导航菜单

朝鲜黑客虚拟货币洗钱案发 中国交易商缘何卷入|数字货币列传之十

朝鲜黑客如何从多家虚拟货币交易所盗窃虚拟货币,又如何经过多道洗钱之手兑换成法币直接入金?

近日,一份夺人眼球的起诉书登上了美国财政部的网站。

这份起诉书涉及多个关键词:价值约2.5亿美元虚拟货币被盗、朝鲜黑客、多家虚拟货币交易所和两名中国OTC交易商。

起诉书认为,从2018年到2019年中,一个名为“拉撒路组”(Lazarus Group)的朝鲜黑客的组织攻击了全球数家虚拟货币交易所,并通过繁杂的交易网络将资金转移。该组织也被谷歌、卡巴斯基、闪点等安全公司指为曾感染150多个国家超20万台计算机的WannaCry勒索病毒的幕后黑手。

与以往指控朝鲜参与盗窃比特币不同,此次起诉的特别之处在于,两名中国OTC交易商被指控参与其中帮助洗钱。但记者联系到了两位交易商,他们均表示对此毫不知情。

这一切是怎么发生的?

I .被盗的交易所

2018年末,美国国税局犯罪调查科网络犯罪组得知,一家交易所(交易所1)被黑客攻击,大量虚拟货币被盗,其中包含约1万枚比特币、近22万枚以太坊、近4000枚Zcash、将近1亿枚狗狗币、300万枚瑞波币、1万多枚莱特币和约17万枚以太坊经典,总价值约2.34亿美元。

2018年中,交易所1的一名雇员收到了一封“潜在客户”的邮件,来自一家美国密歇根州名为Celas LLC的公司。

这其实是一次“钓鱼行为”。Celas LLC是由朝鲜黑客建立的“莫须有”公司,只需花费20美元,就可以购买为期12个月带有该公司后缀的电邮服务。黑客购买了域名,搭建了网站,为了增加可信度,他们还建立了一名该公司员工Waliy Darwish的社交档案,包括推特、脸书、Ins和领英。他的推特账号链接了Celas LLC的网站,转发了数条币圈新闻,对自己开发的交易机器人的推广,甚至还有对约翰·列侬语录的感想。领英账号显示他2007年毕业于鹿特丹应用科技大学,2018年2月起在这家莫须有的Celas LLC公司担任商务人员。他的个人简介写道,“我知道如何操作区块链。我对以太坊也非常感兴趣。好的投资会带来好的回报。”

一切就绪后,黑客们向全世界各大交易所的数千个邮箱,以及一些业内大鳄包括数家交易所的CEO私人信箱发出了钓鱼邮件,邮件主要囊括三种类型:Celas LLC的广告;开发者同交易所的合作邀约;潜在客户问询。邮件通常包含celasllc.com的链接或者附上附件。Waliy Darwish的领英也向多人发送了消息。

目前,Celas公司的网站已无法打开,但记者获取的一张2018年7月的网页快照显示,这个以盗取为目的建立的虚假网站,其主打卖点竟然是“安全”,网站广告词写道:“区块链科技有望跨市场应用。安全漏洞的存在让人们更加关注所有区块链应用中的安全问题。Celas LLC将为所有的企业客户提供有效的客户服务器区块链解决方案。”

2018年4月,该网站上传了一版名为Celas Trade Pro的软件,称用户可以下载以从多个交易所交易虚拟货币。这实际上是一个恶意软件。交易所1的雇员正是下载了这一软件,才导致黑客可以远程侵入交易所并在未授权情况下获得控制多个数字钱包的私钥。

美国调查人员发现,该恶意软件与另一个已知的属于朝鲜政府的恶意软件Fallchill共用同一个IP地址和密钥,拥有同一个特殊的命令行。就在交易所1被黑入的同一天,一名朝鲜人用韩语检索了该交易所及其CEO,关键词包括黑客、Gmail黑客插件、如何进行钓鱼、如何将大量以太坊兑换为比特币。

已知中招的至少有四家交易所,其中三家交易所位于韩国,除交易所1外,交易所2在2017年12月19日通过其网站和媒体宣布遭到入侵,损失了大约总资产的17%。2018年夏天,交易所4被盗大约3000万美元。2019年11月27日,交易所3被盗大约价值4850万美元的以太坊。根据区块链安全公司Peckshield的分析,交易所1至4分别为Bter、Youbit、Upbt和Bithumb,其中Bithumb为韩国第一大交易所,而这次盗窃事件直接导致了Youbit破产。

II .洗钱链条

那么,这些被盗的虚拟货币是如何流转的呢?一般来说,如果一次性存取超过1万枚比特币,交易所会立马识别出可疑交易并冻结账户,所以,入侵者必须要将它们转换成小额分批汇出。在这一过程中,黑客们又动用了多个虚拟货币交易所及其OTC平台作为中转,在起诉书中以VCE(Virtual Cryptocurrency Exchange)简称代替。

一个简单的举例即可说明这一手法:7月11日凌晨,3800个比特币首先从地址A打入地址B,次日凌晨2点,地址B将20个比特币转入VCE5,同时将剩余3780个比特币转入地址C,地址C又将30个比特币转入VCE6,剩余的3750个比特币转入地址D,以此类推……

为了绕过各大交易所的KYC(识别你的客户)认证,黑客采用了伪造身份的方式。起诉书公布了朝鲜黑客在VCE1开设账户时提供的两张伪造照片,一张是一位亚洲男性手持韩国身份证的照片,另一张则是一位高加索面孔的男性手持德国身份证的照片。前一张照片的元数据显示该照片被篡改过,后一张照片的篡改痕迹更为明显——该照片的原始版本可以通过公开渠道找到,黑客做的无非是给照片中的男子换了一张脸。

但这一招也不是通行无阻。在注册VCE3某账户时,黑客提供了一张高加索男性和一位澳大利亚男性的照片,未能通过核审,VCE3方面要求和账户持有者视频通话以进一步核验,可以想见这一要求被拒绝了。

此次案件的手法在以往也出现过。2019年8月,联合国安理会专家组调研曾指出,至少存在35起由朝鲜方面的黑客攻击金融机构、虚拟货币交易所和进行挖矿行动的事例,涉及孟加拉国、智利、哥斯达黎加、危地马拉、印度、科威特、利比里亚、马来西亚、马耳他、韩国、越南等国,估计涉及金额超过20亿美元。据成员国报告,2018年某次攻击后,黑客用至少5000次交易将虚拟货币导入多个国家并兑换成法币,大大增加了追踪难度。该报告还认为,曾经席卷全球的WannaCry勒索病毒也是出自朝鲜黑客之手。勒索获得的比特币通过比特币钱包,在一家瑞士交易所Shapeshift转换成了匿名虚拟货币门罗币。

但是,无论手段如何眼花缭乱,这些虚拟货币如果不兑换为法币,也无法最终产生价值。“经过一系列转入,最终转进了三个OTC平台,一个是火币OTC,一个是Coincola,还有一个是LBC,不过这个的量不大。” 区块链安全公司Peckshield的反洗钱专家Jeff Liu告诉记者。而在美国监管看来,帮助朝鲜黑客踢出临门一脚的,就是OTC平台上两名来自中国的交易商。

III .被卷入的中国交易商

李家东,辽宁鞍山人,1987年生;田寅寅,江苏南京人,1986年生。两人的身份是OTC平台交易商,在火币OTC和可盈可乐(Coincola)两个平台上,他们分别以“khaleesi”和“snowsjohn”的用户名活跃——这恰好是美剧《权力的游戏》中两个主要人物龙母和雪诺的名字。

由于我国禁止虚拟货币交易,更不可能支持法币直接入金,要跨越法币和虚拟货币的结界,投资者们只能使用“一手交币,一手交钱”的OTC平台。简单来说,如果需要将虚拟货币兑换为法币,持币方首先将虚拟货币打给OTC平台,OTC交易商则通过银行卡、支付宝等形式将法币打到持币方账户,持币方确认法币入账后,平台方再将虚拟货币打入交易商的账户。反之亦然。

据记者观察,由于支付宝此前大量封禁了疑似此类交易和账户,目前OTC交易商普遍使用的交易方式是银行卡。起诉书披露,李家东在VCE5的账户就绑定了九张中国内地的银行卡,分别为农行、光大、中信、广发、民生、华夏、兴业和浦发,总计从VCE5账户获得约2000次转账,总额约为3284万美元;在交易所1被盗一周后,田寅寅的VCE5新增绑定了一张广发银行卡,从账户接受了约491次转账,总额约为3450万美元。

起诉书认为,从2018年到2019年4月间,田寅寅和李家东总共参与了约1亿美元的虚拟货币交易,其中就包括可追溯至交易所1和2的盗失虚拟货币,最终流至两人在VCE5和VCE6的账户。田寅寅还在VCE7拥有一个账户,存款地址位于一家注册于美国的交易所,用于出售比特币,兑换苹果商店的iTunes礼品卡,这被美国检方认为是一种常见的洗钱手法。起诉书指出,田寅寅通过这一账户用价值约145万美元的比特币,通过8823次交易兑换了大量的礼品卡。由此,美国检方认为此二人参与了洗钱活动。

但是,李家东和田寅寅并不认可这一指控。二人均声称,并不知道这些币的来历,以为是来自某个矿场。“我们就是在OTC市场搬砖的,上家转币给我们,我们把钱打过去。如果真的参与洗钱,1000块钱就能买一套假身份,我们为什么要用真实的身份证和手机号呢?”

其中一人告诉记者,对于指控书中提及用苹果礼品卡洗钱,是因为自身经营淘宝店,为了将苹果卡卖给手机充值的玩家,为客户提供游戏代充服务,并不是用来洗钱。“美国人认为钱是从我们的账户交易出去的,他就觉得我们是直接跟这个组织有联系,但其实我根本不认识这个组织。”

他还告诉记者,这个案件在2018年就已经在上海长宁区公安分局立案,报案的并非起诉书中所说的失窃的交易所,而是某位丢失了一万多个比特币的大户。“相关的证据,包括交易记录、聊天截图,我们都已经提交给警方,案件还在调查中,对案情我不能说太多。” 不过,他还是向记者透露,之前业务操作中就会接触来自全世界各地的客户,此次被指控涉及洗钱的大量虚拟货币均来自于同一个上家,目前警方正在追踪。

Jeff Liu也对记者表示,从实操性来说,相比于OTC平台,单个的交易商确实是没有能力去做客户识别和反洗钱识别的。他还透露,其中一人已经找到派盾,希望派盾能够对其交易网络进行分析,如果搜集到足够证据,会考虑在美国找律师进行辩护。

不过,就算两人对此不知情,田寅寅使用一家位于美国的交易所出售比特币兑换礼品卡可能已经触犯美国法律。2013年“金融犯罪执法网络”(FinCEN) 就出具了针对个人管理、交易和使用虚拟货币的指引,将虚拟货币相关活动也纳入管辖范围。起诉书指出,根据联邦法律,要从事此类货币经纪业务,必须在FinCEN进行注册,如不注册属于重罪。

“如果中国政府不采取行动,那么他们两人只要不去和美国有引渡条约的国家就不会有事,但是他们的资产——包括在美国的资产和海外资产会被罚没,而且,无论比特币价格怎么跌,他们涉及洗钱需要被罚没的名义金额不会变。” 美国区块链法律咨询公司NV Global的创始人兼首席执行官Victor T. Samuel告诉记者,“对单个交易商来说这也是涉及上亿美元的生意。如果他们没有识别能力,那根本不应该去做。”

作出决定的当天,美国财政部就召集了行业领袖和合规专家,对涉及加密货币的企业发出警告。 Victor也认为,更应当关注这一案件的长期影响。目前,即使在美国本土,也存在大量的OTC交易商未在FinCEN进行注册的情况。“反洗钱金融行动特别工作组(FATF)2019年制定了加密货币相关的准则,要求每一笔交易都应当需要发起人的姓名、账户号、物理地址或身份证号,收款人的姓名和账户号等等。” Victor指出,“他们给了各国12个月的时间来调整,从2020年6月开始进行审查。所以每个人、每个国家都得有计划来应对更加严格的监管。”

发表评论