DoJ beslaglegger Colonial Pipeline Bitcoin Ransom, var det tvillinger?

Det amerikanske justisdepartementet har uttalt at de beslagla 63.7 bitcoin av 75 bitcoin som ble betalt til ransomware-hackere som for en kort stund slo ned Colonial Pipeline.

Dette er første gang en slik kunngjøring har blitt gjort, og reiser spørsmålet om hvordan de var i stand til å ta myntene i besittelse.

"Den private nøkkelen for emneadressen er i besittelse av FBI i det nordlige distriktet i California," agenten sa i erklæringene.

Dermed er det ikke noen byråkratisk feilkommunikasjon, rettshåndhevelse har ikke bare vært i stand til å finne hvor pengene gikk til, men også faktisk ta besittelse.

Hvordan? Ingen forklaring har blitt gitt i tide for publisering med det sensurerende og overklassifiserte lenende byrået som redigerer til og med deler av adressen de tok i besittelse, som vi var i stand til å tildele i sin helhet:

Det er ingen risiko for å avsløre denne adressen så langt vi kan tenke oss, bortsett fra kanskje at dette viste at de har tatt besittelse av 69 bitcoin, ikke 63.7.

De er delt inn i to uttak. Begge er fortsatt i sin helhet på de tilbaketrukne adressene med kanskje begge i besittelse av rettshåndhevelse.

Denne 1qq-adressen er finansiert etter å ha gått gjennom noen ganske direkte hopp av det som ser ut som en utvekslingsadresse vi vil kalle 29mut.

Det ser ut til å være motstridende informasjon om hvem sin adresse dette er. Noen sier Coinbase, men Coinbase har fullstendig benektet å ha noe med Philip Martin, deres CSO, sier:

"Jeg har sett en haug med uriktige påstander om at Coinbase var involvert i det nylige DOJ-beslaget av bitcoin assosiert med Colonial Pipeline-ransomware-angrepet. Det var vi ikke.

Coinbase var ikke målet for arrestordren og mottok ikke løsepengene eller noen del av løsesummen på noe tidspunkt. Vi har heller ingen bevis for at midlene gikk gjennom en Coinbase-konto/lommebok.»

Dette er en fullstendig fornektelse, noe som faktisk betyr at Martin nekter for at denne 29mut-adressen i det hele tatt er Coinbase fordi pengene definitivt kom fra den adressen.

Hvis det ikke er Coinbase, så er det definitivt Gemini. Teorien er altså at det ble utstedt en arrestordre som tvang Gemini til å overlevere myntene.

Denne teorien avhenger hovedsakelig av: hvorfor ba de om en arrestordre ellers. Dens svakhet ligger imidlertid i det faktum at kryptomidler på Gemini selv er samlet i varme og kalde lommebøker.

Det som derfor skjedde var at denne summen på 75 bitcoins ble trukket ut av Geminis varme lommebok 8. mai. Det var på den tiden Colonial Pipeline betalte hackerne.

Colonial Pipeline brukte derfor Gemini til å foreta hele 75-betalingen. 63.7 BTC overføres deretter fra mottakeradressen samme dag, og neste dag overføres den til en annen adresse.

Den 28. mai 2021 blir 63.7 BTC overført igjen til 1qq-adressen sammen med input fra andre adresser som utgjør et totalt innskudd på 69.60422177 BTC.

75 ble delt nesten så snart den ble mottatt til 63.7 og 11.2. Så vår teori, og det er bare et potensial for hva som kan ha skjedd, er at de outhacket hackerne.

«Justisdepartementets tjenestemenn sa at Colonials vilje til raskt å gå inn i F.B.I. bidro til å hente inn løsepengedelen, og de krediterte selskapet for sin rolle i en første av sitt slag innsats fra en ny løsepengevaregruppe i avdelingen for å kapre en nettkriminalitetsgruppes fortjeneste.»

So sier New York Times. La oss nå gå tilbake til historien. 75 trekkes fra den varme lommeboken, og det spiller ingen rolle hvem den varme lommeboken er siden dette sannsynligvis er legitime penger, men det er sannsynligvis Gemini.

Vi vet ikke hvem som eier adressen som denne 75-en ble trukket til fra den varme lommeboken. Vi vil kalle dette skjønt JF adresse. Det er ikke segwit.

JF sender deretter 75 bitcoin til en segwit-adresse, EQ. Omtrent 50 minutter senere blir denne 75 trukket tilbake mens den blir delt opp i denne 63 og 11 på to forskjellige adresser.

Så vidt vi er klar over har Gemini støttet segwit siden for alltid. Dette kan være viktig fordi vi kunne engasjere oss i stereotypier og antyde at JF er byråkrati, selv om det i dette tilfellet kanskje er svært høyteknologisk, eller i det minste antyde at JF ikke er løsepenger.

Det vi vil si er at betalingen kanskje var kodebetinget, men vi synes det er vanskelig å se nærmere på hvordan.

Men hvis det ikke har vært noen arrestasjon og ikke noe fysisk beslag, med dette beskrevet som en "kapring", ser det ut til at det var smarte kontrakter som var skjult for betalingen.

Hvis det er tilfelle, forventer man at FBI åpenbart ikke sier noe, og det vil ikke nødvendigvis være overklassifisering, da det også potensielt forklarer disse ekstra 6 bitcoin i den endelige adressen.

Vi kan imidlertid ta veldig feil, men i teorien er det mulig, og i praksis siden 2016, for å uthakke hackerne ved å smarte kode.

Om det er det som skjedde her er ikke klart, men hvis det ikke er noen arrestasjon og hvis de ikke fysisk har tatt noen ting i besittelse med disse scriptkiddies som tilsynelatende er basert i Russland, så er det ingen annen forklaring enn at guttene våre lurer.

I så fall er beskrivelsen av noen de hacket bitcoin ikke langt unna, men det er et "bra" hack, innenfor reglene for kodene i ånd og bokstav. De "hacket" den for å forbedre dens evner ved å bruke smarte kontrakter i stedet for å bryte bitcoin på en eller annen måte, hvis det var det som skjedde uansett.

Kilde: https://www.trustnodes.com/2021/06/08/doj-seizes-colonial-pipeline-bitcoin-ransom-was-it-gemini