4 questions sans réponse sur le piratage de Bitfinex

Hier, nous avons appris la nouvelle stupéfiante de l'arrestation d'un couple new-yorkais, Ilya « Dutch » Lichtenstein et Heather R. Morgan, pour leur rôle présumé dans une tentative de blanchiment de Bitcoin , d'une valeur actuelle astronomique de 4,6 milliards de dollars. Ces Bitcoin ont été volés sur la plateforme d'échange mondiale Bitfinex en août 2016, et depuis cinq ans, peu d'informations ont été recueillies sur cette attaque.

Ce long silence (accompagné de ce que nous appellerons un peufacteurs plus lyriques) a suscité une fascination intense avec l'actualité d'hier. Mais malgré tout ce que nous avons appris, il reste encore beaucoup à T , notamment des questions en suspens qui pourraient nous mener à des impasses bien plus profondes. Parmi les inconnues les plus importantes figurent le piratage lui-même, ses retombées commerciales et le comportement déroutant des blanchisseurs présumés pendant la période où ils sont accusés d'avoir tenté de blanchir les BTC volés.

Cet article est extrait de The Node, le résumé quotidien de CoinDesk des sujets les plus importants de l'actualité blockchain et Crypto . Abonnez-vous pour recevoir l'intégralité de l'article. newsletter ici.

Comme on peut s'y attendre, s'attaquer à des questions sans réponse implique une part de spéculation. J'ai fait de mon mieux pour mettre en évidence les sources de ces spéculations, mais nous sommes globalement hors sujet. Considérez donc ce qui suit comme une série d'hypothèses et d'expériences de pensée.

Comment s'est produit le piratage initial ?

Un élément crucial, mais souvent négligé, des accusations portées hier est qu'elles n'impliquent T la responsabilité de Lichtenstein et Morgan dans le piratage initial de Bitfinex. Elles T aucune théorie précise sur la manière dont ils sont entrés en possession des clés privées contrôlant les cryptomonnaies. Une possibilité est que le couple ait acheté les BTC au(x) pirate(s) initial(s) à prix réduit. Une autre possibilité est qu'ils aient simplement agi en tant qu'agents pour le compte du(des) pirate(s), bien que cela soit moins probable compte tenu de leur contrôle direct sur les clés.

Il existe cependant des raisons circonstancielles de croire que le couple aurait pu être impliqué dans le piratage informatique lui-même et le ministère de la Justice n'avait tout simplement T suffisamment de preuves pour les accuser de plus que du blanchiment d'argent.

La preuve la plus intrigante (bien que, là encore, entièrement circonstancielle) est que Morgan semble avoir été obsédé par l'« ingénierie sociale », une forme de piratage informatique qui vise à compromettre les individus plutôt que le code. Lors ONEune longue présentation donnée lors de la série d'événements, Salon de New York, elle a décrit les méthodes de tromperie et d'intimidation qu'elle avait utilisées dans des exercices réels pour influencer les individus etaccéderaux espaces et aux organisations.

C'est particulièrement intriguant compte tenu de la nature du piratage initial, qui impliquait la compromission des protections multisignatures qui passaient par le fournisseur de sécurité BitGo.Rapports de CoinDeskÀ l'époque, Michael McSweeney écrivait que « pour retirer un montant aussi important, BitGo aurait probablement dû approuver ces transactions », en raison d'une couche de sécurité multisignature mise en place pour les utilisateurs de Bitfinex. Cela soulève la possibilité d'une ingénierie sociale impliquée dans le piratage.

Il a été noté que Morgan a interviewé Matt Parrella, ancien responsable de la conformité chez BitGo, pour une chronique Forbes de 2020 intitulée, étonnamment,« Des experts partagent des conseils pour protéger votre entreprise contre les cybercriminels. »C’est une véritable surprise, mais cela ne veut peut-être pas dire grand-chose étant donné que Parrella n’a été employé que brièvement chez BitGo en 2019 et 2020.

Pourquoi les criminels connaissant la cryptographie stockeraient-ils des clés privées dans le cloud ?

ONEun des éléments les plus étranges révélés par les documents d'accusation d'hier est que les autorités affirment avoir pu saisir les BTC volés après avoir accédé aux clés privées que Lichtenstein/Morgan avait stockées dans un service cloud. Conserver les clés privées hors ligne en permanence est ONEun des principes de sécurité les plus fondamentaux de la gestion des Crypto , et il est improbable qu'une personne entreprenant un blanchiment de Crypto à une telle échelle n'en soit T pleinement consciente.

Il existe plusieurs pistes, non conspirationnistes, pour comprendre les clés stockées en ligne. Plus important encore, les clés étaient elles-mêmes chiffrées, ce qui, on peut l'imaginer, pouvait être interprété comme sûr.

Eric Wall, chercheur en Crypto, a également suggéré que, malgré les allégations contenues dans les documents d'accusation, les clés n'auraient peut-être pas été déchiffrées par les forces de l'ordre. Au contraire, elles auraient pu être remis par les coupableslorsqu'ils étaient confrontés. Cela pourrait également expliquer pourquoi une grande partie des pièces volées étaitdéménagé le 1er février. Peut-être que les blanchisseurs accusés démontraient que les clés fonctionnaient avant de remettre leur butin aux fédéraux.

Il convient également de rappeler que la valeur des BTC en question était d'environ 70 millions de dollars au moment du piratage. Cette valeur a atteint plusieurs milliards de dollars en cinq ans, dépassant peut-être la capacité des coupables à améliorer leurs pratiques de sécurité.

Pourquoi ces milliardaires Secret étaient-ils si connectés ?

Malheureusement, il faut parler de Razzlekhan, le personnage de rappeur étrange et embarrassant de Morgan. Morgan a inondé TikTok et YouTube de contenus d'influence étranges, notamment de rap, tout en écrivant du contenu business et technologique pour Forbes.éternellement sommaire réseau de contributeurs. Lichtenstein a publié au moins un Article moyen sur la Crypto et publié des articles sur les Crypto sur Twitter. Ce contenu – dont une partie a été rendue privée après les arrestations – n'est qu'un ONE de la vaste présence web de Morgan et, dans une moindre mesure, de Lichtenstein.

La question est simple : pourquoi ? La plupart de ces activités ont eu lieu après que le duo ait acquis une fortune en Bitcoin . Pourquoi courir après l'influence en ligne avec autant d'argent ? (Morgan gagnait probablement moins de 100 $ par contribution à Forbes.)

Au final, on ne peut que spéculer. Mais la réponse relève probablement de pulsions très personnelles, notamment le désir de reconnaissance et de respect. Il semble clair que Morgan et Lichtenstein souhaitaient être perçus comme des hommes d'affaires sérieux (quoique créatifs et étranges).

Par exemple, les deux se sont présentés comme partenaires àChemin de la demande, un fonds d'investissement présumé axé sur les « systèmes distribués, les plateformes cloud et l'IA pilotée par les données (intelligence artificielle) ». Je n'ai T encore trouvé d'informations sur leurs investissements, et donc toute cette affaire a peut-être été un BIT un GN – comme l'est souvent l'investissement providentiel dans le Crypto. Morgan s'est également présentée comme PDG d'une société de marketing par e-mail appelée Salesfolk.

Le plus incroyable, c'est que Morgan n'a T cessé de publier, même lorsque les murs se sont refermés. Mardi, au tribunal, l'avocat de la défense aurait déclaré que les accusés savaient qu'ils faisaient l'objet d'une enquête depuis novembre. Mais le 2 février, une semaine seulement avant son arrestation, Morgan a publié un article sur une vente interentreprises. article sur lequel elle travaillait pour le magazine Inc. Peut-être que la connaissance de l'enquête a poussé Morgan à redoubler d'efforts dans une entreprise qui pourrait réellement rapporter de l'argent, car la surveillance rendait leur BTC extrêmement dangereux à déplacer.

Il convient de noter que la présence en ligne de Morgan semble fausser la perception de l'affaire. Son rap et son intérêt pour l'ingénierie sociale font d'elle une suspecte intrigante. Mais lors d'une audience préliminaire hier, un juge new-yorkais a fixé la caution d'Ilya Lichtenstein à 5 millions de dollars, contre seulement 3 millions pour Morgan, ce qui pourrait laisser penser que le tribunal estime que Lichtenstein porte une plus grande responsabilité et encourt des conséquences plus lourdes que Morgan.

Comment cela se connecte-t-il à Bitfinex ?

Le piratage initial de Bitfinex a eu lieu début août 2016. Voici le rapport de CoinDeskrapport contemporain sur les ÉvénementsLe piratage, et en particulier les efforts de Bitfinex pour s'en remettre, ont donné naissance à une série de théories du complot et de spéculations impliquant souvent des soupçons demalversation possiblepar Bitfinex et ses associés.

Après le piratage, Bitfinex a pris une mesure radicale, imposant les pertes à ses utilisateurs sous la forme d'une décote d'environ 36 % sur leurs soldes. Ceux qui ont bénéficié de cette décote ont reçu en échange des « jetons de droits de récupération » (BFX). Ces jetons ont été intégralement remboursés et rachetés par4 avril 2017Le récit officiel était que Bitfinex avait augmenté son volume de transactions à l'époque et avait rapidement récupéré l'argent perdu lors du piratage.

Voir aussi :Un pont appelé Tether | Analyses

Mais le jeton BFX était libellé et remboursé en USD, et non en BTC. Le prix du Bitcoin a quasiment doublé entre le piratage et le remboursement. Toutes choses étant égales par ailleurs, les utilisateurs de Bitfinex ont perdu de l'argent même après l'échange de leurs jetons BFX.

Mais ce n’est pas tout : comme l’ont souligné les commentateurs à l’époque, le jeton BFX a aidéréduire les responsabilités de BitfinexCertains détenteurs, manquant de confiance dans la capacité de remboursement de Bitfinex, ont vendu le jeton sur le marché pour seulement49 cents sur le dollar – et la bourse a reconnu avoir racheté des jetons à la valeur du marché, ce qui signifie qu’elle a obtenu une remise encore plus importante sur la responsabilité du BTC volé.

Ceci, combiné au fait que le piratage impliquait une compromission de la sécurité multisignature, a suscité de nombreuses spéculations selon lesquelles le piratage pourrait avoir été un « travail interne ». Les organismes de surveillance comme Bitfinex auraientspéculé Le piratage était lié à la À découvrir ultérieure de failles chez Tether, filiale de Bitfinex, et la décote et le jeton BFX auraient pu permettre de masquer d'autres problèmes sur la plateforme. Je n'ai encore trouvé aucune preuve tangible de cela, mais le procès de Morgan et Lichtenstein pourrait apporter de nouvelles révélations sur ces étranges manœuvres.