華文網

揭秘!btc-e創始人如何盜走了 MT-GOX 價值千億的比特幣

本文翻譯自知名比特幣安全公司Wizsec對MtGox的調查報告,報告中顯示,BTC-E創始人Alexander Vinnik是該事件的主要嫌疑人。當年最大的交易所MtGox被盜將近85萬枚比特幣,折合現價將近1000億元人民幣。

早些時候的新聞爆出,

希臘警方在收到線人舉報後在希臘北部濱海小村逮捕了這位涉嫌利用比特幣進行大規模的洗錢業務的犯罪嫌疑人。據悉,該名男子身份已被確認,他叫做亞歷山大-維尼克(Alexander Vinnik),38歲,其涉嫌自2011年開始通過一個比特幣平臺BTC-E進行洗錢,金額已經超過了40億美元。

不再拐彎抹角了,我們認為Vinnik是MtGox被盜事件的主要犯罪嫌疑人,這是我們多年的潛心調查結果,當然我們的這些調查結果也有被其他的調查人員所發現。

但是我們每一個關注並調查這案件的調查人員都很有耐心的靜待最成熟的時機以免打草驚蛇,同時將調查結果轉交給執法部門,爭取最大的逮捕機會。

早期比特幣持幣排行

直到今天嫌犯落網,我們終於可以給大家講一下我們這段時間以來一直在做的事情和我們的調查發現,

也感謝大家和我們一起的耐心等待。

概要

由於我們的調查結果使這個事件涵蓋了更廣泛的話題,所以我們將把這件事情分成幾個不同的部分來寫,當然在本文中我們將講述BTC被盜與Vinnik的關係:

2011年9月,MtGox熱錢包私密金鑰被盜,而這僅僅是通過一個簡單的工序——複製wallet.dat檔進行的。這使得駭客不僅可以立即獲得相當數量的比特幣,

而且也可以將獲得的比特幣存入任何與其相關的地址。

駭客們經常通過使用這種受損的金鑰來把諸如此類的代幣轉出,並將其發送到由Vinnik控制的錢包裡,這種情況持續了很長時間,同時也造成了2012年末到2013年的第二階段盜竊事件。

到2013年年中,當可從被洩露的私匙中花出的資金已經減慢到幾乎停止,竊賊已從Mt.Gox拿出大約63萬個比特幣。

另外,wallet.dat檔的共用keypool導致位址重用,

這使得MtGox的系統錯誤地將這些盜竊者的支出花費解釋為存款,將大量的比特幣記入多個用戶帳戶,並使MtGox系統記錄的數位進一步打破了約40,000 個比特幣的平衡。

在比特幣進入Vinnik的錢包之後,大多數人選擇將其轉移到BTC-e賣掉或進行洗錢(BTC-e交易所是受歡迎的選擇)。總共約30,000個比特幣通過BTC-e交易所賣掉,而其餘數量的比特幣被存入其他交易所賣掉,包括MtGox交易所本身。

轉移到BTC-e的一些資金似乎已經直接轉向其內部存儲,而不是客戶存款位址,這暗示了Vinnik和BTC-e之間的關係。

MtGox被盜的比特幣不是Vinnik處理的唯一被盜的比特幣,在2011年和2012年間,從Bitcoinica和Bitfloor被盜的比特幣盜竊者也是通過相同的錢包洗錢的。

我們之所以發現了Vinnik,是因為他使用的MtGox帳戶可以連結到他的線上身份“ WME ”。對於WME,Vinnik此前曾經公開表示強烈譴責。

被盜比特幣流量追蹤

在確定了大量被盜的MtGox的比特幣的實際交易之後,我們追蹤了它們,並將所有涉及的地址聚集在一起,迅速發現其他被盜的比特幣正在進入同一個錢包。以下是2011年9月起被盜的比特幣流量匯總圖:

被盜比特幣流量匯總圖

(圖的頂部區域包括與Vinnik無關的群集,並且似乎是不同的盜竊行為的一部分)

(直接使用這些MtGox帳戶的群集以紅色突出顯示)

通過這些存入MtGox的比特幣,我們可以確定哪些帳戶是用來接收,並可以連結到線上身份”WME”。(直接使用這些MtGox帳戶的我們表紅色強調。)WME自很久以來就一直活躍,經常在BitcoinTalk論壇上刊登“廉價比特幣”,並希望交換匯款代碼。BTC-e公開表示:“我們非常瞭解WME”。

WME看似是主要針對MtGox盜竊案中的被盜的比特幣進行洗錢,其實還參與了一個事件,即涉及被盜Bitcoinica基金的事情,其指向的又是我們已經確定了的人。這一事件也最終使“AlexanderVinnik”這個名字浮出水面,儘管在當時我們就不認為這是他的真名,我們還見過他的許多別名。今天的逮捕表明我們的猜想這真的。

xx

需要明確的是,這次逮捕調查還發現的證據認定vinnik不是駭客/小偷,而是洗錢者。他可能只是從盜賊那裡買了廉價的比特幣,並進行洗錢業務。然而,他是關鍵所在,因為他可能知道他正在處理的洗錢的人,所以這將是案件的一個重大突破。我們認為,執法部門現在將採取適當的下一步行動來追蹤所有剩餘的比特幣,並希望查明所有涉案人員。

我們追蹤了它們,並將所有涉及的地址聚集在一起,迅速發現其他被盜的比特幣正在進入同一個錢包。以下是2011年9月起被盜的比特幣流量匯總圖:

被盜比特幣流量匯總圖

(圖的頂部區域包括與Vinnik無關的群集,並且似乎是不同的盜竊行為的一部分)

(直接使用這些MtGox帳戶的群集以紅色突出顯示)

通過這些存入MtGox的比特幣,我們可以確定哪些帳戶是用來接收,並可以連結到線上身份”WME”。(直接使用這些MtGox帳戶的我們表紅色強調。)WME自很久以來就一直活躍,經常在BitcoinTalk論壇上刊登“廉價比特幣”,並希望交換匯款代碼。BTC-e公開表示:“我們非常瞭解WME”。

WME看似是主要針對MtGox盜竊案中的被盜的比特幣進行洗錢,其實還參與了一個事件,即涉及被盜Bitcoinica基金的事情,其指向的又是我們已經確定了的人。這一事件也最終使“AlexanderVinnik”這個名字浮出水面,儘管在當時我們就不認為這是他的真名,我們還見過他的許多別名。今天的逮捕表明我們的猜想這真的。

xx

需要明確的是,這次逮捕調查還發現的證據認定vinnik不是駭客/小偷,而是洗錢者。他可能只是從盜賊那裡買了廉價的比特幣,並進行洗錢業務。然而,他是關鍵所在,因為他可能知道他正在處理的洗錢的人,所以這將是案件的一個重大突破。我們認為,執法部門現在將採取適當的下一步行動來追蹤所有剩餘的比特幣,並希望查明所有涉案人員。