Перевод Отслеживание транзакций Monero, связанных с WannaCry 2.0

Тема в разделе "Статьи", создана пользователем Mr. Pickles, 29 окт 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    995
    Симпатии:
    249
    Контрибьюторы: Николас А. Бэкс (Nicolas A. Bax), кандидат наук, и анонимный контрибьютор

    Недавно всплыли слайды, принадлежащие Chainalysis. Среди них были такие, где утверждалось, что были отслежены транзакции Monero, связанные с вредоносным программным обеспечением WannaCry 2.0. Это произошло, когда они конвертировались обратно в прозрачные блокчейны BTC и BCH. Здесь я демонстрирую, как при помощи публично доступной информации были отслежены средства, полученные в результате применения WannaCry 2.0.

    Coindesk более подробно прокомментировали содержимое слайдов, а также ту новую информацию, которая была представлена в них. В данном случае я уделю основное внимание конкретному заявлению, связанному с Monero. Согласно переводу этих слайдов, размещённому на Twitter, Chainalysis, утверждают что способны отслеживать транзакции Monero, непосредственно связанные с атакой, которая была проведена с использованием вымогательской программы WannaCry 2.0. В переводе буквально сказано следующее: «Wannacry 2.0: средства переводились из BTC в XMR и обратно в BTC и BCH через 3 месяца». Я покажу, как можно отследить транзакции с переводом средств из BTC в XMR, а затем в BCH при помощи общедоступных блок-эксплореров и API.
    Насколько мне известно, это первый публичный пример отслеживания транзакций Monero, созданных с использованием протокола RingCT, в реальном мире. Примеры реального отслеживания Monero публиковались и ранее в 2017 году М. Мёзером и др. (Möser, M., et al) [1]. Тем не менее в данной работе говорилось о транзакциях Monero, которые были созданы до введения протокола конфиденциальных транзакций (RingCT), который стал техническим прорывом, значительно повысившим уровень приватности транзакций Monero за счёт сокрытия переводимой суммы XMR [2]. Данный метод использует тип атаки под названием «Ив-Элис-Ив» (Eve-Alice-Eve (EAE)), хорошо описанный в работе [3], и который стало проще реализовать «благодаря» криптовалютной бирже, допустившей утечку данных о входящих и исходящих транзакциях.

    В силу технического характера обсуждаемой темы, целевой аудиторией настоящей статьи являются те люди, кто знаком с тем, как отслеживаются другие криптовалюты, такие как Bitcoin.

    2.png

    В переведённом тексте указанных выше слайдов говорится об отслеживании перевода средств, полученных в результате применения WannaCry 2.0, из BTC в XMR и обратно в Bitcoin Cash (BCH).

    Вредоносная программа WannaCry

    В мае 2017 года сотни и тысячи компьютеров по всему миру были заражены вымогательской программой WannaCry 2.0. Оценённый ущерб составил от сотен миллионов до миллиардов долларов [4]. Вредоносное программное обеспечение требовало от владельцев заражённых компьютеров отправить Bitcoin на один из трёх адресов Bitcoin в обмен на расшифровку их файлов. В предварительных отчётах фирм, занимающихся вопросами кибербезопасности, говорилось о том, что вымогательская программа принадлежала северокорейской Lazarus Group. Далее в данной статье я буду называть злоумышленников, которые проводили эти транзакции, Lazarus.

    Многим известна вредоносная программа WannaCry и не только из-за масштаба атаки, но и из-за истории британского исследователя подобных программ Маркуса Хутчинса (Marcus Hutchins), которому удалось остановить атаку, обнаружив «воронку», которая выполняла функцию разрыва соединения. Позднее он был арестован ФБР по обвинению, которое поставило в тупик многих наблюдателей, и в конечном счёте приговорён к тюремному заключению на срок, который уже отсидел, и освобождён, но с условием одного года нахождения под надзором [5]. Люди, которые интересуются киберпреступлениями, до сих пор спорят, был ли WannaCry 2.0 выпущен намеренно или же это была утечка в ходе разработки, что периодически случается с червями.

    Отслеживание перевода Bitcoin, полученных путём применения WannaCry, в Monero

    Вредоносная программа WannaCry впервые появилась в мае 2017, и первые два с половиной месяца после её появления размер вымогаемой суммы составлял примерно 52 BTC. 3 августа 2017 года BTC начали переводиться между множеством различных адресов Bitcoin. В сентябре 2017 компанией Neutrino (позднее приобретённой Coinbase) была опубликована статья, в которой было описано, как Neutrino использовали свои «возможности P-Flow», чтобы отследить BTC, полученные путём применения WannaCry, когда их переводили в Monero. Это было сделано месяцем ранее 3 августа 2017 [5]. Такая форма обфускации криптовалюты известна в индустрии как «смена блокчейнов» (chain hopping). При реализации такого сценария некто пытается скрыть источник или адресата, которому передаются криптовалютные токены, путём их перевода в приватную криптовалюту (и это практически всегда Monero) [6]. Некоторые переводы BTC в XMR осуществлялись через криптовалютную биржу ShapeShift, которая в то время не требовала от пользователей указания адреса их электронной почты или какой-либо другой личной информации (вместе с тем ShapeShift также регистрировала IP-адрес и данные агента пользователя) [7].

    Воспользовавшись информацией из статьи Neutrino и API ShapeShift, я составил список всех депозитов BTC, полученных при помощи WannaCry 2.0 и соответствующих исходящим транзакциям XMR. Повторение части анализа, связанной с BTC, я оставляю в качестве «упражнения» для читателя.

    Как отследить транзакции Monero, связанные с WannaCry 2.0

    Шаг 1: маркировка отслеживаемых выходов

    На данном этапе анализа у нас имеется список транзакций Monero, которые были отправлены ShapeShift лицу, положившему на депозит BTC, связанные с WannaCry, то есть с Lazarus.

    3.png

    На скриншоте части файла wannashift.json, размещённом на GitHub, показана сумма XMR, отправленная биржей ShapeShift, а также идентификатор (ID) исходящей транзакции.

    Давайте на приведённом ниже скриншоте xmrchain.info поближе рассмотрим первую исходящую транзакцию ShapeShift в XMR. Подобно Bitcoin, Monero использует модель UTXO. Каждая транзакция использует непотраченные выходы транзакций (UTXO) в качестве входов и отправляет выходы. Какое-либо обозначение выходов транзакций Monero отсутствует. Я называю их TXO, если слово используется в качестве существительного, и пишу outputs, если это глагол.

    В отличие от прозрачного блокчейна Bitcoin, где довольно просто можно увидеть публичные адреса, на которые принимаются средства, адрес получения транзакции Monero невозможно правильно идентифицировать, если использовать только лишь публично доступные данные блокчейна. Тем не менее можно по мелочам собрать некоторую полезную информацию. В данном случае в первую очередь я сфокусировал внимание на целочисленных идентификаторах TXO. Как показано на рисунке ниже, нам известно, что у транзакции имеется три TXO: [1823678, 1823679, 1823680]. Как и в случае с большинством транзакций Bitcoin, большая часть транзакций XMR отправляется с двумя или большим количеством TXO. Один из этих TXO обычно является «выходом сдачи (TXO)», который возвращается отправителю транзакции. Остальные TXO отправляются получателю. В нашем случае это Lazurus *.
    4.png

    Одна из транзакций, отправленных ShapeShift группе Lazarus после перевода украденных BTC в XMR. На этом этапе нам известно, что XMR, отправленные по выходам в лиловом квадрате, контролируются либо ShaprShift (TXO сдачи), либо Lazarus.

    Мною были собраны TXO для всех транзакций от ShapeShift (Таблица 1). И снова, Monero, представленные этими TXO, контролируются либо ShapeShift, либо Lazarus.

    5.png

    Исходящие транзакции XMR от ShapeShift. На этом этапе мы можем быть уверенными в том, что, по крайней мере, один TXO в каждой транзакции в колонке «Выходы» (Outputs) перешёл к Lazarus, и один TXO — к ShapeShift в качестве TXO сдачи. В большинстве случаев существует третий TXO, который мог уйти либо к Lazarus, либо к ShapeShift (позже мы узнаем, что он всегда уходил Lazarus).

    Шаг 2: идентификация транзакций, в которых были потрачены помеченные TXO

    В отличие от транзакций Bitcoin при проведении RingCT транзакций Monero генерируется «кольцевая подпись», скрывающая реальный вход транзакции, который тратится среди нескольких фальшивых «ложных» входов, любой из которых предположительно может быть реальным TXO, который тратится. Количество ложных входов, включаемых в транзакцию помимо реального входа, называется «размером кольца», и на момент рассматриваемых транзакций отправитель транзакции мог произвольно выбирать его (позднее размер был жёстко закодирован и стал составлять 11, то есть, 10 ложных и 1 реальный TXO). На рисунке ниже показаны части скриншота транзакции по xmrchain.info. Нельзя потратить TXO, не включив его в кольцо, и один из участников кольца в каждом кольце обязательно контролируется отправителем транзакции. Другие участники кольца являются ложными. На скриншоте видны «скрытые адреса» каждого TXO. Тем не менее, эти TXO также имеют сответствующий целочисленный идентификатор или «индекс» (Таблица 1).

    6.png

    Скриншот транзакции, в которой тратится всего 7 входов. Показаны первые два входа и их кольца. Каждый вход имеет отдельное «кольцо», состоящее из одного TXO, который тратится, и 4 ложных. Один из участников кольца обязательно будет реальным TXO, который тратится. Со стороны каждый из участников кольца с равной вероятностью может быть реальным TXO, используемым в качестве входа.

    Следующий шаг анализа заключается в идентификации транзакций, в которых тратятся TXO, которые были помечены как принадлежащие либо ShapeShift, либо Lazarus. Для этого мною была создана база данных, содержащая каждый RingCT TXO в блокчейне Monero, а также каждая транзакция/кольцо, включающие TXO в качестве участника кольца. Упрощённая версия этой базы данных имеет следующий формат: TXO,[список TXID].

    Затем я просто произвёл поиск каждой транзакции, в которую в качестве участников кольца входили помеченные TXO. Пример списка некоторых из этих транзакций приводится ниже:

    7.png

    В транзакциях, выделенных жирным шрифтом, было потрачено по 2 или более TXO, помеченных на основе транзакций Lazarus BTC → ShapeShift → XMR. Выделенный жирным TXID, начинающийся с 9e0476, является примером ложно позитивного идентификатора (см. концевые сноски).

    Мой код выявил 4 транзакции, содержащие более одного помеченного TXO в кольце. Три из этих транзакций были проведены примерно в одно и то же время, 17 августа, примерно через две недели после транзакций BTC → ShapeShift → XMR (03.08.17). Данный анализ использует вариант ранее описанного «эвристического анализа объединённых выходов» [9]. Эти транзакции могли принадлежать ShapeShift и объединять TXO, а могли принадлежать Lazarus и тратить помеченные TXO, или же они могли быть абсолютно не связанными с ними и являться просто случайными **. Фактически, одна из 4 идентифицированных транзакций казалась промахом ***. Три правильных попадания показаны в Таблице 2. В случае с одним из попаданий было потрачено 2 помеченных TXO, а также два входа, которые мы не пометили. При проведении второй транзакции было потрачено 5 помеченных TXO и два не помеченных TXO. Источником неизвестных TXO могла быть биржа Changelly, которую злоумышленники из Lazarus использовали помимо ShapeShift. В отличие от ShapeShift, API Changelly не позволяет с такой лёгкостью получить информацию об исходящих транзакциях, несмотря на то, что, предположительно, правоохранительные органы имеют доступ к их TXID.

    8.png

    Три транзакции, в которых было потрачено множество помеченных выходов, были связаны с ShapeShift транзакциями Lazarus, равно как и выходы (TXO) этих транзакций.

    Точная статистика, используемая для определения того, были ли реально потрачены помеченные TXO в транзакции или же это просто очередной промах, не охвачена темой данной статьи и не нужна нам в этом случае. Вот пример «салфеточной математики», объясняющей, почему, вероятно, эти транзакции были включены случайно:
    Если кратко, несмотря на то, что это «вероятностный» анализ, вероятность того, что 7 помеченных TXO будут случайно выбраны в качестве ложных в транзакции, содержащей только 7 входов, астрономически мала.

    Я называю транзакции, указанные в Таблице 2, «транзакциями объединения», поскольку в них выходы объединяются в то, что может быть новым кошельком, все TXO ShapeShift. Это также может быть неудачной попыткой произвести так называемое вспенивание. Транзакции объединения примечательны тем, что в них имеется более двух TXO; на момент проведения этих транзакций двумя наиболее популярными кошельками были GUI-кошелёк Monero и Cake Wallet, и они генерировали только транзакции с двумя TXO (1 TXO сдачи и 1 TXO, который отправлялся получателю транзакции), но теперь допускается наличие до 15 получателей. Поскольку в транзакциях объединения имеется более 2 TXO, вероятнее всего, они были созданы при помощи кошелька с поддержкой командной строки, то есть CLI-кошелька Monero, которым не пользуются новички.

    Шаг 3: мы идентифицировали некоторые транзакции, связанные с Lazarus. Что дальше?

    Я не знаю, почему транзакции объединения Lazarus выводили 4 или 8 TXO, а не 2, как это было задано по умолчанию. Это сильно упрощает отслеживание средств, поскольку теперь у нас есть 20 TXO, связанных с Lazarus, если сравнивать всего с 6, при проведении 3 транзакции вспенивания с 2 TXO в каждой. Как и на предыдущем этапе, я произвёл поиск в блокчейне на предмет наличия транзакций, которые бы включали помеченные TXO из транзакций объединения.

    Я изучил транзакции, в которых тратились помеченные TXO, и заметил кластер транзакций, которые проводились примерно в одно и то же время, 2 ноября 2017 — примерно через 3 месяца после изначальных транзакций BTC → ShapeShift → XMR.

    Ранее я обещал читателю коснуться EAE атаки: первым шагом «Ив» было получение исходящих TXID от ShapeShift. Затем нами были идентифицированы транзакции объединения Lazarus (Элис). А теперь настало время для второго трюка «Ив»:

    API ShapeShift не требует аутентификации и позволяет любому запрашивать статус депозита у ShapeShift, просто предоставив уникальный адрес депозита, созданный для пользователя ShapeShift (см. концевую сноску §: ShapeShift исправила ошибку, допускающую утечку данных, благодаря этой статье). Теперь некоторые читатели могут подумать: «Минуточку! Разве ты не говорил, что нельзя идентифицировать скрытые адреса депозитов Monero, используя только данные блокчейна?» - ответ на этот вопрос будет утвердительным. Однако до ноября 2019 API ShapeShift не использовал адреса Monero для своего API. Вместо этого использовались необрезанные 32-байтные идентификаторы платежей. Эти идентификаторы платежей прозрачны и их легко выделить из данных блокчейна. А это означает, что все депозиты XMR на ShapeShift, которые использовали 32-байтные идентификаторы платежей, и связанные с ними транзакции вывода средств, попадающие в прозрачный блокчейн, можно было легко увидеть, и эту информацию можно считать публичной ****.

    Пример одной такой транзакции депозита XMR и запрос API приведены ниже с выделением ID платежа. По запросу API ShapeShift позволял увидеть, что отправитель (в данном примере это Lazarus) разместил на ShapeShift 60 XMR и вывел около 8,55 BCH на адрес 13tz3oD75Y4jcGds6rPJawnxHjXduTmpap.

    9.png

    Пример запрос API ShapeShift для одного из XMR депозитов Lazarus демонстрирует, что было внесено 60 XMR и было выведено 8,5513396 BCH на адрес 13tz3oD75Y4jcGds6rPJawnxHjXduTmpap. Поле «адреса» (выделено жёлтым) по сути является ID платежа, а не адресом депозита.

    Если кликнуть по выходу из кольца, который тратится в xmrchain.info, это выведет вас на транзакцию объединения, при проведении которой был создан этот TXO. К сожалению, xmrchain.info, в настоящее время показывает только скрытый адрес, связанный с TXO, а не читаемый человеком целочисленный идентификатор.

    10.png

    Транзакция в блокчейне Monero, в которой Lazarus отправил 60 XMR на ShapeShift в обмен на BCH. Реальный вход (выход одной из транзакций объединения) выделен красным. ID платежа выделен жёлтым. Клик по хешу участника кольца укажет на транзакцию, в которой был выведен TXO.

    В итоге мне удалось найти 9 депозитов, в которых были потрачены XMR из транзакций объединения, в результате чего на ShapeShift было отправлено 536 XMR в обмен на 78,39291766 BCH, которые были выведены на один и тот же адрес. Эти 9 транзакций были единственными полученными на данный адрес BCH. Транзакции XMR также сформировали «обнажающую цепочку» в блокчейне Monero, где в транзакциях были потрачены некоторые TXO сдачи из совершённых ранее транзакций XMR → ShapeShift → BCH. Таблица, а также график, в которых показаны все транзакции XMR → ShapeShift → BCH, приводятся ниже.

    11.png

    Таблица, демонстрирующая все транзакции XMR → ShapeShift → BCH, проведённые Lazarus

    12.png

    График транзакций Monero, проведённых Lazarus. Большими точками показаны транзакции. Маленькими точками показаны TXO транзакций, с которыми они связаны. TXO также привязаны к транзакциям, в которых они были потрачены в качестве входов. [Верхняя часть] Синие транзакции демонстрируют все выходы XMR, полученный Lazarus от ShapeShift. Большинство TXO перешли к Lazarus, но в каждой транзакции был, по крайней мере, 1 TXO, который предположительно являлся TXO сдачи. В трёх транзакциях объединения (выделены розовым) было потрачено 14 TXO, которые были получены от ShapeShift. В трёх транзакциях объединения было создано 20 TXO. Множество TXO было потрачено в трёх обнажающих цепочках (показаны фиолетовым, красным и жёлтым), состоящих из 2-4 транзакций, в каждой из которых было отправлено по 60 XMR на ShapeShift в обмен на BCH, за исключением двух транзакций, в которых было отправлено по 58 XMR.

    Заключение и выводы

    3 августа 2017 года Lazarus перевели BTC в 820,79942522 XMR через биржу ShapeShift и неизвестную сумму Monero (XMR) через биржу Changelly (ещё одну не требующую указания электронной почты платформу). 17 августа 2017 года примерно в 06:20 UTC Lazarus объединили XMR, полученные с ShapeShift, в три транзакции. Затем, 2 ноября 2017 года, Lazarus перевели 536 XMR в BCH, воспользовавшись ShapeShift.io, в 9 транзакциях.

    Эти действия были отслежены при помощи самостоятельно разработанного кода, а также информации, полученной от xmrchain.info и API ShapeShift.

    В данном случае несколько факторов упростили отслеживание. Во-первых, ShapeShift ограничили сумму, которую можно было бы обменять за одну транзакцию, а это означало, что Lazarus пришлось совершить множество транзакций BTC → ShapeShift → XMR. В результате создавались TXO, которые было проще пометить, а транзакции объединения было проще идентифицировать. Во-вторых, транзакции объединения Lazarus содержали более двух заданных по умолчанию выходов, что, опять же, привело к созданию TXO, которые было проще пометить. В-третьих, Lazarus отправляли все свои XMR на один и тот же адрес BCH, что добавило уверенности в оценке взаимосвязи всех транзакций XMR → ShapeShift → BCH, а также их принадлежности Lazarus.

    В 2019 году проект Monero отказался от использования прозрачных 32-байтных идентификаторов платежей, что делало этот анализ возможным. Сегодня Monero использует зашифрованные ID платежей или подадреса, которые нельзя использовать для идентификации адресов депозитов. Кроме того, было сделано так, что все транзакции Monero должны включать в себя по 10 ложных выходов, что снижает уровень определённости при использовании этих методов, если сравнивать их применение в отношении транзакций всего с 4 ложными выходами.

    Как Cake Wallet, так и GUI-кошелёк Monero теперь позволяют «нетехническим» пользователям отправлять множество TXO в одной транзакции, поэтому более не представляется возможным отследить использование CLI-кошелька Monero или специализированного кошелька на основе количества TXO.

    Тем не менее данный пример демонстрирует, что «вероятностный» анализ обеспечивает довольно высокий уровень определённости при отслеживании Monero. Это показывает, что даже поддерживаемые государством субъекты можно отследить, если они будут неправильно пользоваться Monero. Несмотря на то, что большинство бирж неохотно делится информацией о депозитах Monero и о том, как с них выводятся деньги, данный пример наглядно демонстрирует, что иногда отследить Monero можно, если данные биржи попадут в общий доступ, будут украдены или получены каким-либо законным образом.

    Утечка информации также потенциально может привести к тому, что она будет использована для проведения иных атак на Monero, подобных недавно описанной flood-атакой [10], позволяющих повысить надёжность реализации атак EAE.

    Приведённая в данной статье информация, касающаяся отслеживания, является неполной и служит исключительно для того, чтобы продемонстрировать, как может быть проведена подобная атака EAE.

    В феврале 2021 года Министерством юстиции США было предъявлено обвинение трём северокорейским хакерам, которые, как было заявлено, участвовали в атаках WannaCry [11].

    Сноски

    В работе над этой статье в качестве автора принимал ещё один человек, но по веским причинам его имя пока не называется. В будущем список авторов может быть изменён.

    Некоторую дополнительную информацию можно найти по этой ссылке. Она так же может быть обновлена в будущем.

    * Случай ShapeShift несколько необычен, потому что иногда отправлялись транзакции с 3 выходами, а иногда только с 2.

    ** Существует ещё несколько других крайних случаев, но я не думаю, чтобы какой-то из них следовало бы приводить в рамках данного примера.

    *** https://xmrchain.info/tx/9e0476aa390a8d91668d28aa27bcf7da721c73a07529f56ae49381af6d940a1e является транзакцией с 14 входами и абсурдно большим размером кольца, равным 220, а это означает, что было выбрано 3066 выходов, что повышает вероятность случайного выбора 2 помеченных TXO в качестве ложных.

    **** Некоторые считают это утечкой данных, поэтому я ответственно передал эту информацию ShapeShift посредством их программы поощрения за сообщение об ошибках. Проблема была исправлена 24.09.2021 благодаря раскрытой мной информации. По моей оценке проблема могла затронуть депозитов на 100 000 XMR и транзакций вывода на сумму 250 000 XMR. API по-прежнему позволяет узнать о наличи депозита на ShapeShift, но теперь уже нельзя узнать ни суммы, ни исходящего адреса.

    Вот самая суть обнаруженного мною:
    * В данном случае я по ошибке использовал термин «скрытые адреса» вместо термина «подадреса».

    Благодарность

    Мне хотелось бы поблагодарить моих друзей и всех членов стэнфордского сообщества и сообщества Monero, которые помогали мне в редакции этой рукописи.

    Ссылки
    1. Мёзер М. и др. (Möser, M., et al). «Эмпирический анализ отслеживаемости в блокчейне Monero» (An Empirical Analysis of Traceability in the Monero Blockchain). PPET. (2017). https://arxiv.org/pdf/1704.04299/

    2. Эхренхофер Дж. (Ehrenhofer, J.), «Ответ на статью «Эмпирический анализ отслеживаемости в блокчейне Monero», редакция 2 (Response to “An Empirical Analysis of Traceability in the Monero Blockchain”, Version 2). Исследовательская лаборатория Monero (Monero Research Labs). (2018). https://www.getmonero.org/2018/03/29/response-to-an-empirical-analysis-of-traceability.html

    3. Эхренхофер Дж. (Ehrenhofer, J.), Ноезер С. (Noether, S.), «Глава 09. Испорченные выходы (атака EAE)» (09: Poisoned Outputs (EAE Attack)). «Взламывая Monero» (Breaking Monero). (2019). https://www.monerooutreach.org/breaking-monero/poisoned-outputs.html

    4. Берр Дж. (Berr, J.), «Ущерб в результате атаки с использованием вымогательской программы WannaCry может составить 4 миллиарда долларов» (“WannaCry” ransomware attack losses could reach $4 billion). MoneyWatch. (2017). https://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/

    5. Гринберг А. (Greenberg, A.), «Признание Маркуса Хутчиса, хакера, спасшего интернет» (The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet). Wired. (2020). https://www.wired.com/story/confessions-marcus-hutchins-hacker-who-saved-the-internet/

    6. Исследовательская команда Neutrino (Neutrino Research Team). «WannaShift и Monero» (WannaShift to Monero). (2017). https://www.neutrino.nu/Research_WannaShift_to_Monero.html

    7. «Продвинутые методы обфускации: смешивание, CoinJoin. смена блокчейнов и использование анонимных монет» (Advanced Obfuscation Techniques: Mixing, CoinJoins, Chain Hopping, and Privacy Coins). Chainalysis. (2020). https://go.chainalysis.com/advanced-obfuscation-techniques-webinar-recording.html

    8. https://www.justice.gov/opa/press-release/file/1092091/download (pdf, стр. 114)

    9. Хинтереггер А. (Hinteregger, A.), Хейзельхофер Б. (Haselhofer, B.), «Эмпирический анализ возможности отслеживания Monero между блокчейнами» (An Empirical Analysis of Monero Cross-Chain Traceability). Материалы Международной конференции по финансовой криптографии и безопасности данных (International Conference on Financial Cryptography and Data Security). (2019). https://arxiv.org/pdf/1812.02808.pdf

    10. Кравиц-Тейер М. П. и др. (Krawiec-Thayer, M.P., et al.), «Следы flood-атаки: криминалистический статистический анализ аномального объёма транзакций Monero в середине 2021 года» (Fingerprinting a flood: forensic statistical analysis of the mid-2021 Monero transaction volume anomaly). Medium. (2021). https://mitchellpkt.medium.com/fing...d-2021-monero-transaction-volume-a19cbf41ce60

    11. https://www.justice.gov/opa/pr/thre...d-wide-ranging-scheme-commit-cyberattacks-and
    Финансовая информация. Ник Бэкс владеет BTC, XMR и другими криптовалютами. Его компания Five I’s LLC предоставляет консалтинговые услуги по самым разнообразным вопросам, связанным с криптовалютами, включая предоставление консультаций, связанных с преступлениями в данной области.

    ---

    Источник: Tracing the WannaCry 2.0 Monero Transactions

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
    #1 Mr. Pickles, 29 окт 2021
    Последнее редактирование: 30 окт 2021
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.