Τα έκλεψαν, τα έκρυψαν και τα εντόπισαν στην Ελλάδα – Το ελληνικό «ίχνος» στη μεγαλύτερη κλοπή crypto αξίας 1,5 δισ. δολαρίων
Από την κυβερνοκλοπή στο μπλοκάρισμα
Τα έκλεψαν, τα έκρυψαν και τα εντόπισαν στην Ελλάδα
Σε μια από τις πιο σοβαρές υποθέσεις ψηφιακής εγκληματικότητας διεθνώς, οι ελληνικές Αρχές κατάφεραν να εντοπίσουν και να δεσμεύσουν κρυπτονομίσματα που συνδέονται με τη μεγαλύτερη κλοπή στην ιστορία του κλάδου, αξίας 1,5 δισεκατομμυρίου δολαρίων.
Η υπόθεση αποκαλύφθηκε όταν η Αρχή Καταπολέμησης της Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες έλαβε πληροφορίες για ύποπτη συναλλαγή από Έλληνα εγγεγραμμένο χρήστη σε πλατφόρμα ανταλλαγής κρυπτονομισμάτων ελληνικής εταιρείας.
Η ανάλυση που ακολούθησε έδειξε ότι στο ψηφιακό πορτοφόλι του χρήστη είχαν μεταφερθεί κρυπτονομίσματα που σχετίζονται με το μεγάλο χτύπημα εις βάρος γνωστού διεθνούς ανταλλακτηρίου, το οποίο είχε δεχθεί κυβερνοεπίθεση στις αρχές του έτους από ομάδα χάκερ.
Με βάση τα ευρήματα, εκδόθηκε Διάταξη Δέσμευσης και συντάχθηκε σχετικό πόρισμα, τα οποία διαβιβάστηκαν στην Εισαγγελία για περαιτέρω νομικές ενέργειες. Παράλληλα, το ελληνικό «FBI» προέβη σε δημόσια ανακοίνωση καλώντας όσους έχουν έρθει σε κατοχή των συγκεκριμένων κρυπτονομισμάτων, να τα παραδώσουν στις Αρχές, καθώς αποτελούν προϊόν εγκλήματος.
Πριν από λίγες εβδομάδες, οι ελληνικές Αρχές εντόπισαν ότι ένας εγγεγραμμένος χρήστης σε πλατφόρμα ανταλλαγής κρυπτονομισμάτων στην Ελλάδα είχε δεχτεί στον λογαριασμό του ένα μεγάλο ποσό σε Ethereum. Αρχικά τίποτα δεν φαινόταν ύποπτο.
Μέχρι που οι ειδικοί αναλυτές της Αρχής Καταπολέμησης της Νομιμοποίησης Εσόδων παρατήρησαν ότι αυτά τα «ψηφιακά χρήματα» είχαν διανύσει μια περίεργη διαδρομή: προέρχονταν από την μεγαλύτερη κλοπή κρυπτονομισμάτων στον κόσμο, που έγινε τον περασμένο Φεβρουάριο σε μια πλατφόρμα με την ονομασία Bybit.
Ακολούθησε άμεση δέσμευση του «πορτοφολιού» του χρήστη με εισαγγελική διάταξη. Ήταν η πρώτη φορά που το ελληνικό αποτύπωμα εμφανίστηκε τόσο καθαρά σε υπόθεση ψηφιακής οικονομικής εγκληματικότητας τέτοιου βεληνεκούς.
Τι είναι όμως το Ethereum;
Για να καταλάβουμε τι ακριβώς συνέβη, πρέπει πρώτα να εξηγήσουμε τι είναι το Ethereum. Φανταστείτε ένα ψηφιακό νόμισμα όπως το ευρώ, που όμως δεν υπάρχει σε φυσική μορφή (χαρτονομίσματα ή κέρματα), αλλά «ζει» μόνο στο διαδίκτυο. Το Ethereum (ETH) είναι το δεύτερο πιο διαδεδομένο κρυπτονόμισμα στον κόσμο, μετά το Bitcoin.
Όμως δεν είναι απλώς ένα «ψηφιακό ευρώ». Το Ethereum είναι κάτι πολύ πιο εξελιγμένο: μια ψηφιακή πλατφόρμα πάνω στην οποία χτίζονται ολόκληρες εφαρμογές, όπως συμβόλαια χωρίς δικηγόρους, ψηφιακές αγορές, ακόμη και υπηρεσίες τραπεζικού τύπου, χωρίς τράπεζες. Σκεφτείτε το σαν ένα έξυπνο χρηματοκιβώτιο με δυνατότητες προγραμματισμού.
Τα χρήματα αυτά αποθηκεύονται σε ψηφιακά πορτοφόλια (crypto wallets). Είναι σαν τραπεζικός λογαριασμός, αλλά χωρίς τράπεζα. Το μόνο που χρειάζεται είναι ένας κωδικός πρόσβασης, το «private key» όπως λέγεται και μια διεύθυνση wallet. Αυτή η διεύθυνση είναι δημόσια, αλλά δεν αποκαλύπτει το όνομα του κατόχου.
Τι συνέβη στο Bybit και πώς συνδέεται με την Ελλάδα
Το Bybit είναι ένα από τα μεγαλύτερα διεθνή ανταλλακτήρια κρυπτονομισμάτων , δηλαδή μια ψηφιακή «τράπεζα» όπου άνθρωποι αγοράζουν, πωλούν και αποθηκεύουν κρυπτονομίσματα όπως το Ethereum ή το Bitcoin. Τον Φεβρουάριο του 2024, η Bybit έγινε στόχος μαζικής κυβερνοεπίθεσης.
Οι χάκερ κατάφεραν να παραβιάσουν τα λεγόμενα «ψυχρά πορτοφόλια» της εταιρείας (cold wallets – αποθηκευτικά μέσα που είναι συνήθως αποσυνδεδεμένα από το διαδίκτυο για ασφάλεια) και να αφαιρέσουν κρυπτονομίσματα συνολικής αξίας 1,5 δισεκατομμυρίων δολαρίων. Οι Αρχές των ΗΠΑ, και ειδικά το FBI, θεώρησαν υπεύθυνη για την επίθεση τη διαβόητη ομάδα Lazarus – ένα χακερικό παρακλάδι της κυβέρνησης της Βόρειας Κορέας, το οποίο, όπως έχει αποκαλυφθεί και στο παρελθόν, εμπλέκεται σε οικονομικά εγκλήματα για τη χρηματοδότηση του πυρηνικού της προγράμματος.
Στις 26 Φεβρουαρίου, το FBI εξέδωσε δημόσιο «alert» με συγκεκριμένες διευθύνσεις ψηφιακών πορτοφολιών, ζητώντας από όλες τις χώρες και τις πλατφόρμες να τις εντοπίσουν και να παγώσουν τα περιουσιακά στοιχεία που σχετίζονται με αυτές.
Πώς εντοπίστηκε το ελληνικό ίχνος
Η αποκάλυψη της ελληνικής εμπλοκής ξεκίνησε από μια φαινομενικά τυπική συναλλαγή. Στα συστήματα της Αρχής Καταπολέμησης της Νομιμοποίησης Εσόδων από Εγκληματικές Δραστηριότητες έφτασε μια αναφορά για ύποπτη κίνηση κεφαλαίων: ένα μεγάλο ποσό Ethereum που είχε πιστωθεί σε ψηφιακό πορτοφόλι χρήστη ελληνικής πλατφόρμας ανταλλαγής κρυπτονομισμάτων.
Αυτό που αρχικά έμοιαζε με συνηθισμένη εισροή ψηφιακών χρημάτων πήρε γρήγορα διαφορετική τροπή. Οι ειδικά εκπαιδευμένοι αναλυτές της Αρχής, με τη βοήθεια λογισμικών ανάλυσης blockchain, ξεκίνησαν να “ξετυλίγουν το κουβάρι”.
Μέσα από διαδοχικούς ψηφιακούς ελέγχους εντόπισαν ότι το ποσό αυτό δεν είχε προέλευση από κάποια εμπορική συναλλαγή ή αγορά crypto, αλλά προερχόταν από ένα συγκεκριμένο “μονοπάτι” συναλλαγών που είχε ήδη επισημανθεί από το FBI στις ΗΠΑ.
Το μονοπάτι αυτό παρέπεμπε σε ένα από τα Ethereum wallets που συμμετείχαν στο «ξέπλυμα» των 1,5 δισ. δολαρίων που εκλάπησαν από την πλατφόρμα Bybit. Δηλαδή, τα ψηφιακά νομίσματα είχαν διασπαστεί, μετακινηθεί μέσω πολλαπλών ενδιάμεσων wallets, και ένα μέρος τους κατέληξε στον λογαριασμό του Έλληνα χρήστη.
Η αναγνώριση της πορείας αυτών των crypto είναι δυνατή χάρη στη διαφάνεια του blockchain, που – αν και δεν αποκαλύπτει τα ονόματα των κατόχων – καταγράφει δημόσια κάθε συναλλαγή: ποιος έστειλε, ποιος έλαβε, πότε και πόσο. Τα εργαλεία που χρησιμοποιούν οι Αρχές (όπως τα Chainalysis, Elliptic ή TRM Labs) επιτρέπουν τη χαρτογράφηση των ροών αυτών των ποσών με τρομακτική ακρίβεια, ακόμα και αν οι διαδρομές έχουν σπάσει σε εκατοντάδες μικρές μεταφορές.
Μέσα από αυτό το δίκτυο, οι Αρχές είδαν ότι ένα από τα πορτοφόλια-παραλήπτες σχετιζόταν με Έλληνα χρήστη εγγεγραμμένο σε VASP (Virtual Asset Service Provider) στην Ελλάδα. Το στοιχείο αυτό ενεργοποίησε άμεσα το εσωτερικό πρωτόκολλο της Αρχής, που προέβη σε δέσμευση του πορτοφολιού, εκδίδοντας σχετική διάταξη. Παράλληλα, το πόρισμα της έρευνας εστάλη στην Εισαγγελία, ώστε να εξεταστούν τυχόν ποινικές ευθύνες ή συνεργασία του χρήστη με διεθνή δίκτυα.
Προς το παρόν, δεν υπάρχουν ενδείξεις ότι ο Έλληνας γνώριζε την ακριβή προέλευση των ψηφιακών κεφαλαίων που δέχθηκε, όμως οι Αρχές εξετάζουν όλα τα ενδεχόμενα, συμπεριλαμβανομένου και του αν λειτούργησε ως «ενδιάμεσος κρίκος» σε μια παγκόσμια αλυσίδα ψηφιακού ξεπλύματος.
