211service.com
Sitter med cyber-sleuths som spårar kryptovalutabrottslingar
Taggiga gula och blå former börjar fylla en skärm som spänner över en hel vägg i ett labb på Imperial College London. Formerna dyker upp från det tomma utrymmet när displayen pulserar och dansar. Visualiseringen är hypnotisk och förvirrande, men det är vettigt när du inser vad du ser. Jag ser Bitcoin-blockkedjan växa framför mig.
En trasig blå cirkel dyker upp och William Knottenbelt, en forskare vid college, ger livekommentarer. Här ser du någon som tar in Bitcoin och sedan betalar ut det till tusentals andra människor, säger han.
Den här historien var en del av vårt majnummer 2018
- Se resten av frågan
- Prenumerera
Så det här kan vara en gruvpool som betalar ut belöningar till de människor som har bidragit till att hitta några block. Han pekar på en nyfiken klunga av former på skärmen.
Ah, den här strukturen här är intressant, säger Knottenbelt. Flera blå cirklar dyker upp - fler utbetalningar till flera konton - men de är sammanstickade av en korsning av gula linjer. Det ser ut som om någon klottrade på displayen med en Sharpie.
Vad Knottenbelt just har märkt kan vara det första beviset på en sofistikerad brottsling på jobbet.
En industri har vuxit fram för att hjälpa till att slå tillbaka. Nya kriminaltekniska verktyg tillåter myndigheter att följa pengarna genom kryptovalutanätverk som visar sig vara mycket mindre privata än vad deras grundare hoppades. Precis som kameror med slutna kretsar förvandlade bankrånare från berömda brottslingar till lättfångade rubes, hoppas forskarna att deras framsteg kan förvandla anonyma tjuvar till kända fångar och göra kryptovalutavärlden säker för den genomsnittliga kunden.
Möjligheterna inom kryptokriminalitet
Om du inte har det bra, kryssar kryptovalutor i många rutor. Det enda som binder dig till ett konto i Bitcoin eller Ethereum eller NEM eller tusen andra kryptovalutasystem är en adress, vanligtvis en slumpmässig sträng av bokstäver och siffror. Du kan ha hur många adresser du vill och i princip finns det inget självklart sätt att knyta ihop dem eller identifiera deras ägare. Dessutom kan pengar på dessa konton överföras utan mellanhänder och över internationella gränser lika enkelt som att skicka ett e-postmeddelande.
Istället för att möta dig på en mörk parkering för att lämna över en resväska med pengar kan jag sitta med en bärbar dator på en balkong i Monaco, säger Jeffrey Robinson, undersökande journalist och författare till 30 böcker om ekonomisk brottslighet, bl.a. BitCon: Den nakna sanningen om Bitcoin .

William Knottenbelt, en forskare vid Imperial College London, säger att jag inte tror att det kommer att hjälpa någon att förbjuda någonting. Thomas Angus, Imperial College London
Smarta brottslingar tar till sig de nya möjligheterna. En studie från 2018 av startupen Elliptic för blockkedjeanalys och Center on Sanctions and Illicit Finance, en amerikansk tankesmedja, fann en femfaldig ökning av antalet storskaliga illegala operationer som arbetar med Bitcoin-blockkedjan mellan 2013 och 2016. Genom att analysera historien om mer än 500 000 bitcoins identifierade de 102 kriminella enheter – inklusive mörka webbmarknadsplatser, Ponzi-system och angripare av ransomware – och visade att många av mynten i deras studie kunde kopplas tillbaka till dem.
Nittiofem procent av alla tvättade mynt som spårades av studien kom från bara nio mörka webbmarknader, inklusive Silk Road, Silk Road 2.0, Agora och AlphaBay. Dessa är ökända onlinebasarer där en person kan köpa förbjudna varor som droger och vapen och betala för tjänster som prostitution eller mord för uthyrning. På den mörka webben kan man till och med köpa juridisk rådgivning, säger Robinson. Det finns advokater där nere som är villiga att ta Bitcoin för att berätta hur du undviker att bli fast med Bitcoin.
Även andra typer av organiserad brottslighet växer fram. Hackare har anammat Bitcoin som deras val av betalning för ransomware-attacker. Sådana attacker ökade under 2016, med nästan 16 procent av de smutsiga mynten kopplade till utbrott av skadlig programvara som Locky. Trenden fortsatte under 2017 med WannaCry och NotPetya, som höll gisslan datorsystem på sjukhus och företag över hela världen. I mars i år gjordes kommunala förvaltningssystem i Atlanta oanvändbara av en ransomware-attack vars förövare krävde cirka 51 000 dollar i Bitcoin.
Kryptokriminalitet infekterar till och med offlinevärlden. De senaste månaderna har sett en uppsjö av verkliga stopp där offren tvingades lämna över kontouppgifter med knivspets. Plötsligt, om du har mycket krypto, är du i fysisk fara, säger Imperial Colleges Knottenbelt.
Kryptokriminalitet infekterar till och med offlinevärlden. De senaste månaderna har sett en uppsjö av verkliga stopp där offren tvingades lämna över kontouppgifter med knivspets.
Och ändå, eftersom varje Bitcoin-transaktion registreras i en distribuerad offentlig reskontra, kan illa vinningsbara vinster spåras. Vem som helst kan ladda ner hela transaktionshistoriken för Bitcoin – som för närvarande väger runt 160 gigabyte – och undersöka den, eller använda en webbplats som Blockchain.info eller Block Explorer för att kolla in den i en webbläsare.
En sådan analys hjälpte till att reda ut ett stort rån. 2014 hackades Mt Gox, då den största Bitcoin-börsen i världen, av okända tjuvar som stal 850 000 bitcoins, då värda mer än 450 miljoner dollar.
När Mt. Gox gick i konkurs, anlitade dess förvaltare ett kriminaltekniskt team för att hjälpa till att hitta de saknade mynten. Det de hittade var en enda röra. Mt. Gox förstod inte hur många bitcoins de var skyldiga folk och hur många bitcoins de faktiskt hade tills de märkte att de var borta, säger Jonathan Levin, som ledde utredningen. Levin och hans team spårade så småningom medlen till en börs som heter BTC-e, där spåret blev kallt.
Även om de inte kunde få tillbaka de flesta av de saknade mynten, gav den undersökningen oss idén att utveckla ett verktyg som andra människor kunde använda, säger Levin. Hans företag Chainalysis, född av den ansträngningen, bygger verktyg för bitcoin-företag som vill förstå sina kunder bättre och för brottsbekämpande myndigheter som söker brottslingar. Andra företag, som Block Seer och Elliptic, erbjuder liknande verktyg och tjänster.
Enligt Tom Robinson, medgrundare och dataansvarig för Elliptic, använder majoriteten av världens Bitcoin-börser företagets programvara för att screena transaktioner. Den kontrollerar om de kan kopplas till ransomware-plånböcker, mörka marknadsplatser eller stöld, till exempel. Elliptic har hjälpt till att tillhandahålla bevis i flera brottmål, inklusive ett som involverade en man som köpte delar till AR-15 automatiska gevär på det mörka nätet och en handfull drogbyster.
Sedan företaget grundades för fem år sedan, uppskattar Robinson, har Bitcoin-transaktioner till ett värde av en biljon dollar undersökts med hjälp av dess programvara – även om det bara har skett cirka 300 miljarder dollar i Bitcoin-transaktioner någonsin. Det beror på att vissa transaktioner granskas flera gånger; Elliptic rekommenderar att sina kunder gör om analyser på äldre transaktioner eftersom information om osäkra konton uppdateras hela tiden. Du måste fortsätta kolla, säger Robinson.
Robinson kommer inte att namnge sina klienter, men en snabb sökning på USAspending.gov avslöjar att de inkluderar US Drug Enforcement Administration, Internal Revenue Service, FBI och Immigration and Customs. Chainalysis arbetar med dessa och fler, inklusive finansiella tillsynsmyndigheter som SEC. Chainalysis säger också att Europol och mer än hälften av polisstyrkorna i Europa använder dess programvara.
Det amerikanska finansdepartementets intresse för blockkedjan återspeglar det faktum att kryptokriminalitet inte är begränsad till myntrån och svarta marknader. Det handlar också om bedrägerier och skatteflykt. Det här kommer att bli ett intressant skatteår, säger Jeffrey Robinson. Det är första gången i USA där de slår ner på Bitcoin-utbyten i skattesyfte.

Sarah Meiklejohn och kollegor utvecklade tekniker 2013 som mycket av dagens kryptovalutaanalys bygger på. Andrew Testa
Hur man spårar det ospårbara
Mycket av vad dessa företag gör bygger på tekniker som introducerades av Sarah Meiklejohn, då vid University of California, San Diego, och hennes kollegor 2013. Grundidén är enkel. Genom att undersöka blockchain-aktiviteten noggrant kan du upptäcka konton som verkar tillhöra samma Bitcoin-plånbok och därmed kontrolleras av samma enhet. Processen är känd som klustring. Flera adresser som initierar samma transaktion kan börja se ut som att en person eller organisation konsoliderar mindre pengar till en större pott, till exempel. Ett annat tydligt tecken är när ändring från en Bitcoin-transaktion dirigeras tillbaka till ett annat konto än det där pengarna började. Med tiden löser sig kaoset i regelbundna mönster.
När flera konton har länkats till samma ägare kan du försöka ta reda på vem den ägaren är. Att länka Bitcoin-konton till verkliga identiteter är möjligt eftersom information tenderar att läcka ut. Reglerade kryptovalutabörser – i allmänhet de i USA eller Europa – måste följa känn din kund- och anti-penningtvätt-regler, som kräver att människor lämnar över identifiering innan de använder deras tjänster. Vissa människor är till och med så slarviga att de lägger upp sina förment privata Bitcoin-adresser i onlineforum. Vad folk glömmer är att blockkedjan bara är hälften av ekvationen, säger Knottenbelt.
Chainalysis och Elliptic använder nu maskininlärning för att hjälpa klusteradresser. Snart kan det till och med vara möjligt för en AI att övervaka blockkedjor i realtid.
Datavisualiseringen i väggstorlek på Imperial College är ett steg mot det. Den blå-gula härvan som fångade Knottenbelts blick var ett mynttumlande nätverk, en sekvens av transaktioner som medvetet utformades för att göra det svårare att spåra enskilda mynt. Det är som att släppa pengar i en burk, skaka om dem och sedan ta ut dem igen: beloppet ändras inte, men det är svårt att säga vilket mynt som var vilket. Effekten är ungefär densamma som om du flyttar pengar genom en bank på en plats som Caymanöarna, där det finns strikta sekretesslagar kring bankverksamhet.
Att ligga steget före
Men tumlare är inte nödvändigtvis ett tecken på kriminell aktivitet. Vissa människor gör det bara av integritetsskäl, säger Knottenbelt. Och det finns i alla fall bättre sätt för brottslingar att täcka sina spår. När gränserna för Bitcoins integritet blir mer uppenbara, flyttar människor till nya kryptovalutor, som Zcash och Monero, som avslöjar nästan ingenting om transaktionerna som registreras på deras blockkedjor.
Zcash använder ett så kallat noll--kunskapsbevis för att verifiera transaktioner. Detta är ett matematiskt sätt att bekräfta att en transaktion ägt rum utan att avslöja någon information om vem som var inblandad eller hur mycket som överfördes. Zcash låter dig också lämna tillbaka mynt och få nya mynt utvunna, vilket motsvarar att byta in dina markerade räkningar mot rena på banken.
Relaterad berättelse
Relaterad berättelse Förra septembers officiella restriktioner har släppt lös en våg av innovationer under radarn.Monero är samtidigt ett stort tumlande nätverk. När du vill överföra mynt blandas din adress in med en massa andra så att ingen kan se vem som spenderade pengarna.
Zcash och Monero tar verkligen integriteten till nästa nivå. Men det betyder inte att de aldrig kommer att ge upp sina hemligheter. Meiklejohn påpekar att slarvigt användarbeteende, som att lägga upp din privata adress i forum, återigen kommer att lämna efter sig tydliga spår, precis som med Bitcoin.
Dessutom ger Monero användarna möjligheten att utföra transaktioner utan några förvirrande mynt inblandade. Detta tar bort integriteten för den specifika transaktionen och lägger till ett sätt för forskare att genom en elimineringsprocess reda ut alla blandare som sedan inkluderar dessa mynt. Malte Möser vid Princeton University och kollegor uppskattar att 62 procent av indata till Monero-transaktioner är sårbara för denna analys. När användare av Zcash och Monero börjar blöda ledtrådar kommer sådana som Meiklejohn och Möser att vara redo.
Det kanske största problemet för brottsbekämpande myndigheter är dock det stora antalet oreglerade utbyten, där brottslingar kan torka bort spåren av sin stöld genom att tvätta den stulna kryptovalutan till andra former av rikedom. Många börser trotsar reglering av princip: sådana som BTC-e och konverteringstjänsten Shapeshift, till exempel, säljer sig själva på löftet om att inte be om någon identifiering från sina användare. Shapeshift-grundaren Erik Voorhees är särskilt uttalad om de politiska konsekvenserna av reglering.
Säkerhets- och kryptovalutaforskaren Ross Anderson vid University of Cambridge, Storbritannien, hävdar att dessa utbyten frodas delvis för att lagar är ineffektiva. Problemet med anti-penningtvätt generellt är att ingen vill att det ska göras rätt, säger han. Om du är en stadsbank vill du inte veta att John Gotti är en kund, och därför skulle banker aldrig tolerera en lag som säger att den som bankar maffian kommer att hamna i fängelse. Om det är så världen fungerar, varför skulle kryptoutbyten vara annorlunda?
Banker och finansiella företag experimenterar med att använda kryptovaluta för att skapa smidigare betalningssystem. Men tekniken stöder också en ny generation av olaglig verksamhet, ger nya sätt att stjäla, utpressa, begå bedrägerier och bryta internationella sanktioner.
Andersons cynism om myndigheternas vilja att agera har fått honom att formulera en plan för att själv ta ner kryptokriminaliteten. Han skapar vad han kallar en taintchain - en offentlig lista över bitcoins med tydliga kopplingar till kriminell aktivitet. Det jag ska göra är att publicera en lista över alla stulna Bitcoin och programvaran du behöver för att generera den så att alla kan kontrollera det själva, säger han. Börsarna skulle då tänka två gånger på att hantera stulna mynt.
Även om regleringen var striktare är det dock inte klart att det skulle göra någon skillnad. Jag tror inte att förbjuda någonting kommer att hjälpa någon, säger Knottenbelt. Att driva tekniken under jorden, menar han, kommer helt enkelt att innebära att transaktioner kommer att döljas snarare än att sändas öppet på internet, vilket gör det ännu svårare för forskare som Meiklejohn att analysera penningflödena och hitta tjuvarna.
Överraskande nog visar sig Meiklejohn själv inte oroa sig för mycket över reglering – eller bristen på den. När du väl har isolerat problemet till dåliga börser som fungerar utanför typiska jurisdiktioner, då har du liksom vunnit, säger hon. Ta BTC-e, en börs baserad i Ryssland som var känd för att ha tagit mycket kriminella pengar. Många ransomware-operatörer verkade nästan uteslutande använda BTC-e. Det var också där de saknade Mt. Gox-medlen senast sågs innan spåret försvann.
Men i juli 2017 lades det ner. Amerikanska myndigheter grep personal och beslagtog datorer i ett av börsens datacenter, och Alexander Vinnik, dess misstänkta operatör, greps. De skulle helt klart inte svara på stämningar, säger Meiklejohn. Å andra sidan är detta något som brottsbekämpande myndigheter är väl medvetna om hur de ska hantera.
Meiklejohn ser hennes arbete som att destillerar kryptobrott till den typ av brott som är bekant för brottsbekämpande myndigheter. Beväpnad med ledtrådar från Elliptic och andra kommer den goda gammaldags polisen då att göra det den är bäst på.
Det största cyberrån i historien
Än så länge ligger cyberbrottslingarna fortfarande ett steg före. Även om forskare nu kan se stölder av kryptovalutor i blockkedjenätverk ske i nära realtid, kan de inte ansluta dem till den verkliga världen tillräckligt snabbt för att stoppa även monumentala kapris.
Det största cyberrån i historien inträffade klockan 03.00 japansk tid på en januarimorgon i år. Någon, eller mer sannolikt någon, kom undan med en digital valuta för mer än en halv miljard dollar som heter NEM från den Tokyo-baserade kryptovalutabörsen Coincheck. Ingen på börsen slog larm förrän vid lunchtid, och de skyldiga fick ett åtta timmar långt försprång.
När nyheterna äntligen nådde NEM Foundations vicepresident Jeff McDonald i Tulsa, Oklahoma, gick han direkt till kedjan. Pengarna hade tagits från en mjukvaruplånbok ansluten till internet - ett osäkert förvaringsskåp som Coincheck säger att det bara använde på grund av ett fel någon annanstans i sitt system. Det är i princip som att lämna ut sitt bankomatkort med PIN-numret skrivet på det, säger Alexandra Tinsman, NEM Foundations kommunikationsdirektör. Alla de 523 miljoner stulna mynten kanaliserades först genom ett enda konto innan de delades upp mellan flera andra.
För att hindra tjuvarna från att ta ut sina byten till en fiatvaluta skyndade sig NEM-teamet för att flagga för de stulna mynten och sätta växlarna i beredskap. Dagen efter hacket hade NEM-teamet identifierat och publicerat adresserna till 11 konton där pengar hade hamnat. Var och en var märkt med en tagg som läser coincheck_stolen_funds_do_not_accept_trades : owner_of_this_account_is_hacker. Men eftersom de inte visste vem som ägde kontona kunde NEM-teamet inte göra mycket mer än att försöka blockera utgångarna.
En väntande lek följde. Till en början kunde tjuvarna inte lösa ut de stulna mynten från NEM-nätverket, utan flyttade runt dem. Dessa rörelser var alla synliga på den offentliga blockkedjan. NEM-teamet spårade mynten till Kanada och såg sedan hur några av dem återvände till Japan. Men även om NEM aldrig tog blicken från de markerade lapparna kom tjuvarna ändå undan. Till slut kunde de ta sig till en oreglerad börs och ta ut minst hälften av de stulna mynten. I mars meddelade NEM-teamet att de gav upp jakten.
Störd av den massiva stölden meddelade Coincheck att de inte längre skulle handla med Zcash, Monero eller Dash, en annan anonym valuta. Det är bland de första börserna som klippte bort dessa mynt.
Coinchecks drag är en del av ett större försök att skapa lag och ordning till denna nya gräns för pengar. Den amerikanska regeringen leker med tanken på att skapa en svartlista över kryptovalutaadresser som är förknippade med kriminella grupper, som terrorister, narkotikasmugglare och sanktionsförbrytare. En möjlighet är att det skulle bli olagligt att hantera svartlistade adresser.
NEM-tjuvarna har rymt tills vidare. Men framtida teknik kan fånga dem ännu. När de kriminaltekniska teknikerna och verktygen blir bättre kommer tidigare förbisedda bevis att dyka upp som DNA-spår på en år gammal brottsplats. Varje gång myndigheterna stänger av en Silk Road eller BTC-e, sänder det en signal, säger Jeffrey Robinson: De kommer att få resten av dem, en efter en.
Douglas Heaven är en frilansskribent baserad i London.
