DoJ sequestra il riscatto di Bitcoin della pipeline coloniale, era Gemini?

Il Dipartimento di Giustizia degli Stati Uniti ha dichiarato di aver sequestrato 63.7 bitcoin dei 75 bitcoin pagati agli hacker di ransomware che hanno brevemente bloccato la Colonial Pipeline.

Questa è la prima volta che viene fatto un annuncio del genere, sollevando la questione di come siano riusciti a impossessarsi delle monete.

"La chiave privata per l'indirizzo dell'oggetto è in possesso dell'FBI nel distretto settentrionale della California", l'agente disse nelle dichiarazioni giurate.

Quindi non c'è alcun errore burocratico, le forze dell'ordine sono state in grado non solo di individuare dove sono finiti i fondi, ma anche di prenderne effettivamente possesso.

Come? Non è stata fornita alcuna spiegazione in tempo per la pubblicazione, poiché l'agenzia incline alla censura e all'eccessiva classificazione ha oscurato anche parte dell'indirizzo di cui ha preso possesso e che siamo stati in grado di assegnare per intero:

Per quanto possiamo concepire, non c'è alcun rischio nel rivelare questo indirizzo, tranne forse che ciò dimostri che si sono impossessati di 69 bitcoin, non di 63.7.

Sono stati separati in due prelievi. Entrambi sono ancora per intero agli indirizzi ritirati e forse entrambi sono in possesso delle forze dell'ordine.

Questo indirizzo 1qq viene finanziato dopo aver attraversato alcuni salti abbastanza diretti da quello che sembra un indirizzo di scambio che chiameremo 29mut.

Sembra che ci siano informazioni contrastanti riguardo a chi sia l'indirizzo. Alcuni dicono che Coinbase, ma Coinbase ha completamente negato di avere qualsiasi coinvolgimento con Philip Martin, il loro CSO, affermando:

"Ho visto un sacco di affermazioni errate secondo cui Coinbase sarebbe stata coinvolta nel recente sequestro da parte del Dipartimento di Giustizia di bitcoin associato all'attacco ransomware Colonial Pipeline. Non lo eravamo.

Coinbase non era l'obiettivo del mandato e non ha mai ricevuto il riscatto, né parte di esso. Inoltre, non abbiamo prove che i fondi siano passati attraverso un conto/portafoglio Coinbase."

Si tratta di una smentita totale, che equivale effettivamente a Martin a negare che questo indirizzo 29mut sia di Coinbase perché i fondi provenivano sicuramente da quell'indirizzo.

Se non è Coinbase, allora è sicuramente Gemini. La teoria quindi è che sia stato emesso un mandato che ha costretto i Gemelli a consegnare le monete.

Questa teoria si basa principalmente sulla domanda: perché hanno richiesto un mandato altrimenti? La sua debolezza, tuttavia, risiede nel fatto che i fondi crittografici sulla stessa Gemini sono raggruppati in portafogli caldi e freddi.

Ciò che è accaduto quindi è che questa somma di 75 bitcoin è stata ritirata dal portafoglio caldo di Gemini l'8 maggio. È più o meno il periodo in cui la Colonial Pipeline pagava gli hacker.

Colonial Pipeline ha quindi utilizzato Gemini per effettuare il pagamento completo di 75. 63.7 BTC vengono quindi trasferiti dall'indirizzo ricevente nello stesso giorno, per poi essere trasferiti il ​​giorno successivo ad un altro indirizzo.

Il 28 maggio 2021, quei 63.7 BTC vengono nuovamente trasferiti all'indirizzo 1qq insieme all'input da altri indirizzi per un importo totale di deposito di 69.60422177 BTC.

Il 75 è stato diviso quasi subito dopo la ricezione in 63.7 e 11.2. Quindi la nostra teoria, ed è solo una potenziale ipotesi di ciò che sarebbe potuto accadere, è che abbiano sconfitto gli hacker.

"I funzionari del Dipartimento di Giustizia hanno affermato che la volontà di Colonial di entrare rapidamente in contatto con l'FBI ha contribuito a recuperare la parte del riscatto, e hanno attribuito alla società il merito del suo ruolo in uno sforzo primo nel suo genere da parte di una nuova task force ransomware nel dipartimento per dirottare un profitti del gruppo criminale informatico."

So dice il New York Times. Ora torniamo alla storia. 75 vengono prelevati dall'hot wallet e non importa chi sia l'hot wallet poiché probabilmente si tratta di denaro legittimo, ma probabilmente è Gemelli.

Non sappiamo a chi appartiene l'indirizzo a cui è stato prelevato questo 75 dall'hot wallet. Lo chiameremo però il Indirizzo JF. Non è una cosa stupida.

JF invia quindi 75 bitcoin a un indirizzo segwit, EQ. Circa 50 minuti dopo questo 75 viene ritirato mentre viene suddiviso in questo 63 e 11 in due indirizzi diversi.

Per quanto ne sappiamo, Gemini supporta segwit da sempre. Questo può essere importante perché potremmo impegnarci in stereotipi e suggerire che JF sia burocrazia, anche se in questo caso forse molto high tech, o per lo meno suggerire che JF non sia i riscattatori.

Quello che vogliamo dire è che forse il pagamento era condizionato dal codice, ma troviamo difficile contemplare come.

Tuttavia, se non c'è stato alcun arresto o sequestro fisico, descritto come un "dirottamento", sembra possibile che ci fossero contratti intelligenti coinvolti di nascosto nel pagamento.

Se è così, allora ci si aspetta che l'FBI ovviamente non dica nulla e ciò non sarebbe necessariamente una classificazione eccessiva in quanto potrebbe anche spiegare questi 6 bitcoin extra nell'indirizzo finale.

Potremmo però sbagliarci di grosso, ma in teoria è possibile, e in pratica dal 2016, per sconfiggere gli hacker modificando il codice.

Se questo sia quello che è successo qui non è chiaro, ma se non c'è stato alcun arresto e se non hanno fisicamente preso possesso di nulla con questi scriptkiddies apparentemente con sede in Russia, allora non c'è altra spiegazione se i nostri ragazzi stanno scherzando.

In quel caso la descrizione di alcuni bitcoin hackerati non è lontana, ma si tratta di un "buon" hack, entro le regole dei codici nello spirito e nella lettera. Lo hanno "hackerato" per migliorarne le capacità utilizzando contratti intelligenti invece di rompere bitcoin in qualche modo, se questo è quello che è successo comunque.

Fonte: https://www.trustnodes.com/2021/06/08/doj-seizes-colonial-pipeline-bitcoin-ransom-was-it-gemini