比特币被盗的这五年:用门罗币追踪程序 求助FBI 横跨大西洋诉讼

想象在热火朝天的牛市,你所有的加密货币都被盗了……这就是科罗拉多州的 Andrew Schober 的真实遭遇。

在 2018 年,Schober 在/r/BitcoinAirdrops 的 Reddit 子论坛上无意中下载了一个被篡改的 Electrum 比特币钱包版本。在这个假钱包中隐藏着恶意软件:一个专门用来钓鱼比特币的剪贴板劫持程序。这个恶意软件会获取 Schober 机器上的任何比特币接受地址,并伪装成它,将预期的接收者地址替换为黑客控制的地址。

Schober 自 2014 年以来一直在慢慢积累比特币,最终因为这个钓鱼程序给黑客发了 16.5 个比特币,相当于他净资产的 95% 。当他被钓鱼时,这些比特币的价值为 18 万美元,但在 2021 年比特币的历史最高价时达到了 110 万美元。Schober 认为这是“改变他生活的钱”。

“我在 Reddit 上找到了一个恶意软件的链接,将其安装在我的电脑上,很快意识到它并不是宣传中所说的那样,”Schober 说。“所以我只是从我的电脑上删除了它,然后就不再考虑了。”

“但不幸的是,一旦这个木马程序安装在你的硬盘上,删除原始程序并不能摆脱这个木马。所以从那时起,它就一直在监视我的硬盘,每当我复制比特币地址时,它就会起作用。”

这个恶意软件预先编码了 195, 112 个不同的比特币地址。“它不仅仅将比特币地址更改为一些随机的新地址,”Schober 解释道。“它会匹配你复制的地址的前几个字符。所以它看起来在视觉上非常相似,如果你没有真正注意到区别,就不会察觉到。”

在 Schober 遭受攻击时,其中有四个地址接收到了来自不知情的受害者的比特币,这极大地缩小了他的索敌范围。

通过门罗币追踪被盗的比特币

区块链的美妙之处在于它的开放式账本。几乎所有加密货币交易都会留下数字化的痕迹。

通常情况下,跟踪这些路径涉及追踪转账以确定货币最终流向何处。

在 Schober 的案例中,他追踪到被同一恶意软件盗取的比特币流向了长期服务的加密货币原子交换平台 ShapeShift。

ShapeShift 曾经维护一个 API,共享参与其交换的地址。API 数据显示,Schober 遭遇的“盗贼”曾将比特币换成门罗币(XMR),并使用了相应的地址。

因此,Schober 在 Reddit 上发帖询问是否有可能追踪门罗币的交易。链上调查员和资产追回专家 Nick Bax 回应了他的请求。

“他收到了五个回复,都说‘不可能’。我给他发了一条私信,说‘这真的很难做到。但我以前做过。我认识一个律师,他曾经成功追回过资金,’”Bax 说。

Bax 最终在 2021 年 5 月提交了链上证据,确认了 Schober 诉讼中的黑客身份,这已经是两年多之前的事情了。这个过程中,他分析了门罗币的交易,以高度的确定性确定了用于 Schober 被盗比特币的门罗币的起源。

比特币被盗的这五年:用门罗币追踪程序  求助FBI  横跨大西洋诉讼

他亲自编写了门罗币追踪软件。"你标记一个输出(指令 Monero 区块链将交易定向到哪里),然后寻找每笔可能使用该标记输出的交易。当你这样做时,模式开始浮现出来。”

这种破解门罗币环签名的方法——现在被称为 Eve-Alice-Eve (EAE) 攻击——是在 2017 年开始的、由朝鲜推动的勒索软件攻击活动 WannaCry 的余波中出现的。

“门罗币的 RingCT……隐藏了确切的 UTXO(未使用交易输出)被消费情况,但提供给区块链分析师一份包含可信'环成员'列表,其中有一个正在被消费,其余都是‘诱饵’”,Bax 在一篇博客中详细介绍了他的调查结果。

门罗币中现已修补的错误可能使得当时更容易将真实的 UTXO 与诱饵分开,从而追踪交易。

神之一手:敲响 FBI 的门

Bax 确定 Schober 所谓的黑客通过 ShapeShift 将从另一名受害者那里窃取的一些 BTC 转换为门罗币,然后通过协议将其发送回以再次将其转换为 BTC。

洗掉的 BTC 被定向到一个以“ 1 BeNEdict”开头的“虚荣地址”。(Odaily星球日报注:虚荣地址指哈希函数计算随机产生字符串时,通过不停地重复生成地址,直到地址中包含希望出现的字符串,就像“靓号”。)

至于 Schober 的比特币,最终出现在 Bitfinex 上。加密货币交易热钱包实际上是黑匣子,因为它们的余额代表了汇集的客户资金。

一旦加密货币进入热钱包,几乎不可能确定它们被提取到哪里,除非金额相同且不常见——甚至该证据也不是确定的。

Schober 和 Bax 的调查就在那里卡住了一年多,Schober 曾传唤 Bitfinex 披露接收被盗 BTC 的账户所有者,但遭到拒绝。

Bitfinex 只会回应执法机关对客户信息的请求,而不是民事请求,因为 Bitfinex 不会介入民事事务,尤其是在美国,因为美国法院对我们没有管辖权。”Bitfinex 法律顾问 Sarah Compani 通过电子邮件回复 Schober 的律师 Ethan Mora 说。

“像 FTX 和 Bitfinex 这样的加密货币交易所在英属维尔京群岛或开曼群岛设立公司的原因是出于这些法律原因,它们不必遵守美国法律或任何其他法律。”Schober 说道。

“他们可以待在那里,采取法外行动。他们甚至没有给我们一个答案。”

由于无法直接进入 Bitfinex,Mora 启动了所谓的 Touhy 请求,要求 FBI 的网络部门提供与该机构对恶意软件的调查相关的文件和其他信息。Schober 在失去比特币后立即向 FBI 报案。 “FBI 开始向涉及该恶意软件的公司发出传票,比如 Reddit(发布恶意软件的地方)和 GitHub(托管恶意软件的地方)。”Schober 说道。传票发生在 2018 年底, 2019 年初。FBI 甚至在调查过程中没收了他的电脑几个月。

经过大约 10 个月的时间,Touhy 请求成功了。突然间,Schober 的团队得到了 Bitfinex 内部数据,指出了与接收他被盗比特币的账户相关联的确切 IP 和电子邮件地址。

“在我们得到司法部关于 Touhy 问题的答复之前,我们真不知道 FBI 的调查发现了什么。”Mora 说道。

虚荣地址又回来了

得益于 FBI 的传唤,Schober 的团队能够在一系列在线服务中确定黑客的账户:Gmail、Keybase、Reddit、Twitter 和 Github。在所谓黑客的公共 GitHub 代码库中发现了恶意软件所需的代码,包括其依赖的比特币地址生成器。

通过一些账户,验证了用于通过 ShapeShift 洗钱的 1 BeNedict 地址,Bax 将其视为黑客身份的证据(虚荣地址与他的名字匹配)。

在明显的洗钱过程中,攻击者在 ShapeShift 注册的退货地址(在交易出现问题时协议会将加密货币发送到该地址)与从 Schober 那里盗取的比特币的 Bitfinex 热钱包完全相同。

甚至在 Bitcoin 开发者邮件列表上有一篇帖子,发件人的电子邮件地址与所谓黑客的真名匹配,描述了如何轻松生成与提供的比特币地址非常相似的地址。这篇帖子完全符合 Electrum 恶意软件的作案方式。

在进行了足够的诊断之后,Bax 发现“由 Electrum Atom 恶意软件操作人发送的每笔比特币交易都发送到一个与 FBI 调查的所谓黑客相关联的目标地址”。与恶意软件相关的地址总共收到了 17 个比特币(价值 50.1 万美元),其中 97% 属于 Schober。他通过长期运营的比特币论坛 BitcoinTalk 与另一名受害者取得了联系。

比特币被盗的这五年:用门罗币追踪程序  求助FBI  横跨大西洋诉讼

自 Schober 的钱包被盗以来,比特币已经经历了整个牛市周期 图表由 David Canellis 绘制

这意味着 Schober 可以对涉嫌犯罪的人提起民事诉讼,以及另一个据称在 Reddit 上兜售同一恶意软件的个人。两者在犯罪发生时都未成年,所以诉讼也将他们的父母列为被告。所有当事人都否认有任何不当行为。

这发生在 2021 年 5 月,距离 Schober 的 BTC 被钓鱼已经过去了三年多。当时比特币的价格上涨了一倍多。

让事情变得更加复杂的是,被指控的黑客居住在英国。联邦调查局将此案移交给英国执法部门,并展开联合调查。Schober 说,两名嫌疑人都被逮捕、审问并且他们的设备被没收并进行了法庭调查。

但在他们被逮捕之前,绝望(也许还有一丝幼稚)使得 Schober 联系了他们和他们的父母,让他们知道他们已经被发现。“我希望他们能坦白交代,并将被盗物归还给我,因为我所做的一切只是要求他们归还被盗物,但他们没有这样做,”Schober 说道。

“英国皇家检察署最终告诉我,在我联系他们之后,他们可能销毁了他们的设备,因为他们有了全新的设备,而且没有足够的法庭证据来提起诉讼。”

(Bax 表示,他会像 Schober 一样做——他们认为父母可能是正派的人,因为他们在银行和英国国家卫生服务机构工作。“他们应该把钱退还,我认为这一切都会结束。”)

Schober 的民事诉讼现在可能是他唯一能够追求正义的机会。但案件进展缓慢,律师们对于审判应该在哪个司法管辖区进行争论不休。

黑客的律师们表示,诉讼应该被驳回,因为 Schober 在美国,无权对英国的某个人行使司法管辖权。他们还辩称,他已经逾期提起投诉的法定时限。

“但从我们的角度来看,这是不正确的,因为花费了如此多的时间、精力和调查才能确定另一端是一个人。”Schober 说道。

考虑到他被 Bitfinex 拒绝提供关键信息后不得不等待 10 个月才获得 FBI 的传唤,他觉得他不应该被法定时限的论点所惩罚。

史无前例的案例

像 Schober 的情况可能是独一无二的,因为它横跨了整个大西洋。

“实际上很少有像这样的案件,事实上,我不知道有任何案件是一个个人追踪、合法传唤(根据国际法),并起诉像这样的黑客……更不用说偷走加密货币的黑客了。” Mora 说道。

“我参与过一些案件,其中一些个人原告起诉了来自美国其他州的国内诈骗者/黑客,但是那些被告已经在美国被逮捕。”

Mora 提到了政府对国内外黑客提起刑事诉讼的案例,以及亚马逊和谷歌等科技巨头起诉黑客的情况,其中一些黑客要求以加密货币支付赎金。

Schober 并不是一个跨国企业,他只是一个普通人,不像一些高调且富裕的加密货币被盗受害者那样起诉自己的攻击者。

“我相信这个案件在很多方面都是史无前例的……不知道这个案件会持续多久,”Mora 说。

GitHub 无法让 Schober 知道执法部门是否已进行调查,这使得 Touhy 的请求成为一场得到回报的赌博。

究竟如何解决这个问题,谁也说不准。如果美国法院裁定黑客欠 Schober 的款项,那么英国法院仍然需要承认这个判决,然后才能在英国执行判决。最终,可能会涉及债务追收、留置权甚至工资扣押。

Schober 表示,他们能够追踪到一大笔比特币,这些比特币的地址是从 FBI 的传票中获取的,因此似乎被指控的黑客确实有资金来偿还 Schober。

考虑到 Schober 似乎确切知道是谁偷走了他的加密货币,这种情况尤其令人沮丧。

尽管发生了这一切,包括法律费用和损失的 50 万美元比特币,但 Schober 仍然支持比特币。“我仍然相信比特币的前景。这是最初吸引我加入的原因。但毫无疑问,我作为早期参与者的优势已经消失了,这是痛苦的。”

“但我目前对此仍然持积极态度。而且,我为能够将这个案子推进到现在这一步感到自豪,因为明知成功几率非常小。”

他对美国法院会认识到他是被盗的受害者持乐观态度。如果袭击者来自俄罗斯或朝鲜等国,他几乎没有任何救济途径。

“已经过去了五年,我希望尽快结束这个问题,”Schober 说。“但另一方面,我已经付出了很多努力和时间,并且有像 Bax 和其他人这样支持我的人,因为他们听说了这个故事,觉得它非常了不起。”

“所以我决心坚持到底。”