Задержанный в Греции Александр Винник назван главным подозреваемым в деле MtGox
Новое расследование кражи средств с MtGox связало задержанного в Греции предполагаемого совладельца BTC-e Александра Винника с кражей средств печально известной биржи MtGox. Подробности расследования опубликовала WizSec (Bitcoin Security Specialists).
Breaking open the MtGox case (comments on today’s news): https://t.co/oDlx56VqLH #MtGox
— WizSec (@wizsecurity) 26 July 2017
Авторы отчета с самого начала заявляют о том, что Винник является главным подозреваемым в деле о хищении средств с MtGox и отмывании полученных незаконным путем доходов.
Само расследование стало результатом нескольких лет кропотливой работы, и его результаты подкрепляются выводами независимых исследователей. Также отмечается, что по мере выявления фактов преступной деятельности, информация передавалась правоохранительным органам, а все подробности расследования держались в строжайшей секретности, чтобы не привлечь внимание подозреваемых и сделать шансы на их арест максимально высокими.
После ареста Винника в Греции авторы исследования пришли к выводу, что его можно начать предавать огласке, но, поскольку документ достаточно объемный, решили это делать частями. В первой публикации собраны основные факты, которые дают общее представление о собранном массиве информации.
Краткое резюме
— В сентябре 2011 года путем простого копирования файла wallet.dat были украдены приватные ключи горячего кошелька биржи MtGox. Благодаря этому хакеры получили доступ к значительному количеству биткоинов, а также возможность контролировать поступающие на биржу депозиты, которые проходили через взломанный кошелек;
— Используя скомпрометированные ключи, хакеры регулярно опустошали счета и пересылали монеты на кошельки, контролируемые Винником. Это продолжалось с перерывами в течение длительного времени. Самый крупный, второй по счету этап краж произошел в 2012 и 2013 годах;
— К середине 2013 года, когда приток расходуемых средств из скомпрометированного кошелька замедлился, злоумышленники вывели со счетов MtGox около 630 000 BTC;
— После того, как монеты попали к Виннику, большая часть средств поступила на BTC-e, где, предположительно, была распродана или отмыта (BTC-e коды были тогда наилучшим вариантом). В общей сложности около 300 000 ВТС оказались на BTC-e, в то время как другие монеты были депонированы на других биржах, включая и саму MtGox;
— Кроме того, благодаря многократному использованию скомпрометированного адреса, MtGox ошибочно определяла расход средств злоумышленников в качестве депозитов. В результате этого счета многих пользователей пополнялись на большие суммы, а “дыра” в балансе биржи в определенный момент достигла почти 40 000 BTC. При этом большая часть этих средств была поспешно выведена пользователями без уведомления администрации MtGox о случившемся;
— После того, как похищенные биткоины попадали на кошельки Винника, большая их часть пересылалась на BTC-e и, как предполагается, продавалась пользователям биржи или использовалась для отмывания нелегальных доходов, в том числе через такой популярный инструмент, как BTC-e коды. Таким образом, в общей сложности на BTC-e попало около 300 000 BTC, часть из которых переводилась под видом депозитов на другие биржи, включая саму MtGox;
— Часть поступавших на BTC-e средств, скорее всего, попадала прямиком во «внутреннее хранилище». По мнению авторов исследования, это может говорить о существовании определенных связей между Винником и BTC-e;
— Помимо MtGox, Винник причастен к краже биткоинов с других бирж. Так, через одни и те же кошельки отмывались монеты, похищенные в результате атак на Bitcoinica, Bitfloor и несколько других бирж в 2011-2012 гг;
— Именно обратное перемещение биткоинов на MtGox позволило идентифицировать Винника. Связанные с ним счета на японской бирже вывели на его онлайн-псевдоним WME. Именно от лица WME Винник сделал вызвавшее резонанс публичное заявление о том, что принадлежавшие ему монеты были конфискованы. Упомянутые биткоины исходили со счетов Bitcoinica.
Денежные потоки
После определения фактических транзакций с биткоинами, которые были похищены у MtGox, авторы расследования отследили и сгруппировали все причастные к отмыванию монет адреса. Достаточно быстро им удалось установить, что средства, похищенные на других биржах, также ведут к этим кошелькам.
Поскольку часть биткоинов была под видом депозитов отправлена на MtGox, удалось определить, какие учетные записи были использованы для их получения. Две из этих записей представляют особый интерес, и их можно связать с пользователем под псевдонимом WME.
На протяжении долгого времени WME активно и часто рекламировал «дешевые монеты» на форуме BitcoinTalk, а также продавал BTC-e коды. Биржа BTC-e при этом публично за него ручалась, заявляя о своем хорошем знакомстве с WME.
Также WME был причастен к хищению средств с Bitcoinica, и это дало авторам расследования еще один сильный аргумент в пользу того, что им удалось установить «нужного» человека — основную фигуру, причастную к отмыванию средств после ограбления MtGox.
Этот эпизод в конечном итоге помог им установить имя «Александр Винник», хотя в то время исследователи и думали, что это его ненастоящее имя, так как сталкивались с огромным множеством псевдонимов. По их словам, задержание Винника в Греции доказывает, что тогда они были правы.
Также авторы расследования говорят, что проведенная ими работа доказывает, что Винник не хакер и не вор, а человек, “ответственный за отмывание награбленного”. При этом в сообщениях информагентств о его задержании также акцентируется внимание именно на подозрении в отмывании средств.
Также отмечается вероятность того, что Винник мог просто купить дешевые монеты у воров и предлагал услуги по отмыванию денег. Тем не менее, его фигура является важной частью головоломки, и его арест, вероятно, позволит узнать, с кем именно он имел дело и чьи интересы представлял.
В завершение авторы расследования выражают надежду, что правоохранительные органы теперь предпримут последующие шаги, которые позволят идентифицировать и других лиц, причастных к хищению средств MtGox.
Напомним, Управление по борьбе с финансовыми преступлениями США (FinCEN) наложило на биржу BTC-e штраф в размере $110 млн за “умышленное нарушение законов США о борьбе с отмыванием денег”.
Также ForkLog сообщал, что 25 июля в результате спецоперации в Греции был задержан россиянин Александр Винник. По данным американских правоохранительных органов он является одним из ведущих участников преступной организации, которая с 2011 года через биржу BTC-e отмыла более $4 млрд.