Herkese selamlar.. Söz verdiğim gibi Twitter’ı bıraksam da, kripto gündeminden önemli başlıkları (daha doğrusu benim önemli gördüğüm) kendi web-sitem üzerinden yayınlamaya ve incelemeye özen göstereceğim.
Tobby Kitty – Twitter’ı bırakan bir kedi.
ABD Adalet Bakanlığı, kripto para borsası Bitfinex’in 2016’da hacklenmesi sırasında çalınan günümüzde değeri yaklaşık 4.5 milyar dolar olan Bitcoin’in ele geçirildiğini ve 2 kişinin tutuklandığını duyurdu. Bu iki kişiden birinin Türk asıllı olması bizim Türk Kriptosunda baya ilgi ve merak uyandırdı..
Her neyse, habere buradan ulaşabilirsiniz: CNBC Haberi
Ben Tobby Kitty olarak bu kişiler gerçekten çalmış mıdır, arkasında başka birileri mi var, nedir ne değildir vs. ilgilenmiyorum. Magazini de sevmiyorum. Sadece bu olaydan birkaç ders çıkarmak için ve Hack süreci değil de, bu kişilerin yakalanmasına sebep olan ipuçlarına odaklandım. Gizlilik coinlerine olan merakımı da biliyorsunuz. Yazıma aşağıdan ulaşabilirsiniz:
Yazıya başlamadan Christopher Janczewski adlı ABD’li siber suçlarla ilgilenen özel ajanının raporunu okuduğumu ve yapılan tüm adımları buradan öğrendiğimi söylemek isterim. Rapor için tıklayın.
2016 Ağustos ayında Bitfinex hackleniyor. Hacker borsa içi 2000’den fazla transfer yaparak (Bitfinex müşterilerinin bireysel hesapları) 119,754 adet Bitcoin’i borsadan dışarı çıkarıyor. Borsadan dışarıya çıkarıp gönderdiği cüzdan adresi: “1CGA4s” ile başlıyor. Daha sonra bu Bitcoinleri çeşitli yerlere göndererek “yıkamaya” başlıyor. Hatta birkaç transferini (sadece çok az bir kısmını) şu GIF ile özetleyebiliriz.
Hacker çok farklı metotlar denese de özellikle çaldığı Bitcoinleri Wasabi Wallet üzerinden yıkamayı denemiş. Nasıl olduğunu yukarıdaki yazımda CoinJoin sistematiği ile yapıldığını anlatmıştım. Bu yazıda adamın nasıl ve neden yakalandığını anlatacağım. Bu kısmı geçelim..
ABD Siber Suçlar ile mücadele bürosu, 2016 Ağustos’ta çalınan bu Bitcoinleri 2017 Ocak’ta izlemeye başlıyor. (Hacker Bitcoinlerin bir kısmını ilk defa 2017 Ocak’ta cüzdanından dışarı oynatmış.) Daha sonra bu transferleri izleyerek, ILYA “DUTCH” LICHTENSTEIN ve karısı HEATHER MORGAN ile ilişkilendiriyor. 31 Ocak 2022’de bu adamın bulut depolama sisteminde hack olayına karışan Bitcoinlerin tutulduğu cüzdanlara ait private keyleri buluyor. 1CGA4 ile başlayan cüzdanda 94,636 BTC var günümüzde 3.6 milyar Dolar’a tekabül ediyor ve bu miktar şu an ABD’nin elinde. The End.
Peki nasıl yakalandılar?
Biliyorsunuz, Bitcoin transferleri son derece şeffaftır ve herkes tarafından görülebilir. Eğer yaptığınız bir Bitcoin transferi kimliğinizi ifşa eden bir yer ile ilişkilendirilirse Örn: KYC yaptığınız bir borsaya para gönderirseniz artık kimliğiniz deşifredir. Siber Suçlar ile mücadele eden bu ekip Hacker’ın bu Bitcoinleri kimliğini ifşa edebileceği yere kadar izlemeye çalışmış ve adamlara ulaşmış. Şimdi bu çalınan Bitcoinlerin macerasına bakalım.
Hacker 1CGA4 ile başlayan cüzdanında 119,754 adet Bitcoin bulundururken, bunun bir kısmını “AlphaBay Market” adı verilen “DeepWeb”te aktif olan bir sanal markete göndermiş (Sanırım uyuşturucu madde vs. satılan bir yer burası). Burada Bitcoinleri AlphaBay üzerindeki Bitcoin cüzdanlarında tutmuş (Tonlarca hesap ve cüzdan açmış diyebiliriz).
Daha sonra AlphaBay cüzdanlarında duran çalıntı Bitcoinleri çeşitli yollar ile hem Monero yaparak hem de Bitcoin olarak (Muhtemelen Moneroları ya AlphaBay üzerinde Monero yaptı, ya da daha farklı yolları var, çok da önemli değil) Monero’ları ve Bitcoinleri bir borsaya gönderiyor (Bitcoinleri Mixer ile karıştırıyor).
KYC yapılmayan bir borsa ve Hindistan uzantılı e-mail adresleri ile kayıt olunmuş (Görselde çeşitli hareketler mevcut VCE1 dediği Virtual Currency Exchange yani kripto para borsası 1 ise hacker’ın kullandığı ilk borsa, adam 10 üzerinde borsa ile para yıkamış).
Daha sonra VCE1 denilen bu borsa farklı hesaplara gelen bu “Hintli” adamdan KYC istemiş (Muhtemelen periyodik olarak borsaya Monero ve Bitcoin atıyordu, Moneroları Bitcoin yapıyordu ve çekiyordu. Borsa da bu hareketleri doğal olarak şüpheli buluyor). İstediği tarih Şubat-Mart 2017 (1 Bitcoin 1-2k Dolar civarında) tabii ki hacker bu isteklere cevapsız kalınca 2017 Nisan’da borsadaki 186.000 Dolarlık Bitcoin (180-200 Bitcoin) dondurulmuş.
Akıllara VCE1 adı verilen borsada oluşturulan bir çok hesabın nasıl aynı kişiye ait olduğunun anlaşılacağı sorusu gelebilir, VCE1 adlı borsada oluşturulan bu hesaplar hem yakın tarihlerde oluşturulmuş, hem hepsi Hint e-mail adresi ile açılmış, IP adresleri aynıymış, hem de KYC yapılma isteğine hiçbiri yanıt vermemiş.
Siber suçlarla mücadele ekipleri hacker’ın bulut depolamasında tuttuğu notlarında bu hesaplar için “DONDURULDU” ifadesini bulmuşlar. Yani Hacker kendine hatırlatma koymuş.
Daha sonra Hacker AlphaBay üzerindeki Bitcoinlerin bir kısmını VCE2’ye (Bu da başka bir borsa) göndererek Dash yapmış. Bu Dash’leri de VCE4’e (Başka bir borsa daha) göndermiş.
Buraya kadar yine bir sorun yok. Adam yakalanmamış. VCE1 adlı borsa kimlik istiyor adam vermiyor, hesaplarını donduruyor. Ancak bu şüphe uyandırdıktan sonra daha sonra VCE1 adlı borsadan çıkan Bitcoinlerin izi sürülüyor. Adam bunları yine çeşitli Mixer’lerden geçirdikten sonra hatayı yapıyor. Bu Bitcoinlerden belli bir kısmını VCE5 (Başka bir borsa daha) gönderiyor ve bu borsada KYC yapılmış. Adam ehliyetini vs. bu borsaya kimlik doğrulaması için vermiş.
Aşağıdaki görselde mevcut hareketler çizilmiş. Ayrıca Hacker BTC PSP1 adlı bir yere (Payment Service Provider) Bitcoin gönderip, bu Bitcoinleri bozup fiziki altın almış. Bunu da ekleyelim. VCE3 diye bir borsa daha var. Buraya sadece Monero yollanmış, Bitcoin değil.
Tabii bununla kalmıyor. Ekstradan bir çok borsaya Bitcoin gönderilmiş. 2016-2022 boyunca 10’dan fazla borsaya gönderim yapılmış, bir çok coine çevrilmiş, NFT alınmış. Borsalardan birisi 2019 yılında Hacker’a Bitcoinlerin kaynağını sormuş, adam 2013’te madencilik yaptım demiş.
Yukarıdaki hareketler de bize gösteriyor ki, adam borsalar arası Bitcoin gönderimi de yapmış hatta VCE4 borsasına gönderdiği Monero’ları (20.000-30.000 XMR) Bitcoin yapıp, VCE7 ve VCE8 borsalarına “Endpass, Inc şirket fonları” olarak göndermiş. VCE4 borsası bu kadar çok Monero’yu şüpheli bulup kimlik sorunca elbette kimlik verememişler ve bu hesapları da daha sonra dondurulmuş.
Aslında buraya kadar bizim “Türk kızı” ortada yok. Ancak VCE7’ye gönderilen fonlar “SalesFolk” şirketi adı altında Heather Morgan’a ait. VCE4 borsasından çekilen Bitcoinlerin izi başka borsalarda da takip edildiğinde ikisine ait yerlerde harcandığı ortaya çıkıyor. Walmart – Uber- Hotelscom vs. gibi yerlerde çeşitli Bitcoinler bozdurularak harcanmış.
Sıkıldım özet geç diyenler için:
Aslında buraya kadar olan her şey takibe dayalı ve bu iki hırsızın yaptığı ufacık hataların sonucu olarak bulunuyor. Unutmayın olayın en başında ne kadar gizli olursanız olun, en ufak hatanız halinde geriye dönük her şey açığa çıkabiliyor. Bitcoinleri mükemmel gizlemiş olsalar da yaptıkları ufak hatalar neticesinde tüm hareketleri meydana çıkıyor. Bitcoin işte bu kadar şeffaf.
Tam olarak hata nerede?
Aslında bütün bu olaya baktığımızda yaptıkları hata Bitcoin Mixer’lerine fazla güvenmek. Dikkat ettiniz mi bilmiyorum ama adamlar spesifik olarak Bitcoinleri Mixerde yıkayıp borsalara atıyorlar. Ancak borsalar sadece fazla Bitcoin’i görüp şüpheleniyor ve hesaplarını kapatmak dışında hiçbir şey yapamıyorlar. Kimliğini verdiği borsalar bu şüpheli hareketleri siber güçlere raporluyorlar ve adım adım hareketler izleniyor ve mikserdeki hareketlerin ucu 2016’daki Hack’e bağlanıyor. Kısacası hackerlar Bitcoin Mixer’lerine çok güvenmişler ve kimliğini verdikleri borsalara gönderim yaparken bunu hesaba katmamışlar.
2016’dan 2022’ye kadar bu işi 6 sene yapabilmişler. Daha sonra işler sarpa sarmış.
Çıkarılması gerekenler, düşüncelerim, benim de takip ettiğim bazı şüpheli transferler.
Bütün bu hareketlerden öğrenilmesi gerekenler:
- Bitcoin Mixer’leri ciddi anonimlik sağlamıyor.
- Monero transferleri bulunamamış, Monero gizlilik konusunda hala sağlam.
- Borsaya verilen kimlik bilgileri çok önemli, bunlar kayıt altına alınıyor ve inceleniyor.
- Benzer IP adreslerinden borsalara kayıt oluşturmak borsaların radarına takılıyor.
- Hırsızlık kötüdür. 🙂
Şahsen ben Bitcoin Mixer’lerinin gizlilik konusunda fena olmadığını düşünüyordum, ancak sağlam bir takip ile yakalanabildiklerini öğrendim. Bu olay bana şunu öğretti, acaba Türkiye de ABD gibi bu işin üstüne düşse, THODEX vakasının sebebi olan şahıs yakalanır mı, bence yakalabilir.
Bildiğiniz üzere geçtiğimiz aylarda Twitch üzerinden “Bit Dolandırıcılığı” yapıldığını öğrenmiştik. Bu “Bit”ler üzerinden elde edilen gelirlerin dolandırıcılara “Litecoin” üzerinden yapıldığını öğrenmiştim. Kendi çapımda birkaç takip yaptım.
Litecoin’lerin tahminimce KYC yapılmayan bir Hint Borsasına gönderildiğini tespit ettim ve borsa ile görüştüm, ancak borsa bulduğum Litecoin cüzdanlarının kendilerine ait olmadığını söylediler. (Yalan mı doğru mu bilmiyorum) Ancak ben Tobby Kitty başıma bile bu kadar ilerlediysem hem Thodex, hem Twitch vakaları ciddi bir araştırma ile rahatlıkla bulunabilir.
Unutmayın, Bitcoin veya Ethereum gibi public ledger zincirler son derece şeffaftır. Bu zincirlerde gizlilik sağlamak meşakkatlidir, yapılabilecek en ufak hata tıpkı yukarıdaki örnekte olduğu gibi domino etkisi gösterir ve her şey açığa çıkar.
Darısı bizim TR’deki kripto hırsızlarına diyelim..
Sağlıcakla kalın.
Tobby Kitty.