Причастных к похищенным с Bitfinex активам нашли благодаря закрытию AlphaBay

2 years ago 206

Закрытие в 2017 году даркнет-рынка AlphaBay позволило правоохранителям получить доступ к записям о переводах украденных в 2016 году с биткоин-биржи Bitfinex активов на аккаунты других сервисов. Благодаря этому удалось обнаружить связь с арестованными Ильей Лихтенштейном и Хезер Морган.

8 февраля стало известно о задержании указанных лиц. Власти США обвинили их в сговоре с целью отмывания доходов в размере 119 754 BTC. Проведенная конфискация 94 636 BTC (~$3,6 млрд) может стать крупнейшей в истории.

Согласно документу, супружеская пара применила несколько методов отмывания денег:

  • использование учетных записей на базе фиктивных удостоверений личности;
  • перемещение украденных средств в серии небольших сумм в тысячах транзакций;
  • использование компьютерных программ для их автоматизации;
  • распределение украденных средств путем внесения их на счета различных биткоин-бирж и рынков даркнета с последующим их выводом;
  • конвертация биткоина в другие криптовалюты, в том числе с улучшенной анонимностью;
  • использование бизнес-аккаунтов в США для легализации деятельности.
Упрощенная схема перемещения похищенных с Bitfinex средств. Данные: Минюст США.

Согласно Elliptic, за последние пять лет злоумышленникам удалось переместить и отмыть порядка 21% украденных BTC — с AlphaBay средства поступили на аккаунты бирж, а также сервисы Wassabi, JoinMarket и даркнет-рынок Hydra.

Данные: Elliptic.

Для отмывания украденных активов также использовались золото, NFT, криптоматы и подарочные карты Uber, Hotels, PlayStation, Walmart.

Ранние неудачные попытки перевести средства на биржи встречали блокировкой средств с необходимостью прохождения KYC-процедур, после чего супруги попросту отказывались от них. 

Telegram-канал Goldfoundinshit пояснил, каким образом пару удалось отследить:

  • одна из учетных записей была открыта 13 января 2015 года на имя Лихтенштейна с использованием его домашнего адреса в Сан-Франциско и подтверждена персональным фото и скриншотом его водительских прав;
  • Лихтенштейн указал свой настоящий домашний адрес для получения золота и драгоценных металлов;
  • аккаунты, через которые обналичивался XRM, были зарегистрированы на имя гражданина России и по российскому адресу электронной почты;
  • Лихтенштейн и Морган использовали свои аккаунты с одних и тех же IP-адресов;
  • когда Морган хотела увеличить дневной вывод с $500 до $8000 на одном из аккаунтов, биржа запросила источник средств, и Хизер Морган заявила: «Мой парень (ныне муж) подарил мне криптовалюту в течение нескольких лет (2014 г., 2015 г.), которые я хранила на холодном кошельке»;
  • Морган и Лихтенштейн сообщали, что источником внесенных на их счета биткоинов были их собственные инвестиции до 2015 г. Однако подробный анализ блокчейна показал, что ключевую роль сыграли счета, открытые в 2017 году после взлома;
  • Все данные о кошельках и ключи пара хранила в облачном сервисе вместе со скриншотами всех документов. 31 января 2022 года правоохранительным органам удалось расшифровать несколько ключевых файлов, содержащихся в их учетных записях. Запись содержала файл со списком всех адресов и закрытых ключей. 

Представляют интерес и сами Илья Лихтенштейн и Хезер Морган.

Согласно аккаунту в LinkedIn, Морган является CEO копирайт-агентства SalesFolk и колумнистом для Inc. и Forbes. В частности, ей принадлежит авторство статьи «Эксперты делятся советами по защите бизнеса от киберпреступников». В нее попали комментарии представителей BitGo, которая предоставила Bitfinex инструменты безопасности во время взлома.

Лихтенштейн является партнером в инвестиционном фонде Demandpath (Морган в него инвестировала) и советником SalesFolk.

Пара вела активную жизнь в социальных сетях. Морган взяла псевдоним Razzlekhan и позиционировала себя как рэп-исполнитель, а также художник, специализирующийся на коллажах, скульптуре, живописи и дизайне одежды.

Напомним, 1 февраля пришли в движение 94 643 BTC, украденные в 2016 году с Bitfinex. Сервис Whale Alert зафиксировал более 20 транзакций.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости, инфографика и мнения

Read Entire Article