Крупнейшая афера с Bitcoin происходит прямо сейчас
http://habrahabr.ru/post/204688/
Одна из крупнейших афер в истории сети Bitcoin происходит прямо сейчас. 96000 BTC, а это почти сто миллионов долларов, по состоянию на текущий момент, было выведено со счетов клиентов, поставщиков и администраторов сайта SheepMarketplace (SMP) в минувшие выходные. SMP был одной из главных площадок, пришедших на замену SilkRoad, который был закрыт в октябре, а теперь, в результате этой аферы закрыт и сам SMP. Пока трудно точно утверждать, что именно происходит, но пользователи сайта пытаются разгадать эту головоломку на популярном сайте reddit.com в саб-реддите r/sheepmarketplace.
image
Вот что известно на данный момент: злоумышленнику (одиночке или группе людей) удалось подделать остатки средств на счетах пользователей, показывая, что у них были биткоины в собственных кошельках на сайте, в то время как на самом деле они уже были переведены. В течение недели весь сайт планомерно опустошался, так что к выходным, когда администрация сайта поняла, что что-то происходит, и закрыла площадку, со счетов пользователей было списано гигантское количество средств. И всё это произошло всего через несколько дней после того как другой конкурент SilkRoad — Black Market Reloaded — объявил, что завершает работу из-за неспособности вместить массовый приток новых пользователей, покидающих SheepMarketplace.
Первоначально было заявлено, что похищено только 5400 BTC, или около 5 млн долларов, что было отражено в сообщении на главной странице сайта, в котором указывалась вина поставщика под именем «EBOOK101», а именно то, что он нашел уязвимость и эксплуатировал её:
“This vendor found [a] bug in the system and stole 5,400 BTC—your money, our provisions, all was stolen. We were trying to resolve this problem, but we were not successful.”
Но этому объявлению не удалось подавить слухи о том, что весь сайт на самом деле — сложная афера, а похищение 5400 BTC является только способом замести следы и направить поиски по ложному следу. Тем более, что в течении выходных стало ясно, что количество украденных средств гораздо выше.
Хронология и пользовательское расследование
С 20 ноября и в следующие дни большее количество поставщиков SMP обнаружили, что они не могут вывести свои средства, поэтому сразу после этого они и обычные пользователи сайта стали публиковать свои жалобы на форуме SMP и на соответствующем саб-реддите. Администраторы уверяют пользователей, что сайт испытывает технические проблемы, связанные с обновлением автоматической системы маскировки сделок, но беспорядочное поведение владельцев маркета в этот период отражено на SheepMarketScam — сайте, компилирующем информацию с сопутствующих реддитов и форума SMP.
К 27 ноября SMP заявляет, что 90 процентов пользователей получили возможность вывести биткоины. Оказалось, что это не так — и два дня спустя разработчики уже говорят о том, что пользователи будут иметь возможность отозвать 1 BTC, но только после истечении 22х-часового отсчета, но большинство вендоров не смогли вывести средства и после этого времени. А с учетом стремительного роста цены за биткоин после положительного отклика в Конгрессе за пару недель до этого — такое поведение выглядело подозрительным и для пользователей SMP, и наблюдателей за происходящим.
Чуть позже администрация утверждает, что они не хотели затопить биткоин-сеть множеством мелких сделок, что также кажется подозрительным — ведь до этого было объявлено о возможности вывода с мелких счетов, на которых было менее 1 BTC, а продавцы с большими бюджетами не могли выводить средства, оставив предполагаемых мошенников свободно выбрать наиболее богатые кошельки, но никак не избавляя сеть от множества мелких транзакций.
В тот же день реддит-пользователь throwme1121 разместил новую запись, в которой утверждает, что он теперь убежден в том, что SMP — это афера. Он делает такой вывод из того, что пара поставщиков снизила цены на вещества одновременно с тем, как на сайте возникли трудности и связывает в своем топике чешских владельцев сайта и двух продавцов, бывших знакомыми друг с другом. Снижение цен позволяло быстро наполнить их аккаунты биткоинами, а технические сложности связать с осложнением в обработке транзакций из-за увеличения их количества.
Ещё через день, реддит-пользователям TheNodManOut и silkroadreloaded2 удалось обнаружить массовый отток биткоинов при помощи системы мониторинга транзакций Blockchain, и после этого опубликовать в топике на реддите, что 39918 BTC ($ 40 млн) просто «исчезли в цифровой эфир» — делая упомянутую администрацией сайта кражу 5400 BTC ($ 6 млн) уловкой и отвлечением внимания. Этот загадочный вывод почти 40 тысяч биткоинов (а на даный момент сумма достигла уже 96 тысяч), по-видимому, произошел только после того, как администрация заблокировала кошельки пользователей. Этот шаг, по мнению Y-combinator является отличительным признаком аферы на виртуальном рынке веществ, хотя достаточная анонимность сети пока не позволяет утверждать о точности эти предположений.
Далее «народные следователи» понимают, что огромный размер махинации делает обычные манипуляции для отмывания биткоинов невозможными, до тех пор, пока они отслеживают транзакции. Предположим, вам нужно «отмыть» биткоин — в таком случае вы можете отправить средства не напрямую, а через «миксер», такой, например, как Bitcoin Fog, где ваш перевод будет разделен на более мелкие фракции, перемешается с такими же фракциями, но других биткоинов, из других мест, и все это вновь перекомбинируется, перемешивается и расщепляется несколько раз, пока вся сумма в итоге не выходит на желаемый кошелек, но теоретически так, что это невозможно отследить. Подобная схема была встроена в функционал закрытого в октябре SilkRoad. Но эта схема возможна только в том случае, если в «миксере» присутствует такое же количество «чистых» биткоинов, а лучше большее — в соотношении 2/3 или выше — тогда транзакции отследить будет практически невозможно.
Оказалось, что пользователям удалось отследить откуда были выведены средства из SMP, а затем и то, какой способ «отмыва» использовал злоумышленник. Эту детективную историю описывает один из авторов разоблачения:
Весь день я гонялся за негодяем с украденными биткоинами используя blockchain. Метафорически, я преследовал его, наблюдая сквозь стеклянную крышу движущегося поезда. Я отставал от него меньше чем на 20 минут, или на «два подтверждения сети».
Вор отчаянно создавал новые адреса для кошельков и выводил через них средства из 49 изначальных бумажников, каждый раз ожидая трех или четырех подтверждений сети, прежде чем перевести средства снова. Каждый раз, когда я догонял его, я «шестьсот-шестьдесят-шестерил» его — отправлял вдогонку на отловленные адреса по 0,00666 биткоинов, чтобы испортить его прекрасные круглые числа, типа 4000, или 8000. Затем, внезапно, стали появляться суммы с десятичными разрядами, и вот уже дробные биткоин-счета прыгают с кошелька на кошелек, как саранча на электрической плитке, совсем не останавливаясь для подтверждения.
Теперь он смешивал и отмывал наши украденные биткоины второй раз, и этот миксер был непобедим.
Если вы, конечно, не угадаете, что конкретно за способ он использует, такой, в котором отмываются почти все отслеживаемые средства, и не смешаете небольшую часть своих биткоинов вместе с ними, пропустив небольшое количество через те же кошельки, и используя тот же алгоритм. Я прыгал с ноги на ногу с криками «давай!» на моем ноутбуке, сто лет ожидая шести подтверждений сети, чтобы провести 0,5 BTC в "Bitcoin Fog". Мой пол-биткоин был в итоге нашинкован и пропущен через огромное количество кошельков, и я последовал за самой большой порцией через blockchain.info — и обнаружил адреса с нашими украденными 96 000 BTC!
На данный момент в ветке обсуждения на реддите выложены адреса кошельков, вобравших в себя украденные средства, и прочая информация. Каждый пользователь сети может проверить её самостоятельно. Там высказываются интересные соображения, например о том, что злоумышленники могут оказаться связанными с сайтом, использовавшимся для отмывания биткоинов, и другие теории.
Но это еще не конец истории.
2 ноября, журналист и исследователь Гверн Бранвен (Gwern Branwen) публикует в посвященном Silk Road суб-реддите сообщение о «новом неназванном рынке».
«Мне дали некоторую интересную информацию. Я хотел бы установить дату и срочность для неё, и если у вас есть минутка, пожалуйста, сделайте мне одолжение — процитируйте это сообщение с ссылкой на хэш, криптографический хэш предварительного доказательство знаний», который он и добавляет для основания того, что он обладает определенной информацией, не раскрывая её — «в комментарии, если это сделает несколько аккаунтов, в последствии мне будет проще подтвердить, что я на самом деле опубликовал этот хэш 3 ноября 2013 года и имею информацию, о которой и говорю».
В воскресенье, Бранвен загрузил страницу Pastebin где разглашает информацию, полученную от анонимного хакера. Оказывается, «неназванный рынок» была площадка SheepMarketplace.
2 ноября 2013 года с ним связался в IRC чате, «анонимный любителей безопасности». Он сказал, что имеет некоторую информацию, которой готов поделиться, если журналист пообещает держать её в секрете. Он согласился, при условии, что это не связано с насилием. Любитель безопасности недавно прочитал статью Бранвена о том, что Black Market Reloaded и SheepMarketplace умрут в течение года, и подумал, что он может помочь Бранвену написать еще более острую статью — если обеспечит доказательство того, что SheepMarketplace был создан Томашем Жириковски (Tomáš Jiřikovský), обвиняемого в махинациях с биткоинами мошенника.
Хакер также говорит журналисту, что он передал эту информацию на ФБР, а также взял ответственность за утечки информации, связанные с Black Market Reloaded (уже упоминавшийся конкурент SilkRoad) и Project Black Flag (сайт, который также является жертвой кражи биткоинов). Бранвен прочитал результаты, проверил ссылки, и решил, что Жириковски, скорее всего, и есть создатель SheepMarketplace. Тогда, как отметил в своем Pastebin-сообщении, журналист собрал и рассортировал свои записи, сделал копии всех связанных веб-страниц, и подготовил все это в одном сборнике, доступного для загрузки через Dropbox.
На данный момент эти сведения приняты за основную версию для выяснения личности мошенника, и эти доказательства могут привести к самосуду обманутыми покупателями и продавцами, хакерами и правоохранительными органами. Если биткоин должен стать желанным и приемлимым для масс, особенно в связи с недавними щедрыми похвалами в американском конгрессе, те, кто инвестирует в криптовалюту будут иметь желание поймать и наказать мошенников, и предотвратить подобные аферы в будущем.
Также, возникает еще один интересный сценарий, который может объяснить хаос на SheepMarketplace, творившийся последние дни. Таинственный хакер, заявляет, что передал информацию в ФБР 2 ноября. Это означает, что у ФБР был как минимум 18-дневный запас для своего расследования, до того, как сайт начал испытывать проблемы. Это было бы более чем достаточно для ФБР, чтобы выяснить личность создателя SheepMarketplace, как они это делали с Ульбрихтом и SilkRoad.
Учитывая историю, как марионеточный анонимный информатор Сабу, работающий на ФБР, убеждал Джереми Хаммонда раскрыть данные Stratfor, было бы большим удивлением, если бы агенты захватили и SheepMarketplace? Вполне возможно, например, что с информацией о Жириковски ФБР было в состоянии проконтролировать биткоин-транзакции на SMP, и выследить небрежных продавцов.
На данный момент эта афера стала одним из крупнейших похищений в истории по текущей рыночной стоимости биткоинов, и стоит в одном ряду с крупными «реальными» преступлениями, такими как кража алмазов на 108 миллионов долларов в магазине Harry Winston в Париже в 2008 году. Также, сумма в 96000 BTC превращает афериста в одного из самых богатых биткоин-миллионеров в текущем списке богачей, и все это даже без таким проблем как натягивания маски или угроз кому-либо пистолетом.
При обычном ограблении деньги бы к настоящему времени уже испарились, но в данном случае это не так — сделка с биткоинами не может совсем бесследно исчезнуть. Схема работает, потому что любая и каждая транзакция является публичной и видна любому и каждому участнику сети, а участник настолько анонимен, насколько анонимна его связь с кошельком. Прямо сейчас, когда вы читаете эту статью, вы можете наблюдать, как мошенник пытается перевести свои биткоины снова — в настоящее время это чуть меньше 92000 BTC и с каждой небольшой транзакцией эта сумма уменьшается. Продажа и обналичивание этих биткоинов — крайне сложная задача, так как основные биткоин-обменники требуют документ, удостоверяющий личность (в частности, чтобы избежать обвинений, что они участвуют в отмывании денег), и если вывод средств разбивается на более мелкие количества, чтобы, например, продать через такие сайты, как localbitcoins.com — «бумажный» след все равно будет создан. А как только появится хотя бы один реальный банковский счет, получивший похищенные средства — связать его и конкретную личность будет довольно просто.
Эта статья — компиляция материалов из нескольких источников:
www.newstatesman.com
motherboard.vice.com
r/SheepMarketplace
UPD:
Пользователи реддита, гоняющиеся за мошенником, предоставили гигантский график транзакций, связанный с самым крупном кошельком, использовавшимся для первоначального вывода средств с сайта. Осторожно, длинная страница, наполненная изображениями.png