After a cyber hack of the Colonial Pipeline led to gas shortages, people waited in long lines at an Exxon station on May 12, 2021, in Springfield, Va. The FBI seized the $2.3 million in bitcoin ransom that Colonial Pipeline paid to hackers who infiltrated the company’s computer network.  Washington Post photo by Matt McClain
General

Bagaimana detektif blockchain memulihkan jarahan digital

Paolo Ardoino berada di garis depan salah satu perampokan cryptocurrency terbesar sepanjang masa.

Dia dibanjiri dengan panggilan dan pesan pada bulan Agustus, memperingatkannya akan pelanggaran di Poly Community, sebuah platform di mana pengguna menukar token antara cryptocurrency populer, seperti ethereum, binance, dan dogecoin. Peretas telah menghasilkan $610 juta dalam bentuk crypto, milik puluhan ribu orang. Sekitar $33 juta dari dana tersebut dengan cepat diubah menjadi tether, “koin stabil” dengan nilai yang mencerminkan dolar AS.

Ardoino, chief expertise officer Tether, mencatat. Biasanya, ketika penjahat dunia maya yang cerdas kabur dengan cryptocurrency, mereka mentransfer aset antar dompet on-line melalui transaksi yang sulit dilacak. Dan poof — uangnya hilang.

Ardoino langsung beraksi dan beberapa menit kemudian asetnya membeku.

“Kami benar-benar beruntung,” katanya. “Beberapa menit setelah kami mengeluarkan transaksi pembekuan, kami melihat peretas mencoba melepaskan tambatannya. Jika kita menunggu lima menit lagi, semua tambatan akan hilang.”

Dua minggu kemudian, tether melepaskan uang itu kepada pemiliknya yang sah. Dan setelah ancaman dari Poly Community, bandit on-line itu menyerahkan sisanya.

Penyitaan itu melubangi keyakinan lama bahwa cryptocurrency tidak mungkin dilacak. Cryptocurrency adalah kode komputer yang memungkinkan orang untuk mengirim dan menerima dana, mencatat transaksi pada buku besar publik yang dikenal sebagai blockchain, daripada menyimpan information pemegang akun.

Karena kurangnya knowledge pengguna, cryptocurrency seperti bitcoin telah dipuji sebagai tempat yang aman untuk aktivitas kriminal. Dipicu oleh anonimitas, industri bayangan memungkinkan peretas, penghindar pajak, dan aktor jahat lainnya untuk mencuci uang secara diam-diam, di luar sistem perbankan tradisional.

Penipu on-line menghasilkan $2,6 miliar pada tahun 2020, menurut laporan Chainalysis. Tahun itu, ransomware menyerang lebih dari empat kali lipat.

Tetapi penyelidik forensik semakin cerdas dalam memetakan aktivitas di blockchain dengan cermat dan mencari tahu siapa yang berada di balik akun tertentu. Ini telah memicu "industri rumahan baru penyedia knowledge" yang dapat melacak akun cryptocurrency yang ditandai untuk aktivitas terlarang, kata Zachary Goldman, seorang pengacara yang berspesialisasi dalam teknologi pembayaran baru di WilmerHale. "Itu tidak pernah benar-benar tersedia sebelumnya."

Melalui pelacakan, agen telah mendapatkan kembali dana kripto yang dicuri dalam beberapa kasus profil tinggi. Pada bulan Juni, FBI menyita $2,three juta dalam bentuk uang tebusan bitcoin yang dibayarkan Colonial Pipeline kepada peretas yang menyusup ke jaringan komputer perusahaan. Penyidik ​​menggunakan blockchain untuk mengikuti aliran pembayaran uang tebusan untuk melacak para pelaku. Pada tahun 2020, pertukaran crypto KuCoin memulihkan hampir semua $281 juta yang dicuri oleh peretas Korea Utara yang dicurigai dan mengembalikan dana tersebut kepada pelanggan.

"Mengikuti uang tetap menjadi salah satu alat paling dasar, namun kuat yang kami miliki," kata Wakil Jaksa Agung Lisa Monaco dalam rilis berita DOJ yang mengumumkan bahwa dana Colonial Pipeline telah disita. Pihak berwenang mengakses kunci pribadi pemegang akun, menurut pernyataan tertulis, tetapi tidak mengatakan bagaimana mereka mengaksesnya, kemungkinan akan membuat peretas tidak memahami metode mereka, kata para ahli dari luar.

FBI dan Pipeline Colonial menolak berkomentar tentang bagaimana mereka mengakses akun tersebut. Orang lain di industri memiliki teori.

Ada ribuan cryptocurrency dengan ribuan blockchain, yang berisi catatan publik dari setiap transaksi crypto yang dilakukan. Tetapi blockchain menyediakan knowledge pengguna publik yang terbatas dan dokumen besar, yang didukung oleh jaringan server, memerlukan keterampilan khusus dan penyimpanan komputer terabyte untuk diunduh dan diuraikan. Hal ini memungkinkan penjahat untuk bersembunyi di balik nomor rekening samar dan menyembunyikan aset mereka dengan cepat memindahkan mereka atau menyebarkannya di beragam dompet.

Perusahaan pengawasan Blockchain menemukan keberhasilan menggunakan perangkat lunak untuk mengikis knowledge transaksional di blockchain, menganalisisnya untuk aktivitas yang mencurigakan — seperti akun yang terhubung dengan perilaku terlarang di internet gelap — dan membantu lembaga penegak hukum melacak di mana dana tersebut berakhir.

Biasanya dimulai dengan nomor rekening.

Baik itu pembayaran tebusan atau dana curian, semua transaksi kripto — terlarang atau tidak — ditautkan ke setidaknya satu alamat kripto publik, mirip dengan nomor rekening financial institution publik. Angka itu, rangkaian unik lebih dari 25 karakter, dapat mengarahkan agen ke sejumlah informasi tentang orang di baliknya. Itu dapat menandai transaksi lain yang dilakukan orang tersebut dan mengidentifikasi pertukaran atau dompet yang digunakan pemegang akun. Jika pertukaran atau dompet tersebut dikelola oleh perusahaan pihak ketiga, aset tersebut dianggap "terpusat" dan dapat disita, kata para ahli.

Aset terdesentralisasi, bagaimanapun, tidak diverifikasi atau dipelihara oleh otoritas terpusat. Mereka dikelola oleh kode. Karena itu, mereka tidak dapat dibekukan.

Saat mengalihkan cryptocurrency, penjahat terkadang secara tidak sengaja mengubah aset terdesentralisasi seperti bitcoin menjadi token digital lain yang dikendalikan atau didukung oleh perusahaan. Jika cryptocurrency "dibalik" menjadi koin yang dijalankan oleh satu entitas, maka "perusahaan benar-benar dapat membekukan mata uang itu, membakar token itu atau menggunakan banyak kendali atas itu," kata Adam Lowe, kepala inovasi di CompoSecure, sebuah perusahaan dompet cryptocurrency.

Karena blockchain mencantumkan riwayat transaksi untuk setiap koin, daripada information pemilik, penyelidik menggunakan perangkat lunak canggih untuk menganalisis ke mana mata uang mengalir.

Bitquery, sebuah perusahaan mesin pencari blockchain, memproduksi perangkat lunak yang mendukung alat analitik yang digunakan oleh firma hukum, lembaga pemerintah, dan perusahaan forensik knowledge.

Pekerjaan komputasi terjadi di sebuah gudang di New York Metropolis, di mana server memproses hingga 300 terabyte knowledge sekaligus menganalisis blockchain 24 jam sehari. “Kami mengekstrak knowledge dari blockchain, mengubahnya dengan cara yang berguna, dan memasukkannya ke database kami di mana pelanggan dapat mengaksesnya,” kata Gaurav Agrawal, kepala pertumbuhan di Bitquery.

Perangkat lunak dimulai dengan menemukan semua transaksi yang terkait dengan alamat kripto yang ditandai dan menghasilkan grafik untuk menunjukkan bagaimana mata uang digital beredar masuk dan keluar dari akun. Ini mencoba mengidentifikasi pola yang mungkin menunjukkan layanan pembayaran lain yang digunakan peretas.

Alat forensik paling canggih dapat memberi tahu penyelidik apakah nomor akun telah aktif di internet gelap atau di situs internet perjudian. Mereka mungkin mengungkapkan alamat IP, yang dapat memunculkan alamat rumah yang tepat, kata Steve McNew, direktur pelaksana senior di FTI Consulting, sebuah perusahaan yang berfokus pada investigasi cryptocurrency.

Pertukaran Cryptocurrency, dompet, dan penjaga mengharuskan pengguna untuk memasukkan informasi yang dapat diidentifikasi jika mereka ingin mendaftar. Perusahaan-perusahaan ini, jika dipanggil, dapat mengungkapkan informasi pemegang rekening.

Tetapi ada batasan untuk apa yang dapat dikumpulkan oleh pihak berwenang.

Beberapa taktik dapat membuat pihak berwenang keluar dari jalur. Orang yang ingin menghindari pengawasan dapat menyatukan crypto mereka ke dalam “mixer,” alamat dompet yang menggabungkan koin dengan transaksi lain, membuatnya lebih sulit untuk dilacak. Peretas juga dapat menyimpan kunci cryptocurrency mereka di perangkat dompet “dingin” yang tidak terhubung ke web sehingga lebih aman. Mereka mentransfer token digital dalam dompet on-line ke alamat yang ditautkan ke desktop mereka atau menyimpan informasi akun dan kunci pribadi pada perangkat seperti thumb drive.

Jika Anda menyimpan kripto Anda di dompet perangkat keras, "keamanannya cukup antipeluru," kata David Sacco, seorang praktisi di College of New Haven di departemen keuangan dan ekonomi.

Terlepas dari sejumlah inovasi dalam teknologi pelacakan, cryptocurrency masih tetap sangat sulit untuk dilacak. Sebagian besar penjahat dunia maya lolos dari pencurian, kata McNew.

“Jika penjahat menyimpan kunci di penyedia cloud, atau dengan penjaga knowledge pihak ketiga, mendapatkan akses ke kunci tersebut akan menjadi cara untuk menangkap aset yang dimaksud,” kata Nic Carter, mitra di Fortress Island Ventures, sebuah blockchain- dana ventura terfokus.

Menyimpan informasi secara on-line berarti lebih mudah diakses karena pihak berwenang dapat memanggil operator dompet untuk mendapatkan informasi spesifik tentang pemegang akun. Ketika pihak berwenang tidak dapat masuk ke akun, mereka menunggu penjahat dunia maya untuk mencoba menguangkan, atau memindahkan crypto di suatu tempat di Amerika Serikat sebelum mereka menerkam.

“Itulah yang paling sering kami lakukan untuk menangkap orang,” kata McNew. “Saat mereka memindahkannya dari dompet pribadi ke bursa, berharap bisa mencairkannya ke rekening financial institution mereka, kami memanggil bursa, mencari tahu siapa yang memiliki rekening financial institution, dan menangkap mereka dengan cara itu.”