Це вторгнення в будинок із криптовалютою на $4,3 млн показує, як один витік даних може поставити під загрозу гаманець — і безпеку — будь-кого

Сценарій був досить простим, щоб спрацювати один раз: переодягнутися у кур'єрів, постукати у двері, увірватися зі зброєю та змусити віддати приватні ключі під загрозою.

У червні 2024 року троє чоловіків реалізували цей план за домашньою адресою у Великій Британії та пішли з криптовалютою на суму понад $4,3 мільйона.

Через п’ять місяців суд Шеффілд Краун засудив Фаріса Алі та двох спільників після того, як поліція Метрополітен повернула майже всю здобич.

Ця справа, задокументована блокчейн-дослідником ZachXBT, тепер є відправною точкою для питання, якого індустрія уникала: якою має бути операційна безпека, якщо ваш статок зберігається у браузерному розширенні, а домашня адреса є публічною?

Пограбування відбулося у вузькому проміжку між витоком даних і усвідомленням жертви.

Журнали чатів, отримані ZachXBT, показують, як злочинці обговорювали свій підхід за кілька годин до нападу, ділилися фотографіями будівлі жертви, підтверджували, що знаходяться біля дверей, і координували свою легенду.

На одному зображенні всі троє були одягнені у форму кур'єрів. За кілька хвилин вони постукали. Жертва, очікуючи посилку, відчинила двері.

Далі відбувся примусовий переказ на дві адреси Ethereum, здійснений під тиском і у присутності вогнепальної зброї. Більшість викраденої криптовалюти залишалася нерухомою на цих гаманцях, поки не втрутилися правоохоронці.

ZachXBT реконструював операцію за допомогою ончейн-форензіки та злитих розмов у Telegram.

Журнали чатів виявили планування операції та попередню судимість: за кілька тижнів до пограбування Фаріс Алі опублікував у Telegram фотографію своїх документів про звільнення під заставу, розкривши своє повне ім'я.

Після крадіжки невідома особа зареєструвала ENS-домен farisali.eth і надіслала ончейн-повідомлення — публічне звинувачення, закріплене у леджері Ethereum.

ZachXBT поділився своїми висновками з жертвою, яка передала їх владі. 10 жовтня 2024 року ZachXBT опублікував повне розслідування, а 18 листопада суд Шеффілд Краун виніс вироки.

Ця справа вписується у ширшу тенденцію, на яку звернув увагу ZachXBT: сплеск домашніх пограбувань, спрямованих на власників криптовалюти у Західній Європі за останні місяці, з вищими темпами, ніж в інших регіонах.

Вектори різні: SIM-обміни, що розкривають фрази відновлення, фішингові атаки, які відкривають баланси гаманців, та соціальна інженерія, що пов'язує активи з фізичними адресами, але кінцева мета однакова.

Як тільки нападник переконується, що ціль володіє значною сумою і може знайти її місце проживання, розрахунок схиляється на користь фізичного примусу.

Що експлуатує тактика "кур'єра"

Маскування під кур'єра працює, бо експлуатує довіру до логістичної інфраструктури. Відчинити двері кур'єру — це звична поведінка, а не провал у безпеці.

Злочинці розуміли, що найскладніше у домашньому пограбуванні — потрапити всередину, не викликавши тривоги чи втечі.

Форма та посилка дають правдоподібну причину підійти і чекати на порозі. Коли двері відчиняються, фактор несподіванки вже діє.

Ця тактика погано масштабується, бо вимагає фізичної присутності, залишає сліди для експертизи та провалюється, якщо жертва не відчиняє двері, але вона обходить усі рівні цифрової безпеки.

Мультипідписні гаманці, апаратні пристрої та холодне зберігання нічого не варті, якщо нападник може змусити вас підписати транзакцію у реальному часі.

Слабка ланка — не криптографія, а людина, яка володіє ключами і живе за фіксованою адресою, яку можна знайти через витік даних або пошук у публічних реєстрах.

Розслідування ZachXBT вивело атаку на "криптовалютний витік даних" — злив, який дав злочинцям доступ до інформації, що пов'язує активи гаманця з фізичною адресою.

Точне джерело не вказано, але форензична хронологія свідчить, що нападники знали і адресу, і приблизний баланс цілі до приходу.

Податок на opsec і що змінюється

Якщо ця справа стане шаблоном, власникам великих криптоактивів доведеться переосмислити практики зберігання і розкриття інформації.

Негайний урок — оборонний: розділяйте активи, видаляйте особисту інформацію з публічних баз, уникайте обговорення балансів гаманців у соцмережах і сприймайте будь-який неочікуваний візит як потенційну загрозу.

Але ці заходи накладають податок на зручність, прозорість і можливість брати участь у публічному криптодискурсі, не ставши мішенню.

Довгострокове питання — чи втрутиться страховий ринок. Традиційні кастодіальні провайдери пропонують страхування відповідальності та гарантії фізичної безпеки, але самостійне зберігання — ні, і це один із небагатьох його недоліків.

Якщо домашні пограбування стануть передбачуваним вектором атаки, очікуйте попиту на продукти, які або передають зберігання застрахованим третім сторонам, або надають приватну охорону для осіб із активами понад певний поріг.

Жодне з рішень не є дешевим, і обидва віддають суверенітет, яку має гарантувати самостійне зберігання.

Витоки даних — це ризик на upstream. Централізовані біржі, аналітичні блокчейн-фірми, платформи для податкової звітності та Web3-сервіси з KYC зберігають записи, що пов'язують особи з активами.

Коли ці бази даних зливаються, а це трапляється регулярно, вони створюють список покупок для злочинців, які можуть зіставити баланси гаманців із публічними адресами.

Порада ZachXBT "відстежувати свою особисту інформацію, коли вона потрапляє у відкритий доступ" є слушною, але передбачає, що жертви мають інструменти й пильність для моніторингу витоків у реальному часі. Більшість цього не мають.

Інше обмеження — спроможність правоохоронців. Розслідування ZachXBT було ключовим у цій справі, але він приватна особа, що працює pro bono.

Правоохоронні органи у більшості юрисдикцій не мають ончейн-форензічної спроможності для відстеження викраденої криптовалюти без сторонньої допомоги. Поліція Метрополітен досягла успіху тут частково тому, що їм передали вже готову слідчу роботу.

Що поставлено на карту

Ширше питання, яке піднімає ця справа — чи може самостійне зберігання залишатися типовою рекомендацією для тих, хто володіє значними активами.

Криптоіндустрія десять років стверджувала, що люди повинні контролювати свої ключі і що суверенітет над активами вартий операційного тягаря.

Цей аргумент діє, коли модель загрози — банкрутство біржі чи конфіскація державою. Він слабшає, коли загроза — людина у формі кур'єра зі зброєю і списком адрес із злитої бази.

Якщо власники великих активів вирішать, що самостійне зберігання піддає їх неприйнятному фізичному ризику, вони переведуть активи на застраховані інституційні платформи, і індустрія обміняє децентралізацію на безпеку.

Якщо вони залишаться на самостійній опіці, але вкладуть значні кошти у приватність і безпеку, крипто стане субкультурою для параноїків і забезпечених.

Вироки суду Шеффілд Краун закривають одну главу. Нападники під вартою, жертва повернула свої кошти, а ZachXBT має ще один кейс у своєму архіві криптозлочинів.

Але системна вразливість залишається: доки великі суми можна вилучити під дулом пістолета менш ніж за годину, і доки витоки даних продовжують пов'язувати баланси гаманців із домашніми адресами, жодне криптографічне посилення не захистить людей, які володіють ключами.

Публікація This $4.3M crypto home invasion shows how a single data leak can put anyone’s wallet — and safety — at risk вперше з’явилася на CryptoSlate.