Bitcoin is níet gehacked! Dit is wat we weten over de actie van de FBI
Nee, het bitcoin protocol is níet gekraakt en géén bitcoin wallet is gehacked. Naar aanleiding van het nieuws dat de FBI het voor elkaar kreeg om $2,3 miljoen aan bitcoin te vorderen van hackerscollectief DarkSide, gaan er onzinverhalen in de rondte.
Want in werkelijkheid ligt deze gebeurtenis genuanceerder in elkaar door bepaalde media wordt geschetst. Vooropgesteld: bitcoin is niet gekraakt. Niet door de FBI, of door een andere opsporingsdienst of surveillance marktpartij.
Bitcoin als losgeld
Vorige maand heeft een groep Russische hackers door middel van een ransomware-aanval de Colonial Pipeline platgelegd, een belangrijke brandstoflijn die loopt aan de Amerikaanse Oostkust. Na een betaling van 75,5 bitcoin, kreeg het bedrijf weer toegang tot haar bedrijfssystemen en - data.
Dat is omgerekend ~2,5 miljoen dollar tegen de huidige marktprijs. De betaalde 75,5 bitcoin is na te zien op de blockchain van bitcoin via dit BTC adres.
Elke hacker staat dan voor de strategische keuze: de ontvangen staan op een openbaar grootboek, de blockchain. De Amerikaanse opsporingsdienst wist om welk bitcoin ontvangstadres het ging, maar daarmee heeft de overheid nog niet de bitcoin handen. Want deze staat cryptografisch versleuteld op de blockchain.
De FBI maakt bekend dat een groot deel van de bitcoin wel is geconfisqueerd. Het zou gaan om 63,7 bitcoin. Dat nieuws roept vragen op, want hoe is de FBI dan te werk gegaan? Geruchten gingen snel in de rondte: is bitcoin dan zomaar te kraken?
Het simpele antwoord is: nee.
Als je bitcoin in eigen beheer neemt, genereer je namelijk een key pair: een private key en een corresponderende public key.
Deze private key is onmogelijk te gokken of te genereren op basis van het adres dat de ontvanger deelt. Door middel van asymmetrische cryptografie en hashing is dit zelfs met de huidige kwantumcomputers onmogelijk. Ook de FBI kan dat niet en voor zover bekend geen andere opsporingsdienst of marktpartij.
Welke route heeft de bitcoin afgelegd?
Voordat we toekomen aan de vraag hoe de FBI aan de bitcoin is gekomen, eerst wat meer achtergrondinformatie welke route de Bitcoin heeft afgelegd.
Ten eerste maakt analysebedrijf Elliptic in een blogpost al vrij snel bekend dat het gaat om derde partij die erbij is aangesloten, een zogenoemde affiliate.
Elliptic identificeerde eerder de desbetreffende bitcoin-transactie van het losgeld al. Hierdoor konden ze vaststellen dat DarkSide sinds oktober 2020 meer dan $90 miljoen aan losgeld ontving.
DarkSide werkt met het principe van “Ransomware as a Service” (RaaS). Hierbij wordt de ransomware aan een derde speler geleverd, die vervolgens bedrijven of instanties infiltreert.
Elke betaling van losgeld door een slachtoffer wordt verdeeld tussen de partner en de ontwikkelaar. In het geval van het losgeld van de Colonial Pipeline ging 85% (63,75 BTC) naar de affiliate en 15% naar de ontwikkelaar van DarkSide.
Het gaat in deze zaak dus om de bitcoin van de affiliate die de Amerikaanse overheden in handen hebben gekregen. Je kunt de transactie zelf ook in blockexplorers of jouw eigen node aflezen. Het gaat om het adres bc1qq2euq8pw950klpjcawuy4uj39ym43hs6cfsegq. Ook kun je zien dat het onlangs is leeggemaakt (waarschijnlijk door Amerikaanse autoriteiten).
Affiliate die bitcoin verliest
Ergo.BTC, een bekende on-chain analist, laat in onderstaande tweet zien hoe de flow van de bitcoin verliep. Het oliepijplijnbedrijf Colonial Pipeline kocht haar bitcoin op Gemini, deed een paar test transacties en via de hackers en affiliate kwam de bitcoin in handen van de FBI.
FBI vorderde toegang tot server waarop de private keys stonden
Ok, dus elke bitcoin is versleuteld en niet zomaar te kraken. Hoe heeft de overheid cq. de FBI deze bitcoin dan in handen gekregen?
Wat is er dan wél gebeurd? Dan wordt het plaatje enigszins schimmig en raadselachtig. Want ook de FBI geeft geen duidelijkheid hierover, wellicht uit strategische overwegingen. Gelukkig is er een actieve bitcoin community op Twitter, die flink in de materie is gedoken. Daardoor zijn er enkele scenario's te schetsen.
Maar hoe heeft de FBI dan wél toegang gekregen tot de bitcoin, als ze Bitcoin zelf niet hebben gekraakt. Naar verluidt hebben ze vanuit allerlei kanten hulp gevraagd. Een journalist van de NBC meldt dat de Microsoft Threat Intelligence Center (MSTIC) meewerkte aan de actie. Coinbase zou dan weer géén hulp hebben verleend,.
De suggestie dat Coinbase ermee te maken had, was ook afkomstig van blockchainanalyse. In bovenstaande tweet zou er ergens een linkje gemaakt kunnen worden met een adres van de Amerikaanse beurs. Op Twitter discussieerde men hier over verder:
Maar volgens de journalist is Coinbase dus niet de doorslaggevende factor geweest.
De meest voor de hand liggende oorzaak is dat de FBI bepaalde specifieke servers heeft geïnfiltreerd. Bitcoiner 6102 meldt namelijk dat de servers van DarkSide in beslag zijn genomen. Ze noemen specifiek blogs, DOS-servers maar ook servers die dienden voor betalingen.
"Payment Server"https://t.co/oxpoLNg8Km pic.twitter.com/IRVNElRV14
— 6102 (2022/10/14) (@6102bitcoin) June 8, 2021
Als je dit leest, klinkt het alsof de FBI de private key van een van de servers heeft geplukt en het losgeld zo heeft kunnen terugpakken. Bovenstaand screenshot komt overigens uit een blogpost van 14 mei 2021.
Honderd procent zekerheid is er dus niet. Wat wél duidelijk is, is dat de FBI toegang moest vragen via een bevelschrift om de actie te mogen uitvoeren. Dat suggereert dat het dus om een derde partij ging die moest worden 'ingebroken'.
In deze tweet is de vordering van de FBI te zien.
Het klink ook aannemelijk dat de FBI hun werkwijze expres zo vaag houdt, om andere hackers niet wijzer te maken dan ze al zijn. Tegelijk werd deze berichtgeving door de onwetende bitcoin-volger verkeerd opgevat. Bitcoin is níet gehacked!
Wil je op de hoogte blijven over alle ontwikkelingen? Kom dan eens langs in onze Telegram chat, en download ook vooral onze Android Nieuws app of iOS Nieuws app!
