4 domande senza risposta sull'hacking di Bitfinex

Ieri abbiamo ricevuto la notizia sbalorditiva dell'arresto di una coppia di New York, Ilya "Dutch" Lichtenstein e Heather R. Morgan, per il loro presunto ruolo nel tentativo di riciclare Bitcoin, che ora vale la sbalorditiva cifra di 4,6 miliardi di dollari. Quel Bitcoin è stato rubato dall'exchange globale Bitfinex nell'agosto 2016 e nel quinquennio trascorso da allora, ci sono state poche ulteriori informazioni sull'attacco.

Quel lungo silenzio (insieme a quello che chiameremo alcunifattori più lirici) ha suscitato un'intensa fascinazione per le notizie di ieri. Ma per quanto abbiamo imparato, c'è ancora molto che T sappiamo, comprese domande sospese che potrebbero portare in una tana del Bianconiglio molto più profonda. Alcune delle incognite più importanti riguardano l'hacking stesso, le ricadute commerciali dell'hacking e il comportamento sconcertante dei presunti riciclatori durante il periodo in cui sono accusati di aver cercato di riciclare i BTC rubati.

Questo articolo è tratto da The Node, il riepilogo quotidiano di CoinDesk delle storie più importanti in tema di blockchain e Cripto . Puoi abbonarti per ottenere l'intero newsletter qui.

Come ci si potrebbe aspettare, confrontarsi con domande senza risposta comporta un po' di speculazione. Ho fatto del mio meglio per evidenziare dove appare questa speculazione, ma qui siamo fuori dalla mappa in generale, quindi prendete ciò che segue in gran parte come una serie di ipotesi ed esperimenti mentali.

Come è avvenuto l'attacco informatico iniziale?

Un elemento cruciale ma facilmente trascurato delle accuse di ieri è che T sostengono che Lichtenstein e Morgan fossero responsabili dell'hack iniziale di Bitfinex. Le accuse T offrono alcuna teoria specifica su come siano entrati in possesso delle chiavi private che controllano le monete. ONE possibilità è che la coppia abbia acquistato i BTC dall'hacker iniziale (o dagli hacker) a un prezzo scontato. Un'altra è che stessero semplicemente agendo come agenti dell'hacker (o degli hacker), anche se è meno probabile dato il loro controllo diretto delle chiavi.

Ci sono, tuttavia, alcuni motivi circostanziali per ritenere che la coppia potrebbe essere stata coinvolta nell'attacco informatico e il Dipartimento di Giustizia T aveva prove sufficienti per accusarli di altro che riciclaggio di denaro.

La prova più intrigante (anche se ancora una volta del tutto circostanziale) è che Morgan sembra essere stato apertamente ossessionato dal "social engineering", un tipo di hacking che si concentra sul compromettere le persone anziché il codice. In ONE lunga presentazione tenuta alla serie di eventi Salone di New York, ha descritto metodi di inganno e intimidazione che aveva utilizzato in esercitazioni nel mondo reale per influenzare gli individui eottenere l'accessoa spazi e organizzazioni.

Ciò è particolarmente intrigante data la natura dell'hack originale, che ha comportato la compromissione delle protezioni multifirma che sono passate attraverso il fornitore di sicurezza BitGo. InReport di CoinDeskall'epoca, Michael McSweeney scrisse che "per prelevare una quantità così grande di fondi, BitGo avrebbe probabilmente dovuto firmare quelle transazioni", a causa di un livello di sicurezza multifirma implementato per gli utenti di Bitfinex. Ciò solleva la possibilità che l'ingegneria sociale sia stata coinvolta nell'hacking.

È stato notato che Morgan ha intervistato Matt Parrella, un ex responsabile della conformità di BitGo, per una rubrica di Forbes del 2020 intitolata, sorprendentemente,"Gli esperti condividono suggerimenti su come proteggere la tua azienda dai criminali informatici."È un dato che fa davvero alzare le sopracciglia, ma potrebbe non significare molto dato che Parrella è stato impiegato solo brevemente presso BitGo nel 2019 e nel 2020.

Per quale motivo i criminali esperti di criptovalute dovrebbero archiviare le chiavi private nel cloud?

ONE delle cose davvero bizzarre rivelate nei documenti di accusa di ieri è che le autorità affermano di essere riuscite a sequestrare i BTC rubati dopo aver avuto accesso alle chiavi private che Lichtenstein/Morgan avevano archiviato in un servizio cloud. Mantenere le chiavi private offline in ogni momento è ONE dei principi di sicurezza più fondamentali della gestione Cripto , ed è improbabile che qualcuno che si impegna a riciclare Cripto su così vasta scala T ne sia ben consapevole.

Ci sono alcuni modi non cospirativi per capire le chiavi conservate online. La cosa più importante è che le chiavi stesse erano criptate, il che puoi almeno immaginare che qualcuno possa razionalizzare come sicuro.

Il ricercatore Cripto Eric Wall ha inoltre suggerito che, nonostante le affermazioni nei documenti di accusa, le chiavi potrebbero non essere state decifrate dalle forze dell'ordine. Invece, le chiavi potrebbero essere state consegnato dai colpevoliquando confrontati. Ciò potrebbe anche spiegare perché una grande porzione delle monete rubate eraspostato il 1 febbraioForse gli accusati di riciclaggio stavano dimostrando che le chiavi funzionavano prima di consegnare il bottino ai federali.

Vale anche la pena ricordare che il BTC in questione valeva circa 70 milioni di dollari al momento dell'hacking. È aumentato a diversi miliardi nel corso di cinque anni, superando probabilmente la capacità dei colpevoli di aggiornare le loro pratiche di sicurezza.

Perché questi miliardari Secret erano così presenti online?

Sfortunatamente, dobbiamo parlare di Razzlekhan, la strana e imbarazzante personalità rap di Morgan. Morgan ha inondato TikTok e YouTube con strane esche influenzali, tra cui un sacco di rap, mentre scriveva anche contenuti aziendali e tecnologici per Forbes.perennemente abbozzato rete di collaboratori. Lichtenstein ha pubblicato almeno ONE Post di Medium sulle Cripto e ha pubblicato su Twitter informazioni sulle Cripto . Questo contenuto, parte del quale è stato reso privato dopo gli arresti, è solo ONE thread di una presenza web estesa di Morgan e, in misura molto minore, di Lichtenstein.

La domanda è semplicemente: perché? Gran parte di quell'attività si è svolta dopo che la coppia aveva il controllo di una fortuna in Bitcoin . Perché dovresti cercare fama online se hai così tanti soldi? (Morgan probabilmente guadagnava meno di $ 100 per ogni contributo a Forbes.)

Alla fine, possiamo solo fare delle ipotesi. Ma la risposta probabilmente implica impulsi molto personali, in particolare il desiderio di riconoscimento e rispetto. Sembra chiaro che Morgan e Lichtenstein volessero essere visti come imprenditori seri (anche se creativi e strani).

Ad esempio, i due si sono presentati come soci inPercorso della domanda, un presunto fondo di investimento focalizzato su "sistemi distribuiti, piattaforme cloud e intelligenza artificiale basata sui dati". T ho ancora scoperto informazioni sui loro investimenti, quindi l'intera faccenda potrebbe essere stata un BIT ' Gioco di ruolo dal vivo – come spesso viene chiamato “angel investing” in Cripto. Morgan si è anche presentata come CEO di una società di email marketing chiamata Salesfolk.

La cosa più incredibile è che Morgan T ha smesso di postare nemmeno quando i muri si stavano chiudendo. In tribunale martedì, l'avvocato difensore avrebbe detto che gli imputati sapevano di essere sotto inchiesta da novembre. Ma il 2 febbraio, appena ONE settimana prima del suo arresto, Morgan ha postato un post su una vendita business-to-business articolo su cui stava lavorando per la rivista Inc. Forse la conoscenza dell'indagine ha spinto Morgan a raddoppiare gli sforzi su un'attività che avrebbe potuto effettivamente generare profitti, perché il monitoraggio rendeva i loro BTC estremamente pericolosi da spostare.

Vale la pena notare che la presenza online di Morgan sembra distorcere la percezione del caso. Il suo rap e il suo interesse per l'ingegneria sociale la rendono un sospettato intrigante. Ma in un'udienza preliminare di ieri, un giudice di New York ha fissato la cauzione per Ilya Lichtenstein a 5 milioni di dollari, ma quella per Morgan a soli 3 milioni di dollari, il che potrebbe suggerire che la corte ritenga che Lichtenstein abbia maggiori responsabilità e affronti conseguenze più dure di Morgan.

Come si collega tutto questo a Bitfinex?

L'attacco originale a Bitfinex è avvenuto all'inizio di agosto 2016. Ecco il rapporto di CoinDeskresoconto contemporaneo degli EventiL'hacking, e in particolare gli sforzi di Bitfinex per riprendersi da esso, hanno generato una serie di teorie cospirative e speculazioni che spesso coinvolgono sospetti dipossibile illecitoda Bitfinex e dai suoi affiliati.

Dopo l'hacking, Bitfinex ha fatto una mossa radicale, imponendo le perdite ai suoi utenti sotto forma di un "haircut" di circa il 36% sui saldi. Coloro che hanno ottenuto il haircut hanno ricevuto in cambio "Recovery Rights Token" con il ticker BFX. Questi token sono stati completamente rimborsati e riscattati da4 aprile 2017La versione ufficiale era che Bitfinex aveva aumentato il volume degli scambi in quel momento e aveva rapidamente recuperato il denaro perso nell'hacking.

Vedi anche:Un ponte chiamato Tether | Opinioni

Ma il token BFX era denominato e rimborsato in USD, non in BTC. Il prezzo di Bitcoin è quasi raddoppiato tra l'hacking e il rimborso, e quindi, a parità di condizioni, gli utenti di Bitfinex hanno perso denaro anche dopo che i loro token BFX sono stati riscattati.

Ma non è tutto: come hanno sottolineato i commentatori all’epoca, il token BFX ha aiutatoridurre le passività di Bitfinexancora di più. Alcuni detentori, non fidandosi della capacità di Bitfinex di rimborsare, hanno scaricato il token sul mercato per una cifra pari a49 centesimi sul dollaro – e l’exchange ha riconosciuto di aver riacquistato i token al valore di mercato, il che significa che ha ottenuto uno sconto ancora maggiore sulla responsabilità dei BTC rubati.

Ciò, unito al fatto che l’hacking ha compromesso la sicurezza multifirma, ha generato notevoli speculazioni sul fatto che l’hacking potrebbe essere stato un “lavoro interno”. I controllori come Bitfinex avrebberoipotizzato che l'hacking era collegato alla successiva Da scoprire di carenze nell'operazione gemella di Bitfinex, Tether, e che il taglio di capelli e il token BFX potrebbero aver contribuito a mascherare altri problemi nell'exchange. Devo ancora vedere prove inconfutabili di ciò, ma il processo di Morgan e Lichtenstein potrebbe offrire nuove rivelazioni su quelle strane manovre.