Een van de eerste dingen die een crypto noob leert over Bitcoin is dat het niet anoniem is. De takedown van Dark Web Marketplace Silk Road is een van meest bekende cryptocurrency casestudy’s. Het vertelt hoe wetshandhavingsinstanties blockchain forensics kunnen gebruiken om de bewegingen van digitaal geld te traceren. Op deze manier kunnen ze ook de eigenaars van wallet-adressen vinden.

Maar de ontmaskering van Ross Ulbricht van Silk Road is slechts één verhaal. Criminelen blijven cryptocurrencies, waaronder Bitcoin, gebruiken en misbruiken voor allerlei soorten kwaadwillige doelen. Daarom biedt blockchain forensics een paar andere fascinerende verhalen over pogingen om de boeven te dwarsbomen.

 

Blockchain-forensisch onderzoek in Exchange-hacks

Net als Silk Road heeft ook de Mt. Gox exchange hack een plaats in het Cryptocurrency Book of Fables (helaas niet echt op het moment van schrijven). Het verhaal van Mt. Gox heeft meer wendingen en bochten dan een kurkentrekker, en de sage gaat door tot op de dag van vandaag. Het zorgt voor een fascinerende studie in blockchain forensics. Met een hardcore crypto detective die meer dan twee jaar van zijn leven probeerde te ontdekken wie erachter zat.

In 2014 woonde de Zweedse software-engineer Kim Nilsson in Tokio toen de Mt. Gox-exchange stopte en al zijn Bitcoins zijn  zijn verdwenen. Later zou blijken dat hackers sinds 2011 geld van de beurs overhevelden. In antwoord op de diefstal van zijn investeringen, ontwikkelde Nilsson echter een programma dat de Bitcoin-blockchain kon indexeren en onderzoek kon doen naar Mt. Gox. Door elke transactie te doorzoeken, identificeerde hij enkele patronen. Hoewel dit op zich geen informatie gaf over wie er achter zat, slaagde Nilsson er ook in om wat gelekte informatie over de Mt. Gox-database, inclusief een rapport samengesteld door een andere ontwikkelaar te bemachtigen.

 

Volg het geld

In een moeizame poging die hij naast zijn fulltime baan uitvoerde, verzamelde Nilsson ongeveer twee miljoen Bitcoin-wallet-adressen die een connectie had met Mt. Gox. Met behulp van een soort van handmatige brute-force blockchain forensics, volgde hij de stroom van Bitcoins uit deze Mt. Gox adressen. Hij merkte dat sommige Bitcoins die werden gestolen van Mt. Gox terecht kwam in wallets waarin ook Bitcoins zaten die waren gestolen op andere exchanges. Door middel van cross-referencing vond hij een notitie bij een transactie die naar iemand met de naam WME verwees.

Door verder te graven ontdekte Nilsson dat WME geassocieerd was met een crypto-exchange in Moskou. Hij ontdekte dat WME rekeningen bij deze exchange die BTC-e heet. Nilsson heeft ook uitgewerkt dat sommige Mt. Gox Bitcoins op de  BTC-e-rekeningen zijn  terechtgekomen.

 

De ontmaskering

Nilsson ging online en probeerde te achterhalen wie er achter de naam WME zat. Het was niet zo moeilijk als het had kunnen zijn. Ironisch genoeg had WME, in een aanval van woede dat hij was opgelicht door een andere exchange heeft hij per ongeluk zijn echte naam op een forum achtergelaten. Nilsson ontdekte uiteindelijk dat de individu achter de Mt. Gox hack Alexander Vinnik heet.

Nog voordat Nilsson de naam van Vinnik aan onderzoekers gaf, werd BTC-e onderzocht vanwege betrokkenheid bij verschillende andere cryptocurrency criminele activiteiten. Tegen het einde van 2016 hadden de Amerikaanse autoriteiten voldoende bewijs om een bevel uit te vaardigen voor de arrestatie van Alexander Vinnik.

Hij woonde op dat moment in Rusland, dus onderzoekers wachtten tot hij het land verliet voor een vakantie in Griekenland. Hij werd gearresteerd in juli 2017 en is sindsdien in hechtenis gehouden in Griekenland. Zowel Rusland als de VS hebben geprobeerd hem uit te leveren.

Het laatste nieuwsbericht meldde dat de Griekse regering zijn uitlevering aan Rusland had goedgekeurd. Hoewel dit alles klinkt als de plot van een film, dient het ter illustratie van de mate waarin de wereld van crypto ongereguleerd is. Er was slechts één burgerwacht nodig die zijn eigen forensische blockchain-technologie gebruikte, en jarenlange toegewijde focus om een internationale cybercrimineel neer te halen.

 

Professionele blockchain-forensics

Jonathan Levin was ook een van de onderzoekers van Mt. Gox,. werkte als trustee van de exchange. Levin ging verder met Chainalysis, een blockchain forensisch bedrijf, dat software biedt die nu het soort uitgebreide blockchain-analyse kan uitvoeren dat Nilsson zelf deed.

Blockchain Intelligence Group (BIG) biedt een vergelijkbare service. Deze bedrijven worden gebruikt door wetshandhavingsinstanties, maar ook door bedrijven met cryptocurrency die voordelen zien in het gebruik van blockchain forensics om klanten te screenen.

 

Ransomware Aanvallen

Criminelen vinden nu andere manieren om hun bewegingen op de blockchain te verdoezelen. Mixerdiensten vermengen muntjes in een poging om het spoor van individuele transacties te verwarren. Steeds meer criminelen, zoals degenen die achter de WannaCry ransomware-aanval zitten, gebruiken ook privacycoins zoals Monero om hun kansen te vergroten om verborgen te blijven.

WannaCry ontstond in 2017. Het was een wereldwijde ransomware-aanval die zwakke punten in Microsoft Windows misbruikte om alle gegevens op een gebruikerscomputer te versleutelen. Nadat de gegevens waren versleuteld, eiste het programma betaling in Bitcoin om de gegevens te decoderen.

Microsoft bracht snel patches uit, maar tegen die tijd waren meer dan 200.000 computers aangetast in 150 landen. Het sloeg hard aan. Volgens een schatting is er$ 4 miljard verloren aan economische verliezen.

Hoewel experts afraadden om de Bitcoin losgeld te betalen, heeft de WannaCry-aanval makers ongeveer $ 140.000 aan Bitcoin opgeleverd. De makers bleven onbekend.

In augustus 2017 meldden verschillende bronnen echter bewegingen van Bitcoins adressen die zijn gekoppeld aan de aanvallers. Ze gebruikten het Zwitserse bedrijf ShapeShift om de coins in Monero om te zetten, wat betekent dat ze nu waarschijnlijk nooit zullen worden gevonden gezien de privacy rondom het gebruik van Monero. ShapeShift heeft sindsdien stappen ondernomen om die adressen op een zwarte lijst te zetten.

 

The good, the bad and the blockchain

De WannaCry-zaak laat zien dat blockchain forensisch onderzoek, zoals elke tak van forensisch onderzoek, niet onfeilbaar is. Maar net als blockchain zelf staat blockchain forensics nog in de kinderschoenen. Natuurlijk zullen criminelen steeds creatievere manieren vinden om cryptocurrencies te gebruiken voor criminele doeleinden. Hopelijk is er altijd iemand als Kim Nilsson of bedrijven als Chainalysis of BIG die blockchain forensics gebruiken om hen op te sporen.

 

 

 

 

 

 

 

 

*Dit artikel is oorspronkelijk gepost op partner website Coincentral.com door Sarah Rothrie