На чем попались криптомошенники, взломавшие Bitfinex на 119754 BTC ($5,2 млрд)⁠⁠

Криптовалютам зачастую приписывают суперанонимность, которой пользуются мошенники во всем мире. На самом же деле большинство сетей, включая Bitcoin, хранят полную историю транзакций. Это позволяет следователям размотать даже самые запутанные следы из тысячи транзакций и десятков учетных записей.

На днях стало известно об аресте семейной пары из США – Ильи Лихтенштейна и Хизер Морган, которым инкриминируют мошенничество, преступление против США и отмывание средств, добытых незаконным путем. Министерство юстиции уже провело крупнейшую конфискацию в своей истории, изъяв оставшиеся от взлома криптобиржи Bitfinex ₿94 тыс. на сумму $4,1 млрд.

Источник изображения: криптовалютная биржа StormGain

Взлом Bitfinex произошел в 2016 году: проведя 2000 транзакций на внешний кошелек 1CGA4s5…, хакерам удалось похитить ₿119 754, что на тот момент составляло $71 млн. Чтобы замести следы и обналичить средства, в последующие годы злоумышленники создали аккаунты в даркнете AlphaBay и десяток аккаунтов на различных криптобиржах под вымышленными именами или с участием фиктивных лиц.

Источник изображения: justice.gov

Чтобы скрыть историю транзакций, Лихтенштейн и Морган проводили переводы со счета на счет, нередко прибегая к монетам с повышенной анонимностью, в частности, Monero. Но, как это обычно бывает, повсюду оставляли хлебные крошки. Так, при создании аккаунтов на одной из криптовалютных бирж (VCE1) мошенники прописывали схожие e-mail адреса, используя одного и того же провайдера из Индии. После запроса биржей дополнительных документов Илья и Хизер перестали выходить на связь, в результате чего были заморожены 18 счетов с общим депозитом на $186 тыс.

Из-за стилистической схожести аккаунтов следователи прошлись по цепочке транзакций каждого из них, установив родство. Несколько из них привели к счетам на имя LICHTENSTEIN криптовалютной биржи в США (VCE5), открытым еще в 2015 году.

Источник изображения: justice.gov

Поскольку для открытия счета на криптовалютной бирже в США Лихтенштейн использовал водительские права, следователи установили личность подозреваемого и прочие аккаунты и счета на территории США. Так выяснилось, что Лихтенштейн создал фиктивную фирму SalesFolk, якобы принимающую криптовалюту в счет оплаты за предоставленные услуги.  Дальнейший анализ транзакций подтвердил непосредственную связь с украденными средствами из Bitfinex, которые через многочисленные звенья цепи перетекали на банковские счета Лихтенштейна и Морган.

В какой-то момент злоумышленники уверовали в свою безнаказанность и стали использовать «кластер 3686mu» для оплаты покупок в криптовалюте, тем самым сократив сложность цепочки. Например, 3 мая 2020 года через него прошла оплата подарочной карты в Walmart на $500. IP-адрес использовался подменный, однако по запросу спецслужб «облачный провайдер» открыл имя арендатора и почту – они вели прямо к Лихтенштейну. Аналогично была оплачена покупка нового iPhone, который доставили по адресу проживания пары.

Источник изображения: justice.gov

После того как было собрано достаточно улик против семейной пары, спецслужбы с ордером на обыск обратились к сетевому провайдеру и запросили копии всех личных документов, хранящихся на «облаке». После расшифровки закодированных файлов следователи получили доступ ко всем криптоадресам, использовавшимся в цепочке, а также закрытые ключи. Это позволило вывести всю сумму оставшихся средств на счета Министерства юстиции без ведома мошенников.

На данный момент собранных улик недостаточно, чтобы предъявить обвинение во взломе Bitfinex, однако следователи рассчитывают на чистосердечное признание, поскольку по остальным статьям Лихтенштейну и Морган грозит до 20 лет лишения свободы.

Аналитическая группа StormGain

(платформа для торговли, обмена и хранения криптовалюты)