DoJ przejmuje kolonialny okup za Bitcoin, czy to Gemini?

Departament Sprawiedliwości Stanów Zjednoczonych oświadczył, że przechwycił 63.7 z 75 bitcoinów zapłaconych hakerom zajmującym się oprogramowaniem ransomware, którzy na krótko zniszczyli Colonial Pipeline.

Po raz pierwszy ogłoszono takie oświadczenie, co rodzi pytanie, w jaki sposób udało im się przejąć monety.

„Klucz prywatny do adresu podmiotu znajduje się w posiadaniu FBI w północnym dystrykcie Kalifornii” – agent powiedziany w oświadczeniach.

Zatem nie doszło do biurokratycznych nieporozumień w komunikacji, a organom ścigania udało się nie tylko zlokalizować, dokąd trafiły fundusze, ale także faktycznie je przejąć.

Jak? Nie podano na czas żadnego wyjaśnienia dotyczącego publikacji, a agencja skłonna do cenzury i skłonna do nadmiernej klasyfikacji usunęła nawet część adresu, który przejęła, a który udało nam się przydzielić w całości:

Na tyle, na ile możemy sobie wyobrazić, ujawnienie tego adresu nie wiąże się z żadnym ryzykiem, może z wyjątkiem tego, że pokazało to, że przejęli 69 bitcoinów, a nie 63.7.

Zostały one podzielone na dwie wypłaty. Obydwa nadal znajdują się w całości pod wycofanymi adresami i być może oba są w posiadaniu organów ścigania.

Ten adres 1qq jest finansowany po przejściu przez kilka dość bezpośrednich przeskoków przez coś, co wygląda na adres wymiany, który nazwiemy 29mut.

Wygląda na to, że istnieją sprzeczne informacje na temat tego, czyj to adres. Niektórzy twierdzą, że Coinbase, ale Coinbase całkowicie zaprzecza, jakoby miała jakiekolwiek powiązania z Philipem Martinem, ich CSO, stwierdzając:

„Widziałem wiele błędnych twierdzeń, że Coinbase był zaangażowany w niedawne przejęcie bitcoinów przez Departament Sprawiedliwości w związku z atakiem ransomware Colonial Pipeline. Nie byliśmy.

Coinbase nie była celem nakazu i w żadnym momencie nie otrzymała okupu ani żadnej jego części. Nie mamy również dowodów na to, że środki przeszły przez konto/portfel Coinbase.”

Jest to pełne zaprzeczenie, co w praktyce oznacza, że ​​Martin zaprzecza, że ​​ten 29-mutowy adres w ogóle należy do Coinbase, ponieważ środki na pewno pochodziły z tego adresu.

Jeśli nie jest to Coinbase, to na pewno Gemini. Teoria głosi zatem, że wydano nakaz, który zmusił Gemini do przekazania monet.

Teoria ta opiera się głównie na tym, dlaczego w przeciwnym razie zażądali nakazu. Jego słabość polega jednak na tym, że fundusze kryptograficzne na samych Gemini są grupowane w portfele gorące i zimne.

Stało się zatem tak, że 75 maja suma 8 bitcoinów została pobrana z gorącego portfela Gemini. Mniej więcej w tym czasie Colonial Pipeline płacił hakerom.

Dlatego Colonial Pipeline wykorzystał Gemini do dokonania pełnej płatności 75. 63.7 BTC zostaje wówczas przeniesione z adresu odbiorczego jeszcze tego samego dnia, a następnego dnia na inny adres.

W dniu 28 maja 2021 r. te 63.7 BTC zostaje ponownie przeniesione na adres 1qq wraz z danymi wejściowymi z innych adresów, co daje całkowity depozyt w wysokości 69.60422177 BTC.

75 zostało podzielone niemal natychmiast po otrzymaniu na 63.7 i 11.2. Zatem nasza teoria i tylko potencjalny scenariusz tego, co mogło się wydarzyć, jest taka, że ​​przechytrzyli hakerów.

„Urzędnicy Departamentu Sprawiedliwości powiedzieli, że chęć Coloniala do szybkiego nawiązania kontaktu z F.B.I. pomogli odzyskać część okupu i uznali firmę za jej rolę w pierwszym w swoim rodzaju przedsięwzięciu nowej grupy zadaniowej ds. oprogramowania ransomware w departamencie mającym na celu przejęcie zysków grupy cyberprzestępczej”.

So mówią „New York Timesa”. Wróćmy teraz do historii. 75 zostanie wycofany z gorącego portfela i nie ma znaczenia, kto jest gorącym portfelem, ponieważ prawdopodobnie są to legalne pieniądze, ale prawdopodobnie są to Gemini.

Nie wiemy, kto jest właścicielem adresu, na który wypłacono tę 75-tkę z gorącego portfela. Nazwiemy to jednak Adres J.F. To nie jest segwit.

Następnie JF wysyła 75 bitcoinów na adres segwit, EQ. Około 50 minut później numer 75 zostaje wycofany i podzielony na numery 63 i 11 pod dwoma różnymi adresami.

O ile nam wiadomo, Gemini wspiera segwit od zawsze. Może to być ważne, ponieważ moglibyśmy popaść w stereotypy i zasugerować, że JF to biurokracja, choć w tym przypadku być może bardzo zaawansowana technologia, lub przynajmniej zasugerować, że JF nie jest zleceniodawcą.

Chcielibyśmy powiedzieć, że płatność była być może uzależniona od kodu, ale nie mamy pojęcia, w jaki sposób.

Jeśli jednak nie doszło do aresztowania ani zajęcia fizycznego, co określa się jako „porwanie”, wydaje się możliwe, że w płatności potajemnie zaangażowano inteligentne kontrakty.

Jeśli tak jest, można oczekiwać, że FBI oczywiście nic nie powie i niekoniecznie będzie to przesadna klasyfikacja, ponieważ potencjalnie będzie to wyjaśniać dodatkowe 6 bitcoinów w ostatecznym adresie.

Moglibyśmy się jednak bardzo mylić, ale w teorii jest to możliwe i w praktyce since 2016, aby przechytrzyć hakerów poprzez inteligentne szyfrowanie kodu.

Nie jest jasne, czy tak właśnie się stało w tym przypadku, ale jeśli nie doszło do aresztowania i jeśli fizycznie nie weszli w posiadanie żadnej rzeczy z tymi dzieciakami ze scenariusza, najwyraźniej mieszkającymi w Rosji, to nie ma innego wytłumaczenia niż to, że nasi chłopcy wariują.

W takim przypadku opis niektórych zhakowanych bitcoinów nie jest odległy, ale jest to „dobry” hack, zgodny z zasadami kodeksu w duchu i literze. „Zhakowali” go, aby zwiększyć jego możliwości, korzystając z inteligentnych kontraktów, zamiast w jakiś sposób łamać bitcoin, jeśli tak się w każdym razie stało.

Źródło: https://www.trustnodes.com/2021/06/08/doj-seizes-colonial-pipeline-bitcoin-ransom-was-it-gemini