Bitcoin beschlagnahmt?

[Anonimo]

Wie sollen die bitte an die Bitcoin gelangt sein? https://www.zeit.de/politik/ausland/2021-06/hackerangriff-usa-pipeline-colonial-loesegeld-fbi-ermittler-bitcoin

[MixMax]

Der ganze Artikel stinkt zum Himmel. Sie haben angeblich Bitcoins beschlagnahmt, aber wissen noch nicht mal sicher welche "russischen Hacker" dahinter stecken. na klar 😉

Ich nenne es Propaganda, genau so wie die mysteriösen plötzlichen  Hackerangriffe in der BRD.

Bearbeitet 8. Juni 2021 von MixMax

[Arther]

Die Angreifer werden die erhaltenen Bitcoin gemischt haben um ihre Spuren zu verwischen, aber letztendlich auf einer einschlägigen Börse zwecks auscashen eingezahlt haben, wo diese dann sofort beschlagnahmt worden sind.

Die Zuordnung von Hacking-Aktionen zu bestimmten Gruppen ist immer schwierig, aber grundsätzlich gibt es schon seit Jahren Gruppierungen hinter denen einschlägige Staaten stehen. Ganz vorne dabei sind China, USA, Russland, im etwas kleineren Maßstab aber auch z.B. der Iran.

Bearbeitet 8. Juni 2021 von Arther

[Tetrade]

Ich finde auch das stinkt bis zum Himmel.. Kontrolliert das FBI mittlerweile die Mixer? Oder sind die auf einen Fake Mixer reingefallen? Kann mir kaum vorstellen, das Leute die technisch so einen Angriff durchführen können nicht ihre private Keys im Griff haben, bzw. nicht wissen wie man anonym bleibt.. BTC ist ja wegen der Transparenz eh nicht so optimal um Verbrechen zu begehen.. Auch sowas wissen die Profis.. Vielleicht ist alles inszeniert.. Ironie on: Und jetzt fallen die Kurse weil die bösen Buben aus BTC flüchten, da das FBI an ihre private Keys kommt und sie doch nicht so anonym sind?  

[Arther]

vor 1 Stunde schrieb Tetrade:

Ich finde auch das stinkt bis zum Himmel.. Kontrolliert das FBI mittlerweile die Mixer?

Das erfolgreiche verschleiern durch mixen bei größeren Beträgen dürfte recht schwierig sein, das FBI hat selbstredend Tools welche soweit es geht die Geldströme trotz mixen mit gewisser Wahrscheinlichkeit nach verfolgen.

Vielleicht werden einige Mixer aber auch schlicht vom FBI selber betrieben. Das wäre nicht ungewöhnlich.

Bearbeitet 8. Juni 2021 von Arther

[Cricktor]

Ich denke auch nicht, daß Mixer hier das Problem sind oder waren, außerdem ist das auch reine Spekulation hier, ob überhaupt ein Mixer oder CoinJoin verwendet wurde. Die Beschlagnahmung des Lösegeldes dürfte auf einer Exchange erfolgt sein, wie @Arther schon anmerkte. Aber cryptocoin-technisch korrekte Artikel erwarte ich nicht in der Zeit.

Daß es ausgefeilte Tools und Knowhow zur Blockchain- und Coin-Fluß-Analyse gibt und in diesem Fall auch ein besonders "nationales" Verfolgungsinteresse besteht, macht den Artikel für mich nicht unglaubwürdig. Wie üblich fehlen aber für uns Crypto-Nerds spannende Details. Da werden schon ein paar Leute, die was von Blockchain-Analyse verstehen, beteiligt gewesen sein. Peinlich aber nicht unschön ist da auch die mutmaßliche Dummheit der Erpresser. Aber damit habe ich kein Problem, wenn die sich zu dämlich anstellen.

Schlimm genug, daß sich eine so wichtige Infrastruktur-Firma überhaupt erpressen lässt und dann auch noch zahlt. Denn wer zahlt, befeuert diese Erpressungsmasche immer weiter.

Bearbeitet 8. Juni 2021 von Cricktor

[RGarbach]

Die Polizei musste letztens allerdings feststellen, dass sich die "beschlagnahmten" Coins (Cyberbunker?) auf einmal wie von Geisterhand bewegt haben. Offensichtlich haben die Betreiber der Plattform mit so Teufelszeug wie Seeds oder Backups gearbeitet...

[Cricktor]

Vielleicht müsste jemand der Polizei mal sagen: "Not your keys, not your coins!"
Bei der Gelegenheit auch mal eine kurze Schulung zu HD-Wallets einstreuen.

[Arther]

Ich hatte offenbar richtig vermutet:

Aus der Verfügung geht hervor, dass eine Firma in Nordkalifornien dazu gezwungen wurde, den Behörden die erpressten 63,7 Bitcoins auszuhändigen. Dass das möglich war, verdanken die amerikanischen Strafverfolger aber nicht primär ihren Ermittlern, sondern vielmehr der schlechten Vorbereitung der Hacker.

Denn anscheinend betrieb Darkside kein eigenes Crypto Wallet, sondern mietete sich bei einer Kryptobörse ein. Die Firma speicherte offenbar den privaten Schlüssel für Darkside, wie sie es auch für Tausende andere Bitcoin-Anleger tut.

Quelle

[Anonimo]

Das ist schon erstaunlich, hätten die Hacker das nicht bedenken müssen? Es weckt den Eindruck, dass es nicht allzu schwierig sein kann, solche Angriffe durchzuführen.

[Arther]

Einerseits strebt man mehrere Schichten an Sicherheit an, was in dem Fall geheißen hätte, dass selbst wenn die Transaktionen nachvollzogen werden könnten, das FBI keinen Zugang erhalten würde.
Andererseits werden in der Realität nahezu immer und überall Abkürzungen genommen. Die gingen vermutlich davon aus, dass ihre Transaktions-Verschleierung wirkungsvoll war. Vielleicht war die Verschleierung auch State of the Art und die Analystin (oder die Analysten des FBI) hat eine bessere Arbeit gemacht als man dachte das es so schnell möglich sei. Dazu müsste man den zugehörigen Artikel sichten.

Da es offenbar DarkSide war und diese ein Affiliate Programm haben war es vermutlich ein DarkSide-Affiliate, welcher gegen Provision deren Software und Teile der Infrastruktur nutzen darf. Dieser Artikel hier legt nahe, dass die USA gar nicht erbaut waren, dass so ein Affiliate kritische Infrastruktur angreift und hat wohl ordentlich Druck gemacht (die Möglichkeiten sind ja mannigfaltig, DDoS auf deren Infrastruktur z.B. oder politischen Einfluss geltend machen, damit alles was nicht direkt in Russland gehostet wird down genommen wird etc.).
Eine Vermutung wäre daher, dass die Hacker-Gruppe (also der Affiliate) von seinem ursächlichen Plan zur Geldwäsche abweichen musste und spontan den Geldfluss anders gestalten musste. Womöglich war geplant, DarkSide-Software zur Verschleierung zu verwenden, diese war dann aber aufgrund des US-Druckes plötzlich nicht mehr verfügbar.

Interessant fand ich, dass DarkSide offenbar for-profit ist, d.h. nicht von Russland gesponsert zur Durchsetzung politischer Interessen (deswegen auch das u.a. Affiliate Modell). Ich hab bisher eher State-Actor Angriffe mitbekommen (also Gruppen, die von einem Staat finanziert werden).

Der zweite Artikel deutet auch vage an, dass auch Russland nicht sehr erbaut war, dass eine for-profit Gruppe in "deren Gebiet wildern", also der Angriff von kritischer Infrastruktur. Da kann ich mir diverse Gründe für denken, u.a. dass Russland sicherlich offene Schwachstellen sammelt um diese bei Bedarf zu verwenden und solche Angriffe ggf. dazu führen, dass die Angriffsfläche stark verkleinert wird. Spätestens wenn Russland was dagegen hat haben DarkSide+Affiliates ein großes Problem. Es kann also sein, dass es rein politischen Druck US->Russland gegeben hat und Russland eingelenkt ist, weil das ganze auch nicht in deren Interesse ist.

Bearbeitet 12. Juni 2021 von Arther

[Cricktor]

Ich hab' mir den Weg der 75,0005 BTC einmal im Blockchain-Explorer angesehen. Von der Zahlung am/um 8.5. waren es nur erstaunlich wenige Adress-Hops, bis die 63,7 BTC "unspent" festhingen. Ehrlich gesagt kann ich da nur den Kopf schütteln, wie dämlich die Erpresser vorgegangen sind. Da war, wenn ich das richtig zugeordnet habe, nix mit großer Verschleierung/Mixerei/CoinJoins/whatever-Obfuscation. Und ich bin ganz bestimmt kein bewiefter Blockchain-Analyst, der die geilsten Blockschain-Analyse-Tools zur Hand hat. Aber dumme Verbrecher sind mir lieber als schlaue.

Ich kann da keinen Plan der Erpresser erkennen, um die Beute erstmal "sicher" beiseite zu schaffen, was natürlich mit Bitcoin auch nicht ganz so einfach ist, wenn man irgendwann, meist viel zu schnell, ausca$hen möchte/muss.

[koiram]

Nur mal theoretisch - wäre folgender hier schon öfter beschriebene relativ einfache Weg zur Anonymisierung von Coins und anschließendem Auscachen möglich gewesen?

BTC -> BTC-Wallet -> dezentrale Exchange -> in Monero tauschen -> auf externes Monero-Wallet schicken -> auf anderes Monero-Wallet schicken -> zurück auf dezentrale Exchange -> in Bitcoin tauschen -> zur Exchange mit Euro-Schnittstelle tauschen -> Auscachen...?

[Cricktor]

Könnte ich nicht fundiert beantworten, ob das so ginge. Das Problem ist doch die schiere Größe der Summe. Die müsste man geeignet in viel kleinere Häppchen teilen, ohne dabei Fehler zu machen und dann müsste man es sicherlich zeitlich über eine längere Periode strecken, ebenso die auszucashenden Coin-Häppchen. Ob dezentrale Exchanges nicht auch ab gewissen Volumina Probleme machen, kann ich nicht sagen, könnte es mir aber vorstellen.

Dann bräuchtest du jede Menge Accounts auf Exchanges zum Auscachen, weil es sonst auffiele, wenn ein oder wenige Accounts innerhalb von Wochen oder nur wenigen Monaten insgesamt so eine Summe sich auszahlen wollten.

Außerdem bedeuten dann die vielen Schritte ständig "Reibungs"verluste der Beute und dazu sind auch die Ganoven zu gierig oder geizig.

Bearbeitet 12. Juni 2021 von Cricktor

[wwurst]

vor 9 Minuten schrieb Cricktor:

Außerdem bedeuten dann die vielen Schritte ständig "Reibungs"verluste der Beute und dazu sind auch die Ganoven zu gierig oder geizig.

Nur die Anfänger. Ansonsten ist "Schwund" beim Verkauf von Diebesgut an Hehler oder beim Waschen von Drogengeld gängige Praxis 😉

 

[Cricktor]

Vielleicht mag @btctester.com noch 'was dazu sagen. Der Weg der Coins, so wie ich es gesehen habe, wobei eine der Adressen dann in dem oben zitierten Warrant to Seizure auftaucht, also lag ich bei meiner ersten Suche nicht so falsch.

Tx 915fb4f0a030937f2c1d2210996e8eb32b5a41b331965c7ec78961923775bd62:
die zwei Inputs ergeben den "schönen" Betrag 75.0005 BTC
Tx fc78327d4e46dac01dc313067b1ac7f274cdb3a07ea9f28f6f71473145f1b264:
74.99998307 BTC auf bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf
Tx 0677781a5079eae8e5cbd5e6d9dcc5c02da45351a3638b85c88e5e3ecdc105a7:
hier werden 11.24962019 BTC abgezwackt und warum hier ein weiterer Input der Adresse bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf hinzukommt --> ??
Tx 9436dbf0435b15378f309c35754a110db880fa9bb66a062160a25533bb4a212a:
63.74998561 BTC werden auf 63.7 BTC glattgebügelt (auf 3EYkxQSUv2KcuRTnHQA8tNuG7S2pKcdNxB), warum nur
Tx daf38c7b38eb0a587cf843f47000d5c294affb4f56017370ad48c5147f5e69d9:
23 Inputs und die 63.7 BTC landen auf der Adresse bc1qq2euq8pw950klpjcawuy4uj39ym43hs6cfsegq, die im Beschlagnahmungsbeschluss genannt wird.
Tx 943f2d576ed8d9f388ba75eb82fe35cce29479b84121827ac368a5a94f44cf7a:
vermutlich geparkt auf einer FBI-Walletadresse bc1qpx7vyv5tp7dm0g475ev527krg764t73dh77gls 63.69996546 BTC (Unspent)

Vernünftige Verschleierung sähe anders aus...

[btctester.com]

Ich hatte mir das neulich angeschaut und es waren tatsaechlich nur 2 hops und keine Boerse auf dem Weg. Das ist ja RaaS (Rasnosmware as a service) und deshalb wurde der Erloes zu 85%/15% gesplittet, die 85% wurden angeblich zureuckerlangt.

Ich denke das FBI hat klassische Methoden angewandt um an die privaten Schluessel zu kommen (also keine Blockchainanalyse - da findet man ja keine Schluessel) oder das FBI selbst hat die ransomware-Attacke gemacht, dann finden sich die Schluessel am leichesten. Sowas ist ja zunaechst immer undenkbar, aber in der Geschichte der Kriminalitaet ist das ja auch wieder nicht so selten, dass staatliche Stellen Straftaten begehen um damit politische Entscheidungen zu foerdern (z.b. staerkere Aktionen gegen Terroristen oder z.B. Gruende fuer kuenftige Bitcoin-Verbote) .... .

 

[fedcitop]

Hallo! Ich glaube, das ist ein gefälschter Artikel. Es soll die Aufmerksamkeit auf bitcoin lenken und seinen Wert erhöhen, das ist alles.

[fedcitop]

Am 8.6.2021 um 14:42 schrieb Arther:

Die Angreifer werden die erhaltenen Bitcoin gemischt haben um ihre Spuren zu verwischen, aber letztendlich auf einer einschlägigen Börse zwecks auscashen eingezahlt haben, wo diese dann sofort beschlagnahmt worden sind.

Die Zuordnung von Hacking-Aktionen zu bestimmten Gruppen ist immer schwierig, aber grundsätzlich gibt es schon seit Jahren Gruppierungen hinter denen einschlägige Staaten stehen. Ganz vorne dabei sind China, USA, Russland, im etwas kleineren Maßstab aber auch z.B. der Iran.

Oder sie arbeiten unter dem Dach der großen Firmen, die den Bitcoin-Kurs kontrollieren.

[Arther]

vor 4 Stunden schrieb fedcitop:

Oder sie arbeiten unter dem Dach der großen Firmen, die den Bitcoin-Kurs kontrollieren.

Das ergibt meines Erachtens nach keinen Sinn. Ich bleibe bei meiner letzten Vermutung: Russland hat Druck auf DarkSide ausgeübt, diese haben die Hacker dann von ihren gemieteten Systemen gesperrt. Danach haben diese dann vllt. versucht spontan anders an das Geld zu kommen. Vielleicht hatte DarkSide auch Verfügungsgewalt über das Geld und hat es einfach dahin transportiert, damit es dann konfisziert werden konnte.
Die USA sind ja selber auch potent, vllt ist auch wirklich der Druck allein von den USA ausgegangen als einer der DarkSide Kunden plötzlich ein high profile target erfolgreich angegriffen haben und das dann noch groß durch die Medien ging. Natürlich kann man letztendlich nur die paar Datenpunkte grob auf verschiedene weise verbinden.

Bearbeitet 30. August 2021 von Arther

[battlecore]

Gibts nicht irgendwie son Baukasten wo man sich selber eben eine DEX zusammenklicken kann? Gibt doch auch so Homepage-Baukästen.

Jo, das wär was, ich schraub mir eben ne DEX.