Задержанный в Греции Александр Винник назван главным подозреваемым в деле MtGox
НОВОСТИ 27.07.2017
Новое расследование кражи средств с MtGox связало задержанного в Греции предполагаемого совладельца BTC-e Александра Винника с кражей средств печально известной биржи MtGox. Подробности расследования опубликовала WizSec (Bitcoin Security Specialists).
Авторы отчета с самого начала заявляют о том, что Винник является главным подозреваемым в деле о хищении средств с MtGox и отмывании полученных незаконным путем доходов.
Само расследование стало результатом нескольких лет кропотливой работы, и его результаты подкрепляются выводами независимых исследователей. Также отмечается, что по мере выявления фактов преступной деятельности, информация передавалась правоохранительным органам, а все подробности расследования держались в строжайшей секретности, чтобы не привлечь внимание подозреваемых и сделать шансы на их арест максимально высокими.
После ареста Винника в Греции авторы исследования пришли к выводу, что его можно начать предавать огласке, но, поскольку документ достаточно объемный, решили это делать частями. В первой публикации собраны основные факты, которые дают общее представление о собранном массиве информации.
Краткое резюме
— В сентябре 2011 года путем простого копирования файла wallet.dat были украдены приватные ключи горячего кошелька биржи MtGox. Благодаря этому хакеры получили доступ к значительному количеству биткоинов, а также возможность контролировать поступающие на биржу депозиты, которые проходили через взломанный кошелек;
— Используя скомпрометированные ключи, хакеры регулярно опустошали счета и пересылали монеты на кошельки, контролируемые Винником. Это продолжалось с перерывами в течение длительного времени. Самый крупный, второй по счету этап краж произошел в 2012 и 2013 годах;
— К середине 2013 года, когда приток расходуемых средств из скомпрометированного кошелька замедлился, злоумышленники вывели со счетов MtGox около 630 000 BTC;
— После того, как монеты попали к Виннику, большая часть средств поступила на BTC-e, где, предположительно, была распродана или отмыта (BTC-e коды были тогда наилучшим вариантом). В общей сложности около 300 000 ВТС оказались на BTC-e, в то время как другие монеты были депонированы на других биржах, включая и саму MtGox;
— Кроме того, благодаря многократному использованию скомпрометированного адреса, MtGox ошибочно определяла расход средств злоумышленников в качестве депозитов. В результате этого счета многих пользователей пополнялись на большие суммы, а “дыра” в балансе биржи в определенный момент достигла почти 40 000 BTC. При этом большая часть этих средств была поспешно выведена пользователями без уведомления администрации MtGox о случившемся;
— После того, как похищенные биткоины попадали на кошельки Винника, большая их часть пересылалась на BTC-e и, как предполагается, продавалась пользователям биржи или использовалась для отмывания нелегальных доходов, в том числе через такой популярный инструмент, как BTC-e коды. Таким образом, в общей сложности на BTC-e попало около 300 000 BTC, часть из которых переводилась под видом депозитов на другие биржи, включая саму MtGox;
— Часть поступавших на BTC-e средств, скорее всего, попадала прямиком во «внутреннее хранилище». По мнению авторов исследования, это может говорить о существовании определенных связей между Винником и BTC-e;
— Помимо MtGox, Винник причастен к краже биткоинов с других бирж. Так, через одни и те же кошельки отмывались монеты, похищенные в результате атак на Bitcoinica, Bitfloor и несколько других бирж в 2011-2012 гг;
— Именно обратное перемещение биткоинов на MtGox позволило идентифицировать Винника. Связанные с ним счета на японской бирже вывели на его онлайн-псевдоним WME. Именно от лица WME Винник сделал вызвавшее резонанс публичное заявление о том, что принадлежавшие ему монеты были конфискованы. Упомянутые биткоины исходили со счетов Bitcoinica.
Денежные потоки
После определения фактических транзакций с биткоинами, которые были похищены у MtGox, авторы расследования отследили и сгруппировали все причастные к отмыванию монет адреса. Достаточно быстро им удалось установить, что средства, похищенные на других биржах, также ведут к этим кошелькам.
Верхняя область графика включает кластеры, не связанные с Винником, и отображает другие кражи. Красным отмечены кластеры, которые напрямую использовали аккаунты MtGox.
Поскольку часть биткоинов была под видом депозитов отправлена на MtGox, удалось определить, какие учетные записи были использованы для их получения. Две из этих записей представляют особый интерес, и их можно связать с пользователем под псевдонимом WME.
На протяжении долгого времени WME активно и часто рекламировал «дешевые монеты» на форуме BitcoinTalk, а также продавал BTC-e коды. Биржа BTC-e при этом публично за него ручалась, заявляя о своем хорошем знакомстве с WME.
Также WME был причастен к хищению средств с Bitcoinica, и это дало авторам расследования еще один сильный аргумент в пользу того, что им удалось установить «нужного» человека — основную фигуру, причастную к отмыванию средств после ограбления MtGox.
Этот эпизод в конечном итоге помог им установить имя «Александр Винник», хотя в то время исследователи и думали, что это его ненастоящее имя, так как сталкивались с огромным множеством псевдонимов. По их словам, задержание Винника в Греции доказывает, что тогда они были правы.
Также авторы расследования говорят, что проведенная ими работа доказывает, что Винник не хакер и не вор, а человек, “ответственный за отмывание награбленного”. При этом в сообщениях информагентств о его задержании также акцентируется внимание именно на подозрении в отмывании средств.
Также отмечается вероятность того, что Винник мог просто купить дешевые монеты у воров и предлагал услуги по отмыванию денег. Тем не менее, его фигура является важной частью головоломки, и его арест, вероятно, позволит узнать, с кем именно он имел дело и чьи интересы представлял.
В завершение авторы расследования выражают надежду, что правоохранительные органы теперь предпримут последующие шаги, которые позволят идентифицировать и других лиц, причастных к хищению средств MtGox.
Напомним, Управление по борьбе с финансовыми преступлениями США (FinCEN) наложило на биржу BTC-e штраф в размере $110 млн за “умышленное нарушение законов США о борьбе с отмыванием денег”.
Также сообщалось, что 25 июля в результате спецоперации в Греции был задержан россиянин Александр Винник. По данным американских правоохранительных органов он является одним из ведущих участников преступной организации, которая с 2011 года через биржу BTC-e отмыла более $4 млрд.
