Bitfinex Hack: Chain analysis + Cloud storage (encrypted files)
Не было времени ночью запостить.
Пожалуй, тот случай, когда изменение и развитие технологий blockchain analysis последних лет привели к результату.
Тут видно (по материалам), что человек считал достаточным тот уровень сокрытия (хотя косяков там полно, на куче этапов).
И абсолютно нелепо, увести такие суммы, иметь столько лет в запасе для их отмыва - и получить вот такой результат. BTC позволяет хоть 10, хоть 15 лет сидеть и думать над тем, как их отмыть (разработать программную схему с полуавтоматической реализацией, сейчас с разными свопами и проч., раньше чуть иначе). Но вот просто просидеть огромное число лет, условно ничего не делая, и не тратя, а потом тупо сесть - нелепость невероятная.
https://www.coindesk.com/policy/2022/02/08/us-officials-seize-bitcoin-from-2016-bitfinex-hack/
https://www.justice.gov/opa/pr/two-arrested-alleged-conspiracy-launder-45-billion-stolen-cryptocurrency
PDF:
https://www.justice.gov/opa/press-release/file/1470186/download
Определенные вещи (не все) выделил.
January 31, 2022, law enforcement gained access to Wallet 1CGA4s by decrypting a file saved to LICHTENSTEIN’s cloud storage account, which had been obtained pursuant to a search warrant. The file contained a list of 2,000 virtual currency addresses, along with corresponding private keys
(Очень хотелось бы сказать, что нашли именно сквозным поиском по облачным хранилищам по номерам кошельков и проч. - но либо это легендировано в данном случае (маловероятно), либо, все же, то, о чем написал я выше - по крайней мере, приведенная схема выглядит логичной, хотя и может быть сконструирована уже позже, для легендирования, при знании конкретного результата).
The connection among the VCE 1 accounts was further confirmed upon reviewing a spreadsheet saved to LICHTENSTEIN’s cloud storage account. The spreadsheet included the log-in information for accounts at various virtual currency exchanges and a notation regarding the status of the accounts. Six of the VCE 1 accounts referenced above were included in the spreadsheet, with a notation indicating “FROZEN.” In other words, LICHTENSTEIN possessed a document with the login information for the accounts at VCE 1 that received funds traceable to the hack of Victim VCE and that reflected his knowledge that the accounts had been frozen.
In 2021, agents obtained a copy of the contents of the cloud storage account pursuant to a search warrant. Upon reviewing the contents of the account, agents confirmed that the account was used by LICHTENSTEIN. However, a significant portion of the files were encrypted (метод не указан -- sporaw).
On or about January 31, 2022, law enforcement was able to decrypt several key files contained within the account (метод не указан -- sporaw).
Furthermore, LICHTENSTEIN’s cloud storage account also contained a folder named “personas.” The “personas” folder contained biographical information and identification documents for numerous individuals. The account also included a text file named “passport_ideas” that included links to different darknet vendor accounts that appeared to be offering passports or identification cards for sale.
Пожалуй, тот случай, когда изменение и развитие технологий blockchain analysis последних лет привели к результату.
Тут видно (по материалам), что человек считал достаточным тот уровень сокрытия (хотя косяков там полно, на куче этапов).
И абсолютно нелепо, увести такие суммы, иметь столько лет в запасе для их отмыва - и получить вот такой результат. BTC позволяет хоть 10, хоть 15 лет сидеть и думать над тем, как их отмыть (разработать программную схему с полуавтоматической реализацией, сейчас с разными свопами и проч., раньше чуть иначе). Но вот просто просидеть огромное число лет, условно ничего не делая, и не тратя, а потом тупо сесть - нелепость невероятная.
https://www.coindesk.com/policy/2022/02/08/us-officials-seize-bitcoin-from-2016-bitfinex-hack/
https://www.justice.gov/opa/pr/two-arrested-alleged-conspiracy-launder-45-billion-stolen-cryptocurrency
PDF:
https://www.justice.gov/opa/press-release/file/1470186/download
Определенные вещи (не все) выделил.
January 31, 2022, law enforcement gained access to Wallet 1CGA4s by decrypting a file saved to LICHTENSTEIN’s cloud storage account, which had been obtained pursuant to a search warrant. The file contained a list of 2,000 virtual currency addresses, along with corresponding private keys
(Очень хотелось бы сказать, что нашли именно сквозным поиском по облачным хранилищам по номерам кошельков и проч. - но либо это легендировано в данном случае (маловероятно), либо, все же, то, о чем написал я выше - по крайней мере, приведенная схема выглядит логичной, хотя и может быть сконструирована уже позже, для легендирования, при знании конкретного результата).
The connection among the VCE 1 accounts was further confirmed upon reviewing a spreadsheet saved to LICHTENSTEIN’s cloud storage account. The spreadsheet included the log-in information for accounts at various virtual currency exchanges and a notation regarding the status of the accounts. Six of the VCE 1 accounts referenced above were included in the spreadsheet, with a notation indicating “FROZEN.” In other words, LICHTENSTEIN possessed a document with the login information for the accounts at VCE 1 that received funds traceable to the hack of Victim VCE and that reflected his knowledge that the accounts had been frozen.
In 2021, agents obtained a copy of the contents of the cloud storage account pursuant to a search warrant. Upon reviewing the contents of the account, agents confirmed that the account was used by LICHTENSTEIN. However, a significant portion of the files were encrypted (метод не указан -- sporaw).
On or about January 31, 2022, law enforcement was able to decrypt several key files contained within the account (метод не указан -- sporaw).
Furthermore, LICHTENSTEIN’s cloud storage account also contained a folder named “personas.” The “personas” folder contained biographical information and identification documents for numerous individuals. The account also included a text file named “passport_ideas” that included links to different darknet vendor accounts that appeared to be offering passports or identification cards for sale.