbet for, at han kan indgive en klage.
"Men det er ikke sandt fra vores perspektiv, fordi det tog så meget tid og kræfter og efterforskning til overhovedet at identificere, at det var et menneske, der var i den anden ende af dette," sagde Schober.
Han føler, at han ikke bør straffes af forældelsesfristens argument, i betragtning af at han blev tvunget til at vente 10 måneder på en FBI-stævning efter at være blevet stenfæstet af Bitfinex over kritiske oplysninger om hans sag.
En sag uden fortilfælde
Schobers situation kunne virkelig være den første af sin slags, da den strækker sig over dammen.
"Der er ikke mange sager som denne, faktisk er jeg ikke bekendt med nogen sager, hvor en person nogensinde har sporet, korrekt betjent (i henhold til international lov) og sagsøgt hackere som denne ... endsige hackere, der stjal kryptovaluta " sagde Mora.
"Jeg var involveret i nogle sager her i Californien, hvor nogle individuelle sagsøgere sagsøgte nogle indenlandske svindlere/hackere fra andre amerikanske stater, men de anklagede var blevet anholdt i USA."
Mora fremhævede sager, hvor regeringen rejste strafferetlige anklager mod blackhats udenlandske og indenlandske, såvel som tilfælde, hvor teknologigiganter som Amazon og Google sagsøgte deres hackere, hvoraf nogle kræver løsesum i krypto.
Schober er alt andet end et multinationalt konglomerat - en typisk fyr, i modsætning til nogle højtprofilerede velhavende ofre af kryptotyveri, der har anlagt sager mod deres angribere.
"Jeg tror, at denne sag er uden fortilfælde på en række måder... der er ingen at sige, hvor længe denne sag kunne vare," sagde Mora.
Præcis hvordan det kan løses er virkelig nogens gæt. Hvis en amerikansk domstol fastslår, at hackeren skylder Schober, så skal en engelsk domstol stadig anerkende denne afgørelse, før den kan fuldbyrde dommen i Storbritannien. I sidste ende kan det endda komme ned til inkasso, tilbageholdsret eller endda lønudlæg.
Schober sagde, at de havde været i stand til at spore en betragtelig mængde bitcoin, der sidder på adresser hentet fra FBI-stævningen, så det ser ud til, at de påståede hackere har midler til at betale Schober tilbage.
Situationen er især frustrerende, da det ser ud til, at Schober ved præcis, hvem der stjal hans krypto.
Alligevel er Schober pro-Bitcoin, på trods af alt, hvad der er sket, advokatomkostninger og den halve million dollars i bitcoin tabt. "Jeg elsker stadig løftet om Bitcoin. Det var det, der fik mig til det i første omgang. Men bestemt, min tidlige flyttefordel er blevet slettet, hvilket er smertefuldt."
"Så det gør ondt, men jeg er stadig positiv omkring det på nuværende tidspunkt. Og jeg er stolt af, at jeg har været i stand til at tage denne sag til det punkt, hvor den er nu, fordi oddsene imod den var meget, meget små.”
Han er optimistisk over, at amerikanske domstole vil se, at han er et offer for tyveri. Havde de påståede angribere været baseret i Rusland eller Nordkorea, for eksempel, ville han næppe have nogen udvej.
"Det er fem år siden, og jeg er klar til at komme videre fra dette så hurtigt som muligt," sagde Schober. "Men på den anden side har jeg virkelig brugt så mange kræfter og tid og har folk som Bax og andre, der er i mit hjørne, fordi de har hørt historien, og de synes, den er noget bemærkelsesværdig."
Link: https://blockworks.co/news/hacker-stole-bitcoin
Kilde: https://blockworks.co
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
- Kilde: https://www.fintechnews.org/what-would-you-do-if-a-hacker-stole-all-your-bitcoin/
- :har
- :er
- :ikke
- :hvor
- $OP
- 000
- 1
- 10
- 16
- 17
- 195
- 2014
- 2017
- 2018
- 2019
- 2021
- 7
- 8
- 95 %
- a
- I stand
- Om
- om det
- Konto
- Konti
- erhverve
- tværs
- aktivitet
- adresse
- adresser
- Fordel
- Efter
- mod
- siden
- Alle
- påståede
- angiveligt
- alene
- sammen
- også
- Amazon
- beløb
- beløb
- an
- Analytikere
- analysere
- ,
- Andrew
- En anden
- besvare
- enhver
- længere
- noget
- api
- tilsyneladende
- kommer til syne
- ER
- argumentere
- argument
- omkring
- arrestere
- anholdt
- AS
- aktiv
- At
- atom
- angribe
- Forsøg på
- opmærksomhed
- opmærksom på
- væk
- tilbage
- saldi
- Bank
- baseret
- BE
- Skønhed
- fordi
- været
- før
- være
- Tro
- mellem
- Beyond
- Bitcoin
- bitcoin-adresse
- Bitcoin bull
- Bitcoin bull marked
- Bitcointalk
- Bitfinex
- Sort
- blockchain
- Blokværk
- både
- kasser
- strålende
- Britiske
- British Virgin
- British Virgin Islands
- bragte
- BTC
- BTC-adresser
- Bug
- tyr
- Bull Market
- men
- by
- california
- ringe
- kom
- Kampagne
- CAN
- tilfælde
- tilfælde
- brydning
- sikkert
- lave om
- tegn
- afgifter
- Chart
- citeret
- kode
- kodet
- Mønter
- samling
- Colorado
- Kom
- kommer
- KOMMENTAR
- Virksomheder
- klage
- Kompromitteret
- computer
- tillid
- konglomerat
- betragtes
- Overvejer
- kontrolleret
- konverteret
- Corner
- kunne
- Ret
- Domstole
- Criminal
- kritisk
- Crown
- krypto
- krypto udveksling
- Kryptobørser
- Krypto tyveri
- kryptotransaktioner
- cryptocurrencies
- cryptocurrency
- kunde
- Kundemidler
- Cyber
- cyklus
- data
- David
- Gæld
- tiltalte
- endelige
- Efterspørgsel
- krævende
- beskrevet
- konstrueret
- desperation
- Trods
- destination
- ødelagt
- Bestem
- bestemmes
- Enheder
- DID
- forskel
- forskellige
- digital
- direkte
- direkte
- offentliggøre
- Afdeling
- do
- dokumenter
- gør
- Er ikke
- gør
- DoJ
- dollars
- Indenlandsk
- færdig
- Dont
- fordoblet
- tvivler
- ned
- køre
- i løbet af
- Tidligt
- lettere
- let
- effektivt
- indsats
- Electrum
- emerge
- ende
- håndhæve
- håndhævelse
- Engelsk
- nok
- Hele
- helt
- især
- Endog
- til sidst
- NOGENSINDE
- Hver
- at alt
- bevismateriale
- præcist nok
- eksempel
- udveksling
- Udvekslinger
- forklarede
- Faktisk
- nedfald
- FBI
- featured
- Gebyrer
- få
- regnede
- File (Felt)
- indgivet
- Fornavn
- Markeret
- efter
- Til
- udenlandsk
- Forensic
- formular
- forum
- Videresend
- fundet
- fra
- frustrerende
- FTX
- fonde
- Spille
- generere
- generator
- få
- giganter
- GitHub
- Giv
- Goes
- gå
- Regering
- Guy
- hack
- hacker
- hackere
- havde
- hånd
- skete
- Hård Ost
- harddisk
- Have
- he
- Helse
- hørt
- heist
- hjælper
- link.
- Høj
- Fremhævet
- ham
- hans
- Hosting
- HOT
- Varm tegnebog
- hover
- Hvordan
- HTML
- HTTPS
- menneskelig
- gør ondt
- i
- idé
- identisk
- identificeret
- identificere
- identificere
- Identity
- if
- umuligt
- in
- Herunder
- indarbejde
- individuel
- oplysninger
- indledt
- indvendig
- installeret
- beregnet
- interne
- internationalt
- ind
- undersøgelse
- Undersøgelser
- involverede
- IP
- IP-adresser
- Islands
- spørgsmål
- spørgsmål
- IT
- iteration
- ITS
- fælles
- jpg
- jurisdiktion
- lige
- Retfærdighed
- Venlig
- Kend
- kendt
- korea
- Sent
- hvidvaskning
- Lov
- retshåndhævelse
- retssag
- advokat
- Advokater
- førende
- Forlade
- Ledger
- Politikker
- lad
- LG
- ligesom
- Sandsynlig
- begrænsninger
- LINK
- Liste
- Lives
- Lang
- Se
- UDSEENDE
- miste
- tabte
- kærlighed
- maskine
- lavet
- Making
- malware
- lykkedes
- mange
- Marked
- matchede
- matchende
- Matters
- max-bredde
- Kan..
- me
- betød
- Medier
- Medlemmer
- besked
- måske
- million
- tilstand
- Monero
- penge
- overvågning
- måned
- mere
- bevæge sig
- flytning
- meget
- multinationale
- my
- navn
- Som hedder
- national
- nødvendigvis
- nødvendig
- Behov
- netto
- Ny
- Nick
- ingen
- Nord
- Nordkorea
- nu
- nummer
- Odds
- of
- off
- tit
- on
- On-Chain
- engang
- ONE
- dem
- online
- kun
- åbent
- operatør
- Optimistisk
- or
- original
- Andet
- Andre
- vores
- ud
- output
- i løbet af
- egen
- ejer
- betalt
- smertefulde
- Papir
- forældre
- del
- særlig
- parter
- mønstre
- Betal
- betale
- PC
- Mennesker
- måske
- perspektiv
- Phish
- Phishing
- falsk
- Place
- perron
- plato
- Platon Data Intelligence
- PlatoData
- plausibel
- Punkt
- DAM
- positiv
- mulig
- eventuelt
- Indlæg
- indsendt
- potentielt
- trykke
- smuk
- pris
- sandsynligvis
- behandle
- Program
- løfte
- bevis
- korrekt
- RETSFORFØLGELSE
- beskyttet
- protokol
- stolt
- herkomst
- give
- forudsat
- offentlige
- sætte
- Spørgsmål
- hurtigt
- tilfældig
- ransomware
- nået
- klar
- ægte
- gik op for
- virkelig
- grund
- rimelige
- årsager
- modtaget
- modtagende
- genkende
- opsving
- benævnt
- om
- relaterede
- relative
- resten
- bemærkelsesværdig
- rapporteret
- Repository
- repræsentere
- anmode
- anmodninger
- løst
- Svar
- svar
- afkast
- Rid
- ring
- Ring signaturer
- regler
- herskende
- kører
- Rusland
- Said
- samme
- siger
- siger
- rækkevidde
- sekundær
- se
- synes
- beslaglagt
- send
- afsendelse
- sendt
- adskille
- tjeneste
- Tjenester
- shapeshift
- delt
- shot
- bør
- viste
- Underskrifter
- lignende
- siden
- Siddende
- Situationen
- betydelige
- langsomt
- So
- Social
- sociale medier
- Software
- nogle
- Nogen
- snart
- Kilde
- specialist
- specifikt
- brugt
- starte
- påbegyndt
- stash
- Stater
- springbræt
- Stadig
- Stole
- stjålet
- Story
- Stævning
- sådan
- sagsøges
- Dragt
- suite
- bytte
- Swaps
- Tag
- hold
- tech
- tech-giganter
- end
- at
- UK
- tyveri
- deres
- Them
- derefter
- Der.
- Disse
- de
- ting
- tror
- denne
- dem
- tre
- Gennem
- Dermed
- Tied
- tid
- til
- tog
- I alt
- Trace
- Sporing
- spor
- Sporing
- Trail
- transaktion
- Transaktionsproblemer
- Transaktioner
- overførsler
- Transform
- retssag
- Trojan
- sand
- TUR
- to
- typisk
- Uk
- britisk lov
- Ualmindelig
- afdækket
- under
- understrege
- desværre
- Forenet
- Forenede Stater
- I modsætning til
- Udpakning
- uden fortilfælde
- indtil
- us
- Amerikanske stater
- anvendte
- værdiansættes
- FORFÆNGELIGHED
- VBA
- verificeres
- meget
- via
- Victim
- ofre
- Virgin
- vente
- tegnebog
- Punge
- Arrestordre
- var
- Vej..
- we
- GODT
- gik
- var
- Hvad
- hvornår
- som
- WHO
- vilje
- med
- arbejdede
- værd
- ville
- skrev
- XMR
- år
- år
- Du
- Din
- youtube
- zephyrnet