Inicia Sesión

Caso de Estudio: detalles del millonario fraude de Bitcoins de MtGox (Parte I)

Publicado en
  • Tamaño de fuente: Mayor Menor
  • Imprimir

Por Kim Nilsson*

A finales de julio se conoció la noticia sobre el arresto en Grecia de un ruso sospechoso de dirigir una operación de lavado de dinero a gran escala centrada en Bitcoin. El individuo fue identificado como Alexander Vinnik, de 38 años, y se le acusa de haber movilizado Robo de Bitcoins de MtGoxmás de 4.000 millones de dólares desde 2011.

No vamos a estar con rodeos: Vinnik es nuestro principal sospechoso en el robo de MtGox (o del lavado del dinero asociado). Este es el resultado de años de trabajo paciente, y estos descubrimientos fueron confirmados independientemente por otros investigadores. Todos los que trabajaron en el caso han guardado silencio pacientemente, mientras que remitían los resultados a las autoridades, para no alertar a los sospechosos y maximizar las posibilidades de arrestos.

Luego del arresto, pensamos que podemos - finalmente - comenzar a hablar de lo que realmente hemos estado haciendo todo este tiempo y lo que encontramos. Gracias por su paciencia.

Resumen

Vamos a dividir esto en dos publicaciones, ya que nuestros resultados abarcan una amplia gama de temas, y para este artículo vamos a resumir muy rápidamente el principal robo BTC-e [Caso de Estudio: las fallas antilavado que causaron a un NSM una multa de US$ 110 millones] y su conexión con Vinnik:

• En septiembre de 2011, se robaron las llaves privadas del monedero MtGox en un simple archivo copiado (wallet.dat). Esto le dio acceso inmediato al hacker a un número considerable de bitcoins, pero también fueron capaces de gastar los bitcoins depositados en cualquiera de las direcciones obtenidas.

• Con el tiempo, el hacker regularmente extrajo las monedas que pudo gastar usando las claves comprometidas, y las envió a la(s) cartera(s) controlada(s) por Vinnik. Esto continuó durante largos períodos, pero también tuvo interrupciones -una segunda fase de robo prominente sucedió más tarde en 2012 y 2013.

• A mediados de 2013, cuando los fondos gastados de las claves comprometidas se habían prácticamente reducido a nada, el ladrón había sacado cerca de 630.000 BTC de MtGox.

• Además, las claves compartidas del archivo wallet.dat permitió la reutilización de direcciones, lo que confundió a los sistemas de MtGox, los cuales interpretaron errónea como depósitos algunos de los gastos del ladrón, acreditando así múltiples cuentas con grandes sumas de BTC y haciendo que los números de MtGox estuvieran fuera de balance por más de 40.000 BTC. La mayoría de estos fondos fueron retirados apresuradamente por sus receptores en lugar de ser reportados.

• Después de que las monedas entraron en los monederos digitales de Vinnik, la mayoría fueron trasladadas a BTC-e y supuestamente vendidas o lavadas (los códigos de dinero de BTC-e eran una opción muy popular). En total, unos 300.000 BTC terminaron en BTC-e, mientras que otras monedas fueron depositadas en otras bolsas, incluyendo MtGox en sí.

• Algunos de los fondos transferidos a BTC-e parecen haberse dirigido directamente a unidades de almacenamiento interno en lugar de a las direcciones de depósitos de clientes, lo que muestra una relación entre Vinnik y BTC-e.

• Las monedas robadas de MtGox no eran las únicas monedas robadas manejadas por Vinnik; monedas robadas de Bitcoinica, Bitfloor y varios otros robos ocurridos en 2011 y 2012 fueron todos lavados a través de los mismos monederos.

• Mover las monedas de nuevo a MtGox fue lo que nos permitió identificar a Vinnik y que las cuentas MtGox que utilizó podrían estar vinculadas a su identidad en línea "WME". Como WME, Vinnik había hecho previamente una protesta pública de que le habían confiscado monedas (las monedas en cuestión viniendo del robo de Bitcoinica).

• Moving coins back onto MtGox was what let us identify Vinnik, as the MtGox accounts he used could be linked to his online identity "WME". As WME, Vinnik had previously made a public outcry that coins had been confiscated from him (the coins in question coming from Bitcoinica).

Hubo otros robos e incidentes sobre más fondos faltantes de MtGox, pero hablaremos sobre ellos en otros artículos. También habrá artículos de seguimiento con detalles de lo mencionado, pero ahora lo estoy manteniendo corto simplemente para permanecer con la detención de Vinnik.Alexander Vinnik

Flujo de monedas

Habiendo identificado las transacciones reales para la mayor parte de los bitcoins robados de MtGox, localizamos y agrupamos todas las direcciones involucradas, encontrando rápidamente que otras monedas robadas estaban en las mismas carteras. 

Como algunas monedas fueron depositadas de nuevo en MtGox, pudimos identificar qué cuentas se usaron para recibirlas: dos en particular fueron de interés, ya que pudimos vincularlas a la identidad en línea "WME". WME ha estado activo desde hace mucho tiempo atrás, a menudo anunciando "monedas baratas" en los foros de BitcoinTalk y deseando intercambiar códigos de cambio de dinero. BTC-e públicamente lo avaló, diciendo que "[nosotros] conocemos muy bien a WME".

WME estuvo involucrado en un incidente relacionado con fondos robados de Bitcoinica, lo que proporcionó otro indicador fuerte de que identificamos al hombre adecuado, aparentemente el principal lavador de dinero detrás del asalto a MtGox. Este incidente también terminó revelando el nombre "Alexander Vinnik", aunque en ese momento no pensamos que era su verdadero nombre, habiendo visto muchos alias. La detención de Vinnik sugiere que el nombre era real después de todo.

Para ser claro, esta investigación mostró evidencia para identificar a Vinnik no como un hacker / ladrón sino como un lavador de dinero; las noticias de la detención también indican eso. Él pudo haber comprado simplemente monedas baratas de ladrones y ofrecido un servicio de lavado de dinero. Él es, sin embargo, una pieza crucial del rompecabezas, ya que probablemente habrá sabido con quién estaba lidiando y a quién le estaba lavando fondos, y representa un gran avance en el caso. Asumimos que las autoridades ahora tomarán los pasos siguientes apropiados para perseguir todos los ángulos restantes y puedan identificar a los otros individuos implicados.

Siguiente

Actualmente estamos preparando más material para la divulgación, así que para obtener más información sobre el robo de MtGox y todos los demás aspectos del caso MtGox que no tuvimos tiempo de cubrir en este post, estad atentos.

 

-------------------------------------------------------------------------------------------------------- 

*Kim Nilsson es socio fundador de WizSec (@wizsecurity), una empresa con sede en Tokyo especializada en seguridad de Bitcoins que ha colaborado de forma independiente con las investigaciones del caso MtGox. Fuente original: http://blog.wizsec.jp/2017/07/breaking-open-mtgox-1.html