比特币被盗的五年中,使用门罗币追踪程序,并向FBI寻求帮助,最终进行了跨大西洋的诉讼。

在比特币被盗的五年期间,使用门罗币追踪程序,向FBI寻求帮助,并进行了跨大西洋的诉讼。

从比特币被盗到追踪黑客的过程:区块链与门罗币的应用

在这个充满火热牛市的时候,你能想象一下自己所有的加密货币都被盗的情景吗?这正是科罗拉多州的Andrew Schober的真实遭遇。在2018年,Schober在Reddit的子论坛/r/BitcoinAirdrops上下载了一个被篡改的Electrum比特币钱包。对此他早已毫不在意,但他不知道的是,这个假钱包中隐藏着恶意软件:它会在Schober的机器上获取任何比特币接收地址,并将预期的接收者地址替换为黑客控制的地址。Schober作为一个从2014年开始积累比特币的老玩家,最终因为这个钓鱼程序给黑客发了16.5个比特币,相当于净资产的95%。当他被钓鱼时,这些比特币的价值为18万美元,但在2021年比特币的历史最高价时达到了110万美元。Schober称这是“改变他生活的钱”。

恶意软件预先编码了195,112个不同的比特币地址。“它不仅仅将比特币地址更改为一些随机的新地址”,Schober解释道。“它会匹配你复制的地址的前几个字符。所以它看起来在视觉上非常相似,如果你没有真正注意到区别,就不会察觉到。”在Schober遭受攻击时,其中有四个地址接收到了来自不知情的受害者的比特币,这极大地缩小了他的索敌范围。

区块链技术的美妙之处在于它的开放式账本。几乎所有加密货币交易都会留下数字化的痕迹。通过追踪这些路径,我们可以确定交易的流向。在Schober的案例中,他追踪到被同一恶意软件盗取的比特币最终流向了加密货币原子交换平台ShapeShift。ShapeShift曾经维护一个API,共享参与其交换的地址。通过API数据,我们得知Schober遭遇的“盗贼”曾将比特币换成门罗币(XMR),并使用相应的地址。因此,Schober在Reddit上发帖询问是否有可能追踪门罗币的交易。链上调查员和资产追回专家Nick Bax回应了他的请求。

Bax最终在2021年5月提交了链上证据,确认了Schober诉讼中的黑客身份,这已经是两年多之前的事情了。这个过程中,他分析了门罗币的交易,以高度的确定性确定了用于Schober被盗比特币的门罗币的起源。他亲自编写了门罗币追踪软件。“你标记一个输出(指令Monero区块链将交易定向到哪里),然后寻找每笔可能使用该标记输出的交易。当你这样做时,模式开始浮现出来。”

这种破解门罗币环签名的方法——现在被称为Eve-Alice-Eve (EAE)攻击——是在2017年开始的、由朝鲜推动的勒索软件攻击活动WannaCry的余波中出现的。门罗币的RingCT隐藏了确切的UTXO(未使用交易输出)被消费情况,但提供给区块链分析师一份包含可信’环成员’列表,其中有一个正在被消费,其余都是‘诱饵’。门罗币中现已修补的错误可能使得当时更容易将真实的UTXO与诱饵分开,从而追踪交易。

Bax确定Schober所谓的黑客通过ShapeShift将从另一名受害者那里窃取的一些比特币转换为门罗币,然后通过协议将其发送回以再次将其转换为比特币。洗掉的比特币被定向到一个以“1 BeNEdict”开头的“虚荣地址”。至于Schober的比特币,最终出现在Bitfinex上。加密货币交易热钱包实际上是黑匣子,因为它们的余额代表了汇集的客户资金。一旦加密货币进入热钱包,几乎不可能确定它们被提取到哪里,除非金额相同且不常见——甚至该证据也不是确定的。Schober和Bax的调查就在那里卡住了一年多,他们曾传唤Bitfinex披露接收被盗比特币的账户所有者,但遭到拒绝。Bitfinex只回应执法机关对客户信息的请求,不介入民事事务。由于Bitfinex并不遵守美国法律或其他法律,他们认为他们在民事诉讼方面没有义务。

由于无法直接进入Bitfinex,Schober的律师Ethan Mora启动了所谓的Touhy请求,要求FBI的网络部门提供与该机构对恶意软件的调查相关的文件和其他信息。FBI开始向涉及该恶意软件的公司发出传票,比如Reddit和GitHub。传票发生在2018年底,2019年初。FBI甚至在调查过程中没收了Schober的电脑几个月。经过大约10个月的时间,Touhy请求成功了。突然间,Schober的团队得到了Bitfinex内部数据,指出了与接收他被盗比特币的账户相关联的确切IP和电子邮件地址。

获得FBI传唤后,Schober的团队能够在一系列在线服务中确定黑客的账户:Gmail、Keybase、Reddit、Twitter和Github。在黑客的公共GitHub代码库中发现了恶意软件所需的代码,包括其依赖的比特币地址生成器。通过一些账户,验证了用于通过ShapeShift洗钱的“1 BeNedict”地址,Bax将其视为黑客身份的证据(虚荣地址与他的名字匹配)。在明显的洗钱过程中,攻击者在ShapeShift注册的退货地址与从Schober那里盗取的比特币的Bitfinex热钱包完全相同。甚至在Bitcoin开发者邮件列表上有一篇帖子,发件人的电子邮件地址与所谓黑客的真名匹配,描述了如何轻松生成与提供的比特币地址非常相似的地址。这篇帖子完全符合Electrum恶意软件的作案方式。在进行了足够的诊断之后,Bax发现“由Electrum Atom恶意软件操作人发送的每笔比特币交易都发送到一个与FBI调查的所谓黑客相关联的目标地址”。与恶意软件相关的地址总共收到了17个比特币(价值50.1万美元),其中97%属于Schober。他通过长期运营的比特币论坛BitcoinTalk与另一名受害者取得了联系。

这意味着Schober可以对涉嫌犯罪的人提起民事诉讼,以及另一个据称在Reddit上兜售同一恶意软件的个人。两者在犯罪发生时都未成年,所以诉讼也将他们的父母列为被告。这发生在2021年5月,距离Schober的比特币被钓鱼已经过去了三年多。当时比特币的价格上涨了一倍多。 值得一提的是,被指控的黑客居住在英国。联邦调查局将此案移交给英国执法部门,并展开联合调查。Schober说,两名嫌疑人都被逮捕、审问并且他们的设备被没收并进行了法庭调查。但在他们被逮捕之前,绝望(也许还有一丝幼稚)使得Schober与他们和他们的父母联系,让他们知道他们已经被发现。他希望他们能坦白交代,并将被盗物归还给他,因为他所做的一切只是要求他们归还被盗物。英国皇家检察署告诉他,在他联系他们之后,他们可能销毁了他们的设备,因为他们有了全新的设备,并且没有足够的法庭证据来提起诉讼。

Schober的民事诉讼现在可能是他唯一能够追求正义的机会。但案件进展缓慢,律师们对于审判应该在哪个司法管辖区进行争论不休。黑客的律师们表示,诉讼应该被驳回,因为Schober在美国,无权对英国的某个人行使司法管辖权。他们还辩称,他已经逾期提起投诉的法定时限。考虑到花费了如此多的时间、精力和调查才能确定另一端是一个人,Schober认为这是不正确的。由于判决涉及的跨国问题,解决该问题的方式尚不确定。如果美国法院裁定黑客欠Schober的款项,那么英国法院仍然需要承认这个判决,然后才能在英国执行判决。最终,可能会涉及债务追收、留置权甚至工资扣押。

尽管经历了这一切,包括法律费用和损失的50万美元比特币,但Schober仍然支持比特币。他仍然相信比特币的前景,这是最初吸引他加入的原因。尽管早期参与者的优势已经消失,但他对未来依然持积极态度。虽然他可能是一个独一无二的个案,但他认为这个案件有望在美国法院得到公正对待,尽管最终结果无法确定。已经过去五年,他希望尽快了结这个问题,但他也意识到这样的案件可能需要更长时间才能得到解决。