Кража с MtGox
@LinkLeedГруппа энтузиастов WizSec (Bitcoin Security Specialists) на протяжении нескольких лет ведет собственное независимое расследование самой крупной и громкой кражи Биткоинов - краха MtGox.
Несколько минут назад WizSec опубликовали в своем блоге первую часть результатов расследования, огласка которой стала возможна в свете ареста Александра Винника:
• В сентябре 2011 года были украдены приватные ключи горячего кошелька MtGox в результате простого копирования файла wallet.dat. Это немедленно дало доступ хакерам к значительному количеству Биткоинов, а также возможность контролировать входящие на биржу депозиты, относящиеся к взломанному кошельку.
• Со временем хакеры регулярно опустошали счета, связанные со скомпрометированным адресом и пересылали монеты на кошельки, контролируемые Винником. Это продолжалось в течение длительного времени, были и перерывы — самый крупный, второй этап краж, произошел позднее в 2012 и 2013гг.
• К середине 2013г, когда приток расходуемых средства из скомпрометированного адреса замедлился, воры вывели около 630,000 BTC из MtGox.
• После того, как монеты попали к Виннику, большая часть средств поступила на BTC-e, где, предположительно, была распродана или отмыта (BTC-e коды были тогда наилучшим вариантом). В общей сложности около 300,000 ВТС оказались на BTC-e, в то время как другие монеты были депонированы на других биржах, включая и саму MtGox.
• Некоторые из средств, поступивших на BTC-e, как представляется, попали прямиком во "внутреннее хранилище", вместо того, чтобы стать частью депозита клиента в лице Винника, что намекает нам на некие договорные отношения между Винником и BTC-e.
• Украденные с MtGox монеты были не единственными украденными монетами, обрабатывающимися Винником; Биткоины, похищенные в результате атаки на биржи Bitcoinica, Bitfloor и несколько других в 2011 и 2012гг - все отмывались через одни и те же кошельки. Перемещение Биткоинов обратно на MtGox стало тем, что позволило идентифицировать Винника - его MtGox счета указали на его онлайн псевдоним «WME». Как WME, Винник сделал общественное заявление, вызвавшее резонанс, о том, что его монеты были конфискованы (монеты, кстати, исходящие из Bitcoinica).
• Были другие кражи и инциденты, объяснявшие прочие недостающие средства MtGox. Подробнее об этом - в последующих постах. :crystal_ball:
http://blog.wizsec.jp/2017/07/breaking-open-mtgox-1.html?m=1
Верхняя область графика включает кластеры, не связанные с Винником и представляет другие кражи.
Кластеры, связанные с WME, выделены красным цветом.
Поток Биткоинов.
- После определения фактических транзакций украденных у MtGox Биткоинов, мы отследили их и сгруппировали все причастные к отмыванию монет адреса, быстро обнаружив, что и другие похищенные на прочих биржах монеты ведут к аналогичным кошелькам. Выше приводится резюмирующая иллюстрация.
- Некоторые монеты были депонированы на MtGox, мы смогли определить, какие учетные записи были использованы для получения; в частности, два представляют особенный интерес, и их можно связать с онлайн идентичностью «WME».
- WME долгое время активно и часто рекламировал «дешевые монеты» на форуме BitcoinTalk и продавал BTC-e коды. Биржа BTC-e публично ручалась за него, заявляя, что "с WME мы очень хорошо знакомы".
- WME участвовал в инциденте похищения средств с Bitcoinica, это дало нам еще один сильный индикатор того, что мы определили "нужного" человека - основную фигуру, замешанную в отмывании средств после ограбления MtGox. Этот инцидент также в конечном итоге помог нам выявить имя «Александр Винник», хотя мы в то время думали, что это его ненастоящее имя, так как сталкивались с бессчетным множеством псевдонимов. Сегодняшнее задержание доказывает, что мы тогда были правы.
- Это расследование доказывает, что Винник не хакер и не вор, а человек, ответственный за отмывание награбленного; Новости о его аресте также акцентируют внимание именно на подозрении в отмывании средств. Возможно он просто купил дешевые монеты у воров и предложил услуги по отмыванию денег. Он является, однако, важной частью головоломки, его поимка, вероятно, позволит узнать, с кем именно он имел дело - это представляет собой крупный прорыв в деле. Мы предполагаем, что правоохранительные органы теперь примут соответствующие меры и последующие шаги, которые позволят идентифицировать и других лиц, причастных к ограблению MtGox.
http://blog.wizsec.jp/2017/07/breaking-open-mtgox-1.html?m=1