Расследование: как вышли на след Александра Винника часть 1
Сегодня пришла новость об аресте в Греции российского гражданина, подозреваемого в проведении крупномасштабной операции по отмыванию денег через биткоин. Этот человек был публично идентифицирован как Александр Винник, 38 лет, и более $4 млрд., как говорят, были проведены им через биржи, начиная с 2011 года.
Мы не будем ходить вокруг да около: Винник — наш главный подозреваемый, причастный к краже в MtGox (или отмыванию доходов). Это результат многолетней терпеливой работы, и такие же результаты, несомненно, были независимым образом получены и другими исследователями. Каждый, кто работал над этим делом, терпеливо молчал, направляя результаты в правоохранительные органы, чтобы не разглашать имена подозреваемых и увеличить шансы на аресты.
Возможно, чуть спустя после задержания, мы уже сможем начать говорить о том, что мы делали всё это время и что мы нашли. Спасибо за терпеливость.
Сводка
Мы собираемся разделить это на несколько разных постов, так как результаты расследования охватывают более широкий круг тем, и в этой статье мы просто суммируем все факты кражи btc, а также покажем, как это связано с Винником:
- В сентябре 2011 года секретные ключи горячего кошелька MtGox были украдены в виде простого скопированного файла wallet.dat. Это дало хакеру доступ к большому количеству биткоинов сразу, а также к небольшим поступлениям биткоинов, депонированных на любые из адресов.
- Со временем хакер регулярно опустошал адреса с монетами, используя скомпрометированные ключи, и отправляя их в кошелёк, контролируемый Винником. Это продолжалось долгое время, но также были и перерывы, а более известный второй этап краж произошел позже — в 2012 и 2013 гг.
- К середине 2013 года средства в размере $630 тыс., относящиеся к скомпрометированным ключам, были извлечены вором из MtGox.
- Кроме того, общий доступ к ключу файла wallet.dat приводит к повторному использованию адресов. Поэтому системы MtGox ошибочно истолковали некоторые расходы вора как депозиты, зачислив на несколько учётных записей пользователей большие суммы btc — примерно 40 000. Ни один из этих пользователей, похоже, не сообщил о своей «неожиданной удаче».
- После того, как монеты были зачислены в кошельки Винника, большинство из них были перемещены в BTC-e и, предположительно, были распроданы или отмыты (коды денег BTC-e были популярны). В общей сложности около 300 тыс. биткоинов оказались на BTC-e, в то время как другие монеты были депонированы на других биржах, включая MtGox.
- Некоторые из средств, перемещенных в BTC-e, похоже, перешли прямо на внутреннее хранилище, а не на депозитные адреса клиентов, что говорит об особых отношениях между Винником и BTC-e.
- Украденные в MtGox монеты не были единственными, которые присвоил Винник. Те, которые были украдены в Bitcoinica, Bitfloor, а также в других биржах в 2011 и 2012 гг., были отмыты через те же кошельки.
- Перемещение монет обратно в MtGox позволило идентифицировать Винника, так как учётные записи MtGox, которые он использовал, были связаны с его онлайн-идентификацией «WME». В качестве WME Винник даже публично протестовал против того, что у него конфисковали монеты (те, которые были переведены из Bitcoinica).
- Были также другие кражи и инциденты, относящиеся к другим недостающим средствам в MtGox.О них мы сообщим в следующих постах, но пока мы находимся ближе к факту ареста.
Монетный поток
Определив фактические транзакции для большей части украденных в MtGox биткоинов, мы проследили их и объединили все адреса, быстро обнаружив, что другие украденные монеты попадают в одни и те же кошельки. Ниже приводится обобщенная иллюстрация, отражающая украденный в сентябре 2011 года монетный поток:
(Верхняя область графика включает в себя кластеры, не связанные с Винником, и, как представляется, являющиеся частью других краж).
Когда некоторые монеты были депонированы обратно в MtGox, мы могли бы определить, какие учётные записи использовались для их получения. В частности, интерес представляли две записи, и можно было установить их связь с онлайн-идентификацией «WME». Кластеры, которые непосредственно использовали эти учётные записи MtGox, выделены красным цветом. WME активно работал с давних времен, часто рекламируя «дешевые монеты» на форумах BitcoinTalk и желая торговать обменными кодами денег. BTC-e публично ругала его, заявив: «мы хорошо знаем WME».
WME также был связан с похищением средств в Bitcoinica (см. график выше), что стало ещё одним убедительным доказательством того, что мы определили нужного человека, который, по-видимому, был главным «отмывателем денег», стоящим за грабителем MtGox. Этот инцидент также помог раскрыть имя «Александр Винник», хотя в то время мы предполагали, что это псевдоним.
Собственно Винник не был хакером / вором, но был «отмывателем» денег, и, согласно новостям, официальная версия также тяготеет к этому. Возможно, он просто купил дешёвые монеты у воров и предложил им услугу отмывания денег. Однако, несомненно то, что он является ключевым узлом головоломки, которая содержит информацию об участниках и их ролях. Мы уверены, что правоохранительные органы теперь предпримут следующие шаги для идентификации других вовлеченных лиц.
Продолжение следует …