Oskarżony o pranie pieniędzy miał wyprowadzić zajętą kryptowalutę z więzienia - Security Bez Tabu

Oskarżony o pranie pieniędzy miał wyprowadzić zajętą kryptowalutę z więzienia

Cybersecurity news

Wprowadzenie do problemu / definicja

Incydenty związane z kryptowalutami coraz częściej wykraczają poza klasyczne kradzieże portfeli, oszustwa inwestycyjne czy ataki na giełdy. Coraz większe znaczenie mają również przypadki naruszenia integralności procesu zajmowania i zabezpieczania aktywów cyfrowych przez organy ścigania. Opisywana sprawa dotyczy zarzutów bezprawnego przemieszczenia kryptowaluty wcześniej zajętej przez państwo, co pokazuje, że bezpieczeństwo aktywów cyfrowych nie kończy się w momencie ich formalnej konfiskaty.

W skrócie

Amerykańscy prokuratorzy oskarżyli obywatela Bułgarii Rossena G. Iossifova o próbę wyprowadzenia około 290 tys. dolarów w kryptowalucie z konta objętego wcześniejszym zajęciem. Według śledczych miało do tego dojść w styczniu 2024 roku, gdy przebywał już w zakładzie karnym po wcześniejszym skazaniu za udział w praniu pieniędzy pochodzących z oszustw internetowych.

Z ustaleń wynika, że środki miały zostać przesłane przez wiele giełd kryptowalut oraz usługi mieszające, aby utrudnić ich namierzenie, odzyskanie i analizę przepływu. Jeżeli zarzuty się potwierdzą, sprawa stanie się ważnym precedensem pokazującym słabości w operacyjnym zabezpieczaniu zajętych aktywów cyfrowych.

Kontekst / historia

Nowe zarzuty są powiązane z wcześniejszą sprawą dotyczącą działalności giełdy RG Coins w Sofii. Według ustaleń śledczych platforma była wykorzystywana przez członków rumuńskiej grupy przestępczej powiązanej z oszustwami aukcyjnymi online. Mechanizm działania był stosunkowo prosty: przestępcy publikowali fałszywe ogłoszenia dotyczące wartościowych przedmiotów, najczęściej pojazdów, pobierali środki od ofiar, a następnie zamieniali je na kryptowalutę.

W poprzednim postępowaniu wykazano, że operator giełdy miał świadomie obsługiwać klientów wysokiego ryzyka, oferując im korzystne warunki wymiany oraz dopuszczając transakcje bez właściwej identyfikacji i bez weryfikacji źródła środków. To klasyczny przykład nadużycia infrastruktury kryptowalutowej do obchodzenia procedur KYC i AML. Według dokumentów sądowych w ciągu niespełna trzech lat przez ten model działalności wyprano blisko 5 mln dolarów dla czterech członków sieci przestępczej.

Analiza techniczna

Najciekawszym elementem tej sprawy nie jest samo pranie pieniędzy, lecz domniemane odzyskanie kontroli nad aktywami już zajętymi przez państwo. Oznacza to potencjalną kompromitację jednego z kilku krytycznych elementów łańcucha zabezpieczenia kryptowalut: kontroli nad kluczami prywatnymi, procedur przechowywania portfeli, nadzoru nad uprawnieniami do inicjowania transferów albo monitoringu on-chain po zajęciu aktywów.

Prokuratura twierdzi, że środki zostały przesłane przez wiele giełd oraz usługi mieszające. Z perspektywy analizy blockchain taki schemat ma dwa podstawowe cele: zerwanie bezpośredniego związku między portfelem źródłowym a końcowym beneficjentem oraz zwiększenie kosztu i złożoności atrybucji. Jest to szczególnie skuteczne wtedy, gdy transfery są rozproszone w czasie, dzielone na mniejsze kwoty i prowadzone przez infrastrukturę działającą w wielu jurysdykcjach.

W praktyce taki łańcuch transakcji może obejmować kilka etapów:

  • transfer z portfela źródłowego do adresów pośrednich,
  • podział środków na wiele transakcji,
  • użycie usług miksujących lub mechanizmów obfuscation,
  • konsolidację środków na nowych adresach,
  • próbę wypłaty przez giełdy o słabszych kontrolach zgodności.

Jeżeli zarzuty się potwierdzą, incydent będzie mocnym dowodem na to, że samo formalne zajęcie aktywów cyfrowych nie gwarantuje ich faktycznego unieruchomienia. W środowisku kryptowalut bezpieczeństwo nadal zależy przede wszystkim od realnej kontroli nad kluczami oraz od dojrzałości operacyjnej procesu custody.

Konsekwencje / ryzyko

Z perspektywy cyberbezpieczeństwa i bezpieczeństwa finansowego sprawa niesie kilka istotnych ryzyk. Po pierwsze, podważa zaufanie do procedur konfiskaty aktywów cyfrowych. Jeżeli zajęte środki mogą zostać ponownie uruchomione, pojawia się pytanie o dojrzałość instytucji odpowiedzialnych za ich ochronę.

Po drugie, przypadek pokazuje trwały problem usług kryptowalutowych wykorzystywanych do anonimizacji przepływów. Mimo wzrostu skuteczności narzędzi analitycznych mieszanie środków nadal znacząco utrudnia odzyskiwanie funduszy, ustalanie łańcucha własności i późniejsze postępowania sądowe.

Po trzecie, organizacje zajmujące się egzekwowaniem prawa, compliance oraz forensyką blockchain muszą uwzględniać ryzyko nadużyć już po etapie przejęcia środków. W takich przypadkach wektorem ataku nie musi być wyłącznie techniczne włamanie. Równie groźne bywają błędy proceduralne, niepełna segmentacja dostępu, niewłaściwe zarządzanie seed phrase oraz brak wielostopniowej autoryzacji transferów.

Rekomendacje

Dla instytucji publicznych, giełd, podmiotów depozytowych i zespołów śledczych kluczowe są następujące działania:

  • stosowanie portfeli wielopodpisowych lub rozwiązań MPC dla wszystkich zajętych aktywów o istotnej wartości,
  • fizyczna i logiczna separacja materiału kryptograficznego, w tym kluczy, kopii zapasowych i procedur odzyskiwania,
  • pełna rejestracja działań administracyjnych, regularny audyt uprawnień i wymuszanie zasady najmniejszych uprawnień,
  • automatyczny monitoring on-chain dla wszystkich adresów objętych zajęciem, z alertowaniem o każdej próbie ruchu środków,
  • okresowe testy procedur custody obejmujące scenariusze insider threat i próby obejścia mechanizmów autoryzacji,
  • współpraca z dostawcami analityki blockchain oraz giełdami w celu szybkiego oznaczania adresów wysokiego ryzyka,
  • ujednolicenie standardów dowodowych i operacyjnych dla zajmowania, przechowywania i likwidacji aktywów cyfrowych.

Dla sektora prywatnego sprawa stanowi także przypomnienie, że zgodność z AML nie może ograniczać się do deklaratywnego KYC. Niezbędne są mechanizmy wykrywania wzorców typowych dla layering, rapid hops, użycia mixerów oraz ekspozycji na portfele powiązane z wcześniejszymi postępowaniami.

Podsumowanie

Sprawa Rossena G. Iossifova pokazuje ewolucję zagrożeń wokół kryptowalut: problemem nie jest już wyłącznie pozyskanie środków przez przestępców, ale także ich późniejsze zabezpieczanie przez państwo i odporność tego procesu na manipulację. Z technicznego punktu widzenia incydent podkreśla znaczenie bezpiecznego custody, kontroli nad kluczami prywatnymi, monitoringu transakcji i rygorystycznych procedur operacyjnych.

Dla branży cyberbezpieczeństwa to kolejny sygnał, że bezpieczeństwo blockchain obejmuje nie tylko warstwę protokołu, lecz także ludzi, procesy i organizacyjną dyscyplinę. Właśnie te elementy mogą przesądzać o skuteczności zabezpieczenia aktywów cyfrowych po ich zajęciu.

Źródła

  1. Money launderer accused of stealing seized crypto while in prison — https://www.bleepingcomputer.com/news/security/money-launderer-accused-of-stealing-seized-crypto-while-in-prison/
  2. U.S. Department of Justice press release — https://www.justice.gov/
  3. Court documents referenced in the case — https://storage.courtlistener.com/