Le braqueur de Silk Road trahi par son adresse IP
Pop-corn time
Le 08 novembre 2022 à 15h13
7 min
Droit
Droit
Le département de la Justice américain vient de révéler qu'un certain James Zhong avait reconnu avoir volé plus de 50 000 bitcoins à la célèbre place de marché Silk Road en 2012. Il avait caché son portefeuille dans une boîte de pop-corn rangée dans un placard de salle de bain.
La saisie des 51 676 bitcoins aurait eu lieu en novembre 2021, alors qu'ils valaient à l'époque plus de 3,36 milliards de dollars, contre « approximativement 620 000 dollars » en 2012, et 1,02 milliard au cours actuel. C'est la plus importante saisie de crypto-actifs de toute l'histoire de la justice américaine, et sa seconde plus grosse saisie financière :
« Plus précisément, les forces de l'ordre ont localisé 50 491,06251844 bitcoins : a) dans un coffre-fort situé au sous-sol ; et b) sur un ordinateur monocarte qui était caché sous des couvertures dans une boîte de pop-corn rangée dans un placard de salle de bain. »
En février dernier, la justice américaine avait en effet déjà annoncé l'arrestation d'un couple de New-Yorkais qui détenait les clefs du portefeuille où étaient stockés 3,5 milliards de dollars en bitcoins volés en 2016.
Les forces de l'ordre ont en outre récupéré lors de la perquisition 661 900 dollars en espèces, 25 pièces Casascius (bitcoins physiques) d'une valeur approximative de 174 bitcoins, 11,116 bitcoins supplémentaires, ainsi que quatre lingots d'argent d'une once, trois lingots d'or d'une once, quatre lingots d'argent de 10 onces et une pièce d'or.
Zhong a par ailleurs « volontairement cédé 1 004,14621836 bitcoins supplémentaires » aux autorités, et reconnu sa culpabilité le 4 novembre dernier. Il encourt une peine maximale de 20 ans de prison.
1,5 million de transactions, pour environ 9,9 millions de bitcoins
Trevor McAleenan, l'agent du fisc américain qui a mené l'enquête, explique dans sa déclaration sous serment (« affidavit »), avoir longuement analysé le fonctionnement de Silk Road. À l'instar des autres places de marché du « darkweb », Silk Road servait de tiers de confiance entre acheteurs et vendeurs, prélevant au passage une commission de 8 à 15 % de chaque transaction, en fonction de son montant.
Silk Road recourait également à un mixeur de crypto-monnaie censé empêcher le suivi des transactions individuelles par la blockchain Bitcoin, pour blanchir les bitcoins ayant permis la transaction.
Comme l'expliquait son wiki, Silk Road faisait en effet transiter les paiements « par le biais d'une série complexe et semi-aléatoire de transactions factices rendant presque impossible de relier votre paiement » aux bitcoins émanant du site. Et ce, quand bien même les adresses et portefeuilles Bitcoin des acheteurs et vendeurs étaient tous deux connus et identifiés.
Or, la saisie des serveurs de Silk Road en Islande par le FBI a permis à McAleenan d'accéder à sa base de données, comprenant des informations détaillées sur chaque transaction, « y compris la catégorie de produit vendu, le prix d'achat, à la fois en Bitcoin et en dollars américains, et la commission prise par Silk Road, également en Bitcoin et en dollars américains » :
« Entre le 2 février 2011 et le 2 octobre 2013, environ 1,5 million de transactions ont eu lieu sur Silk Road, impliquant environ 9,9 millions de bitcoins, ce qui a généré des commissions d'environ 640 000 bitcoins pour Silk Road. La grande majorité des transactions concernaient des stupéfiants illégaux. »
À l'époque, le site dénombrait 3 748 vendeurs enregistrés, et environ 115 391 acheteurs ayant effectué au moins une transaction. La base de données de Silk Road contenaient en effet les informations suivantes :
« registre comptable de toutes les activités, dépôts et retraits des utilisateurs ; informations de la blockchain sur les dépôts et les retraits, y compris quelles adresses de Silk Road appartiennent à quels utilisateurs ; informations sur les adresses Bitcoin ; informations sur les transactions Bitcoin ; litiges et résolutions entre vendeurs et acheteurs ; journal des erreurs ; codes cadeaux ; transferts internes ; messages privés entre utilisateurs de Silk Road ; informations sur l'expédition ; informations sur les comptes des utilisateurs, y compris les informations sur la création des comptes ; commentaires des utilisateurs ; historique des transactions, y compris les achats des utilisateurs ; favoris des utilisateurs ; articles à vendre des vendeurs ; et filtres de mots-clefs. »
Tourmenteur, ou Tor mentor
McAleenan explique s'être plus particulièrement intéressé, depuis 2019, au vol des 50 000 bitcoins effectué en septembre 2012, exploitant une vulnérabilité du système de traitement des paiements en bitcoins de Silk Road.
L'analyse de la base de données lui permit de découvrir qu'un utilisateur s'y était créé « environ 9 comptes ("2c0eed0345", "thetormentor", "suxor", "dubba", "gribs", "s1lky" et "imsh") ».
Après y avoir effectué des dépôts initiaux de 200 à 2 000 bitcoins par adresse, il avait enchainé une série de retraits « au cours de plus de 140 transactions effectuées en quelques jours », au point de transférer « au moins environ 50 000 bitcoins des adresses Bitcoin de Silk Road vers ses propres adresses, sans jamais fournir de biens ou de services en retour » et ce, en cinq jours seulement :
« À titre d'exemple, le 19 septembre 2012 ou aux alentours de cette date, l'individu 1, en utilisant le compte de fraude associé au nom d'utilisateur "thetormentor", a déposé 500 bitcoins dans l'une des adresses Bitcoin Silk Road de ce compte. Moins de cinq secondes après avoir effectué le dépôt initial, "thetormentor" a exécuté cinq retraits de 500 bitcoins en succession rapide - c'est-à-dire dans la même seconde - ce qui a entraîné un gain net de 2 000 bitcoins.
Dans les 24 minutes qui ont suivi, "thetormentor" a déposé 500 bitcoins supplémentaires sur l'adresse Bitcoin Silk Road du compte. Dans les 19 minutes qui ont suivi ce dépôt, "thetormentor" a de nouveau effectué trois retraits de 500 bitcoins -à nouveau dans la même seconde - ce qui a entraîné un gain net de 1 000 bitcoins. De cette manière, "thetormentor" a réussi à obtenir 3 000 bitcoins au total de Silk Road en une seule journée. »
Il avait ensuite transféré ces bitcoins de Silk Road et, le 24 septembre 2012, les avait « regroupés en deux montants de grande valeur, l'un d'environ 40 000 bitcoins et l'autre d'environ 10 000 bitcoins ».
Entre 2013 et 2020, le voleur transféra les bitcoins vers de nouvelles adresses, sans pour autant toucher à son pactole. L'analyse de la blockchain Bitcoin et l'examen de l'ordinateur de James Zhong révèlent qu'il n'aurait récupéré qu' « environ 750 BTC du produit du crime de Silk Road par le biais d'un mélangeur de bitcoins décentralisé au cours de l'année civile précédant la perquisition du 9 novembre 2021 ».
Il transfère 1 000 BTC sur un portefeuille associé à son adresse IP
Or, en 2020, le portefeuille de 10 000 BTC émanant du braquage de Silk Road fut transféré à 10 adresses contenant chacune 1 000 BTC, dont l'une était associée à l'adresse IP de l'ordinateur de James Zhong.
Le compte associé avait en effet été créé en mars 2017 depuis une adresse IP attribuée à James Zhong, et il s'y était depuis lors périodiquement connecté depuis cette même adresse IP.
L'analyse de l'ordinateur de James Zhong a par ailleurs permis de confirmer qu'il contrôlait bien les autres adresses associées au braquage des 40 000 et 10 000 BTC de Silk Road, explique McAleenan :
« Au cours de la perquisition, j'ai également récupéré dans le salon l'ordinateur portable d'Individu-1 contenant des grands livres détaillés expliquant les transactions en crypto-monnaies des actifs configurés en 40 000 et 10 000 blocs - la même configuration que les BTC qu'Individu-1 avait illégalement obtenus de Silk Road en septembre 2012 - impliquant le produit du crime de Silk Road. »
De plus, l'avocat de James Zhong a depuis confié aux autorités les mots de passe de son client, qui ont permis au fisc de confirmer qu'il contrôlait les portefeuilles en question.
Le 26 octobre 2022, James Zhong a accepté de plaider coupable, et de se voir confisquer par le fisc tous les crypto-actifs, dollars et lingots saisis à son domicile. Il devrait être fixé sur sa sentence le 22 février 2023, à 15 heures. Le département de la Justice ne donne aucune précision concernant le profil du braqueur, à l'exception de son âge : 32 ans.
Le braqueur de Silk Road trahi par son adresse IP
-
1,5 million de transactions, pour environ 9,9 millions de bitcoins
-
Tourmenteur, ou Tor mentor
-
Il transfère 1 000 BTC sur un portefeuille associé à son adresse IP
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/11/2022 à 15h49
Merci, très intéressant
Le 08/11/2022 à 16h31
il risque 20 ans de prison pour quoi exactement? il a volé Silkroad… ^^
Le 08/11/2022 à 16h41
Fraude informatique.
Ce qui est génial, c’est que les US retransfèrent l’argent comme appartenant a Silk Road dans le cadre du procès de Silk Road
Merci pour l’article Jean-Marc
Le 08/11/2022 à 16h47
Recel et blanchiment d’argent sale, en gros
Le 08/11/2022 à 17h03
+1
“pièces Casascius (bitcoins physiques) d’une valeur approximative de 174 bitcoins”
Je ne savais pas qu’il existait des bitcoins physiques. Et 1 pièce 174 BT
Le 08/11/2022 à 17h36
La pièce contient la clé d’un portefeuille bitcoin.
Il y a des pièces qui sont reliées a un nombre variable de bitcoin (jusque 1000btc il semblerait)
Le 08/11/2022 à 17h59
Merci!
Le 08/11/2022 à 16h46
L’Erreur de n00b…
Comme quoi, même 10 ans après un braquage, il y a moyen de se faire gauler
Le 08/11/2022 à 17h10
En fait, le FBI cherche à récupérer l’argent de SilkRoad pour le saisir, si j’ai bien compris (sinon l’article n’a aucun sens).
Le 08/11/2022 à 20h35
Sauf erreur il y a même eu des distributeurs de pièces bitcoin aux Emirats Arabes Unis. Mais ça a été très marginal. Aucune idée de comment ça marchait par contre, est-ce que la pièce contenait une valeur non nominative pouvant être ajoutée à un compte?
Le 09/11/2022 à 13h18
Sur aliexpress, la même pièce te coûte 2$.
C’est vraiment l’adresse gravée dessus qui a de la valeur. C’est un cold storage mais avec une skin plus sympa qu’une simple feuille de papier…
Le 09/11/2022 à 08h00
Ce que je comprends mal c’est comment un arnaqueur de ce niveau s’est laissé piéger par l’adresse IP de l’une de ses machines ?
Le 09/11/2022 à 09h38
Pour ne vraiment laisser aucune trace, il faut être absolument parfait et on sait que la perfection n’est pas de ce monde.
Et avec un enquêteur qui dispose d’assez de temps et de ténacité, on se fait forcément gauler
Le 09/11/2022 à 09h46
Un arnaqueur de quel niveau? C’est surtout le code de silkroad qui devait être horriblement horrible .
Je pense que le gars a juste littéralement spammé le bouton de transfert et s’est rendu compte qu’il a été crédité plusieurs fois.
Le 09/11/2022 à 09h56
Oui, il doit s’être rendu compte qu’il y avait une faille dans les requêtes et il a juste envoyé plusieurs demande de retransfert a la fois pour voir si ça passait vraiment.
Si ça fonctionnait pas, il récupérait juste son argent donc pas de danger.
Le 09/11/2022 à 11h30
Potentiellement aidé d’un script pour contourner la lenteur d’une interface graphique + humaine. “dans la même seconde” m’y a fait immédiatement penser.
Tout à fait.
En gestion de risques, pour quantifier celui d’une attaque dans une matrice associée, la probabilité est basée notamment sur la motivation & les moyens.
Niveau moyens, un acteur d’une taille équivalente à ceux étatiques est considéré comme en disposant d’une infinité.
La motivation est, elle, associée aux gains espérés (de différents types : image, principe, géopolitique, parfois pécuniaire). Ici, la somme en jeu a peut-être aidé, mais il ne faut pas sous-estimer la probabilité d’un enquêteur zélé qui arriverait à obtenir le champ libre sur une cible de son choix, y compris sans récupération pécuniaire in fine.
La cible devait certainement savoir que la saisie de Silk Road par un acteur étatique sonnait sa fin.
Et quand bien même il ne s’en doutait pas, il devait certainement vivre dans la crainte permanente que sa porte sonne… ou s’ouvre violemment à l’aube. Et s’il ne craignait pas (les imbéciles ont une vie heureuse), la piqûre de rappel vient d’être délivrée, pour lui, mais aussi pour les autres.
Le 09/11/2022 à 13h12
Le 10/11/2022 à 05h40
Je doute qu’il y ai une exception dans le code pénal pour savoir qui est sous sa protection et qui ne l’est pas. Du reste même si le vol n’était pas retenu, resterait le recel.
Le 10/11/2022 à 06h39
Ça pourrait être à la rigueur éthique mais jamais légal
Le 10/11/2022 à 10h45
Pour ma part j’ai compris dans l’article que c’étaient les 25 pièces qui avaient une valeur totale de 174 BTC, ce qui reste beaucoup de nos jours (mais je peux me tromper).