Jump to content

Bitcoin beschlagnahmt?


Empfohlene Beiträge

Der ganze Artikel stinkt zum Himmel. Sie haben angeblich Bitcoins beschlagnahmt, aber wissen noch nicht mal sicher welche "russischen Hacker" dahinter stecken. na klar 😉

Ich nenne es Propaganda, genau so wie die mysteriösen plötzlichen  Hackerangriffe in der BRD.

bearbeitet von MixMax
Link zum Beitrag
Auf anderen Seiten teilen

Die Angreifer werden die erhaltenen Bitcoin gemischt haben um ihre Spuren zu verwischen, aber letztendlich auf einer einschlägigen Börse zwecks auscashen eingezahlt haben, wo diese dann sofort beschlagnahmt worden sind.

Die Zuordnung von Hacking-Aktionen zu bestimmten Gruppen ist immer schwierig, aber grundsätzlich gibt es schon seit Jahren Gruppierungen hinter denen einschlägige Staaten stehen. Ganz vorne dabei sind China, USA, Russland, im etwas kleineren Maßstab aber auch z.B. der Iran.

bearbeitet von Arther
Link zum Beitrag
Auf anderen Seiten teilen

Ich finde auch das stinkt bis zum Himmel.. Kontrolliert das FBI mittlerweile die Mixer? Oder sind die auf einen Fake Mixer reingefallen? Kann mir kaum vorstellen, das Leute die technisch so einen Angriff durchführen können nicht ihre private Keys im Griff haben, bzw. nicht wissen wie man anonym bleibt.. BTC ist ja wegen der Transparenz eh nicht so optimal um Verbrechen zu begehen.. Auch sowas wissen die Profis.. Vielleicht ist alles inszeniert.. Ironie on: Und jetzt fallen die Kurse weil die bösen Buben aus BTC flüchten, da das FBI an ihre private Keys kommt und sie doch nicht so anonym sind?  :P

Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Stunde schrieb Tetrade:

Ich finde auch das stinkt bis zum Himmel.. Kontrolliert das FBI mittlerweile die Mixer?

Das erfolgreiche verschleiern durch mixen bei größeren Beträgen dürfte recht schwierig sein, das FBI hat selbstredend Tools welche soweit es geht die Geldströme trotz mixen mit gewisser Wahrscheinlichkeit nach verfolgen.

Vielleicht werden einige Mixer aber auch schlicht vom FBI selber betrieben. Das wäre nicht ungewöhnlich.

bearbeitet von Arther
Link zum Beitrag
Auf anderen Seiten teilen

Ich denke auch nicht, daß Mixer hier das Problem sind oder waren, außerdem ist das auch reine Spekulation hier, ob überhaupt ein Mixer oder CoinJoin verwendet wurde. Die Beschlagnahmung des Lösegeldes dürfte auf einer Exchange erfolgt sein, wie @Arther schon anmerkte. Aber cryptocoin-technisch korrekte Artikel erwarte ich nicht in der Zeit.

Daß es ausgefeilte Tools und Knowhow zur Blockchain- und Coin-Fluß-Analyse gibt und in diesem Fall auch ein besonders "nationales" Verfolgungsinteresse besteht, macht den Artikel für mich nicht unglaubwürdig. Wie üblich fehlen aber für uns Crypto-Nerds spannende Details. Da werden schon ein paar Leute, die was von Blockchain-Analyse verstehen, beteiligt gewesen sein. Peinlich aber nicht unschön ist da auch die mutmaßliche Dummheit der Erpresser. Aber damit habe ich kein Problem, wenn die sich zu dämlich anstellen.

Schlimm genug, daß sich eine so wichtige Infrastruktur-Firma überhaupt erpressen lässt und dann auch noch zahlt. Denn wer zahlt, befeuert diese Erpressungsmasche immer weiter.

bearbeitet von Cricktor
  • Thanks 1
  • Like 1
Link zum Beitrag
Auf anderen Seiten teilen

Die Polizei musste letztens allerdings feststellen, dass sich die "beschlagnahmten" Coins (Cyberbunker?) auf einmal wie von Geisterhand bewegt haben. Offensichtlich haben die Betreiber der Plattform mit so Teufelszeug wie Seeds oder Backups gearbeitet...

Link zum Beitrag
Auf anderen Seiten teilen

Ich hatte offenbar richtig vermutet:

Aus der Verfügung geht hervor, dass eine Firma in Nordkalifornien dazu gezwungen wurde, den Behörden die erpressten 63,7 Bitcoins auszuhändigen. Dass das möglich war, verdanken die amerikanischen Strafverfolger aber nicht primär ihren Ermittlern, sondern vielmehr der schlechten Vorbereitung der Hacker.

Denn anscheinend betrieb Darkside kein eigenes Crypto Wallet, sondern mietete sich bei einer Kryptobörse ein. Die Firma speicherte offenbar den privaten Schlüssel für Darkside, wie sie es auch für Tausende andere Bitcoin-Anleger tut.

Quelle

Link zum Beitrag
Auf anderen Seiten teilen

Einerseits strebt man mehrere Schichten an Sicherheit an, was in dem Fall geheißen hätte, dass selbst wenn die Transaktionen nachvollzogen werden könnten, das FBI keinen Zugang erhalten würde.
Andererseits werden in der Realität nahezu immer und überall Abkürzungen genommen. Die gingen vermutlich davon aus, dass ihre Transaktions-Verschleierung wirkungsvoll war. Vielleicht war die Verschleierung auch State of the Art und die Analystin (oder die Analysten des FBI) hat eine bessere Arbeit gemacht als man dachte das es so schnell möglich sei. Dazu müsste man den zugehörigen Artikel sichten.

Da es offenbar DarkSide war und diese ein Affiliate Programm haben war es vermutlich ein DarkSide-Affiliate, welcher gegen Provision deren Software und Teile der Infrastruktur nutzen darf. Dieser Artikel hier legt nahe, dass die USA gar nicht erbaut waren, dass so ein Affiliate kritische Infrastruktur angreift und hat wohl ordentlich Druck gemacht (die Möglichkeiten sind ja mannigfaltig, DDoS auf deren Infrastruktur z.B. oder politischen Einfluss geltend machen, damit alles was nicht direkt in Russland gehostet wird down genommen wird etc.).
Eine Vermutung wäre daher, dass die Hacker-Gruppe (also der Affiliate) von seinem ursächlichen Plan zur Geldwäsche abweichen musste und spontan den Geldfluss anders gestalten musste. Womöglich war geplant, DarkSide-Software zur Verschleierung zu verwenden, diese war dann aber aufgrund des US-Druckes plötzlich nicht mehr verfügbar.

Interessant fand ich, dass DarkSide offenbar for-profit ist, d.h. nicht von Russland gesponsert zur Durchsetzung politischer Interessen (deswegen auch das u.a. Affiliate Modell). Ich hab bisher eher State-Actor Angriffe mitbekommen (also Gruppen, die von einem Staat finanziert werden).

Der zweite Artikel deutet auch vage an, dass auch Russland nicht sehr erbaut war, dass eine for-profit Gruppe in "deren Gebiet wildern", also der Angriff von kritischer Infrastruktur. Da kann ich mir diverse Gründe für denken, u.a. dass Russland sicherlich offene Schwachstellen sammelt um diese bei Bedarf zu verwenden und solche Angriffe ggf. dazu führen, dass die Angriffsfläche stark verkleinert wird. Spätestens wenn Russland was dagegen hat haben DarkSide+Affiliates ein großes Problem. Es kann also sein, dass es rein politischen Druck US->Russland gegeben hat und Russland eingelenkt ist, weil das ganze auch nicht in deren Interesse ist.

bearbeitet von Arther
Link zum Beitrag
Auf anderen Seiten teilen

Ich hab' mir den Weg der 75,0005 BTC einmal im Blockchain-Explorer angesehen. Von der Zahlung am/um 8.5. waren es nur erstaunlich wenige Adress-Hops, bis die 63,7 BTC "unspent" festhingen. Ehrlich gesagt kann ich da nur den Kopf schütteln, wie dämlich die Erpresser vorgegangen sind. Da war, wenn ich das richtig zugeordnet habe, nix mit großer Verschleierung/Mixerei/CoinJoins/whatever-Obfuscation. Und ich bin ganz bestimmt kein bewiefter Blockchain-Analyst, der die geilsten Blockschain-Analyse-Tools zur Hand hat. Aber dumme Verbrecher sind mir lieber als schlaue.

Ich kann da keinen Plan der Erpresser erkennen, um die Beute erstmal "sicher" beiseite zu schaffen, was natürlich mit Bitcoin auch nicht ganz so einfach ist, wenn man irgendwann, meist viel zu schnell, ausca$hen möchte/muss.

Link zum Beitrag
Auf anderen Seiten teilen

Nur mal theoretisch - wäre folgender hier schon öfter beschriebene relativ einfache Weg zur Anonymisierung von Coins und anschließendem Auscachen möglich gewesen?

BTC -> BTC-Wallet -> dezentrale Exchange -> in Monero tauschen -> auf externes Monero-Wallet schicken -> auf anderes Monero-Wallet schicken -> zurück auf dezentrale Exchange -> in Bitcoin tauschen -> zur Exchange mit Euro-Schnittstelle tauschen -> Auscachen...?

Link zum Beitrag
Auf anderen Seiten teilen
vor 7 Minuten schrieb koiram:

Nur mal theoretisch - wäre folgender hier schon öfter beschriebene relativ einfache Weg zur Anonymisierung von Coins und anschließendem Auscachen möglich gewesen?

BTC -> BTC-Wallet -> dezentrale Exchange -> in Monero tauschen -> auf externes Monero-Wallet schicken -> auf anderes Monero-Wallet schicken -> zurück auf dezentrale Exchange -> in Bitcoin tauschen -> zur Exchange mit Euro-Schnittstelle tauschen -> Auscachen...?

Der Weg über Monero scheint gangbar zu sein, aber auch hier scheint es bereits Unsicherheiten zu geben. Nicht unbedingr über die Methode, sondern auch über Analyse von Zu- und Abflüssen. Die Fiat-Schnittstelle dürfte die größte Schwachstelle sein (aber halten sich alle Beteiligten an KYC?)?

Link zum Beitrag
Auf anderen Seiten teilen

Könnte ich nicht fundiert beantworten, ob das so ginge. Das Problem ist doch die schiere Größe der Summe. Die müsste man geeignet in viel kleinere Häppchen teilen, ohne dabei Fehler zu machen und dann müsste man es sicherlich zeitlich über eine längere Periode strecken, ebenso die auszucashenden Coin-Häppchen. Ob dezentrale Exchanges nicht auch ab gewissen Volumina Probleme machen, kann ich nicht sagen, könnte es mir aber vorstellen.

Dann bräuchtest du jede Menge Accounts auf Exchanges zum Auscachen, weil es sonst auffiele, wenn ein oder wenige Accounts innerhalb von Wochen oder nur wenigen Monaten insgesamt so eine Summe sich auszahlen wollten.

Außerdem bedeuten dann die vielen Schritte ständig "Reibungs"verluste der Beute und dazu sind auch die Ganoven zu gierig oder geizig.

bearbeitet von Cricktor
Link zum Beitrag
Auf anderen Seiten teilen
vor 9 Minuten schrieb Cricktor:

Außerdem bedeuten dann die vielen Schritte ständig "Reibungs"verluste der Beute und dazu sind auch die Ganoven zu gierig oder geizig.

Nur die Anfänger. Ansonsten ist "Schwund" beim Verkauf von Diebesgut an Hehler oder beim Waschen von Drogengeld gängige Praxis 😉

 

Link zum Beitrag
Auf anderen Seiten teilen

Vielleicht mag @btctester.com noch 'was dazu sagen. Der Weg der Coins, so wie ich es gesehen habe, wobei eine der Adressen dann in dem oben zitierten Warrant to Seizure auftaucht, also lag ich bei meiner ersten Suche nicht so falsch.

Tx 915fb4f0a030937f2c1d2210996e8eb32b5a41b331965c7ec78961923775bd62:
die zwei Inputs ergeben den "schönen" Betrag 75.0005 BTC
Tx fc78327d4e46dac01dc313067b1ac7f274cdb3a07ea9f28f6f71473145f1b264:
74.99998307 BTC auf bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf
Tx 0677781a5079eae8e5cbd5e6d9dcc5c02da45351a3638b85c88e5e3ecdc105a7:
hier werden 11.24962019 BTC abgezwackt und warum hier ein weiterer Input der Adresse bc1q7eqww9dmm9p48hx5yz5gcvmncu65w43wfytpsf hinzukommt --> ??
Tx 9436dbf0435b15378f309c35754a110db880fa9bb66a062160a25533bb4a212a:
63.74998561 BTC werden auf 63.7 BTC glattgebügelt (auf 3EYkxQSUv2KcuRTnHQA8tNuG7S2pKcdNxB), warum nur
Tx
daf38c7b38eb0a587cf843f47000d5c294affb4f56017370ad48c5147f5e69d9:
23 Inputs und die 63.7 BTC landen auf der Adresse bc1qq2euq8pw950klpjcawuy4uj39ym43hs6cfsegq, die im Beschlagnahmungsbeschluss genannt wird.
Tx 943f2d576ed8d9f388ba75eb82fe35cce29479b84121827ac368a5a94f44cf7a:
vermutlich geparkt auf einer FBI-Walletadresse bc1qpx7vyv5tp7dm0g475ev527krg764t73dh77gls 63.69996546 BTC (Unspent)

Vernünftige Verschleierung sähe anders aus...

  • Thanks 1
  • Like 1
Link zum Beitrag
Auf anderen Seiten teilen

Ich hatte mir das neulich angeschaut und es waren tatsaechlich nur 2 hops und keine Boerse auf dem Weg. Das ist ja RaaS (Rasnosmware as a service) und deshalb wurde der Erloes zu 85%/15% gesplittet, die 85% wurden angeblich zureuckerlangt.

Ich denke das FBI hat klassische Methoden angewandt um an die privaten Schluessel zu kommen (also keine Blockchainanalyse - da findet man ja keine Schluessel) oder das FBI selbst hat die ransomware-Attacke gemacht, dann finden sich die Schluessel am leichesten. Sowas ist ja zunaechst immer undenkbar, aber in der Geschichte der Kriminalitaet ist das ja auch wieder nicht so selten, dass staatliche Stellen Straftaten begehen um damit politische Entscheidungen zu foerdern (z.b. staerkere Aktionen gegen Terroristen oder z.B. Gruende fuer kuenftige Bitcoin-Verbote) .... .

 

Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...

Wichtige Information

Wir speichern Cookies auf Ihrem Gerät, um diese Seite besser zu machen. Sie können Ihre Cookie-Einstellungen anpassen, ansonsten gehen wir davon aus, dass Sie damit einverstanden sind. In unseren Datenschutzerklärungen finden sie weitere Informationen.