8 февраля Министерство юстиции США арестовало супружескую пару по обвинению в сговоре и отмывании почти 120 000 ВТС, которые были украдены у криптобиржи Bitfinex в 2016 году. Власти смогли конфисковать у преступников 94 000 ВТС на сумму в $3.6 млрд — остальные ​​25 000 BTC были переведены на неизвестные сторонние адреса. Если суд признает супругов виновными, им может грозить до 25 лет лишения свободы. Экранизировать всю эту историю уже взялся Netflix — стриминговый сервис снимет сериал об отмывании украденных у Bitfinex биткоинов. Разобрались, как властям США удалось найти монеты и как эта ситуация отразится на Bitfinex и крипторынке в целом. 

Неоднозначная репутация Bitfinex 

Bitfinex — одна из крупнейших и старейших криптобирж на рынке, работающая с 2012 года. Она занимает 9-е место по объему торгов по данным CoinMarketCap. Площадка принадлежит компании iFinex Inc, которая также является эмитентом крупнейшего долларового стейблкоина Tether (USDT). 

Но в то же время у этой биржи двойственная и крайне неоднозначная репутация среди криптосообщества. 

С одной стороны, площадка отличается низкими комиссиями, у нее простой и удобный интерфейс, дружественная техподдержка и широкий торговый функционал — клиентам Bitfinex доступны маржинальная торговля, криптодеривативы, расширенные типы ордеров, стейкинг, кредитование и собственная Р2Р-платформа среди прочего. Более того, после взлома в 2016 году команда торговой площадки стала уделять особое внимание вопросам безопасности.

С другой стороны, помимо того, что в 2016 году биржа потеряла 119 756 ВТС в результате хакерской атаки, позже она прошла через целую череду скандалов, связанных с обвинениями в манипулировании крипторынком. Также репутации Bitfinex не поспособствовала заморозка банковского счета биржи ее банком-корреспондентом Wells Fargo — в апреле 2017 года клиенты площадки в течение нескольких недель испытывали трудности при выводе своих средств. В результате Bitfinex была вынуждена полностью отказаться от поддержки доллара США и обслуживания американских клиентов. 

Нельзя не вспомнить и то, что в январе 2018 года Комиссия по торговле товарными фьючерсами США (CFTC) потребовала от компании Tether Ltd и Bitfinex подтвердить наличие полного обеспечение выпущенных USDT. Почему власти обратились с этим требованием к торговой площадке? Дело в том, что Tether Ltd — это дочерняя компания iFinex Inc, которая занимается выпуском USDT. А у Bitfinex есть доля в управлении Tether Ltd. 

Изначально Tether Ltd утверждала, что USDT полностью обеспечен. Позже компания призналась, что монеты обеспечены лишь на 75%. В результате в октябре 2021 года CFTC обязала Bitfinex и Tether Ltd выплатить $42.5 млн за предоставление ложных сведений о полном обеспечении USDT. При этом криптосообщество считает, что реальные резервы гораздо ниже — так как компания отказывается проводить независимый аудит. При этом в пользовательском соглашении Tether сказано, что компания не гарантирует цену и обеспечение стейблкоина, а также его конвертацию в доллары.

Более того, в апреле 2019-го американские власти обвинили криптобиржу в том, что она тайно использовала $850 млн в USDT для покрытия своих убытков. В ответ на обвинения в Bitfinex сообщили, что были вынуждены взять кредит у Tether Ltd для обеспечения ликвидности, поскольку эти $850 млн оказались заморожены на счетах платежного процессора Crypto Capital. Криптосообщество было возмущено, что сам факт проблемы был скрыт от участников рынка. 

В итоге в октябре 2019 года инвесторы подали против iFinex Inc коллективный иск на $1.4 трлн, обвинив ее в манипулировании рынком в 2017–2018 гг., а летом 2020-го к иску были добавлены аналогичные обвинения в адрес Bitfinex. В феврале 2021 года Bitfinex полностью погасила долг перед Tether Ltd и обе компании выплатили властям $18.5 млн в качестве штрафа. 

Кража 119 756 ВТС и безуспешные попытки найти хакеров

Но вернемся к вопросу об украденные биткоинах и к тому, как взлом отразился на крипторынке. Напомним, что 2 августа 2016 года Bitfinex объявила о краже 119 756 ВТС — это около $71.8 млн на тот момент. Хакерам удалось воспользоваться уязвимостью в системе безопасности биржи и совершить более 2 000 переводов с кошельков пользователей на свой адрес. 

При этом точная схема мошенничества до сих пор неизвестна: вероятно, злоумышленники воспользовались тем, что на тот момент биржа хранила средства клиентов на горячих кошельках. После взлома работа Bitfinex была приостановлена, а новость об атаке привела к падению цены ВТС на 20%. 

Bitfinex приняла решение распределить убытки между всеми своими клиентами. Баланс всех клиентов, даже тех, чьи кошельки не подверглись взлому, был сокращен на 36%, но взамен они получили новые токены BFX в соотношении 1 токен за каждый потерянный доллар. По сути BFX выполняют роль долговых расписок, которые эквивалентные потерянным средствам. Также компания выпустила токен RRT (Recovery Right Token), который получили именно жертвы взлома, обменявшие свои BFX на акции компании iFinex Inc. В настоящее время в обращении находится 30 млн токенов RRT. Благодаря этому в апреле 2017-го биржа полностью погасила долги перед всеми клиентами. 

Хакеров, укравших почти 120 000 ВТС, искали последние 6 лет. Несмотря на то что адрес кошелька преступников был известен, их личности установить не удалось. Это позволило им с 2017 года регулярно выводить ВТС — в среднем по несколько сотен монет за раз. Но надо понимать, что просто взять и потратить биткоины преступники не могли: все украденные монеты отслеживаются, в связи с чем их невозможно продать на регулируемых площадках. Чтобы обналичить украденные ВТС, необходимо очень сильно замести следы или найти покупателя, который будет готов купить «грязные» биткоины по более низкой цене. Злоумышленникам также важно не засветить свои персональные данные при совершении сделок с фиатом. 

Предполагается, что хакеры также использовали украденные монеты для манипулирования курсом биткоина. Так, в апреле 2021 года, после того как с адреса, связанного со взломом Bitfinex, были выведены биткоины на сумму в $760 млн, курс первой криптовалюты упал с $64 000 до $62 000. По данным сервиса Whale Alert, отслеживающего действия биткоин-китов, подобных транзакций на сотни и тысячи биткоинов было немало. 

В августе 2020-го Bitfinex объявила награду за помощь в розыске преступников — 5% от похищенной суммы в почти 120 000 BTC. Площадка также предложила хакерам добровольно вернуть украденные средства и оставить себе 30% — более миллиарда долларов по тогдашнему курсу. Но даже этот шаг не принес результатов. 

Всего за пять с половиной лет хакеры вывели и отмыли около 21% всех украденных монет — более 25 000 ВТС. Учитывая колебания курса, сложно оценить, сколько фиатных средств они смогли выручить. Полиции удалось вернуть Bitfinex лишь 27.66 ВТС. 

Взлом Bitfinex стал важным уроком для всего крипторынка. После инцидента многие торговые площадки значительно усовершенствовали свои системы безопасности, а программисты разработали сложные инструменты для отслеживания криптотранзакций. Например, компания TRM Labs разработала решение для отслеживания переводов средств между разными блокчейнами (например, перевод ВТН в ЕТН или SOL). А компания Elliptic разработала автоматизированные методы отслеживания переводов монет по нескольким адресам. Именно решения этих двух фирм и помогли вычислить тех, кто отмывал украденные средства. 

Кто отмывал украденные у Bitfinex биткоины

8 февраля Министерство юстиции США объявило о конфискации 94 636 украденных у Bitfinex биткоинов, стоимость которых на тот момент составила более $3.6 млрд. Это крупнейшая конфискация криптовалюты в истории ведомства. 

В тот же день полиция задержала в Нью-Йорке супружескую пару, обвиняемую в отмывании украденных монет. Задержанные — 34-летний россиянин Илья Лихтенштейн и 31-летняя американка Хизер Морган. У следствия нет доказательств того, что именно они совершили взлом — возможно, супружеская пара лишь отмывала средства. Также пока не выявлены все участники преступной схемы. 

Илья Лихтенштейн и Хизер Морган. Источник

Рассказываем, как властям удалось отследить преступников спустя столько лет. 

Злоумышленники начали отмывать украденные монеты в начале 2017 года через даркнет-площадку Alphabay. Супруги создали десятки аккаунтов на разных криптобиржах под вымышленными именами с помощью поддельных удостоверений личности. Они также основали несколько подставных компаний. 

Они перемещали украденные ВТС с помощью специальных программ, которые позволяли им совершать тысячи транзакций на небольшие суммы. Также они нередко переводили свои BTC в анонимные криптовалюты. После того как в июле 2017-го Alphabay была закрыта правоохранителями США, преступники переключились на маршрутизацию денег через русскоязычный даркнет-рынок Hydra. В 2020-м, после скачка курса ВТС, Илья и Хизер переключились на использование конфиденциального кошелька Wasabi, который использует децентрализованный биткоин-миксер CoinJoin — специальный сервис, смешивающий ВТС разных пользователей, чтобы запутать перевод от отправителя к получателю. 

Такая схема работала достаточно долго, но постепенно мошенники расслабились, сложность цепочки транзакций снизилась — и они стали допускать ошибки. Более того, после закрытия Alphabay полиция получила доступ к информации о клиентах сервиса, в том числе о переводах украденных с Bitfinex биткоинов. Пара оставила и другие следы. Например, создавая аккаунты на одной из криптобирж (VCE1 на схеме ниже), Лихтенштейн и Морган использовали похожие e-mail адреса и одинакового провайдера. Когда площадка запросила дополнительные документы, супруги перестали отвечать на сообщения техподдержки. В результате биржа заморозила 18 счетов на сумму $186 000. 

А цепочка транзакций, связанных с другой биржей (VCE5 на схеме ниже), привела к счету Лихтенштейна, открытому еще в 2015 году с использованием настоящих водительских прав и домашнего адреса. После установления личности злоумышленника распутывать цепочку отмывания средств стало легче. 

Одна из схем отмывания биткоинов, используемых мошенниками. Источник

Вот еще несколько следов, оставленных парой: 

  • при покупке золота за отмытые деньги Илья Лихтенштейн указал домашний адрес — это требование закона при приобретении драгметалла в США;
  • супруги заходили в свои аккаунты с одинаковых IP-адресов; 
  • на одном из аккаунтов Морган хотела увеличить дневной лимит вывода с $500 до $8 000. После запроса биржи об источнике средств она заявила, что в 2014–2015 гг. монеты ей подарил ее парень; 
  • при выводе средств на биржах источником получения монет они указывали свои вложения до 2015 года. Но анализ транзакций показал, что все эти счета были открыты в 2017 году.

После сбора достаточного количества улик и получения ордера следователи запросили у облачного провайдера доступ ко всем документам пары, которые хранились там. Среди документов были в том числе и зашифрованные файлы с паролями и приватными ключами от криптокошельков, связанных со взломом Bitfinex. В одном из них и оказалось 94 636 ВТС. 1 февраля следователи вывели их на кошелек Минюста. 

Что касается личной жизни преступников, Илья Лихтенштейн и Хизер Морган встречались давно, но поженились только в ноябре 2021 года. При этом супруги не скрывались и вели публичную жизнь. Илья — видный предприниматель. Он является сооснователем и инвестором маркетинговой платформы для поиска клиентов MixRank, партнером в инвестфонде Demandpath, инвестором в блокчейн-сервисе Endpass, а также советником в компании супруги SalesFolk. В интернете можно найти немало интервью с предпринимателем и его публичных выступлений. 

Хизер Морган — предпринимательница, журналистка, блогер, художница, скульптор, дизайнер и рэпер под псевдонимом Razzlekhan. Она является главой маркетинговой компании SalesFolk, а в прошлом также писала статьи для изданий Inc. и Forbes, где одна из ее статей посвящена защите бизнеса от криптопреступников. По данным следствия, SalesFolk — это одна из подставных компаний преступников, принимавшая отмытые средства за якобы предоставленные услуги. 

Клип Razzlekhan на рэп «Крокодил Уолл-Стрит» 

В случае признания вины супругам грозит до 25 лет тюремного заключения: до 20 лет за сговор с целью отмывания денег и до 5 лет за сговор с целью обмана Соединенных Штатов.

Адвокаты защиты заявили, что обвиняемые знали о расследовании как минимум с ноября прошлого года, после того как один из их поставщиков услуг получил повестку в суд. Но они не покинули страну, поэтому защита попросила освободить их под залог. 

Мировой судья Нью-Йорка одобрил освобождение супругов под залог $5 млн за Илью и $3 млн за Хизер с поручительством минимум пяти человек. После этого прокурор заявил, что у пары может быть доступ к счетам или криптовалютам на сумму в $328 млн, а на компьютере подсудимых был файл под названием «passport_ideas.txt» с информацией о получении паспортов через даркнет. Более того, под кроватью полиция обнаружила пакет с предоплаченными мобильными телефонами. В результате главный судья окружного суда отменила вынесенное ранее решение — 15 февраля Морган отпустили под залог в $3 млн, а Лихтенштейн остался под стражей.   

Следователи, которые вели дело, отметили, что успешному расследованию способствовал прозрачный характер блокчейна — у правоохранительных органов еще никогда не было более открытого способа следить за переводами. Сложность с отмыванием денег через криптовалюты заключается в том, что оставленный преступником след навсегда остается в блокчейне. 

Что будет с конфискованными биткоинами 

Пока власти не уточнили, как поступят с конфискованными монетами. Обычно такие криптовалюты выставляют на аукцион. Окончательное решение по этому поводу примет судья по делу о пострадавших от хакеров. Кто будет выступать пострадавшей стороной — клиенты, потерявшие средства, Bitfinex или обе стороны — пока неизвестно. Обычно в таких делах суд стремится вернуть средства их первоначальным владельцам.

Bitfinex заявила, что намерена сотрудничать с властями, чтобы доказать свое право на украденные монеты. Если ей это удастся, то в течение 18 месяцев биржа использует 80% полученных средств для обратного выкупа и сжигания нативных токенов Bitfinex UNUS SED LEO (LEO). Этот актив был выпущен компанией Unus Sed Leo Limited в мае 2019 года для покрытия долга Bitfinex перед Tether Ltd. Тогда с помощью IEO биржа привлекла более $1 млрд под обязательство использовать 27% ежемесячной выручки iFinex для выкупа и сжигания токенов LEO по текущей рыночной цене вплоть до полного выкупа всей эмиссии. С сохранением нынешней скорости погашения на полное сжигание токенов уйдут десятки лет. 

Если Bitfinex удастся получить все изъятые биткоины на $3.6 млрд, компания, по ее заявлению, использует часть средств для выплаты держателям RRT по $1 за каждый токен, на что уйдет около $30 млн. Еще в начале месяца актив торговался по $0.13, а сейчас его цена достигла $0.9. На выкуп и сжигание токенов LEO уйдет около $2.9 млрд — примерно половина текущей рыночной капитализации токена. На фоне новостей о конфискации украденных ВТС цена LEO сначала подскочила на 60%, но затем снизилась. 

График цены токена LEO. Источник

Если Bitfinex добьется успеха, то именно биржа и нынешние держатели токенов LEO получат компенсацию от конфискации украденных биткоинов, а не жертвы взлома. Если держатели токенов RRT получат только $1 за токен, это значит, что они вообще никак не выиграют от многократного роста цен на ВТС за прошедшие годы. Поэтому многие жертвы взлома уже обратились к юристам за консультациями. Они хотят вернуть свои биткоины, а не их долларовый эквивалент на момент кражи. 

Пока слишком рано говорить о том, какое решение вынесет суд и кто в итоге получит украденные биткоины. Вероятно, процесс займет годы. А учитывая волатильность ВТС, вообще невозможно предсказать, сколько в итоге будут стоить конфискованные монеты к тому времени.