Xakep #305. Многошаговые SQL-инъекции
Одна из крупнейших криптовалютных бирж мира, к тому же имеющая большую популярность в России, BTC-e, ушла в оффлайн вечером вторника, 25 июля 2017 года. Сначала администраторы ресурса сообщали в официальном твиттере, что поводов для паники нет, а дело в проведении незапланированных технических работ в дата-центре.
Unplanned maintenance in data center, possible problems with access to btc-e #btce
— BTC-E (@btcecom) July 25, 2017
Update: Технические работы близки к завершению. Спасибо за понимание. #btce
— BTC-E (@btcecom) July 25, 2017
Однако вскоре стало известно, что в этот же день в Греции был арестован гражданин России Александр Винник. Хотя операторы BTC-e всегда предпочитали оставаться «за кадром», пользователи довольно быстро сопоставили неожиданный оффлайн биржи с арестом россиянина в Греции. Как оказалось, не зря. Винник был одним из администраторов и владельцев сервиса. Длинный список предъявляемых ему обвинений позже был опубликован на сайте Министерства Юстиции США, наряду с официальным пресс-релизом.
Официальное заявление гласит, что Винник не только руководил преступной группой с 2011 года и отмыл через BTC-e более 4 млрд долларов в биткоинах, но также администратор BTC-e был причастен если не к самому ограблению биржи Mt. Gox, то хотя бы к отмыванию похищенных средств.
Согласно заявлениям Минюста, в настоящее время Винник ожидает экстрадиции в США. Его обвиняют в ведении бизнеса по оказанию финансовых услуг без надлежащего лицензирования, множестве эпизодов отмывания денег, преступном сговоре, с целью отмывания денег, участии в незаконных денежных операциях. Представители ФБР сообщили, что арест Винника стал результатом долгой и скоординированной работы правоохранительных органов США и других стран.
«Мистер Винник обвиняется в совершении и пособничестве совершению широкого ряда преступлений, которые лежат далеко за пределами простого недостатка регуляции деятельности обменного сервиса, которым он управлял, — рассказывает глава отдела расследования преступлений при Налоговом управлении США. — Ему также вменяются кражи личностей, содействие обороту наркотиков, а также помощь в отмывании средств, полученных в ходе преступной деятельности для синдикатов со всего мира.
Подобные обменники не просто нелегальны, они также предоставляют плодородную почву для реализации мошеннических схем с возвратом налогов и кражей личности, а также других видов налогового мошенничества. Прекращение деятельности такого крупного обменника виртуальных валют должно послужить четким сигналом для других киберпреступников и нерегулируемых обменников по всему миру».
Также согласно официальному обвинению (PDF), Винник и его сообщники «создали вокруг BTC-e пользовательскую базу, тесно связанную с преступностью, в частности, они не просили у пользователей подтверждения личностей, позволяли скрывать и анонимизировать транзакции и происхождение средств, а также практически не имели механизмов, направленных на защиту от отмывания средств». В итоге биржей, наряду с обычными людьми, охотно пользовались преступники всех мастей: хакеры, скамеры, шантажисты, наркоторговцы и так далее. В результате BTC-e заработал на этих нелегальных операциях более 4 млрд долларов в биткоин эквиваленте.
Еще более интересно, что американские правоохранители (и не только они) обнаружили связь Винника с ограблением биржи Mt. Gox. Напомню, что бывший глава Mt. Gox Марк Карпелес (Mark Karpeles) был задержан 1 августа 2015 года в Токио, и до сих пор находится под следствием. Его подозревают в краже средств пользователей.
В официальном пресс-релизе Минюста сказано, что Винник принимал непоредственное участие в отмывании похищенных у пользователей Mt. Gox средств, которые в итоге были пропущены через обменник BTC-e и уже неработающий ныне обменник Tradehill.
Более интересный и развернутый отчет о происходящем опубликовала независимая группа исследователей WizSec, которая занималась и занимается расследованием произошедшего с Mt. Gox уже много лет. WizSec пишут, что публикация нового отчета сразу вскоре после ареста Винника – это не совпадение. Арест главы BTC-e вдохновил участников WizSec на написание нового материала, так как сегодняшние новости «добавляют к картине происшедшего несколько недостающих частей головоломки».
Исследователи пишут, что после проведения тщательного расследования и сбора доказательств (которые давно были переданы правоохранительным органам, но никогда не публиковались открыто), Винник являлся их «подозреваемым номер один». Вот только некоторые факты, которые приведены в отчете группы:
- в 2011 году приватные ключи от горячего кошелька Mt. Gox были похищены, что дало злоумышленникам доступ к огромным суммам, а также позволило видеть поступающие биткоин-депозиты и распоряжаться ими по своему усмотрению;
- время от времени преступники использовали скомпрометированные ключи и пересылали средства на кошельки подконтрольные Виннику, но основная «вторая фаза» ограбления произошла позже, в 2012-2013 годы;
- к середине 2013 года поток поступлений замедлился и почти прервался, и злоумышленники вывели с Mt. Gox порядка 630 000 BTC;
- после попадания в кошельки Винника, средства в основном уходили на BTC-e, где их отмывали. Суммарно на BTC-e было переведено более 300 000 BTC, а оставшаяся часть денег поступила в другие обменники, включая даже сам Mt. Gox;
- Винник отмывал средства, украденные не только у Mt. Gox, также через его кошельки прошли деньги, похищенные в ходе ограблений бирж Bitcoinica, Bitfloor в 2011-2012 годах.
Что теперь будет с BTC-e, не совсем понятно. Судя по последним сообщениями в твиттере BTC-e, биржа обещает вернуться «в строй» через 5-10 дней, однако в свете ареста Винника и обвинений со стороны властей США, такой исход крайне маловероятен.
Update2: На данный момент ведутся работы по восстановлению работы сервиса. Примерные сроки от 5 до 10 дней. Спасибо за понимание #btce
— BTC-E (@btcecom) July 26, 2017
Хуже того, пользователи Reddit обнаружили, что за несколько часов до ухода биржи в оффлайн с кошелька, предположительно принадлежащего BTC-e, вывели 169 млн долларов (66 163 биткоина). Сообщалось, что сначала средства были переведены на кошелек 19QzVvFZbHV4gcvmSYw3yup5RaBXgMeXay, откуда были распределены по другим аккаунтам. Впрочем, не доказано, что данный кошелек действительно принадлежит BTC-e, и известно, что Ethereum-кошелек биржи в полном порядке, средства на нем целы.
Bitcoin was in many "criminal" stories this year, only recent: Petya and AlphaBay and Hansa dark web markets. Btc-e could be the last one
— Liveuamap (@Liveuamap) July 25, 2017