盗取比特币的三个步骤:複製密钥、洗钱、换现金

本月早些时候,发生了比特币史上最严重的抢劫事件,在线毒品市场被洗劫了,价值约1亿美元的比特币被偷走,做案者可能是黑客也可能是内部人士。比特币偷盗事件并不鲜见。2011年6月,一名叫Allinvain的用户成为有记录以来首次大规模比特币偷盗事件的受害者。Allinvain醒来发现黑客窃取了价值约50万美元的比特币。「我现在想死的心都有了,」他当时写道。

盗取比特币的三个步骤:複製密钥、洗钱、换现金

自那以来又有了数十起比特币盗窃案。许诺高回报率的投资基金Bitcoin Savings & Trust结果是一个金字塔骗局,它的拥有者被指控捲走了投资者450万美元的比特币。MyBitcoin是一家比特币在线「钱包」服务,带着用户价值 100万美元的比特币消失了。一些知名的比特币公司,包括Mt. Gox和已经没了的Bitcoinica交易平台,都曾发生过大规模偷盗事件。

信用卡偷盗的受害者可以把卡冻结并取消欺诈交易,不过比特币的交易是无法逆转的,因而格外受到窃贼的喜爱。「比特币就像现金,」卡内基梅隆大学的助 理研究教授Nicolas Christin说,他做了大量的比特币分析。「把它找回来的唯一办法就是把偷窃的人找到并打到他还回来为止。」

不过对比特币来说,很难理解这些数字盗窃是如何做到的。他们到底偷窃的是什幺?而一旦得手,又该如何处理髒物?

盗取比特币的三个步骤:複製密钥、洗钱、换现金

第一步:複製密钥

比特币不是个东西。它更像是一个叫blockchain(块环链)的公共账簿,这个账簿不断跟蹤持续扩展的地址列,以及这些地址中有多少比特币。

如果你拥有比特币,你真正拥有的是解锁某个地址的密钥(密码)。这个私人密钥看起来是一串数字和字母的组合。你可以把密钥打印在纸上,存在硬盘或在线服务上,或是纹到身上。

不过所有的存储方式都有被偷盗的风险,因为那只是一串字符。对普通人来说,还没有特别安全的方式来存储虚拟货币。

最有利可图的攻击往往针对的是那些存储了大量用户密钥的在线服务,就比如Sheep Marketplace。此类攻击时常是由内部人士进行的,他们不用做太多黑客的工作。只要複製了密钥的数据库就能控制所有的地址,然后就能使用这些地址上的比特币了。

盗取比特币的三个步骤:複製密钥、洗钱、换现金

第二步:把髒比特币「洗」乾净

儘管比特币的一些特性使它对窃贼格外有吸引力,它也有一些对抗偷盗的特性。由于blockchain是公共的,这意味着任何人都可以看到比特币转向哪里。在Sheep Marketplace被劫后,一些用户追蹤到被偷的比特币在各个地址之间辗转。

这些追蹤技术并不很有效,因为窃贼的身份仍然是未知的。然而,随着程序员找到更多新方法来从blockchain中提取信息,一些比特币取证已经变得越来越好。窃贼留下的蹤迹现在可能无法探测,但可以在未来被发现。

这就是为什幺洗钱这一步很重要。洗白比特币用的是「mixers」(也叫「tumblers」),也就是把你的比特币和其他用户的比特币混在一起,这样你就得到了一个乾净的地址,blockchain无法把它和被偷的那些地址联繫起来。

基本上它是这样操作的:把偷来的比特币转到由tumbler拥有的地址上。这个地址仍然是「髒的」,因为它和受害者的地址有明显的联繫,于是 tumbler把比特币放在那里。接下来tumbler会把同样数额的比特币从其它用户那里转到你拥有的一个新的「乾净」地址。但它不会立马把这个数额的 比特币转过去,因为同样的数额很容易被别人注意。tumbler会用更小数额分多次转给你。越是大额的比特币越要小心谨慎,延长每份之间的跨度。

一段时间后,比特币都洗乾净了,等到「髒」地址被发现,你也已经逍遥法外了。tumbler只能通过匿名的Tor网络去获得,因而执法机构很难追蹤它的流量或是找出它背后的人。

当然,这也意味着你需要信任tumbler,这种服务也是匿名的,如果没能取回髒比特币,你也无处求援。

另一种洗钱方式跟一般的暴徒差不多:到Satoshi Dice或其它比特币赌场上去。

盗取比特币的三个步骤:複製密钥、洗钱、换现金

第三步:变成大富翁

现在你已经有了乾净的比特币,然后盯上了法国南部的某处别墅。不幸的是,房主不接受比特币。像多数商家一样,他只接受政府支持的货币——欧元。

所以现在你需要做的是把比特币变成欧元。但是你拥有很多比特币。如果你是Sheep Marketplace的拥有者,那就是1亿美元。整个比特币经济现在还小而且流动性也不高——没有那幺多的购买者一次性帮你兑现,而且如此大的交易也肯 定会引起注意,导致你很难掩盖自己的身份。多数的交易平台多少都需要一些身份信息,而且你还要一个能存欧元的账户。

这时就需要发挥创造力了。把大量比特币兑现同时保持匿名有很多方法。例如,可以找个愿意不验证身份,以折扣价从你那里购买比特币的有钱买家。不过最 好的方法是保持耐心,在几週、几月甚至几年的时间里通过多次交易把比特币兑现,如此便可以避免引起blockchain观察者以及真实世界的执法机构的怀 疑——你突然多出来的几百万美元是哪来的。

现在,你可以开始享受在法国的生活了。

via Theverge