Revision history and IPFS entry, back to latest
許明恩
IPFS What is this

Content Hash

私鑰存雲端!美國特工追回 Bitfinex 遭駭的 36 億美元比特幣

許明恩
·
·

這週美國司法部宣布查獲 9.4 萬顆失竊的比特幣,並且已經在紐約逮捕兩名嫌犯。按照當前的比特幣價格,這 9.4 萬顆比特幣約等值於 36 億美元。這起案件一舉成為美國政府有史以來查扣金額最高的加密貨幣竊案,也是至今查扣金額最高的金融犯罪案。

新聞稿指出

現年 34 歲的李赫登斯泰(Ilya Lichtenstein)和他 31 歲的妻子摩根(Heather Morgan)兩人在 2 月 8 日早上於紐約曼哈頓被捕,罪名是涉嫌以加密貨幣洗錢。

這些加密貨幣是 2016 年他們駭入 Bitfinex 交易所獲得的贓款。按照目前價格計算,當時失竊的近 12 萬顆比特幣約等值於 45 億美元。而今天執法部門則查獲其中的 9.4 萬顆比特幣(約 36 億美元)。剩餘的 2.5 萬顆比特幣,已經在過去 5 年內被兩名嫌犯透過複雜的洗錢手法變現,並存入兩人的金融帳戶中。特工在取得法院搜索票後,從李赫登斯泰的雲端文件找到錢包的私鑰,並在 2 月 1 日合法扣押共 9.4 萬顆比特幣。

這篇文章還原 2016 年 Bitfinex 交易所如何被駭、過去 5 年駭客都在做些什麼,以及最後為何會被美國政府逮到。

Bitfinex 遭駭

2016 年 8 月 2 日傍晚,當時全球交易量數一數二的加密貨幣交易所 Bitfinex 發出一篇緊急公告

今天我們發現一個安全漏洞,因此必須即刻停止 Bitfinex 上的所有資產交易以及出入金服務。這起事件還在調查階段,但我們知道有一些用戶的比特幣被駭。雖然我們已經暫停所有網站操作,但可以確定受影響的範圍僅限於比特幣帳戶,至於其他在 Bitfinex 上的加密貨幣沒有受到波及。

消息一出,比特幣價格應聲下跌 23%。

事後追查發現,駭客總共從 Bitfinex 交易所偷走約 12 萬顆比特幣,當時等值約 7,100 萬美元。這已經是當時被駭金額第二高的加密貨幣竊案,僅次於 2011 年底 Mt.Gox 交易所被駭的 74 萬顆比特幣。平均每位 Bitfinex 用戶損失了 36% 的資產。

但 Bitfinex 交易所沒有被這起事件擊倒,交易所暫停不到一週就恢復營運,並提出補償方案 —— 發行 BFX 代幣。每顆 BFX 代幣價值 1 美元,就像 Bitfinex 交易所發行的「債券代幣」。

每位 Bitfinex 用戶會根據損失金額多寡,拿到數量不等的 BFX 代幣,代表 Bitfinex 欠用戶的錢。未來用戶可以憑 BFX 代幣兌換 iFinex 公司(Bitfinex 母公司)發行的股票或是換回現金。雖然已經算非常有誠意,但回到 2016 年並沒有人願意買單。

當時很少人聽過比特幣,更何況幾年前才剛發生過全球最大交易所 Mt.Gox 被駭倒閉事件,所有人都不看好 Bitfinex 能夠經營下去。也因此理應價值 1 美元的 BFX 代幣,市場價格一度跌到只剩 0.2 美元。由此可見,幾乎沒人相信 Bitfinex 能補償用戶損失。

沒想到,2016 年底就迎來比特幣價格上漲,從 600 美元一路漲到 2017 年底的 20,000 美元。最後 Bitfinex 交易所只花了 8 個月就以公司收入全數回購 BFX 代幣,等於完全補償所有人的經濟損失。也讓許多人跌破眼鏡。

補償用戶損失之外,Bitfinex 還在駭客事件屆滿 4 週年之際發出天價懸賞。如果能提供線索並讓駭客主動退回失竊的比特幣,Bitfinex 願意撥出追回總額的 5% 和 25% 給線民和駭客當成回報。若按現在價格來算,這筆懸賞金額高達 16 億美元。

但根據美國司法部的調查報告,駭客恐怕根本沒打算歸還這筆錢。駭客從 2017 年開始透過暗網、混幣器和禮品卡等方式,試圖將比特幣變現。同時,駭客還開了一家打擊網路犯罪的新創公司(!)

駭客現蹤

調查報告指出:

根據比特幣的鏈上交易資料,Bitfinex 交易所被駭的 12 萬顆比特幣被轉入開頭字母為 1CGA4s 的個人錢包,並在 2017 年 1 月起透過數千筆的小額交易分別轉出到暗網、交易所洗錢。甚至也把部分比特幣換成匿名性更高的虛擬貨幣來躲避追查。

這些行為是在模糊比特幣的資金流向,使執法部門難以追蹤資金。但執法部門仍然透過鏈上交易資料以及交易所的人頭帳戶信箱,循線追查到由俄籍美國人李赫登斯泰(Ilya Lichtenstein)和他妻子摩根(Heather Morgan)管理的多個帳戶。

李赫登斯泰不僅曾入選 Y Combinator 新創加速器,還是新創加速器 500 Startups 的創業導師。

後來他和妻子摩根一起成立 Endpass 這家新創公司,業務是以人工智慧打擊偽冒身份和網路犯罪。相當諷刺。而摩根不僅是 EndPass 的共同創辦人,同時還身兼富比世Inc 的專欄作家以及饒舌歌手。

但誰也沒想到,光鮮亮麗的夫妻檔背後竟然還有另外一個身份 —— 加密貨幣駭客。

負責追查此案的美國國稅局特工 Christopher Janczewski 將犯罪金流畫成下圖。圖中的 VCE 是虛擬貨幣交易所(virtual currency exchange)的英文縮寫,而 AlphaBay Market 則是暗網市集。

由圖可見,12 萬顆比特幣從最上面的 Bitfinex 交易所先轉到駭客的 1CGA4s 個人錢包。接著,金流被拆成兩部分。一部分流入暗網,另一部分則透過多個交易所、錢包中轉之後,最後被拿到沃爾瑪、Uber、Hotels.com 和 Play Station 消費。

只不過,絕大多數的比特幣仍然停留在駭客掌管的個人錢包裡。這是因為駭客要將偷來的比特幣變現,恐怕比入侵交易所更困難。根據資安公司 Elliptic 在 2021 年的分析

過去 5 年間,駭客從 Bitfinex 竊取的 12 萬顆比特幣中只有 21% 被轉移,其中只有 4% 成功變現。為什麼?

在加密貨幣發展早期,許多被駭的資金可能會直接被轉到交易所並換成美元、歐元。這是因為當時監管鬆散,執法部門沒有追蹤資金的工具。但今天的情況大不相同。執法部門和大型交易所都會用鏈上數據的分析工具來辨別「黑錢」,犯罪份子越來越難兌現他們的收益。

早期的加密貨幣交易所,不僅沒有鏈上數據的分析工具來辨別非法資金,甚至可能連實名認證都沒有。因此,交易所才容易成為駭客洗錢的溫床。

但現在大部分的交易所都知道,不是每一筆加密貨幣的入金都可以收,還得先透過分析工具確認這筆資金的來源不是「黑錢」。這就大幅限縮了駭客變現的管道,讓駭客即便能偷得到加密貨幣也換不到錢,只好把加密貨幣繼續留在錢包裡。

而這次美國國稅局的特工就是依循線索找到兩人的真實身份,再進入他們的雲端硬碟搜查,才赫然發現他們存放贓款的錢包地址和私鑰。

私鑰存雲端

根據調查報告:

李赫登斯泰的其中一個 email 信箱,是由一家美國公司提供服務。這家公司除了提供 email 服務之外還有雲端硬碟功能,只不過特工發現絕大多數的檔案都經過加密。直到 2022 年 1 月 31 日特工將檔案逐一解密之後,才意外發現其中一個檔案包含了 2,000 多個錢包地址和相應私鑰。這才讓執法部門能依據這些私鑰,沒收剩餘的 94,636 顆比特幣。

報告裡沒有說明特工如何得知駭客把私鑰藏在哪裡。但或許是特工推斷,如果駭客要把贓款分別放到 2,000 多個錢包,肯定需要一個列表來統一管理每個地址和私鑰的對應關係。李赫登斯泰也不算是笨賊,都有將存在雲端硬碟的文件經過加密保護,只不過美國特工確實略勝一籌。

美國司法部在 2 月 8 日發出新聞稿並正式逮捕兩位嫌犯,但駭客很可能在一週前就已經有預感要被抓了。

2 月 1 日,幾家幣圈媒體紛紛報導 2016 年 Bitfinex 交易所被駭的比特幣遭到大量轉移。這些媒體不是先知,只是鏈上數據是公開資料,當有大額資金移動時都會觸動像是 Whale Alert 這樣的監控機器人,即時警告用戶要小心幣價波動。

如果李赫登斯泰和梅根會監控自己的錢包動向或是關注新聞,肯定知道那些錢不是他們轉移的。當資產從多個錢包被轉移至同一個錢包,駭客大概心理有數,破解檔案的不是其他駭客就是特工。

從結果來看,美國政府這次追回的 9.4 萬顆比特幣雖然只佔當時失竊總數的八成,金額卻已經打破多項歷史紀錄。而 Bitfinex 交易所也宣布,將會用追回資金的 80% 回購、銷毀自家平台幣 LEO。這使得 LEO 幣價應聲上漲 50%。 

以往人們總會說加密貨幣是罪犯的洗錢天堂,但那可能已經成為歷史。隨著鏈上資料的分析工具越來越多,不僅執法單位有能力追蹤不法金流,交易所也可以加入圍堵行列。即便是個人,也能透過追蹤機器人的推播通知,看見資金的即時流動。

相較於現金難以追查足跡,加密貨幣是更安全的「錢」。


如果你喜歡這篇文章,說不定你也會對區塊勢的過往內容感興趣。此外,也請大家推薦區塊勢給身邊的親朋好友 🙏

CC BY-NC-ND 2.0