El departamento de justicia de EEUU hace formal una gran incautación de BTC

[DdmrDdmr]

El departamento de Justicia de EEUU es ahora formalmente el custodio de 51.351 BTCs incautados a James Zhong desde hace un años hasta aquí. La nota de prensa muestra en su titular un contravalor de 3,36 billones (americanos) de dólares, si bien su equivalente ahora mismo es realmente de 1,05 billones de dólares.

La historia es curiosa. Por lo visto, Zhong obtuvo los BTCs defraudando la web Silk Road. Zhong no compró nada ni vendió nada oficialmente en la site, pero si creó múltiples cuentas desde las cuales defraudó a la web. ¿Cómo?, pues de la manera más absurda: generando más de 140 TXs de retiro de fondos de manera muy rápida, engañando al sistema para que le retirase los fondos que él tenía en sus cuentas múltiples veces (tipo cargo X en mis cuentas y retiro X5 con este truco amparado en la rapidez de la TX de retiro).

En el documento abajo recogido, se indica a modo de ejemplo como Zhong cargó 500 BTCs en una de sus cuentas, y dentro del intervalo de un segundo, realizó el retiro 5 veces, retirando 2500 BTCs, con una ganancia de 2000 BTCs.

A todo esto, luego aprovechó los forks sobre los más de 50K BTCs que obtuvo.

En el momento de los hechos, por lo que observo, el precio de BTC estaba entre los 10$ y 12$. Es decir, el fraude ya tenía de por sí un valor nominad de entidad de entorno al 0,5M $ de entonces (más o menos, pues no sabemos qué parte exactamente de los BTCs eran de Zhong de partida).

Una década más tarde, ha admitido los hechos, a la espera de sentencia en Febrero 2023.

Me pregunto qué harán con los BTCs, aunque dudo que pasen a engrosar la lista de los empleados para el proceso de restitución de Silk Road, al ser casos no relacionados directamente.

Ver: https://www.justice.gov/usao-sdny/pr/us-attorney-announces-historic-336-billion-cryptocurrency-seizure-and-conviction

[Hispo]

Gracias por compartir esta historia, yo ya estaba algo desactualizado con el caso de Silkroad, pensé que no escucharía mucho más al respecto sobre esa web y sobre las personas involucradas.

También me llama la atención dos cosas: La forma en que esta persona logró explotar de forma tan fácil el sistema de retiros de esa página ilegal y el cambio en el comportamiento del gobierno de los Estados Unidos sobre Bitcoin. Lo primero me recuerda esos días en que internet estaba en su fase Alpha, con páginas con bugs y exploits relativamente sencillos que podrían beneficiar a cualquier con un mínimo de conocimiento con mucho dinero, es una muestra de la carencia de seguridad de años atrás. En lo segundo, me parece irónico como Bitcoin paso de ser dinero de Monopoly virtual a los ojos de la ley y los inversionistas más conservadores de Estados Unidos a pasar a ser algo que vale la pena confiscar e incluso hacer noticia de la confiscación.

Creo que los Bitcoins confiscados se consideran como vienes recuperados y que luego son subastados al público. Como ha pasado antes.

During the seizure itself, multiple agents are involved to ensure proper oversight. That includes managers who establish the necessary hardware wallets to secure the seized crypto. “We maintain private keys only in headquarters so that it can’t be tampered with,” Koopman said.

Once a case is closed, the U.S. Marshals Service is the main agency responsible for auctioning off the government’s crypto holdings. To date, it has seized and auctioned more than 185,000 bitcoins. That cache of coins is currently worth nearly $7 billion, though many were sold in batches well below today’s price.

Soruce: https://www.cnbc.com/2021/08/04/irs-has-seized-1point2-billion-worth-of-cryptocurrency-this-year-.html

[darxiaomi]

Nunca me dejan de asombrar como dentro de lo complejo que es la computacion siempre en el fondo muchos ataques son practicamentes muy absurdos o simples, sin ir mas lejos el de denegacion de servicios es algo demasiado simple y bastante incurable como un resfrio.

Pregunta, porque admitio los hechos este señor?. Mi pregunta va a que no vaya a ser cosa que como muchas veces se hace y dependiendo la ley de cada pais muchos admiten la pena no devuelven el dinero y despues salen de la carcel y tienen el dinero esperandolos afuera.

En este caso tambien mi duda es. La justicia al "pagar por el daño" que valor de BTC toma el del momento en que se hizo el daño, o el actual?.

Puede este señor pagar en dolares a valor antiguo y pedir luego la restitucion de los 50k BTC? Ojo con esto porque los abogados y la justicia siempre dan sorpresas, no muy agradables por lo general.

[LUCKMCFLY]

Bueno esto es algo realemnmte muy grande, imagino que USA con ese dinero que tomaron , inyectarán liquidez a su moneda FIAT? USA me parece que aparte de todo lo que hacen tienen muchísima suerte, es obvio qu e esto les cae como anillo al dedo, para mi son las personas más suertudas de todas,creo que todo esto es un respitro par ala economía de ellos, a sabiendas qeu están colgando de un hilo sale una salvación como esta, si esperan que el bitcoin suba de precio será mucha más bendición para ellos, de hecho creo que lograrán esperar, mientras tanto lo publican para lograr la aceptación total de todos, buena jugada por parte de ellos, se la anoto porque es muy buena..

[Porfirii]

A veces lo más brillante es también lo más sencillo. ¿Para qué urdir un exploit mega-pormenorizado con miles de detalles, cuando existen estas alternativas? es como cuando se habla del uso de la ingeniería social para conseguir resultados como credenciales o información valiosa: el hacking no es solo código, de hecho parece que es muy poco código, a diferencia de la imagen romántica de las películas.

Eso de enviar rápidamente antes de que se detrajera el saldo de la cuenta lo hacía yo en su día, siendo un crío, cuando se me iba a agotar el saldo de la sim de prepago del teléfono móvil/celular. Anda que no me saqué códigos del Habbo hotel por la cara! no me enorgullezco, pero lo dicho, no era más que un crío...

En cuanto a la cuantía, es un pastizal, pero no como para que tenga un impacto en la economía de Estados Unidos, me parece a mí. Quizá el imputado haya decidido confesar y pagar para evitar una pena mayor por tráfico de estupefacientes o blanqueo de capitales. Lo de que cuando saliera de la cárcel tendría su dinero... depende de los cargos y el Estado en que se le juzgara, quizás no saldría nunca.

[DdmrDdmr]

<…>

Aún le estoy dando vueltas a cómo debía estar programado para que se pudiese explotar la retirada de BTCs de la cuenta de manera que sobrepasase el saldo de la misma. La clave me da que está en la ejecución rápida de los retiros (5 en menos de un segundo según el ejemplo), dado que de lo contrario, el tiempo no sería un factor determinante a comentar.

De hecho, un usuario de Twitter señala la causa como:

The $3B Bitcoin seize today was originally caused by the fact that Silk Road run #MySQL database without atomic (SERIALIZABLE) SQL transaction, allowing double withdrawals.

Ver: https://twitter.com/moo9000/status/1589631175693594624

Es lo que tenía en mente: la ejecución de código que realizase varias actualizaciones sobre la BD sin encapsularlo en una TX, o bien el uso de dirty reads para acelerar alguna parte del código, pudiendo por tanto basarse en datos todavía en proceso de una transacción. Por la época, de ser realmente MySQL la base de datos, existían Transacciones de BD para ejecutar código de manera atómica (todo o nada, en lugar de parcial), por lo que es, a priori, un fallo de programación, posiblemente intentando evitar problemas de bloqueos en la BD para acelerar respuestas al usuario (o falta de conocimiento).

<…>

Pues tengo mis dudas, aunque en este caso no hay a quien resarcir. Entiendo que, en todo caso, lo buscarían por el valor fiat robado + los intereses generados en EEUU.

[darxiaomi]

Bueno esto es algo realemnmte muy grande, imagino que USA con ese dinero que tomaron , inyectarán liquidez a su moneda FIAT? USA me parece que aparte de todo lo que hacen tienen muchísima suerte, es obvio qu e esto les cae como anillo al dedo, para mi son las personas más suertudas de todas,creo que todo esto es un respitro par ala economía de ellos, a sabiendas qeu están colgando de un hilo sale una salvación como esta, si esperan que el bitcoin suba de precio será mucha más bendición para ellos, de hecho creo que lograrán esperar, mientras tanto lo publican para lograr la aceptación total de todos, buena jugada por parte de ellos, se la anoto porque es muy buena..

Vos me estas queriendo decir que USA heredo de su "padre" Inglaterra esa suerte? Como cuando la Armada Invencible se comio 40 tormentas y pestes y se salvaron.

Yo creo igual que aca mas que suerte se debe a que son la economia mas grande del mundo por ende la posibilidad de que toque un evento semejante es mucha mas alta que en el resto del mundo.

[seoincorporation]

Ladrón que roba a ladrón merece 100 años de perdón.

No creo que el gobierno devuelva ese dinero, lo usaran para fines personales, pero es muy interesante la historia y la vulnerabilidad.

En el pasado he visto un par de sitios con la misma vulnerabilidad y al reportar el problema con los administradores he recibido el famoso 'bug bounty', las doble llamadas siguen siendo una vulnerabilidad seria hoy en día y aun que hay formas de prevenirlo los ataques cada vez son mas sofisticados en esta área.

[famososMuertos]

Ladrón que roba a ladrón merece 100 años de perdón.
...//...,,,

Pues vaya que curioso, leo el OP y se vino literal esa vieja frase que decían nuestros padres...

Ladrón que roba a ladrón merece 100 años de perdón.

No creo que el gobierno devuelva ese dinero, lo usaran para fines personales, pero es muy interesante la historia y la vulnerabilidad.

En el pasado he visto un par de sitios con la misma vulnerabilidad y al reportar el problema con los administradores he recibido el famoso 'bug bounty', las doble llamadas siguen siendo una vulnerabilidad seria hoy en día y aun que hay formas de prevenirlo los ataques cada vez son mas sofisticados en esta área.

+1

Creo que el Zhong se declaro culpable porque seguramente por ese monto el IRS podría meterle cadena perpetua y entonces prefiere la condena de "colaboración".

ME ha gustado esta frase que ha usado la web Wired:

Silk Road.... it's proven to be the IRS’s gift that keeps on giving.

^{Fuente:https://www.wired.com/story/silk-road-bitcoin-seizure-james-zhong/}

Y esta fuente se ha dejado una foto:


Leyenda/Fuente:Department of justice

[DdmrDdmr]

<…>

Por elaborar un tanto más en lo relativo a como pudo haber sucedido, y siempre bajo el plano de las hipótesis, el código que se ejecutaba podría haber sido en el momento algo del estilo del siguiente (pseudocódigo con fines ilustrativos):
 

Code:

SI Cliente.balance>= 500 BTC ENTONCES
INICIO -- Código no atómico
  Enviar 500 BTC desde MySilkRoadWallet.direccion a Cliente.direccion
  Cliente.balance= Cliente.balance – 500 BTC
FIN
SINO
  Mostrar error "Balance insuficiente"
FIN

Las dos líneas englobadas en la estructura inicio/fin no son atómicas, dado que no están incluidas en una transacción a nivel de base de datos. Uno podría, quizás, accionar el código múltiples veces desde distintas peticiones muy rápidas, haciendo que la línea del envío de los 500 BTCs se ejecutase varias vecs antes de que el balance del cliente se redujese.

También es posible que el envío en sí fuese una llamada a una función externa que no repercutiese en la BD en sí, por lo que no podría nunca conformar parte de una TX atómica de BD. La solución pasaría por codificar lo anterior de otra forma, a fin de evitar los potenciales envíos múltiples.

[womanderful]

Quizá el imputado haya decidido confesar y pagar para evitar una pena mayor por tráfico de estupefacientes o blanqueo de capitales.

Sí, así es como funciona el sistema allí. Exagerando un poco viene a ser como "si no confiesas, te arrancarán los dientes uno por uno, y luego las uñas".

Aún le estoy dando vueltas a cómo debía estar programado para que se pudiese explotar la retirada de BTCs de la cuenta de manera que sobrepasase el saldo de la misma. La clave me da que está en la ejecución rápida de los retiros (5 en menos de un segundo según el ejemplo), dado que de lo contrario, el tiempo no sería un factor determinante a comentar.

Es una condición de carrera clásica:

Code:

saldo = sql ("SELECT saldo FROM accounts WHERE user_id = $ID")
if (importe_a_retirar > saldo) {
    sql ("UPDATE accounts SET saldo = saldo - importe_a_retirar")
}

Si lo haces así, dos peticiones muy rápidas darán lugar a la ejecución de este código dos veces en paralelo. Antes de que una de las instancias, después de haber entrado en el if(), llegue al UPDATE y actualice el saldo, la otra instancia llega al if() y ve que hay saldo, por lo que también entra en el if().

La solución: "BEGIN TRANSACTION".

[womanderful]

Vale, nos hemos cruzado xD

[seoincorporation]

Cuando se hace una llamada de este estilo lo que se hace es pasar por un proceso de sanitización y de condicionales en donde una de las condiciones debería de ser el tiempo.

Code:

If last withdrawTime = LastWithdraw+10 senconds
then send the money

Personalmente es una condición que me ha funcionado para evitar este tipo de ataques. I otro factor es que no podemos hacer de los retiro una función asincrónica. Ose que no podamos llamar la función nuevamente hasta que esta termine de procesarse.

Es todo un tema desde el lado del backend y la lógica va cambiando en función del lenguaje utilizado.

[DdmrDdmr]

Ahora viene una segunda parte informativa que por la época no es de sorprender, pero sí por ir demasiado de sobrado tras dar el palo a Silk Road: Zhong ha sido aparentemente identificado como @Loaded en Bitcointalk !

Mirando su historial de posts, alardea de los BTCs que tenía, se postula como ballena, intenta venderle no sé qué a Roger Ver, etc. En el fondo, si vemos su estilo de posteo con prisma del foro de hoy en día, sería tipificado como un shitposter en toda regla …

Ver:
https://bitcointalk.org/index.php?topic=5419807.msg61265959#msg61265959
https://nitter.net/FractalEncrypt/status/1590004529789272064#m (narra la historia a través del blockchain – merece la pena su lectura, y es la clave de su detención).

[darxiaomi]

Buen descubrimiento y gracias por traerlo al sector local. Como siempre digo no navego mucho por esas otras aguas y se me pasan cosas grandes como esta.

Bueno si bien es verdad que hoy en dia seria un shitposter, no se en ese entonces como seria el foro.

Lo que si podemos decir es que tenemos un famoso mas en la lista del foro .

[DdmrDdmr]

Según se refleja en el artículo abajo referenciado, y citando datos de glassnode, el gobierno de EEUU tendría 144.500 BTCs procedentes de Silk Road. Hasta ahora …

Por lo visto, 40.000 BTCs podrían haber sido movidos en una TX que envió casi 10.000 BTCs a Coinbase, lo cual parece un claro indicativo de su destino. No queda claro a dónde han ido a parar los demás 30K BTCs que se citan, que podrían ser movimientos internos, direcciones de cambio, a saber …

En determinadas ocasiones hemos visto que el gobierno de EEUU subastaba bitcoins procedentes de incautaciones. No obstante, si realmente está intentando vender una parte a través de los Exchanges, quizás sea esta su via preferente a partir de ahora para darles curso.

Ver: https://beincrypto.com/us-gov-law-enforcement-wallet-moves-millions-bitcoin-will-sell/

[darxiaomi]

Linda cantidad para generar un maremoto si lo salen a vender de golpe no?.

Obviamente que no seria una cosa de la noche a la mañana ya que tendrian que cumplimentar un monton de pasos previos pero..... tremenda manipulacion de mercado podrian hacer.

[DdmrDdmr]

<...>

No me imagino un volumen de 10.000 BTCs en venta a través del spot convencional de Coinbase, donde el volumen en 24 horas del par BTC/USD es de unos 12.203 BTCs según este site. En la globalidad del mercado no es tanto, pero sí sobre el volumen de Coinbase Spot diario. Me imagino que, en todo caso, la venta sería OTC, con condiciones de mercado más favorables para la venta, y sin afectar al mercado en sí.

[famososMuertos]

+1
Si bueno también que lo que enviaron a CB fue una Fracción, cabe preguntarse, es Legal, esta aprobado por quién? nunca se sabe...   sobre todo en Estados Unidos donde este mismo caso tuvo corrupción.

Fuente:https://bitcointalk.org/index.php?topic=5444167.0
Si, es que lo anterior lo escribí en otro hilo, entonces... por si acaso hay que citar la fuente.

[DdmrDdmr]

Estaba intentando ver si el DOJ, a través de los US Marshalls (que actúan como custodios de los activos virtuales) tiene que obligatoriamente recurrir a subastas, o puede ejecutar la venta de activos decomisionados por otras vías; en el caso que nos ocupa, mediante la venta en Coinbase.

No he visto nada explícito respecto de los canales de venta, por lo que asumo, salvo que encontremos algo que indique lo contrario, que es lícito que usen un Exchange para realizar la venta en caso de querer proceder.

Ver (si acaso uno quiere hacer la descarga de las pautas para la decomisión y la gestión de activos):
https://www.justice.gov/criminal-afmls/file/839521/download
Páginas 10-1 .. 10-4