Buzz
Việc Rò rỉ Dữ liệu Trao đổi Celsius Là Một Món Quà Đặc Biệt Cho Các Thám tử Tiền Điện Tử - và Những Tên Trộm
Bản chất Nghịch lý của quyền riêng tư của tiền điện tử là blockchain, cuốn sổ cái không thể thay đổi của tất cả các giao dịch của một loại tiền điện tử, đồng thời phục vụ cả làm bản đồ và mặt nạ: Bitcoin dễ theo dõi từ địa chỉ này đến địa chỉ khác. Nhưng chỉ có vài đơn vị, như các sàn giao dịch tiền điện tử cho phép người dùng giao dịch tiền điện tử của họ thành tiền tệ truyền thống, mới có thể phân biệt được các dãy số và chữ in khó hiểu trong những địa chỉ đó với danh tính thực tế trong thế giới thực. Vì vậy, khi một trong những sàn đó đột ngột rò rỉ một cơ sở dữ liệu người dùng nội bộ lớn trực tuyến, họ không chỉ làm đổ dữ liệu của riêng họ. Họ đã cung cấp một chìa khóa để giải mã một bộ sưu tập tài chính rộng lớn hơn nhiều.
Điều đó đã xảy ra vào tuần trước khi Celsius, một sàn giao dịch tiền điện tử đang đối mặt với sự phá sản, rò rỉ một bộ sưu tập lớn của dữ liệu giao dịch của người dùng thông qua một loại rò rỉ quyền riêng tư không bình thường: một bản khai tử tòa án. Là một phần của quy trình phá sản của mình - trong đó các chủ sở hữu của công ty bị buộc tội đã rút hàng chục triệu đô la crypto khỏi sàn giao dịch trước khi tiết lộ sự vỡ nợ của nó - các luật sư của công ty đã phát hành một tài liệu có vẻ bao gồm dữ liệu giao dịch của nửa triệu người dùng từ tháng 4 năm nay cho đến khi nó ngừng giao dịch vào tháng 6. Cơ sở dữ liệu đó đã được đăng tải tạm thời dưới dạng tệp PDF 14,500 trang lên trang web hồ sơ tòa án PACER trước khi bị gỡ xuống - nhưng không trước khi Gizmodo sao chép nó lên Internet Archive, nơi nó được tải về rộng rãi trước khi bị gỡ bỏ khỏi đó, nữa.
Dữ liệu rò rỉ bao gồm tên và chi tiết giao dịch của người dùng Celsius cùng với các ngày và số tiền của mỗi khoản thanh toán. Cơ sở dữ liệu không bao gồm địa chỉ tiền điện tử trực tiếp xác định người gửi và người nhận trên blockchain của tiền điện tử, nhưng các số tiền thanh toán độc đáo, chi tiết đến hơn một tá số thập phân ở nhiều trường hợp, vẫn làm cho việc phù hợp các thanh toán với hồ sơ blockchain là khả thi.
Tất cả những điều đó có nghĩa là sự rò rỉ từ Celsius mang đến một món quà hiếm có cho cả các chuyên gia và người theo dõi tiền điện tử nghiệp dư, cho phép họ không chỉ xem giao dịch của người dùng Celsius, mà còn xác định và theo dõi quỹ của những người dùng đó qua các blockchain. Điều đó có thể mở ra những khả năng mới để xác định những kẻ lừa đảo, hacker, hoặc bất kỳ người dùng bất hợp pháp nào có thể đã lợi dụng Celsius như một dịch vụ rút tiền cho những đồng coin không chính đáng. Nhưng đồng thời cũng mở cửa cho người dùng Celsius có thể bị lợi dụng bởi bất kỳ kẻ lừa đảo hoặc tên trộm nào lướt qua dữ liệu, kết nối nó với các tài khoản khác, và xác định quỹ tiền điện tử của họ như một mục tiêu dễ bị tấn công.
"Đây thực sự là một trong những vụ rò rỉ dữ liệu trao đổi tồi tệ nhất kể từ Mt. Gox," nói Nick Bax, trưởng nhóm nghiên cứu tại công ty tư vấn an ninh và công ty phục hồi tài sản Convex Labs. Nhưng ngay cả khi ông so sánh sự rò rỉ từ Celsius với vụ rò rỉ thảm họa từ sàn giao dịch Bitcoin Mt. Gox vào năm 2014, khi bị hacker phá sản và dữ liệu giao dịch của nó bị rò rỉ trực tuyến, ông cũng gọi đó là "một giấc mơ trở thành hiện thực đối với các nhà phân tích" tập trung vào theo dõi tiền điện tử.
“Bạn có thể tìm thấy số dư, tiền gửi và rút tiền của ai đó và sau đó tương quan tất cả điều đó với blockchain,” Bax nói. “Chúng ta có thể sử dụng nó vì mục đích tốt, nhưng nó cũng có thể bị lạm dụng hoàn toàn. Tội phạm đang xem xét điều này ngay bây giờ, tìm kiếm ai có số dư lớn nhất.” Một khi họ được xác định, Bax cảnh báo, những người giữ crypto giàu có này có thể bị nhắm mục bằng spear-phishing, lừa đảo và thậm chí là tống tiền vật lý.
Các nhóm theo dõi tiền điện tử trong lực lượng thực thi pháp luật, cơ quan qu regul chính phủ và các công ty tư nhân không nghi ngờ rằng họ đã theo dõi các luồng quỹ đi và đến từ Celsius, tìm kiếm thông tin họ cần trong nghiên cứu của mình. "Đây là dữ liệu chúng tôi sẽ tiếp thu, phân tích và có sẵn như một phần của cuộc điều tra của chúng tôi, và tôi nghi ngờ rằng người khác cũng sẽ làm vậy," nói Matt Edman, đồng sáng lập của startup bảo mật NAXO. Edman trước đây làm việc như một nhà thầu FBI tại Tổ chức Mitre, nơi ông đã giúp theo dõi tiền điện tử trong vụ án tội phạm của Ross Ulbricht, người sáng lập thị trường web tối Silk Road.
"Khi nói đến việc theo dõi tiền điện tử, việc theo dõi luồng quỹ thực sự không phải là phần khó khăn," Edman thêm. "Phần khó khăn trong những cuộc điều tra đó là sự quyết định - liên kết một địa chỉ hoặc giao dịch với một cá nhân. Đó là nơi các bộ dữ liệu như này trở nên quan trọng."
Celsius không đáp lại yêu cầu ý kiến từ MYTOUR.
Chỉ trong những ngày sau khi Celsius tiết lộ cơ sở dữ liệu trong hồ sơ tòa án, các nhà điều tra internet đã bắt đầu đăng thông tin từ dữ liệu. Một nhà theo dõi tiền điện tử độc lập nổi tiếng, có tên Twitter là ZachXBT, đã đăng chứng cứ từ rò rỉ rằng một người dùng và người ảnh hưởng của Celsius tên là Lark Davis đã quảng cáo Celsius sau khi rút ra số tiền crypto của mình trị giá 2,5 triệu đô la khỏi sàn giao dịch. (Davis không đáp lại ngay yêu cầu ý kiến của MYTOUR.) Trang web Celsiusnetworth.com đã khẳng định cho phép bất kỳ ai tìm kiếm dữ liệu về quỹ của cá nhân tại sàn giao dịch.
Trong khi đó, một nhà theo dõi tiền điện tử và nhà phát triển cho công ty tài chính phi tập trung Viper Labs, có tên Federico Notte, đã chuyển đổi tệp PDF từ đơn khai tử của Celsius thành một bảng tính và đăng một liên kết trên tài khoản Twitter công khai của mình. Anh ta cho biết với MYTOUR rằng anh ta hy vọng sử dụng cơ sở dữ liệu kết hợp với phân tích blockchain để tìm hiểu các giao dịch của các quỹ giao dịch lớn, với hy vọng học được chiến thuật của họ. "Điều này bạn chắc chắn có thể làm," Notte nói. "Điều này cũng là một vấn đề quan trọng về quyền riêng tư cho những người này."
Nhưng ngay cả khi các nhà phân tích và điều tra chính thức đào sâu vào dữ liệu, một số nhà theo dõi tiền điện tử nhấn mạnh rằng nó sẽ có giá trị nhiều hơn đối với tội phạm. "Lượng thông tin cá nhân thực sự là điều đáng sợ, thật sự," nói Thibaud Madelin, người dẫn đầu nghiên cứu tại công ty theo dõi tiền điện tử Elliptic. "Kẻ lừa đảo sẽ đang tìm kiếm danh sách này và họ sẽ biết người ta đã tiêu bao nhiêu, họ đã mất bao nhiêu, họ hy vọng kiếm lại được bao nhiêu."
"Họ độc ác," Madelin nói về những kẻ lừa đảo tiền điện tử đó. "Và điều này sẽ mang lại cho họ hàng ngàn cơ hội."
