AML,  blockchain,  cybercrime,  cybersecurity

Włamanie na Bitfinex, śledztwo i zablokowanie środków.

Słyszeliście o włamaniu na giełdę walut wirtualnych Bitfinex?

To zdarzenie, które doczekało się własnego wpisu na Wikipedii, w której możemy przeczytać:

„The Bitfinex cryptocurrency exchange was hacked in August 2016 in the second-largest breach of a Bitcoin exchange platform up to that time. 119,756 bitcoin, worth about US$72 million at the time, were stolen”.

Odnotujmy jeszcze, że wartość skradzionej kryptowaluty na dzień 26 maja 2022 r. to ponad 3,5 miliarda dolarów.

Mamy więc mocny przykład, który pozwala uznać, że hostowane portfele, czyli takie które są dostarczane i zarządzane przez strony trzecie aż do wydania dyspozycji przez użytkownika, są: niebezpieczne, podatne na ataki, a użytkownicy narażeni są na stratę.

Jednak w tym przypadku było nieco inaczej i dlatego warto zatrzymać się przy tej sprawie na chwilę dłużej.

Jak duża była to strata dla samej giełdy oraz ich użytkowników?

Wyparowanie takiej ilości bitcoinów oczywiście wywarło wpływ na płynność finansową całej giełdy. Do udziału w stracie postanowiono zaprosić (bez możliwości odrzucenia zaproszenia) wszystkich użytkowników. Wartość ich portfeli spadła o ok 36%. Giełda postanowiła jednak w pewien sposób wynagrodzić te straty i wyemitowała nowy token, który miał być przeznaczony do śledzenia wartości straty w stosunku do dolara. Nieco później, w 2018 r. Biftinex miał jeszcze inny problem z cashflow (związany z jego dostawcą płatności) i zdecydował się na prywatną emisję tokena Leo. I na ten ostatni token zwróćmy szczególną uwagę, bo będzie miał on jeszcze znaczenie dla interesów użytkowników.

Rozsądek oraz poczucie sprawiedliwości podpowiadają nam, że nowe tokeny, którymi obdarowano użytkowników służyć powinny nie tylko monitorowaniu wysokości straty, ale powinny zostać również przez giełdę odkupione, co w efekcie pozwoliłoby im spełnić funkcję rekompensaty. I jak wynika z informacji dostępnej na stronie Spółki rzeczywiście giełda ma zamiar wykupić, a następnie spalić tokeny. Jednak warunkiem jest odzyskanie skradzionych bitcoinów.

„If Bitfinex receives a recovery of the stolen bitcoin, as described in the UNUS SED LEO token white paper, Bitfinex will, within 18 months of the date it receives that recovery use an amount equal to 80% of the recovered net funds to repurchase and burn outstanding UNUS SED LEO tokens. These token repurchases can be accomplished in open market transactions or by acquiring UNUS SED LEO in over-the-counter trades, including directly trading bitcoin for UNUS SED LEO”.

Wróćmy jeszcze na moment do samego zdarzenia krytycznego z 2016 roku

Giełda ogłosiła wtedy, że odnotowała incydent bezpieczeństwa. Około 2.000 transakcji miało zostać wysłanych na adres jednego portfela z różnych portfeli użytkowników. Giełda wstrzymała możliwość dokonywania wypłat oraz zamroziła handel BTC.

Przekorny czytelnik mógłby powiedzieć i co z tego, że zamrożono handel na Bitfinexie? Jeśli potrafili włamać się na giełdę, to tym bardziej potrafią ukryć i samych siebie, i skradzione środki. W najlepszym razie czeka nas długie śledztwo wymieszane z brakiem kompetencji po stronie organów ścigania, a na koniec niewykrycie sprawców . I żeby tego było mało, poszkodowani użytkownicy pozostawieni sami sobie.

Choć czekać trzeba było długo, to jednak!

W lutym 2022 roku do sieci trafiły informacje o aresztowaniu Ilyi „Dutch” Lichtensteina oraz Heather Morgan pod zarzutem prania pieniędzy związanego z włamaniem na Bitfinex.

Co właściwie zrobili podejrzani?

Jak można się domyślić, chwilę po włamaniu na początku 2017 r. rozpoczęto wyprowadzać kryptowalutę poprzez mikropłatności za pośrednictwem AlphaBay. AlphaBay to dostępna w darknecie platforma do handlu aktywna do 2017 r.

Dokładniej, o tym jakiej techniki używano do prania pieniędzy można przeczytać w oficjalnym dokumencie sporządzonym przez specjalnego agenta Internal Revenue Criminal Investigation, gdzie autor wskazał, np. na wykorzystywanie przez podejrzanych techniki peel chain. Z dokumentu możemy dowiedzieć się, że w tej metodzie chodzi po prostu o rozproszenie transakcji. Określona ilość kryptowaluty jest przesyłana przez serie transakcji, w których za każdym razem co raz mniejsza ilość kryptowaluty jest przesyłana na inny adres. Czemu właściwie „peel off”? Ponieważ w każdej transakcji pewna ilość kryptowaluty jest „zdejmowana” z łańcucha blockchain na inny adres, a pozostała przesyłana jest na kolejny adres w łańcuchu.

To nie była jedyna metoda wykorzystywana przez podejrzanych. System był naturalnie bardziej złożony. Do zakładania kont podejrzani wykorzystywali fałszywe tożsamości, do automatyzacji transakcji wykorzystywali skrypty, a BTC wymieniali na inne kryptowaluty (nie zabrakło, rzecz jasna, miejsca na monero), i wreszcie próbowali także wyprać pieniądze wykorzystując jednoosobowe firmy zarejestrowane w US.

A zatem wydawać by się mogło, że wszystko szło zgodnie z planem. Gdzie więc popełniono błąd?

Jak to zwykle bywa, w drobiazgach. Agenci specjalni musieli prześledzić tysiące transakcji, by połączyć kropki i dotrzeć do rachunków prowadzonych dla bohaterów tej historii. Przeróżnych łańcuchów transferu oraz kropek do połączenia było tak wiele, że najprawdopodobniej śledczy nie wszystkie zdołali odkryć. Cześć dla nich stała się jasna, gdy dotarli do arkusza kalkulacyjnego, w którym podejrzani przechowywali klucze prywatne do portfeli. Arkusz znajdował się w chmurze, a dostęp do niego stał się możliwy po wykonaniu sądowych nakazów przeszukania kont internetowych kontrolowanych przez Lichtensteina i Morgan.

Zapytacie pewnie jaki był efekt?

Arkusze zawierały klucze prywatne do portfeli, co pozwoliło agentom specjalnym na zajęcie ponad 94.000 BTC. W momencie zajęcia ich wartość wynosiła 3,6 miliarda dolarów. Na dzień 26 maja 2022 r., to ok. 2,7 miliarda dolarów.

Jak powiedzieli śledczy: przestępcy zawsze zostawiają ślady, a sprawa Bitfinexu przypomina, że FBI ma narzędzia, by podążać za cyfrowym śladem. Jednym z ciekawszych śladów jest karta do Walmartu na kwotę 500 dolarów. Agencji zdołali powiązać z kartą e-mail Mrs Morgan i adres domowy podejrzanych. ; )

Słowo z perspektywy prawnej

Według śledczych istnieją podstawy, by twierdzić, że podejrzani popełnili czyn 18 U.S. Code § 1956, czyli przestępstwo dotyczące prania pieniędzy. W dokumencie mowa również o ukrywaniu przestępczego pochodzenia środków, a także o przestępstwie oszustwa komputerowego stypizowanego w 18 U.S. Code § 1030. Pierwszych ze wspomnianych przepisów przewiduje karę do 20 lat pozbawienia wolności oraz grzywnę w wysokości nie większej niż dwukrotność mienia stanowiącego wartość transakcji.

Słowo o specyfice postępowań związanych z cyberprzestępczością

Warto wspomnieć, że w globalnej gospodarce oraz łatwości transferów transgranicznych liczą się unikalne kompetencje śledczych, a także współpraca międzynarodowa (w opisywaną sprawę poza amerykańskimi służbami zaangażowany był także niemiecki departament policji w Ansbach). Organy podobnie, jak raporty EUROPOLU zwracają także uwagę na doniosłe znaczenie współpracy sektora publicznego z prywatnym.

Na znaczeniu nabiera także szybkość reakcji w celu zabezpieczenia środków oraz śladu cyfrowego (digital fingerprint). Ten element wynika oczywiście z odpowiednich mechanizmów prawnych, jak, np. znana w sektorze bankowym zasada travel rule, czy przewidziane w prawie bankowym prawo do blokady środków przez prokuratora – w przypadku, gdy wystąpiło uzasadnione podejrzenie popełnienia przestępstwa prania pieniędzy lub wykorzystywania działalności banku w celu ukrycia działań przestępczych.

Słowo z praktyki

W kancelarii DGTL prowadziliśmy dla klienta zajmującego się wymianą walut wirtualnych sprawę, w toku której klient odzyskał kryptowalutę o wartości kilkuset tysięcy złotych.  Jednostki kryptowaluty zostały zablokowane przez prokuratora w związku z prowadzonym postępowaniem przygotowawczym w sprawie z art. 299 Kodeksu Karnego. Poza wykorzystaniem mechanizmów prawnych w rozwiązaniu tej sprawy niezbędne było zrozumienie modelu działalności klienta, stosowanych przez niego środków bezpieczeństwa finansowego na gruncie AML, a na samym końcu przedstawienie przed organem ścigania oraz sądem w sposób zrozumiały opisu zdarzenia oraz okoliczności przemawiających za zwrotem zablokowanych środków na rzecz naszego klienta.

To niewątpliwie sprawa, w której mogliśmy działać bardzo blisko jednego z haseł DGTL:

„Nasza praca to tłumaczenie na język prawny strategii firm pragnących zmieniać świat, ale także tych, które dopiero uczą się cyfrowego języka. Także w zakresie budowy nowoczesnych relacji międzyludzkich w przedsiębiorstwie”.

W tym przypadku odbiorcą naszego tłumaczenia był sąd, który orzekał o obowiązku zwrotu zablokowanych bitcoinów na adres portfela krypto naszego klienta.

I na koniec

Bohaterzy tej historii nie są oskarżeni o same przełamanie zabezpieczeń, a zatem istnieje ryzyko, że o sprawcy zamieszenia nigdy się nie dowiemy. Warto zwrócić także uwagę na warunki zwolnienia za kaucją, na które składają się, między innymi:

  • ograniczenie wydatków podejrzanych do 10 tysięcy dolarów miesięczne;
  • zakaz wypłaty z kont bankowych;
  • zakaz dokonywania transakcji kryptowalutowych;
  • konfiskata ich sprzętu elektronicznego oraz obowiązek wykorzystywania udostępnionych im telefonów oraz jednego urządzenia z dostępem do internetu, które będzie monitorowane przez służby.

Takie rozwiązania ma pozwolić oskarżonym na wykonywanie przelewów oraz mailowane do swoich prawników.

Link do opisu śledztwa w sprawie Bitfinex:

https://www.justice.gov/opa/press-release/file/1470186/download

Link do opisu komunikatu prasowego:

https://www.justice.gov/opa/pr/two-arrested-alleged-conspiracy-launder-45-billion-stolen-cryptocurrency

Ciekawsze cytaty z opisu postępowania przygotowawczego:

  1. «For example, in a KYC verification email from VCE 10 in 2019, LICHTENSTEIN wrote to representatives from VCE 10 that he has “been investing in and mining [BTC] since 2013, so the source of funds would be those early crypto assets.”»
  2. “Investigators analyzed (via publicly available information on the BTC blockchain and records obtained from the VCEs) all of the transactions into each of LICHTENSTEIN’s accounts, and discovered the following:
  3. A large portion of BTC deposited into LICHTENSTEIN’s VCE accounts was traced back to two accounts at VCE 4. These accounts are referenced below as “VCE 4 Account 2” and “VCE 4 Account 3.”
  4. These two accounts at VCE 4, as depicted below, also sent funds into accounts registered to MORGAN and into another account registered to a business owned by LICHTENSTEIN called Endpass, Inc. (“Endpass”).”
  5. “MORGAN advised representatives from VCE 7 that SalesFolk accepted BTC as payment from customers. However, special agents were unable to corroborate MORGAN’s statement with any actual payment details or publicly available information about SalesFolk’s acceptance of BTC as payment, with one exception, an account in SalesFolk’s name at BTC PSP 1. That account received approximately $130,000 worth of virtual currency from a single company (“Shell Company 1”), which claimed to operate out of Hong Kong. The payment was purportedly for advertising services. However, Shell Company 1 had no website, and investigators were unable to identify any legitimate business activity by Shell Company 1, much less any advertising.”
  6. “LICHTENSTEIN’s cloud storage account also contained a folder named “personas.” The “personas” folder contained biographical information and identification documents for numerous individuals. The account also included a text file named “passport_ideas” that included links to different darknet vendor accounts that appeared to be offering passports or identification cards for sale.”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *