4 domande senza risposta sull'hacking di Bitfinex

Ieri abbiamo ricevuto la straordinaria notizia dell'arresto di una coppia di New York, Ilya "Dutch" Lichtenstein e Heather R. Morgan, per il loro presunto ruolo nel tentativo di riciclare Bitcoin che ora vale l'incredibile cifra di 4,6 miliardi di dollari. Quel Bitcoin è stato rubato dall’exchange globale Bitfinex nell’agosto 2016 e, nel mezzo decennio successivo, ci sono state poche informazioni aggiuntive sull’attacco.

Quel lungo silenzio (insieme a quelli che chiameremo alcuni fattori più lirici ) ha suscitato un intenso fascino per le notizie di ieri. Ma per quanto abbiamo imparato, c'è ancora molto che T sappiamo, comprese domande pendenti che potrebbero portare in una tana del coniglio molto più profonda. Alcune delle incognite più importanti riguardano l'hacking stesso, le ricadute economiche dell'hacking e il comportamento sconcertante dei presunti riciclatori durante il periodo in cui sono accusati di aver tentato di lavare i BTC rubati.

Questo articolo è estratto da The Node, la raccolta quotidiana di CoinDesk delle storie più importanti nel campo delle notizie su blockchain e Cripto . Puoi iscriverti per ricevere la newsletter completa qui .

Come ci si potrebbe aspettare, affrontare domande senza risposta comporta alcune speculazioni. Ho fatto del mio meglio per evidenziare dove appare questa speculazione, ma in generale siamo fuori mappa, quindi prendi ciò che segue in gran parte come una serie di ipotetici ed esperimenti mentali.

Un elemento cruciale ma facilmente trascurato delle accuse di ieri è che T sostengono che Lichtenstein e Morgan fossero responsabili dell'hacking iniziale di Bitfinex. Le accuse T offrono alcuna teoria specifica su come siano entrati in possesso delle chiavi private che controllavano le monete. ONE possibilità è che la coppia abbia acquistato i BTC dagli hacker iniziali con uno sconto. Un'altra è che agissero semplicemente come agenti per gli hacker, anche se ciò è meno probabile dato il loro controllo diretto sulle chiavi.

C'è, tuttavia, qualche motivo circostanziato per credere che la coppia avrebbe potuto essere coinvolta nell'hacking stesso e il Dipartimento di Giustizia semplicemente T aveva prove sufficienti per accusarli di qualcosa di più del semplice riciclaggio di denaro.

La prova più intrigante (anche se ancora una volta del tutto circostanziale) è che Morgan sembra essere stato completamente ossessionato dall’”ingegneria sociale”, un tipo di hacking che si concentra sulla compromissione delle persone anziché del codice. In ONE lunga presentazione tenuta alla serie di eventi NYC Salon , ha descritto i metodi di inganno e intimidazione che aveva utilizzato negli esercizi del mondo reale per influenzare gli individui e ottenere l'accesso a spazi e organizzazioni.

Ciò è particolarmente intrigante data la natura dell’hacking originale, che prevedeva la compromissione delle protezioni multifirma passate attraverso il fornitore di sicurezza BitGo. Nel report di CoinDesk dell'epoca, Michael McSweeney scrisse che "per prelevare una quantità così grande di fondi, BitGo avrebbe probabilmente dovuto approvare tali transazioni", a causa di un livello di sicurezza multifirma implementato per gli utenti Bitfinex. Ciò solleva la possibilità che l’ingegneria sociale sia coinvolta nell’hacking.

È stato notato che Morgan ha intervistato Matt Parrella, ex chief compliance officer di BitGo, per una rubrica di Forbes del 2020 intitolata, sorprendentemente, "Gli esperti condividono suggerimenti su come proteggere la tua azienda dai criminali informatici". Questo è un serio motivo per sollevare le sopracciglia, ma potrebbe non significare molto dato che Parrella è stata impiegata solo per un breve periodo presso BitGo nel 2019 e nel 2020.

ONE delle cose davvero bizzarre rivelate nei documenti di addebito di ieri è che le autorità affermano di essere riuscite a sequestrare i BTC rubati dopo aver avuto accesso alle chiavi private che Lichtenstein/Morgan avevano archiviato in un servizio cloud. Mantenere le chiavi private sempre offline è ONE dei principi di sicurezza fondamentali della gestione Cripto , ed è poco plausibile che qualcuno che si impegna a riciclare Cripto su scala così vasta T ne sia ben consapevole.

Esistono alcuni modi non cospirativi per comprendere le chiavi archiviate online. Ancora più importante, le chiavi stesse erano crittografate, cosa che puoi almeno immaginare qualcuno razionalizzando come sicura.

Il ricercatore Cripto Eric Wall ha inoltre suggerito che, nonostante le affermazioni contenute nei documenti di addebito, le chiavi potrebbero non essere state decrittografate dalle forze dell'ordine. Invece, le chiavi potrebbero essere state consegnate dai colpevoli durante il confronto. Ciò potrebbe anche spiegare perché gran parte delle monete rubate è stata spostata il 1° febbraio . Forse i riciclatori accusati stavano dimostrando che le chiavi funzionavano prima di consegnare il loro bottino ai federali.

Vale anche la pena ricordare che al momento dell'hacking il BTC in questione valeva circa 70 milioni di dollari. Nel corso di cinque anni è cresciuto fino a raggiungere diversi miliardi, probabilmente superando la capacità dei colpevoli di aggiornare le proprie pratiche di sicurezza.

Sfortunatamente, dobbiamo parlare di Razzlekhan, lo strano e imbarazzante personaggio rap di Morgan. Morgan ha inondato TikTok e YouTube con strane esche di influenza, incluso un sacco di rap, mentre scriveva anche contenuti aziendali e tecnologici per la rete di collaboratori perennemente losca di Forbes. Lichtenstein ha pubblicato almeno ONE post su Medium sulle Cripto e ha pubblicato un post sulle Cripto su Twitter. Questi contenuti, alcuni dei quali sono stati resi privati ​​dopo gli arresti, sono solo ONE tanti aspetti della vasta presenza sul web di Morgan e, in misura molto minore, di Lichtenstein.

La domanda è semplicemente: perché? La maggior parte di questa attività ha avuto luogo dopo che la coppia aveva il controllo di una fortuna in Bitcoin . Perché dovresti inseguire il potere online se avessi così tanti soldi? (Morgan probabilmente guadagnava meno di $ 100 per ogni contributo a Forbes.)

Alla fine possiamo solo speculare. Ma la risposta probabilmente implica impulsi molto personali, in particolare il desiderio di riconoscimento e rispetto. Sembra chiaro che Morgan e Lichtenstein volessero essere visti come uomini d’affari seri (anche se creativi e strani).

Ad esempio, i due si sono presentati come partner presso Demandpath , un presunto fondo di investimento focalizzato su “sistemi distribuiti, piattaforme cloud e intelligenza artificiale basata sui dati (intelligenza artificiale)”. T ho ancora scoperto informazioni sui loro investimenti, quindi l'intera faccenda potrebbe essere stata un BIT' un LARP , come spesso è l'"angel investing" nelle Cripto. Morgan si è anche presentata come CEO di una società di email marketing chiamata Salesfolk.

La cosa più incredibile è che Morgan T ha smesso di postare anche quando i muri si stavano chiudendo. Martedì in tribunale, l'avvocato difensore ha affermato che gli imputati sapevano di essere sotto indagine da novembre. Ma il 2 febbraio, appena ONE settimana prima del suo arresto, Morgan ha pubblicato un articolo sulle vendite business-to-business su cui stava lavorando per la rivista Inc. Forse la conoscenza dell’indagine ha spinto Morgan a raddoppiare gli sforzi su un’attività che potrebbe effettivamente farcela. denaro, perché il monitoraggio rendeva i loro BTC estremamente pericolosi da spostare.

Vale la pena notare che la presenza online di Morgan sembra distorcere la percezione del caso. Il suo rap e l'interesse per l'ingegneria sociale la rendono un sospettato intrigante. Ma in un'udienza preliminare di ieri, un giudice di New York ha fissato la cauzione per Ilya Lichtenstein a 5 milioni di dollari, ma la cauzione per Morgan a soli 3 milioni di dollari, il che potrebbe suggerire che la corte ritenga che Lichtenstein abbia maggiori responsabilità e debba affrontare conseguenze più dure rispetto a Morgan.

L'hacking originale di Bitfinex è avvenuto all'inizio di agosto 2016. Ecco il rapporto contemporaneo di CoinDesk sugli Eventi . L'hacking, e in particolare gli sforzi di Bitfinex per riprendersi, hanno generato una serie di teorie cospirative e speculazioni che spesso implicano sospetti di possibili illeciti da parte di Bitfinex e dei suoi associati.

Dopo l’hacking, Bitfinex ha fatto una mossa radicale, imponendo le perdite ai suoi utenti sotto forma di un “haircut” di circa il 36% sui saldi. Coloro che hanno ottenuto il taglio di capelli hanno ricevuto in cambio “token per i diritti di recupero” con il ticker BFX. Questi token sono stati completamente rimborsati e riscattati entro il 4 aprile 2017 . La versione ufficiale era che Bitfinex avesse aumentato il volume degli scambi in quel momento e avesse rapidamente recuperato i soldi persi nell'hacking.

Vedi anche: Un ponte chiamato Tether | Opinioni

Ma il token BFX è stato denominato e rimborsato in USD, non in BTC. Il prezzo Bitcoin è quasi raddoppiato tra l'hacking e il rimborso e quindi, a parità di condizioni, gli utenti di Bitfinex hanno perso denaro anche dopo che i loro token BFX sono stati riscattati.

Ma non è tutto: come sottolinearono i commentatori dell'epoca, il token BFX ha contribuito a ridurre ulteriormente le passività di Bitfinex . Alcuni detentori, non avendo fiducia nella capacità di rimborso di Bitfinex, hanno lanciato il token sul mercato per soli 49 centesimi di dollaro – e l'exchange ha riconosciuto di riacquistare i token al valore di mercato, il che significa che ha ottenuto un ulteriore sconto rispetto alla responsabilità del debitore. BTC rubati.

Ciò, combinato con il fatto che l’hacking ha comportato la compromissione della sicurezza multifirma, ha generato notevoli speculazioni secondo cui l’hacking potrebbe essere stato un “lavoro interno”. Gli osservatori come Bitfinex avrebbero ipotizzato che l'hacking fosse collegato alla successiva Da scoprire di carenze nell'operazione sorella di Bitfinex, Tether, e che il taglio di capelli e il token BFX avrebbero potuto aiutare a risolvere altri problemi all'exchange. Devo ancora vedere alcuna prova inconfutabile di ciò, ma il processo di Morgan e Lichtenstein potrebbe offrire nuove rivelazioni su quelle strane manovre.