Tim Culpan在彭博社发表文章,称在非法获得的加密收益,并不像许多人想象的那样不易受到执法机构的追踪。
当绑匪索要赎金时,他们最好有一个计划来安全地储存战利品,网络犯罪分子也不例外。
上个月,侵入科洛尼尔管道公司(Colonial Pipeline)计算机文件的黑客,提出了一个现在很常见的要求:给我钱,否则你的文件将永远被锁定,赎金要用比特币支付。
根据民间说法(和执法部门),加密货币是骗子和恐怖分子青睐的媒介,因为它们是纯数字的,很难追踪。计算机赎金勒索案发生在比特币发明之前,但自从这种代币开始流行以来,计算机赎金攻击也激增了。
在科洛尼尔管道公司,这次中断造成了短暂的破坏,美国东部地区的汽油供应被切断,驾车者被迫排队加油。5月8日,高管们支付了75个比特币的赎金,相当于当时的430万美元左右。文件随后被解锁,从技术角度讲叫做破解,最终汽油又开始流动。
而且,追踪的证据也是这样来的。
对于反对支付赎金的联邦调查局来说,这第一笔交易标志着一场数字追车的开始。位于旧金山的联邦调查局网络犯罪小组的探员们,知道一些似乎被许多人遗忘的事情:每一笔比特币交易都是可追踪的,它们被记录在一个公共的分布式账本中。(注:分布式账本是一种在网络成员之间共享、复制和同步的数据库。)
使用现成的工具,任何人都可以追踪任何特定加密货币地址的进出记录。联邦调查局就是这样做的,他们部署了一个区块链探索器,可以把它当做是一个加密货币搜索引擎,来跟踪加密货币。
攻击科洛尼尔管道公司的黑客,已经被联邦探员认定为与俄罗斯有关的网络犯罪集团DarkSide,当他们要求用比特币支付赎金时,他们需要留下自己的地址。 在任何绑架或劫持计划中,拿钱总是其中的薄弱环节,这次也不例外。
因此,现在联邦调查局有了支付75个比特币的地址,他们有了一个搜索工具可以追踪这个地址的动向。在传统勒索案中,这就好比向邮局信箱投钱,让联邦调查局在附近做好部署,等待犯罪者来取钱。
不过,在数字世界里,将这些比特币转移到另一个地址是一件很简单的事情,然后再转移,再转移。这样做是为了模糊线索,掩盖资金的流动,有点像洗钱。到5月27日,联邦调查局已经确定了至少二十多个不同的比特币地址。最终,大部分资金,总共69.6个比特币,被输送回最后一个地址。
就在这里,联邦调查局开始出击,故事在这里也突然变得很神奇。不知何故,联邦调查员拥有这最后一个地址的私钥。大多数密码学的工作原理是公钥-私钥协议。公钥可以被认为是类似于电子邮件地址,而私钥则是密码,这些密码非常长,几乎不可能被猜到。
执法机构不喜欢分享他们的谍报技术,所以联邦调查局是如何设法获得这个藏匿处的私钥的,目前还不得而知。有可能是联邦调查局黑了黑客,或者是其他人黑了黑客并把钥匙传给了联邦调查局。也可能是一个线人把它交了出去。
还有一种可能性是,这个最终地址实际上并不属于黑客,而是属于一个加密货币交易所。
这是集中式交易所被普遍误解的一个特点,认为自己拥有比特币的人实际上并没有真正持有比特币。相反,这些比特币被放在交易所的钱包里,比如Coinbase,而客户拥有的只是类似于欠条的东西。私钥在交易所,而不是在客户那里,这就产生了这样一句话:如果你不拥有你的私钥,你就没有拥有你的比特币。
这就是为什么多年来,成千上万的消费者由于交易所被黑客攻击而损失了数百万美元的加密货币,最有名的是比特币交易所Mt.Gox的漏洞,最终导致这家日本公司在2014年宣告破产。
交易所必须遵守法律,这意味着要接受政府机构对客户信息的要求。例如,2020年,Coinbase收到了4200多份请求,其中一半以上是在该年下半年。联邦调查局是其30%的美国查询的背后机构。交易所可能被要求将私钥移交给一个特定的地址。
比特币到底被存放在哪里,以及谁给了联邦调查局私钥,都没有被披露。
对于黑客来说,联邦调查局如何得到密码的具体细节并不是很重要。他们似乎犯了一个更根本的错误,就是把他们的比特币放在网上。这种存储方法被称为热钱包,这意味着它可以通过网络访问,以方便和帮助灵活的交易,但它很容易受到黑客攻击。
安全倡导者建议任何拥有加密货币的人将其存储在一个冷钱包中,也称为硬件钱包,它不与互联网连接,因此不可能被黑客攻击。这通常采取U盘的形式,但由于私钥只是一个256位的1和0的字符串,它甚至可以打印在一张纸上,在需要访问的时候输入。
科洛尼尔管道公司的黑客们完全知道这一切,但由于某些原因没有遵循比特币安全的基本原则。而现在,他们因此而变得更加贫穷了。