Как братья украли 712 BTC из вещдоков ФБР и спалились на одном фото

История, которая выглядит как сценарий чёрной комедии, оказалась реальностью. Человек украл 712 BTC прямо из вещественных доказательств ФБР, но его выдало одно фото в ванне, заваленной долларами. Разбираемся, как современный блокчейн-форензик догоняет даже тех, кто работает с миксерами и dark web.

В феврале 2020 года ФБР арестовало Ларри Дина Хармона, создателя Helix. Это был биткоин-миксер в даркнете, через который прошло более 354 000 BTC. По нынешнему курсу это около 32 миллиардов долларов, на момент задержания сумма оценивалась в 311 миллионов. Helix брал 2,5% за каждую транзакцию и обслуживал почти все крупные наркорынки даркнета, включая AlphaBay и Dream Market.

При обыске агенты изъяли аппаратные кошельки Trezor. Вскрыть их не смогли: ни сид-фразы, ни PIN у следствия не было. И тут на сцену выходит брат подсудимого, Гэри Хармон.

Гэри присутствовал на двух слушаниях по залогу. На одном из них прокуроры открыто признали в суде, что кошельки у них есть, но взломать их не получается. Гэри вернулся домой, ввёл сид-фразу, которую знал заранее, и пересоздал кошельки брата на собственном устройстве. Затем восемью отдельными переводами он вывел 712 биткоинов из федеральных вещдоков на свои аккаунты.

Дальше начинается экономическая часть схемы. Семья Хармонов в это время вела публичную кампанию по сбору средств на адвокатов для Ларри, а Гэри в интервью CoinDesk рассказывал, как тяжело им финансово. Параллельно он использовал украденные биткоины как залог по займу в BlockFi на 1,2 миллиона долларов и купил элитный кондоминиум в Кливленде. Остальное, по версии Минюста США, ушло в стрип-клубы и на частные джеты.

Когда в июле 2021 года агенты ФБР наконец пришли к Гэри в Огайо, на кошельках оставалось около 6 000 долларов в биткоинах. Всё остальное было потрачено или прокручено через ChipMixer и Wasabi Wallet. Казалось бы, идеальная анонимизация, но компания Chainalysis всё равно отследила 519 из 712 украденных монет.

И вот здесь начинается самое забавное. Среди доказательств с телефона Гэри нашли фотографию: он сидит в ванне, полной наличных, в ночном клубе. Минюст использовал этот снимок на суде. Когда прокуратура впервые заподозрила, что Ларри сам украл свои изъятые биткоины, тот даже сдал брата и сказал, что это был Гэри.

Адвокат Гэри пытался выстроить защиту так, будто никакого изощрённого взлома не было. Его дословная формулировка: кража была не сложнее, чем получить ключ от банковской ячейки и забрать её содержимое. Судью это не убедило, и Гэри получил 51 месяц тюрьмы.

К моменту приговора в апреле 2023 года Гэри потерял 647 биткоинов, 2 эфира и 17,4 миллиона DOGE на сумму более 20 миллионов долларов. Кондоминиум ушёл с молотка через Казначейство США. Ларри, создатель самого Helix, получил 36 месяцев. То есть человек, построивший один из крупнейших отмывочных сервисов в истории даркнета, сел на меньший срок, чем его брат, который просто украл у него.

Что из этого важно для ИТ и ИБ-сообщества:

Аппаратный кошелёк защищает железо, но не защищает от того, кто заранее знает сид-фразу. Любая утечка в окружении владельца обнуляет криптографическую стойкость устройства.

Открытость судебного процесса в США привела к тому, что критическая операционная информация о вещественных доказательствах попала в руки ответчика и его семьи.

Современный блокчейн-форензик уровня Chainalysis способен размотать цепочку даже после прохождения через несколько миксеров. ChipMixer и Wasabi не помогли скрыть три четверти переводов.

Самым слабым звеном по-прежнему остаётся человек. Не алгоритм SHA-256, не Trezor, а селфи с пачками кэша в ночном клубе.

Источник в X: https://x.com/0xSweep/status/2052053104850616600