美国执法机构对 2016 年 Bitfinex 黑客事件的详细分析

小灯冲冲

Bitfinex 黑客 Ilya Lichtenstein 和 Heather Morgan 被控洗钱和诈骗美国 ZF。没有因为黑客攻击本身而被起诉。美国采埃孚最初要求 1 亿美元的保释金，最终通过谈判为 Lichtenstein 提供 500 万美元，为摩根提供 300 万美元。没收所有电脑和手机，并发放翻盖手机和监控上网设备，方便与律师联系。 Lichtenstein 在云驱动器上存储了一个电子表格，其中包含 2,000 多个不同的地址及其相应的种子密码。 （顺便说一句，这种存放方式极不推荐，而且很容易丢币。）洗钱的最高刑期是20年，涉嫌洗钱的罚款不超过钱的2倍。欺骗美国 ZF 罪的最高刑期为 5 年和/或罚款。从这个角度来看，罚款结束后，可能没有任何剩余的钱可以退还给Bitfinex。

慢雾：美国执法部门破获对 2016 年 Bitfinex 黑客事件的详细分析

当地时间周二（2 月 8 日），美国司法部 (DOJ) 宣布，与 2016 年加密货币交易所 Bitfinex 遭到黑客攻击有关，查获了价值 36 亿美元的比特币。 34 岁的 Ilya Lichtenstein 和他 31 岁的妻子 Heather Morgan 在纽约被捕，罪名是串谋洗钱和诈骗。

美国司法部宣布，这是司法部历史上最大的金融扣押。调查由 IRS-CI 华盛顿特区分部的网络犯罪部门和国土安全调查 (HSI) 纽约办事处进行，德国安斯巴赫警察局在调查期间提供协助。

活动背景

根据慢雾AML掌握的情报数据分析，Bitfinex在2016年8月遭遇网络攻击，2072笔比特币交易未经Bitfinex授权转出，资金分散存放在2072个钱包地址。统计显示，Bitfinex 总共损失了 119,754.8121 BTC。它在事件发生时价值约 6000 万美元，按今天的价格计算约为 45 亿美元。

SlowMist AML 于 2 月 1 日检测到从 Bitfinex 被盗的大量资金，后来证实该资金为 94,643.2984 被司法部扣押的 BTC，约占 79被盗总量的 %，目前保存在美国政府的钱包地址中

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt。

事件排序

SlowMist AML 根据美国司法部公布的statement_of_facts.pdf 梳理出案情重点，具体分享如下：

1、美国执法部门通过控制 Lichtenstein 的云盘账户，获得了一份包含 2000 多个钱包地址和对应私钥的文件。这个文件中的地址应该是上述2072黑客的钱包地址，美国司法部才有能力没收比特币并将其集中转移到

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt。

2、自2017年1月起，被盗资金转移将被盗资金不断拆分、分散，进而进入7个独立的AlphaBay（暗网交易市场，2017年7月被执法部门查封并关闭） ) 平台账户混币，使得 BTC 无法被轻易追踪。从结果来看，与 AlphaBay 混合的比特币数量约为 25,000 BTC。

3、混币后，大部分资金转到exchange-1注册的8个账户（VCE1），这些账户的邮箱都是同一个邮箱服务商另外，这8个账号使用了同一个登录IP，而且都是在2016年8月左右注册的。更要命的是，在列支敦士登的云盘里有一份Excel表格记录了这8个账号的各种信息，还有6个其中也被标记为FROZEN（冻结），美国司法部统计发现，Exchange-1（VCE中的8个1）一共1个8.$60,000的资产被冻结在每个账户中。

4、混币后，部分资金转入交易所-2（VCE2）和美国交易所（VCE4），这两个交易所注册的部分账户）使用上面提到的印度邮箱服务商，这个信息也是在文中提到的列支敦士登云盘的Excel表格中找到的，列支敦士登人通过VCE 2和VCE 4成功将Bitfinex盗取的BTC换成法币收到了。但是他们在VCE 4上有2个。一个用俄罗斯邮箱注册的账户，因为频繁充值XMR（门罗币）被平台屏蔽，资金来源无法解释。美国司法部统计发现，该账户被冻结了价值约15.50,000美元的资产。

5、账户被冻结前，从交易所提现的资金-1（VCE1），很大一部分去了另一家美国交易所（VCE5）。Bitfinex之前2015年1月13日被盗，Lichtenstein用真实身份和私人邮箱在VCE 5交易所注册账户并进行KYC认证（实名认证），在VCE 5交易所，Lichtenstein用BTC和平台商户购买黄金，并将其送到他的真实家庭地址。

6、除了前面提到的用于洗钱的VCE 1、VCE 2、VCE 4、VCE 5个交易所，列支敦士登还注册了VCE 7、@ >VCE 8、VCE 9、VCE 10 和其他交易所（所有代号）用于洗钱。资金主要从 VCE 1 收回，但在 VCE 7 - 10 等交易所注册的账户均通过 Lichtensteins 及其公司（Endpass, Inc 和 SalesFolk LLC）的真实身份进行 KYC 验证。美国司法部统计发现，从 2017 年 3 月到 2021 年 10 月，列支敦士登家族在 VCE 7 上的三个账户共收到了约 290 万美元的比特币资金。在这些交易所，Lichtenstein 通过买卖山寨币（非主流币）、NFT 等进一步洗钱，并通过比特币 ATM 机套现。

洗钱链接

可疑事件点

自2016年8月Bitfinex被盗以来，到现在大约6年时间，我们不知道那段时间美国执法部门的调查有多深。从公布的statement_of_facts.pdf文件内容可以发现，大量的洗钱账号和明细都存储在列支敦士登的云盘中，相当于一个完美的“账本”，为执法机构提供了强有力的支持确定犯罪事实。

但回顾大局，执法部门是如何将 Lichtenstein 确定为嫌疑人的？

另一个细节是，美国司法部没有指控 Lichtensteins 涉嫌非法攻击 Bitfinex 并窃取资金。

最后一个问题是，在 2016 年 8 月 Bitfinex 黑客攻击和 2017 年 1 月被盗资金开始转移之间的 5 个月内发生了什么？真正攻击 Bitfinex 的黑客是谁？

参考资料：

[签名] 22-mj-22 - 事实陈述.pdf

慢雾技术

微信

慢雾

功能介绍

慢雾科技是一家专注于区块链生态安全的公司。成立于2018年初，总部位于厦门。 “威胁发现到威胁防御因地制宜的综合安全解决方案”已服务于全球多个领先或知名项目，拥有数千家商业客户，客户分布在十几个主要国家和地区

Bitfinex120,000 在比特币盗窃案被揭露之前，黑客的身份不太可能被揭露。

吴说作者 |吴小林

本期编辑 |吴小林

吴说，据悉，北京时间2月9日凌晨，美国司法部披露，2月8日上午，有两人因涉嫌串谋洗钱加密货币在曼哈顿被捕。 2016 年卖给了虚拟货币交易所 Bitfinex。在一次黑客攻击中被盗，目前价值约 45 亿美元。被捕的 34 岁的伊利亚·利希滕斯坦 (Ilya Lichtenstein) 和 31 岁的妻子希瑟·摩根 (Heather Morgan) 都住在纽约市。 Lichtenstein 和 Morgan 被控串谋洗钱，最高可判处 20 年监禁，以及串谋诈骗美国政府，最高可判处 5 年监禁。但他们（奇怪地）没有被指控黑客攻击。至少从 11 月起，在他们的一名服务提供商收到传票后，被告就“知道”了调查，但在被捕前没有逃跑。两人目前分别获得 500 万美元和 300 万美元的保释金。

2016 年，有 119,756 个比特币从 Bitfinex 用户账户中被盗，成为仅次于 Mr Gox 的第二大比特币盗窃案。受此影响，比特币当天暴跌 23%。在 2016 年盗窃之后，该交易所向所有受影响的用户提供了 BFX 代币。每个代币代表 1 美元的损失。这些 BFX 在 Bitfinex 上开始交易低于 0.20 美元，并逐渐升值至近 1 美元。每月赎回从 2016 年 9 月 1 日开始，最后一次 BFX 于 2017 年 4 月初赎回。超过 5200 万 BFX 以 1:1 的比例转换为 iFinex Inc. 股票。当时市场传言人人赵东成为Bitfinex的小股东。

在入侵 Bitfinex 的系统并发起 2,000 多笔未经授权的交易后，Lichtenstein 和 Morgan 合谋清洗从 Bitfinex 平台被盗的 119,754 比特币的收益。这些未经授权的交易将被盗的比特币发送到 Lichtenstein 控制下的数字钱包。在过去五年中，大约 25,000 个被盗比特币通过复杂的洗钱过程从 Lichtenstein 的钱包中转移比特币被用来洗钱，其中一些被盗资金存入了 Lichtenstein 和 Morgan 控制的金融账户。其余被盗资金，包括超过 94,000 个比特币，仍留在用于接收和存储黑客非法收益的钱包中。在对 Lichtenstein 和 Morgan 控制的在线账户执行法院授权的搜查令后，特工可以访问 Lichtenstein 控制的在线账户中的文件。这些文件包含访问直接接收从 Bitfinex 窃取的资金的数字钱包所需的私钥，并允许代理人合法地没收和追回从 Bitfinex 窃取的 94,000 多个比特币。在扣押时，追回的比特币价值超过 36 亿美元。 （截至 2 月 1 日，据 Whale Alert 报道，2016 年 Bitfinex 盗窃案中被盗资金 64,633 BTC 被转移到一个不明钱包，疑似是美国司法部继续转移资金）

刑事诉讼称，Lichtenstein 和 Morgan 使用了许多复杂的洗钱技术，包括使用虚拟身份建立在线账户；使用计算机程序使交易自动化，这是一种允许在短时间内进行许多交易的洗钱技术；将被盗资金存入各种虚拟货币交易所和暗网市场的各种账户，然后提取资金，通过扰乱资金流动来混淆交易历史的痕迹；将比特币转换为其他形式的虚拟货币，包括增强匿名性的虚拟货币（AEC）；使用在美国的企业帐户使其银行活动合法化。

CoinDesk 的调查和法庭辩论透露了更多关于两人的个人信息：Lichtenstein 出生于俄罗斯，6 岁来到美国，持有俄罗斯护照，是著名的硅谷加速器计划 Y 的成员组合器。校友;凭借初始资金，他与人共同创立了一家名为 MixRank 的数据和广告技术初创公司，该公司获得了 Mark Cuban 和其他人的资助。有时，Lichtenstein 在 Twitter 上警告人们黑客的威胁。

他的妻子 Morgan 是一位年轻的营销企业家和说唱歌手，在商业杂志上有许多署名，毕业于加州大学戴维斯分校，在马萨诸塞州开罗的美国大学学习国际经济发展，并在安卡拉的比尔肯特大学学习土耳其货币政策. 23 岁时，她创办了一家名为 SalesFolk 的公司，该公司利用源源不断的撰稿人向希望在互联网上推销其商品的公司发送电子邮件。

图片

Bitfinex 在一份声明中表示，我们很高兴美国司法部今天宣布，它已经追回了 2016 年 8 月安全漏洞期间被盗的大部分比特币。自 DOJ 开始调查以来比特币被用来洗钱，我们与它进行了广泛的合作，并将继续这样做。 Bitfinex 将与 DOJ 合作，并遵循适当的法律程序来确立我们归还被盗比特币的权利。如果 Bitfinex 收到被盗的比特币，如 LEO 白皮书所述，Bitfinex 将在收到追回款之日起 18 个月内使用相当于追回净资金的 80% 的金额回购并销毁 LEO。 （此前Bitfinex为了弥补被盗资金缺口，发行平台Token LEO，2月9日消息传出LEO价格暴涨。）业内人士指出，Bitfinex作为老牌传统的支持者比特币在市场上，一些市场参与者收到比特币后害怕的粉碎效应几乎是不可能的。 Bitfinex 还与萨尔瓦多合作发行比特币债券。

2020年Bitfinex曾表示，将Bitfinex与黑客联系起来的人将获得追回财产总额的5%，而黑客（如果财产被归还）将获得追回财产总市值的25%。社区开玩笑说，如果黑客早点接受这种妥协会更好；有人说要不要把30%的比特币还给美国司法部。

（由于公众号推送逻辑调整，老读者请给吴硕公众号加个星，以免收不到。加星方法：如何为公众号）

根据央行等部门发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》，本文内容仅供信息共享，不宣传或背书任何业务和投资行为。请读者严格遵守所在地区的法律。不参与任何非法金融活动。吴说，内容未经允许不得转载、复制，违者将追究法律责任。

吴硕真实

微信

无硕科技

功能介绍

吴硕区块链公众号，作者为中国新闻奖资深记者，为您提供关于加密行业、挖矿、监管的独家可靠信息和观点。