211service.com
Zitten met de cyberspeurders die cryptocurrency-criminelen volgen
Stekelige gele en blauwe vormen beginnen een scherm te vullen dat een hele muur omspant in een laboratorium aan het Imperial College London. De vormen komen uit de lege ruimte terwijl het display pulseert en danst. De visualisatie is hypnotiserend en verwarrend, maar het is logisch als je eenmaal beseft wat je ziet. Ik zie de Bitcoin-blockchain voor me groeien.
Er verschijnt een rafelige blauwe cirkel en William Knottenbelt, een onderzoeker aan de universiteit, geeft live commentaar. Hier zie je iemand Bitcoin innemen en het vervolgens uitbetalen aan duizenden andere mensen, zegt hij.
Dit verhaal maakte deel uit van ons nummer van mei 2018
- Zie de rest van het nummer
- Abonneren
Dit kan dus een mijnbouwpool zijn die beloningen uitbetaalt aan de mensen die hebben bijgedragen aan het vinden van enkele blokken. Hij wijst naar een merkwaardige cluster van vormen op het scherm.
Ah, deze structuur hier is interessant, zegt Knottenbelt. Er verschijnen verschillende blauwe cirkels - meer uitbetalingen naar meerdere accounts - maar ze zijn aan elkaar gebreid door een arcering van gele lijnen. Het lijkt alsof iemand met een Sharpie op het scherm heeft gekrabbeld.
Wat Knottenbelt zojuist heeft opgemerkt, zou het eerste bewijs kunnen zijn van een verfijnde crimineel aan het werk.
Er is een industrie ontstaan om terug te vechten. Met nieuwe forensische tools kunnen autoriteiten het geld volgen via cryptocurrency-netwerken die veel minder privé blijken te zijn dan hun oprichters hadden gehoopt. Net zoals camera's met een gesloten circuit bankovervallers van gevierde criminelen veranderden in gemakkelijk te vangen rubes, hopen onderzoekers dat hun avances anonieme dieven in bekende gevangenen kunnen veranderen en de cryptocurrency-wereld veilig kunnen maken voor de gemiddelde klant.
De kansen in cryptocriminaliteit
Als je niet goed van plan bent, vinken cryptocurrencies veel vakjes aan. Het enige dat u aan een account in Bitcoin of Ethereum of NEM of duizend andere cryptocurrency-systemen bindt, is een adres, meestal een willekeurige reeks letters en cijfers. U kunt zoveel adressen hebben als u wilt, en in principe is er geen voor de hand liggende manier om ze aan elkaar te koppelen of hun eigenaren te identificeren. Bovendien kan geld op deze rekeningen zonder tussenpersonen en over internationale grenzen net zo gemakkelijk worden overgemaakt als het verzenden van een e-mail.
In plaats van je op een donkere parkeerplaats te ontmoeten om een koffer met geld te overhandigen, kan ik met een laptop op een balkon in Monaco zitten, zegt Jeffrey Robinson, een onderzoeksjournalist en auteur van 30 boeken over financiële misdaad, waaronder BitCon: de naakte waarheid over Bitcoin .

William Knottenbelt, een onderzoeker aan het Imperial College London, zegt: ik denk niet dat het iemand zal helpen om iets te verbieden. Thomas Angus, Imperial College London
Slimme criminelen grijpen de nieuwe kansen aan. Een onderzoek uit 2018 door Elliptic, een startup voor blockchainanalyse en het Center on Sanctions and Illicit Finance, een Amerikaanse denktank, vond een vervijfvoudiging van het aantal grootschalige illegale operaties aan de Bitcoin-blockchain tussen 2013 en 2016. Door de geschiedenis van meer dan 500.000 bitcoins, identificeerden ze 102 criminele entiteiten - waaronder dark-web-marktplaatsen, Ponzi-schema's en ransomware-aanvallers - en toonden aan dat veel van de munten in hun onderzoek aan hen konden worden gekoppeld.
Vijfennegentig procent van alle witgewassen munten die door het onderzoek werden gevolgd, waren afkomstig van slechts negen darkweb-marktplaatsen, waaronder Silk Road, Silk Road 2.0, Agora en AlphaBay. Dit zijn beruchte online bazaars waar een persoon verboden goederen zoals drugs en wapens kan kopen en kan betalen voor diensten zoals prostitutie of huurmoord. Op het dark web kun je zelfs juridisch advies kopen, zegt Robinson. Er zijn daar advocaten die Bitcoin willen aannemen om u te vertellen hoe u kunt voorkomen dat u met Bitcoin wordt betrapt.
Ook andere vormen van georganiseerde misdaad komen op. Hackers hebben Bitcoin omarmd als hun favoriete betaalmiddel voor ransomware-aanvallen. Dergelijke aanvallen piekten in 2016, waarbij bijna 16 procent van de besmette munten verband hield met uitbraken van malware zoals Locky. De trend zette zich in 2017 voort met WannaCry en NotPetya, die computersystemen gegijzeld hielden in ziekenhuizen en bedrijven over de hele wereld. In maart van dit jaar werden gemeentelijke overheidssystemen in Atlanta onbruikbaar gemaakt door een ransomware-aanval waarvan de daders ongeveer $ 51.000 in Bitcoin eisten.
Cryptocriminaliteit infecteert zelfs de offline wereld. De afgelopen maanden is er een vlaag van real-world overvallen geweest waarbij slachtoffers werden gedwongen om accountgegevens te overhandigen bij knifepoint. Plotseling, als je veel crypto hebt, ben je in fysiek gevaar, zegt Knottenbelt van Imperial College.
Cryptocriminaliteit infecteert zelfs de offline wereld. De afgelopen maanden is er een vlaag van real-world overvallen geweest waarbij slachtoffers werden gedwongen om accountgegevens te overhandigen bij knifepoint.
En toch, aangezien elke Bitcoin-transactie wordt geregistreerd in een gedistribueerd grootboek, kunnen onrechtmatig verkregen winsten worden gevolgd. Iedereen kan de volledige transactiegeschiedenis van Bitcoin downloaden - die momenteel ongeveer 160 gigabyte weegt - en deze bekijken, of een website zoals Blockchain.info of Block Explorer gebruiken om deze in een browser te bekijken.
Een dergelijke analyse hielp bij het ontrafelen van een grote overval. In 2014 werd Mount Gox, toen de grootste Bitcoin-uitwisseling ter wereld, gehackt door onbekende dieven die 850.000 bitcoins stalen, toen meer dan $ 450 miljoen waard.
Toen de berg Gox failliet ging, schakelden de beheerders een forensisch team van crack in om de ontbrekende munten te vinden. Wat ze vonden was een puinhoop. Mount Gox begreep niet hoeveel bitcoins ze mensen schuldig waren en hoeveel bitcoins ze eigenlijk hadden totdat ze merkten dat ze weg waren, zegt Jonathan Levin, die het onderzoek leidde. Levin en zijn team volgden het geld uiteindelijk naar een beurs genaamd BTC-e, waar het spoor koud werd.
Hoewel ze de meeste ontbrekende munten niet terug konden krijgen, bracht dat onderzoek ons op het idee om een tool te ontwikkelen die andere mensen zouden kunnen gebruiken, zegt Levin. Zijn bedrijf Chainalysis, geboren uit die inspanning, bouwt tools voor bitcoin-bedrijven die hun klanten beter willen begrijpen en voor wetshandhavingsinstanties die op zoek zijn naar criminelen. Andere bedrijven, zoals Block Seer en Elliptic, bieden vergelijkbare tools en diensten aan.
Volgens Tom Robinson, medeoprichter en chief data officer van Elliptic, gebruiken de meeste Bitcoin-uitwisselingen ter wereld de software van het bedrijf om transacties te screenen. Het controleert of ze gekoppeld kunnen worden aan bijvoorbeeld ransomware-wallets, dark marketplaces of diefstal. Elliptic heeft geholpen bij het leveren van bewijs in verschillende strafzaken, waaronder een waarbij een man betrokken was die onderdelen kocht voor AR-15 automatische geweren op het dark web en een handvol drugsvangsten.
Sinds het bedrijf vijf jaar geleden werd opgericht, schat Robinson, zijn er met behulp van de software voor een biljoen dollar aan Bitcoin-transacties gescreend, hoewel er ooit slechts voor ongeveer 300 miljard dollar aan Bitcoin-transacties is geweest. Dat komt omdat sommige transacties meerdere keren worden gescreend; Elliptic raadt haar klanten aan om analyses van oudere transacties opnieuw uit te voeren, omdat informatie over onbetrouwbare accounts voortdurend wordt bijgewerkt. Je moet blijven controleren, zegt Robinson.
Robinson wil zijn klanten niet noemen, maar een snelle zoekopdracht op USAspending.gov onthult dat ze onder meer de Amerikaanse Drug Enforcement Administration, de Internal Revenue Service, de FBI en Immigration and Customs zijn. Chainalysis werkt met deze en meer, inclusief financiële toezichthouders zoals de SEC. Chainalysis zegt ook dat Europol en meer dan de helft van de politiediensten in Europa zijn software gebruiken.
De interesse van het Amerikaanse ministerie van Financiën in de blockchain weerspiegelt het feit dat cryptocriminaliteit niet beperkt is tot muntovervallen en zwarte markten. Het gaat ook over fraude en belastingontduiking. Dit wordt een interessant belastingjaar, zegt Jeffrey Robinson. Het is de eerste keer in de VS waar ze de Bitcoin-uitwisselingen voor belastingdoeleinden aanpakken.

Sarah Meiklejohn en collega's ontwikkelden in 2013 technieken waarop een groot deel van de huidige cryptocurrency-analyse is gebaseerd. Andrew Testa
Hoe het onvindbare te traceren?
Veel van wat deze bedrijven doen, is gebaseerd op technieken die in 2013 zijn geïntroduceerd door Sarah Meiklejohn, destijds aan de Universiteit van Californië, San Diego, en haar collega's. Het basisidee is eenvoudig. Door de blockchain-activiteit nauwkeurig te onderzoeken, kunt u accounts zien die bij dezelfde Bitcoin-portemonnee lijken te horen en dus door dezelfde entiteit worden beheerd. Het proces staat bekend als clustering. Meerdere adressen die dezelfde transactie initiëren, kunnen er bijvoorbeeld uitzien als één persoon of organisatie die kleinere fondsen consolideert in één grotere pot. Een ander veelbetekenend teken is wanneer het wisselgeld van een Bitcoin-transactie wordt teruggestuurd naar een andere rekening dan die waar het geld begon. Na verloop van tijd lost de chaos zichzelf op in vaste patronen.
Zodra meerdere accounts aan dezelfde eigenaar zijn gekoppeld, kunt u proberen te achterhalen wie die eigenaar is. Het koppelen van Bitcoin-accounts aan echte identiteiten is mogelijk omdat informatie de neiging heeft om uit te lekken. Gereguleerde cryptocurrency-uitwisselingen - over het algemeen die in de VS of Europa - moeten de ken-uw-klant- en antiwitwasregels volgen, die vereisen dat mensen identificatie overhandigen voordat ze hun diensten gebruiken. Sommige mensen zijn zelfs zo onvoorzichtig om hun zogenaamd privé Bitcoin-adressen op online forums te plaatsen. Wat mensen vergeten, is dat de blockchain slechts de helft van de vergelijking is, zegt Knottenbelt.
Chainalysis en Elliptic gebruiken nu machine learning om adressen te clusteren. Binnenkort is het misschien zelfs mogelijk voor een AI om blockchains in realtime te controleren.
De datavisualisatie op muurformaat bij Imperial College is een stap in die richting. De blauwgele kluwen die de aandacht van Knottenbelt trok, was een netwerk voor het tuimelen van munten, een reeks transacties die opzettelijk was ontworpen om het moeilijker te maken om individuele munten te volgen. Het is alsof je geld in een pot laat vallen, het heen en weer schudt en het er dan weer uithaalt: het bedrag verandert niet, maar het is moeilijk te zeggen welke munt het was. Het effect is vrijwel hetzelfde als wanneer u geld overmaakt via een bank op een plaats als de Kaaimaneilanden, waar strikte geheimhoudingswetten gelden rond bankieren.
Een stap voor blijven
Tumblers zijn echter niet per se een teken van criminele activiteiten. Sommige mensen doen het gewoon om privacyredenen, zegt Knottenbelt. En in ieder geval zijn er betere manieren voor criminelen om hun sporen uit te wissen. Naarmate de grenzen aan de privacy van Bitcoin duidelijker worden, stappen mensen over op nieuwe cryptocurrencies, zoals Zcash en Monero, die bijna niets onthullen over de transacties die op hun blockchains zijn vastgelegd.
Zcash gebruikt een zogenaamd zero-knowledge proof om transacties te verifiëren. Dit is een wiskundige manier om te bevestigen dat een transactie heeft plaatsgevonden zonder enige informatie te onthullen over wie erbij betrokken was of hoeveel er is overgemaakt. Met Zcash kun je ook munten teruggeven en nieuwe laten delven, het equivalent van het inruilen van je gemarkeerde biljetten voor schone bij de bank.
Verwant verhaal
Verwant verhaal De officiële beperkingen van afgelopen september hebben een golf van innovatie onder de radar losgelaten.Ondertussen is Monero in feite een groot tuimelend netwerk. Wanneer u munten wilt overboeken, wordt uw adres vermengd met een heleboel anderen, zodat niemand kan zien aan wie het geld heeft uitgegeven.
Zcash en Monero tillen privacy zeker naar een hoger niveau. Maar dat betekent niet dat ze nooit hun geheimen zullen prijsgeven. Meiklejohn wijst erop dat slordig gebruikersgedrag, zoals het plaatsen van je privéadres op fora, weer duidelijke sporen zal achterlaten, net als bij Bitcoin.
Bovendien geeft Monero gebruikers de mogelijkheid om transacties uit te voeren zonder verduisterende munten. Dit verwijdert de privacy voor die specifieke transactie en voegt een manier toe voor onderzoekers om, door middel van een eliminatieproces, alle mixers die vervolgens die munten bevatten, te ontwarren. Malte Möser van Princeton University en collega's schatten dat 62 procent van de input voor Monero-transacties kwetsbaar is voor deze analyse. Wanneer gebruikers van Zcash en Monero aanwijzingen beginnen te bloeden, zullen Meiklejohn en Möser klaar zijn.
Misschien is het grootste probleem voor wetshandhaving echter het grote aantal niet-gereguleerde uitwisselingen, waar criminelen de sporen van hun diefstal kunnen wissen door de gestolen cryptocurrency wit te wassen in andere vormen van rijkdom. Veel exchanges tarten de regelgeving uit principe: bijvoorbeeld BTC-e en de conversieservice Shapeshift verkopen zichzelf op de belofte om geen identificatie van hun gebruikers te vragen. Shapeshift-oprichter Erik Voorhees is vooral uitgesproken over de politieke implicaties van regulering.
Beveiligings- en cryptocurrency-onderzoeker Ross Anderson van de Universiteit van Cambridge, VK, stelt dat deze uitwisselingen deels gedijen omdat wetten niet effectief zijn. Het probleem met witwassen in het algemeen is dat niemand wil dat het goed wordt gedaan, zegt hij. Als je een stadsbank bent, wil je niet weten dat John Gotti een klant is, en dus zouden banken nooit een wet tolereren die zegt dat wie de maffia bankiert, naar de gevangenis gaat. Als de wereld zo werkt, waarom zouden crypto-uitwisselingen dan anders zijn?
Banken en financiële bedrijven experimenteren met het gebruik van cryptocurrency om soepelere betalingssystemen te creëren. Maar de technologie ondersteunt ook een nieuwe generatie illegale activiteiten en biedt nieuwe manieren om te stelen, chanteren, fraude te plegen en internationale sancties te overtreden.
Andersons cynisme over de bereidheid van de autoriteiten om op te treden, heeft hem ertoe gebracht een plan te formuleren om het cryptocrime-systeem zelf neer te halen. Hij creëert wat hij een taintchain noemt: een openbare lijst van bitcoins met duidelijke links naar criminele activiteiten. Wat ik ga doen is een lijst publiceren van alle gestolen Bitcoin en de software die je nodig hebt om het te genereren, zodat iedereen het zelf kan controleren, zegt hij. Exchanges zouden dan twee keer nadenken over het omgaan met gestolen munten.
Zelfs als de regelgeving strenger zou zijn, is het echter niet duidelijk of dit een verschil zou maken. Ik denk niet dat het iemand zal helpen om iets te verbieden, zegt Knottenbelt. De technologie ondergronds aansturen, zo stelt hij, betekent simpelweg dat transacties worden verborgen in plaats van openlijk op internet te worden uitgezonden, waardoor het voor onderzoekers als Meiklejohn nog moeilijker wordt om de geldstromen te analyseren en de dieven te vinden.
Verrassend genoeg blijkt Meiklejohn zich zelf niet al te veel zorgen te maken over regulering – of het gebrek daaraan. Als je het probleem eenmaal hebt geïsoleerd van slechte beurzen die buiten de typische rechtsgebieden opereren, dan heb je een beetje gewonnen, zegt ze. Neem BTC-e, een in Rusland gevestigde beurs waarvan bekend was dat ze veel crimineel geld had gestolen. Veel ransomware-operators leken bijna uitsluitend BTC-e te gebruiken. Het was ook waar de ontbrekende fondsen van de berg Gox voor het laatst werden gezien voordat het spoor verdween.
Maar in juli 2017 werd het gesloten. De Amerikaanse autoriteiten arresteerden personeel en namen computers in beslag in een van de datacenters van de uitwisseling, en Alexander Vinnik, de vermoedelijke operator, werd gearresteerd. Ze zouden duidelijk niet reageren op dagvaardingen, zegt Meiklejohn. Aan de andere kant weet de politie hier wel raad mee.
Meiklejohn ziet haar werk als het distilleren van cryptocriminaliteit tot het soort misdaad dat bekend is bij wetshandhavers. Gewapend met aanwijzingen van Elliptic en anderen, zal goed ouderwets politiewerk dan doen waar het goed in is.
De grootste cyberroof in de geschiedenis
Vooralsnog zijn de cybercriminelen echter nog een stap voor. Hoewel onderzoekers nu diefstal van cryptocurrency op blockchain-netwerken bijna in realtime kunnen zien gebeuren, kunnen ze ze niet snel genoeg met de echte wereld verbinden om zelfs monumentale capriolen te stoppen.
De grootste cyberroof in de geschiedenis vond dit jaar plaats om 3 uur Japanse tijd op een ochtend in januari. Iemand, of waarschijnlijker iemand, is er vandoor gegaan met meer dan een half miljard dollar aan een digitale valuta genaamd NEM van de in Tokio gevestigde cryptocurrency-uitwisseling Coincheck. Niemand op de beurs sloeg alarm tot lunchtijd, en de daders hadden een voorsprong van acht uur.
Toen het nieuws uiteindelijk NEM Foundation vice-president Jeff McDonald in Tulsa, Oklahoma bereikte, ging hij regelrecht naar de keten. Het geld was afkomstig van een softwareportemonnee die was verbonden met internet - een onveilige opslagkluis die Coincheck naar eigen zeggen alleen gebruikte vanwege een fout elders in zijn systeem. Het is eigenlijk alsof je je ATM-kaart laat liggen met de pincode erop, zegt Alexandra Tinsman, de communicatiedirecteur van de NEM Foundation. Alle 523 miljoen gestolen munten werden eerst via één account gesluisd voordat ze onder verschillende andere werden verdeeld.
Om te voorkomen dat de dieven hun buit verzilveren in een fiat-valuta, haastte het NEM-team zich om de gestolen munten te markeren en de wissels op scherp te zetten. De dag na de hack had het NEM-team de adressen geïdentificeerd en gepubliceerd van 11 rekeningen waar geld was terechtgekomen. Elk was gelabeld met een tag met de tekst coincheck_stolen_funds_do_not_accept_trades: owner_of_this_account_is_hacker. Maar omdat ze niet wisten van wie de accounts waren, kon het NEM-team niet veel meer doen dan proberen de uitgangen te blokkeren.
Een wachtspel volgde. In eerste instantie niet in staat om de gestolen munten uit het NEM-netwerk te verzilveren, verplaatsten de dieven ze eromheen. Deze bewegingen waren allemaal zichtbaar op de openbare blockchain. Het NEM-team volgde de munten naar Canada en keek toen toe hoe sommigen van hen terugkeerden naar Japan. Maar hoewel NEM zijn ogen nooit van de gemarkeerde bankbiljetten afwendde, kwamen de dieven toch weg. Uiteindelijk konden ze een niet-gereguleerde uitwisseling bereiken en minstens de helft van de gestolen munten uitbetalen. In maart maakte het NEM-team bekend de achtervolging op te geven.
Geprikkeld door de massale diefstal, kondigde Coincheck aan dat het niet langer zou handelen in Zcash, Monero of Dash, een andere anonieme valuta. Het is een van de eerste beurzen die die munten afsnijdt.
De zet van Coincheck maakt deel uit van een grotere inspanning om wet en orde naar deze nieuwe geldgrens te brengen. De Amerikaanse regering speelt met het idee om een zwarte lijst te maken van cryptocurrency-adressen die worden geassocieerd met criminele groepen, zoals terroristen, drugshandelaren en sanctiebrekers. Een mogelijkheid is dat het illegaal wordt om met adressen op de zwarte lijst om te gaan.
De NEM-dieven zijn voorlopig ontsnapt. Maar toekomstige technologie kan ze nog in de val lokken. Naarmate de forensische technieken en hulpmiddelen beter worden, zal eerder over het hoofd gezien bewijs aan het licht komen, zoals DNA-sporen op een plaats delict van een jaar oud. Elke keer dat de autoriteiten een Silk Road of BTC-e afsluiten, geeft dat een signaal af, zegt Jeffrey Robinson: ze zullen de rest één voor één pakken.
Douglas Heaven is een freelance schrijver gevestigd in Londen.
