Retour sur l’affaire du piratage informatique de MtGox.

1

Plus tôt dans la semaine, la police grecque a arrêté un ressortissant Russe soupçonné de diriger une vaste opération de blanchiment d’argent autour du Bitcoin. L’homme, Alexander Vinnik, 38 ans, aurait blanchi plus de 4 milliards de dollars depuis 2011.

Vinnik est également le suspect principal dans l’affaire du vol de la plateforme d’échange MtGox. Il aurait aidé à blanchir de nombreux bitcoins volés sur la plateforme.

Le blog de spécialistes de la sécurité informatique wizsec a mené l’enquête :

  • En septembre 2011, le portefeuille de stockage à chaud (en ligne) de MtGox a été piraté. Le pirate a volé une copie du fichier wallet.dat, ce qui lui a immédiatement donné accès à un nombre considérable de Bitcoins. Le pirate informatique a également pu dépenser tous les bitcoins déposés sur les adresses contenues dans le fichier.
  • Au fil du temps, le pirate informatique s’est régulièrement servi dans le portefeuille volé en utilisant les clés privées compromises. Tous ces bitcoins ont été envoyé sur le portefeuille contrôlé par Vinnik. Les transferts ont continué durant de longues périodes entrecoupées de pauses. La deuxième phase du vol s’est déroulée plus tard, en 2012 et 2013.
  • Milieu 2013, quand les transferts de fonds provenant des clés compromises ont commencé à fortement ralentir, le pirate informatique avait déjà sorti plus de 630 000 BTC de MtGox.
  • De plus, le KeyPool du wallet.dat utilisé pour sauvegarder et réutiliser les clefs publiques et privées a induit en erreur les systèmes de MtGox avec de mauvaises interprétations de certaines dépenses du voleur, comme des dépôts créditant de multiples comptes utilisateurs avec de gros montants en BTC. Tous ces fonds ont étés retirés à la hâte par les destinataires faisant exploser le nombre de bitcoins sortant de la plateforme (40 000 BTC).
  • Une fois les bitcoins envoyés sur le portefeuille de Vinnik, la plupart étaient transférés vers la plateforme d’échange BTC-e pour procéder au blanchiment. En tout, c’est 300 000 BTC qui ont fini sur BTC-e, tandis que d’autres bitcoins ont été déposé sur d’autres plateformes d’échanges, y compris MtGox.
  • Certains des fonds transférés sur BTC-e semblent avoir été déposés directement vers le stockage interne du site plutôt que sur des adresses de dépôt clientèle, faisant preuve de la complicité de la plateforme.
  • Les bitcoins volés sur MtGox n’étaient pas les seuls coins volés manipulés par Vinnik. Il y avait également des fonds volés provenant de Bitcoinica, Bitfloor et de plusieurs autres vols commis en 2011 et 2012.
  • Le dépôt des bitcoins volés provenant de MtGox est l’élément qui a permis d’identifier Vinnik. Le compte qu’il a utilisé sur MtGox était relié à sa vraie identité.
  • Il y a eu de nombreux autres vols et incidents expliquant d’autres fonds manquants sur MtGox.

Ayant identifié les transactions impliquant une grande partie des fonds volés sur MtGox, le blog wizsec a réussi à tracer et regrouper toutes les adresses impliquées, constatant rapidement que d’autres bitcoins volés étaient également transférés sur les mêmes portefeuilles.

Ci-dessous une illustration qui récapitule les flux des bitcoins volés :

Graphique interactif

Comme certains bitcoins ont été déposés sur MtGox, il a été possible d’identifier les comptes utilisés pour les recevoir. Deux comptes en particulier ont été visé. Ces deux comptes ont permis de faire un lien entre le vol de MtGox et l’identité de Vinnik.

Vinnik a également été impliqué dans un incident concernant des fonds volés sur Bitcoinica (visibles sur le graphique ci-dessus), ce qui a renforcé les soupçons de l’équipe de wizsec. Quand le nom de « Alexander Vinnik » est sorti pour la première fois, l’équipe a tout de suite pensé à un pseudonyme. L’arrestation suggère finalement que ce serait en réalité son vrai nom.

Pour être clair, cette enquête a permis d’identifier Vinnik comme le blanchisseur d’argent et non comme le pirate informatique coupable du vol sur MtGox.
Vinnik est cependant une pièce cruciale du puzzle et permettra peut-être de remonter jusqu’aux voleurs.
Les autorités vont maintenant prendre le relais pour poursuivre cette enquête sous tous les angles, ce qui nous conduira peut-être à l’identification des autres individus impliqués

Source : blog.wizsec.jp