Расcледование группой WizSec дела о взломе MtGox и связи с BTC-e

Группа энтузиастов WizSec (Bitcoin Security Specialists) на протяжении нескольких лет ведет собственное независимое расследование самой крупной и громкой кражи Биткоинов — краха MtGox.

Несколько минут назад WizSec опубликовали в своем блоге первую часть результатов расследования, огласка которой стала возможна в свете ареста Александра Винника:

• В сентябре 2011 года были украдены приватные ключи горячего кошелька MtGox в результате простого копирования файла wallet.dat. Это немедленно дало доступ хакерам к значительному количеству Биткоинов, а также возможность контролировать входящие на биржу депозиты, относящиеся к взломанному кошельку.

• Со временем хакеры регулярно опустошали счета, связанные со скомпрометированным адресом и пересылали монеты на кошельки, контролируемые Винником. Это продолжалось в течение длительного времени, были и перерывы — самый крупный, второй этап краж, произошел позднее в 2012 и 2013гг.

• К середине 2013г, когда приток расходуемых средства из скомпрометированного адреса замедлился, ворв вывели около 630,000 BTC из MtGox.

• После того, как монеты попали к Виннику, большая часть средств поступила на BTC-e, где, предположительно, была распродана или отмыта (BTC-e коды были тогда наилучшим вариантом). В общей сложности около 300,000 ВТС оказались на BTC-e, в то время как другие монеты были депонированы на других биржах, включая и саму MtGox.

• Некоторые из средств, поступивших на BTC-e, как представляется, попали прямиком во «внутреннее хранилище», вместо того, чтобы стать частью депозита клиента в лице Винника, что намекает нам на некие договорные отношения между Винником и BTC-e.

• Украденные с MtGox монеты были не единственными украденными монетами, обрабатывающимися Винником; Биткоины, похищенные в результате атаки на биржи Bitcoinica, Bitfloor и несколько других в 2011 и 2012гг — все отмывались через одни и те же кошельки. Перемещение Биткоинов обратно на MtGox стало тем, что позволило идентифицировать Винника — его MtGox счета указали на его онлайн псевдоним «WME». Как WME, Винник сделал общественное заявление, вызвавшее резонанс, о том, что его монеты были конфискованы (монеты, кстати, исходящие из Bitcoinica).

• Были другие кражи и инциденты, объяснявшие прочие недостающие средства MtGox.

После определения фактических транзакций украденных у MtGox Биткоинов, мы отследили их и сгруппировали все причастные к отмыванию монет адреса, быстро обнаружив, что и другие похищенные на прочих биржах монеты ведут к аналогичным кошелькам. Выше приводится резюмирующая иллюстрация.

Некоторые монеты были депонированы на MtGox, мы смогли определить, какие учетные записи были использованы для получения; в частности, два представляют особенный интерес, и их можно связать с онлайн идентичностью «WME».

WME долгое время активно и часто рекламировал «дешевые монеты» на форуме BitcoinTalk и продавал BTC-e коды. Биржа BTC-e публично ручалась за него, заявляя, что «с WME мы очень хорошо знакомы».

WME участвовал в инциденте похищения средств с Bitcoinica, это дало нам еще один сильный индикатор того, что мы определили «нужного» человека — основную фигуру, замешанную в отмывании средств после ограбления MtGox. Этот инцидент также в конечном итоге помог нам выявить имя «Александр Винник», хотя мы в то время думали, что это его ненастоящее имя, так как сталкивались с бессчетным множеством псевдонимов. Сегодняшнее задержание доказывает, что мы тогда были правы.

Это расследование доказывает, что Винник не хакер и не вор, а человек, ответственный за отмывание награбленного. Новости о его аресте также акцентируют внимание именно на подозрении в отмывании средств. Возможно он просто купил дешевые монеты у воров и предложил услуги по отмыванию денег. Он является, однако, важной частью головоломки, его поимка, вероятно, позволит узнать, с кем именно он имел дело — это представляет собой крупный прорыв в деле.

Мы предполагаем, что правоохранительные органы теперь примут соответствующие меры и последующие шаги, которые позволят идентифицировать и других лиц, причастных к ограблению MtGox.

Источник: blog.wizsec.jp

Оставьте первый комментарий

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*