52
Закрытие в 2017 году даркнет-рынка AlphaBay позволило правоохранителям получить доступ к записям о переводах украденных в 2016 году с биткоин-биржи Bitfinex активов на аккаунты других сервисов. Благодаря этому удалось обнаружить связь с арестованными Ильей Лихтенштейном и Хезер Морган.
8 февраля стало известно о задержании указанных лиц. Власти США обвинили их в сговоре с целью отмывания доходов в размере 119 754 BTC. Проведенная конфискация 94 636 BTC (~$3,6 млрд) может стать крупнейшей в истории.
Согласно документу, супружеская пара применила несколько методов отмывания денег:
использование учетных записей на базе фиктивных удостоверений личности;
перемещение украденных средств в серии небольших сумм в тысячах транзакций;
использование компьютерных программ для их автоматизации;
распределение украденных средств путем внесения их на счета различных биткоин-бирж и рынков даркнета с последующим их выводом;
конвертация биткоина в другие криптовалюты, в том числе с улучшенной анонимностью;
использование бизнес-аккаунтов в США для легализации деятельности.
Упрощенная схема перемещения похищенных с Bitfinex средств. Данные: Минюст США.
Согласно Elliptic, за последние пять лет злоумышленникам удалось переместить и отмыть порядка 21% украденных BTC — с AlphaBay средства поступили на аккаунты бирж, а также сервисы Wassabi, JoinMarket и даркнет-рынок Hydra.
Данные: Elliptic.
Для отмывания украденных активов также использовались золото, NFT, криптоматы и подарочные карты Uber, Hotels, PlayStation, Walmart.
Ранние неудачные попытки перевести средства на биржи встречали блокировкой средств с необходимостью прохождения KYC-процедур, после чего супруги попросту отказывались от них.
Telegram-канал Goldfoundinshit пояснил, каким образом пару удалось отследить:
одна из учетных записей была открыта 13 января 2015 года на имя Лихтенштейна с использованием его домашнего адреса в Сан-Франциско и подтверждена персональным фото и скриншотом его водительских прав;
Лихтенштейн указал свой настоящий домашний адрес для получения золота и драгоценных металлов;
аккаунты, через которые обналичивался XRM, были зарегистрированы на имя гражданина России и по российскому адресу электронной почты;
Лихтенштейн и Морган использовали свои аккаунты с одних и тех же IP-адресов;
когда Морган хотела увеличить дневной вывод с $500 до $8000 на одном из аккаунтов, биржа запросила источник средств, и Хизер Морган заявила: «Мой парень (ныне муж) подарил мне криптовалюту в течение нескольких лет (2014 г., 2015 г.), которые я хранила на холодном кошельке»;
Морган и Лихтенштейн сообщали, что источником внесенных на их счета биткоинов были их собственные инвестиции до 2015 г. Однако подробный анализ блокчейна показал, что ключевую роль сыграли счета, открытые в 2017 году после взлома;
Все данные о кошельках и ключи пара хранила в облачном сервисе вместе со скриншотами всех документов. 31 января 2022 года правоохранительным органам удалось расшифровать несколько ключевых файлов, содержащихся в их учетных записях. Запись содержала файл со списком всех адресов и закрытых ключей.
Представляют интерес и сами Илья Лихтенштейн и Хезер Морган.
Согласно аккаунту в LinkedIn, Морган является CEO копирайт-агентства SalesFolk и колумнистом для Inc. и Forbes. В частности, ей принадлежит авторство статьи «Эксперты делятся советами по защите бизнеса от киберпреступников». В нее попали комментарии представителей BitGo, которая предоставила Bitfinex инструменты безопасности во время взлома.
Лихтенштейн является партнером в инвестиционном фонде Demandpath (Морган в него инвестировала) и советником SalesFolk.
Пара вела активную жизнь в социальных сетях. Морган взяла псевдоним Razzlekhan и позиционировала себя как рэп-исполнитель, а также художник, специализирующийся на коллажах, скульптуре, живописи и дизайне одежды.
Напомним, 1 февраля пришли в движение 94 643 BTC, украденные в 2016 году с Bitfinex. Сервис Whale Alert