Les piratages de Cryptomonnaie font généralement la une des journaux, tout comme les arrestations de leurs auteurs présumés. crise récente d'environ 3,6 milliards de dollars de Bitcoin ainsi que arrestation très médiatisée L'affaire de deux individus liés à une attaque en 2016 contre la plateforme d'échange de Crypto Bitfinex par des responsables fédéraux n'en est ONE exemple.

L'analyse des Crypto a joué un rôle clé dans l'identification des blanchisseurs présumés de Bitfinex par les autorités fédérales. Dans une autre affaire, l'analyse de la blockchain pourrait avoir permis de blanchir deux suspects dans un piratage de plateforme d'échange.

En novembre 2020, deux développeurs de logiciels vénézuéliens, José Manuel Osorio Mendoza et Kelvin Jonathan Diaz, ont été arrêtés par les autorités locales, soupçonnés d'avoir volé environ 1 million de dollars de Bitcoin sur une bourse de Cryptomonnaie locale appelée Bancar.

Mendoza et Diaz ont maintenu leur innocence mais ont douté de pouvoir le prouver devant un tribunal.

« Il y a beaucoup d’ignorance technologique dans mon pays, bien que ce soit une économie ouverte à la Crypto … Même si nous travaillions dans une entreprise Technologies , nous avions des doutes sur la façon dont nous pouvions expliquer quelque chose d’aussi nouveau et d’aussi difficile à comprendre » à un juge local, a déclaré Mendoza.

Au moment de leur détention, Mendoza et Diaz travaillaient àPOSINT, une société vénézuélienne de développement de logiciels qui avait auparavant fourni des services à Bancar. Soucieux de blanchir l'honneur de son entreprise et de ses collègues, Danny Penagos, directeur des opérations chez POSINT, a mandaté la société d'analyse de blockchain CipherBlade pour enquêter de manière indépendante sur l'attaque contre Bancar.

Le rapport résultant de CipherBlade, examiné par CoinDesk, raconte une histoire complexe de vulnérabilités de sécurité et de boucs émissaires tout en suivant les fonds volés à Bancar à travers récemment mis sur liste noire Suex.io Jusqu'en Russie. Le rapport montre que les Bitcoin volés ont finalement atterri sur Binance, la principale plateforme d'échange d'actifs numériques.

Le tribunal vénézuélien a accepté d'examiner le rapport de CipherBlade. Suite aux conclusions de l'enquête, en janvier 2021, plus d'un mois après l'arrestation du duo de développeurs, le tribunal a accordé à Mendoza et Diaz une liberté conditionnelle. En août 2021, le tribunal a officiellement abandonné toutes les charges retenues contre eux, selon un document officiel obtenu par CoinDesk.

Alors que les volumes de transactions Crypto illicites est tombé de plus de moitié entre 2019 et 2020, ce marché représente toujours plusieurs milliards de dollars. Et la demande de services de renseignement blockchain pour traquer les transactions illicites est en plein essor. La société de renseignement blockchain Chainalysis possède un chiffre d'affaires de plusieurs millions de dollars. contratsavec le gouvernement américain, et en septembre dernier, le géant mondial des paiements Mastercarda accepté d'acheterCipherTrace, une entreprise qui analyse les blockchains à la recherche d'activités illicites.

Sur le même sujet : Les autorités américaines saisissent 3,6 milliards de dollars en Bitcoin suite au piratage de Bitfinex en 2016

Miguel Alonso Torres, enquêteur principal chez CipherBlade (à ne pas confondre avec l'acquisition de Mastercard), a déclaré que son entreprise travaille sur une gamme de cas allant des piratages et des vols aux cas de divorce occasionnels où un conjoint était soupçonné de ne pas divulguer le total de ses avoirs en Crypto .

Mais innocenter deux suspects était une première pour Torres.

« Que quelqu'un soit en prison et qu'on lui demande d'enquêter sur un piratage simplement pour pouvoir prouver au tribunal son innocence, c'est absolument unique. Je n'ai jamais eu affaire à un cas comme celui- ONE», a déclaré Torres.

Le hack d'échange

Tout a commencé lorsque Bancar a embauché POSINT en 2018 pour l'aider à construire son échange de Cryptomonnaie .

En 2018, le président du Venezuela, Nicolas Maduro, a lancé lepetro, la monnaie numérique controversée émise par le gouvernement vénézuélien et adossée à une partie des réserves pétrolières du pays. Ses tactiques agressives pour forcer l'adoption du pétrole allaient decommandeun certain nombre d'entreprises publiques ont décidé de convertir une partie de leurs ventes en pétrole.exigeantLes citoyens doivent payer leurs nouveaux passeports avec du pétrole.

En octobre 2018, les médias locaux ont commencé àrapport Maduro aurait approuvé six plateformes d'échange de Cryptomonnaie locales pour la vente de pétrole. Selon les rapports, Bancar était ONEune des six plateformes approuvées par Maduro. Penagos a déclaré qu'après l'approbation de Bancar, POSINT a été mandatée pour développer la plateforme de trading de l'entreprise. Il a ajouté qu'une fois les travaux terminés, POSINT a transmis le code source à Bancar.

Bancar n'a T répondu aux multiples demandes de commentaires.

Un an plus tard, 103,99 BTC, d'une valeur d'environ 1 million de dollars, ont disparu de la plateforme d'échange Bancar lors d'une cyberattaque, selon le rapport de CipherBlade. Les Bitcoin ont été volés lors de cinq transactions distinctes, survenues à deux dates différentes : trois le 4 septembre 2019 et le reste le 7 septembre 2019.

Selon Penagos, Bancar a immédiatement soupçonné POSINT, la société qui avait développé le logiciel utilisé par Bancar, du vol. Penagos, quant à lui, a effectué une simple recherche et a découvert que les Bitcoin volés avaient atterri sur Binance.

« Je pense qu’un attaquant ou un pirate informatique professionnel ne déposerait pas une telle somme d’argent sur une grande plateforme d’échange comme Binance », a déclaré Penagos.

Penagos dit avoir informé Bancar par e-mail et lui avoir demandé d'envisager d'embaucher CipherBlade pour enquêter sur le piratage ou de contacter Binance pour tenter de récupérer les fonds.

Sur le même sujet : Outils d'analyse Crypto : « La vague du futur, mec », cite le juge dans une affaire de saisie de Bitcoin de 3,6 milliards de dollars.

Un an plus tard, en décembre 2020, les médias locaux ont rapporté que les autorités vénézuéliennes avaient arrêté Mendoza et Diaz, soupçonnés d'être à l'origine de l'attaque. À l'époque, Mendoza était directeur Technologies chez POSINT et Diaz, développeur senior, a précisé Penagos.

« Nous étions confus », a déclaré Diaz, se souvenant des premiers jours de sa détention.

Les médias locaux et les sites d'actualités Crypto internationaux ont publié des articles sur leur détention.

« Après avoir contourné la sécurité de la plateforme, [Mendoza et Diaz] auraient procédé à des transferts de Bitcoin et de fiat vers divers comptes qui leur étaient associés », a déclaré la plateforme d'actualités Crypto. Décrypter a écrit.

Pendant ce temps, Mendoza et Diaz ne savaient T comment prouver leur innocence.

« Pendant notre détention, les doutes ont continué à augmenter », a déclaré Mendoza.

Tout ce que POSINT avait à faire était de prouver que les deux n'avaient T pu voler les fonds, mais ce n'était T facile.

« La Cryptomonnaie est particulièrement transparente, car toutes les transactions sont enregistrées dans un registre blockchain public, immuable et permanent », a déclaré Gurvais Grigg, directeur mondial de la Technologies du secteur public chez Chainalysis, dans un courriel. « Le problème est que la blockchain n'est pas lisible par l'homme. Il est difficile de savoir quels services se cachent derrière les transactions sur la blockchain, car ils sont pseudonymes. »

Après l'arrestation de ses collègues, Penagos a déclaré avoir tenté de contacter Binance lui-même, sans obtenir de réponse. N'y parvenant pas, il s'est finalement tourné vers CipherBlade.

« Lorsque l’enquête a commencé, nous avons finalement commencé à nous sentir plus détendus », a déclaré Mendoza.

Suivi des FLOW de fonds

Un mois après le début de son enquête, CipherBlade a pu retracer de manière très détaillée la trajectoire des fonds volés à Bancar.

« Lorsque vous regardez le FLOW de fonds, vous savez qu'il y avait certaines techniques d'obscurcissement qui n'étaient T particulièrement bien exécutées », a déclaré Paul Sibenik, responsable principal des dossiers chez CipherBlade.

Une fois que les 103,99 BTC ont été retirés de la bourse en cinq transactions distinctes, l'auteur a déposé les Bitcoin volés sur deux adresses, ou des emplacements virtuels désignés par une chaîne de chiffres et de lettres où le Bitcoin peut être envoyé.

Ensuite, le Bitcoin volé a finalement convergé vers une adresse sur Binance : 1ECeZBxCVJ8Wm2JSN3Cyc6rge2gnvD3W5K.

Mais quelque chose n'allait T .

« Au départ, nous avons constaté que tous les fonds étaient dirigés vers Binance », a déclaré Sibenik. « Mais nous avons pu constater que l'adresse vers laquelle les fonds étaient dirigés n'était pas un compte personnel Binance appartenant au pirate. Il s'agissait d'un service. »

Selon le rapport de CipherBlade, Binance a informé les enquêteurs que l'adresse était associée àSuex.io, une société basée à Moscou qui proposait des services de négociation de gré à gré (OTC).

Cela signifie que les Bitcoin volés de Bancar se sont d'abord retrouvés dans deux adresses appartenant à l'auteur, et que l'auteur a ensuite utilisé Suex.io pour convertir le Bitcoin en un autre actif. Autrement dit, l'auteur a utilisé Suex.ioLe service OTC de 's pour blanchir les Bitcoin volés. Suex.io puis a envoyé les Bitcoin volés sur son compte Binance.

CipherBlade a essayé de Request des informations à Suex.io mais Sibenik et Torres ont déclaré que l'entreprise russe n'était T coopérative.

« La première chose est que toute personne qui était un client potentiel deSuex.io « À l'époque, ils savaient qu'ils T aucune exigence », a déclaré Torres. « Ils T fichaient de savoir à qui ils avaient affaire ni de la provenance des fonds. Je respecte énormément le pseudonyme et la Politique de confidentialité , mais il y a aussi des valeurs éthiques. Cette affaire était cruciale. Il y avait deux personnes en prison. »

Selon le rapport, Binance a aidé CipherBlade à combler les lacunes en faisant une Request de source de fonds à Suex.io. Un échange de Crypto peut faire une telle Request aux clients en leur demandant d'expliquer l'origine de l'argent ou des actifs déposés sur la plateforme.

Les informations finalement partagées parSuex.ioa permis à CipherBlade de récupérer toutes les informations, de l'adresse IP (protocole Internet) du malfaiteur à son identifiant Telegram, son fournisseur d'accès à Internet et son navigateur web. Toutes les informations pointaient vers un ressortissant russe.

« Il est devenu évident pour nous que Mendoza et Diaz n’étaient en fait que des boucs émissaires », a déclaré Sibenik.

Pendant ce temps, en septembre 2021,Suex.ioest devenu lepremier échange de Cryptomonnaie être sanctionnépar le Bureau de contrôle des avoirs étrangers du Département du Trésor américain (OFAC), le plaçant dans la même catégorie que les terroristes et les trafiquants de drogue. Il est intéressant de noter queSuex.io L'adresse sur la plateforme Binance était ONEune des adresses de monnaie numérique signalées sur la liste des sanctions de l'OFAC. Suex.io n'a T répondu aux multiples demandes de commentaires.

Sur le même sujet : Voici ce que nous savons sur Suex, la première entreprise de Crypto sanctionnée par les États-Unis

Binance a confirmé à CoinDesk qu'elle avait participé à l'enquête de CipherBlade et qu'elle avait dé-plateforme Le compte en question s'appuie sur des mesures de sécurité internes. Cependant, la date de déplateformisation du compte n'a T été précisée.

« De la même manière que pour les banques et autres institutions financières traditionnelles, chaque fois que des flux illicites transitent par les bourses, la bourse elle-même n'abrite pas les véritables groupes criminels, mais est plutôt exploitée comme intermédiaire », a déclaré un porte-parole de Binance dans un communiqué envoyé par courrier électronique.

Vulnérabilités d'échange

Le rapport de CipherBlade a également examiné Bancar et a découvert un certain nombre de vulnérabilités qui auraient pu exposer la plateforme à des attaques.

D' une ONE, l'enquête de CipherBlade a révélé que plus de 7 000 pages de spam sur «<a href="http://bancarexchange.io​"> http://bancarexchange.io</a> » n'ont T été créées par Bancar. Le rapport de CipherBlade indique (et CoinDesk l'a confirmé) qu'une simple recherche sur le site renvoie des pages proposant des annonces de toutes sortes, des mariées russes aux locations de voitures en passant par le ghostwriting.

Au cours de son enquête, CipherBlade a également découvert que le certificat SSL de la plateforme, qui authentifie l'identité du site web, avait été correctement installé, mais révoqué en décembre 2020, un an après le piratage. Une certification peut être révoquée pour plusieurs raisons, notamment si ses clés privées ont été compromises.

Sur le même sujet : Des Bitcoin « gelés » liés aux manifestations canadiennes atterrissent sur Coinbase et Crypto

À la fin du rapport, l'agence de renseignement décrit également les mesures que les autorités vénézuéliennes pourraient prendre pour Réseaux sociaux le coupable et clore l'affaire. On ignore si les autorités vénézuéliennes poursuivent l'individu en question. Mais CipherBlade garde espoir.

« Au début, je n'étais pas très optimiste quant à la prise en compte de notre avis par les autorités. Mais elles l'ont manifestement fait », a déclaré Sibenik.