5月(yue)(yue)初(chu),俄罗斯黑(hei)客(ke)组(zu)织(zhi)“黑(hei)暗面”(DarkSide)入侵美国科洛尼(ni)尔管道运输(shu)公司(Colonial Pipeline)网络,并且成功(gong)索要赎金。不过(guo)近期事(shi)件出现(xian)大反转,美国司法部6月(yue)(yue)7日公告(gao)称,已收回(hui)了DarkSide今年(nian)从Colonial Pipeline勒索的大部分赎金。该公告(gao)详细说明了黑(hei)客(ke)如何(he)通(tong)过(guo)在全球范围(wei)内启用的勒索软件来造成威胁,而美国又是如何(he)截取(qu)了这一黑(hei)客(ke)组(zu)织(zhi)的支付账(zhang)户。

  科洛尼尔是美东输(shu)油(you)(you)“大动脉(mai)”,支撑(cheng)东海(hai)岸45%的燃(ran)油(you)(you)供应(ying),还为军方供油(you)(you)。该公司被黑客袭击后被迫全面(mian)暂停运营,直接导致17个州(zhou)及华盛(sheng)顿特区一(yi)度进入(ru)紧急状态。

  美联社的(de)报道称,这是(shi)美国关键基础设(she)施迄今遭遇(yu)的(de)最(zui)严重的(de)网络(luo)攻击(ji)。纽约时报则(ze)评价,袭(xi)击(ji)事件(jian)暴露(lu)出(chu)美国基础设(she)施的(de)脆弱,是(shi)令人不安的(de)信号。

  在这种背景(jing)下,FBI成功扭(niu)转局势,对于美(mei)国来说,是一个不小(xiao)的(de)成就,至(zhi)少(shao)可以大(da)(da)大(da)(da)降低(di)民众的(de)恐慌。由于比特(te)币(bi)价格已从4月的(de)6.3万(wan)美(mei)元(yuan)高位跌至(zhi)近期3.3万(wan)美(mei)元(yuan),因此(ci)追回的(de)比特(te)币(bi)价值(zhi)大(da)(da)约(yue)为230万(wan)美(mei)元(yuan),只有当(dang)初赎金总(zong)价值(zhi)的(de)近半。

  但(dan)是从外媒披露的(de)(de)文件来看,“币圈”的(de)(de)恐慌可(ke)能却是刚刚开(kai)始(shi)。根据美国司法部(bu)副部(bu)长丽莎·摩纳(na)哥(Lisa Monaco)介绍(shao),FBI追回了(le)63.7枚比特(te)币(总赎(shu)金约为75枚,占比85%),而使用的(de)(de)手段是访问到了(le)该黑客(ke)组织的(de)(de)一(yi)个比特(te)币账户,然后(hou)用“密钥”将其(qi)中的(de)(de)比特(te)币转走。

  在(zai)这里,最有(you)可能令币(bi)(bi)圈震惊(jing)的(de)是(shi)FBI如何获得(de)有(you)关账户(hu)的(de)密钥。根据FBI的(de)一份(fen)书面证词,执(zhi)法人(ren)员使用(yong)了(le)区(qu)块链账簿的(de)实时(shi)监控(kong)工具,追踪(zong)比(bi)(bi)特(te)币(bi)(bi)的(de)数(shu)笔交(jiao)易,首先(xian)确认了(le)DarkSide接收赎金的(de)地址。随后,FBI获取了(le)“密钥(private key)”,直(zhi)接从DarkSide的(de)账户(hu)里转走了(le)63.7枚比(bi)(bi)特(te)币(bi)(bi)——有(you)个细节(jie)是(shi),这个账户(hu)里其实有(you)69.60422177个比(bi)(bi)特(te)币(bi)(bi),但(dan)FBI判断与黑客赎金案相关地址的(de)只有(you)63.7个,因(yin)此只转走了(le)63.7个比(bi)(bi)特(te)币(bi)(bi)。

  这个证词公布后,有不少(shao)币圈投资人(ren)士脊背(bei)发冷(leng)。为(wei)什(shen)么(me)呢?

  这(zhei)里必须先介绍一(yi)些比(bi)特(te)币里“密(mi)(mi)钥”的(de)概念。在比(bi)特(te)网络中,每个(ge)比(bi)特(te)币用户有至少一(yi)对(dui)密(mi)(mi)钥和(he)公钥。如果使用密(mi)(mi)钥加(jia)密(mi)(mi)一(yi)段数(shu)据,则必须用配对(dui)的(de)公钥解密(mi)(mi)(反之(zhi)亦然),这(zhei)种(zhong)加(jia)密(mi)(mi)采用的(de)是非对(dui)称加(jia)密(mi)(mi)。

  其中,“密(mi)钥(yao)”是一(yi)个随机生成(cheng)的(de)256位(wei)二位(wei)制数,通(tong)过不可(ke)逆转的(de)算法(fa)可(ke)以得(de)(de)(de)到“公(gong)钥(yao)”(不可(ke)逆转指的(de)是就算知道(dao)公(gong)钥(yao),也无法(fa)通(tong)过逆运算得(de)(de)(de)出密(mi)钥(yao)),公(gong)钥(yao)再经(jing)过两(liang)次(ci)哈希运算,得(de)(de)(de)到一(yi)个20字节的(de)公(gong)钥(yao)哈希,然后再经(jing)过另一(yi)种编码处理后,可(ke)以生成(cheng)比特(te)币钱(qian)包地址(zhi)。

  简单(dan)来说,密(mi)钥(yao)就(jiu)好比(bi)(bi)(bi)是(shi)不可被(bei)公开的(de)(de)(de)(de)账(zhang)户密(mi)码,公钥(yao)就(jiu)如(ru)同可被(bei)公开的(de)(de)(de)(de)银(yin)行账(zhang)户,而钱(qian)包(bao)地址则相当(dang)于银(yin)行卡卡号。一(yi)般情(qing)况下,比(bi)(bi)(bi)特(te)币的(de)(de)(de)(de)交易(yi)发起方(fang)需要用(yong)密(mi)钥(yao)对交易(yi)(包(bao)括转(zhuan)账(zhang)金额和转(zhuan)账(zhang)地址等)签(qian)名,然后将签(qian)名后的(de)(de)(de)(de)加密(mi)交易(yi)信息和生成的(de)(de)(de)(de)公钥(yao)向全网广(guang)播。比(bi)(bi)(bi)特(te)网上(shang)的(de)(de)(de)(de)各节点接收到(dao)交易(yi)信息后,可以(yi)用(yong)公钥(yao)解密(mi),从(cong)而验证交易(yi)是(shi)否合(he)法——在整个过程中,交易(yi)发起方(fang)的(de)(de)(de)(de)密(mi)钥(yao)是(shi)最为关键的(de)(de)(de)(de)信息。密(mi)钥(yao)可以(yi)说是(shi)持币人对比(bi)(bi)(bi)特(te)币钱(qian)包(bao)地址的(de)(de)(de)(de)所有权及控制权的(de)(de)(de)(de)唯一(yi)凭证,拥有密(mi)钥(yao),才能(neng)动用(yong)比(bi)(bi)(bi)特(te)币钱(qian)包(bao)地址里的(de)(de)(de)(de)比(bi)(bi)(bi)特(te)币,并进行交易(yi)。

  FBI不仅能定位到黑客(ke)组(zu)织的比特币钱包(bao)地址,更可以(yi)用密钥进(jin)行转账,其背后的神操作令人(ren)惊讶。FBI获得密钥只有两种(zhong)办法,一种(zhong)是根据(ju)钱包(bao)地址进(jin)行逆(ni)运算反(fan)推出(chu)密钥匙;另一种(zhong)是通过其他(ta)手段直(zhi)接截取了密钥信息。

  从上(shang)面(mian)的(de)介绍可(ke)以知道,即便知道地址,也是基本(ben)上(shang)无法(fa)反推出密(mi)钥的(de);因此FBI大概率(lv)是利用其他软件中途截取了密(mi)钥信息。

  据悉,成功执行此次(ci)追索任务的(de),是(shi)美(mei)国司法部为(wei)打(da)击勒(le)索软件而新成立(li)(li)的(de)特别队伍——“勒(le)索与数(shu)字敲诈工作(zuo)组(RDETF)”。本次(ci)任务是(shi)这个新成立(li)(li)小组的(de)首次(ci)行动(dong)。

  联邦调(diao)查局副局长保罗·阿巴特(te)说,通(tong)过访问一(yi)个持有约(yue)63.7个比特(te)币的中(zhong)央(yang)账户(hu),联邦调(diao)查局能够控制DarkSide的收益,价值约(yue)230万美元。一(yi)份(fen)法庭文件则(ze)称,FBI能够访问该团伙的一(yi)个比特(te)币钱包的“密钥”或(huo)密码。目前还(hai)不清楚密钥是如何泄露的。

  美(mei)国(guo)官方对(dui)密钥的获取细节守口如瓶(ping)。法(fa)庭文(wen)件只是声称,扣(kou)押DarkSide收益(yi)的动作发生在北加州,做法(fa)符(fu)合美(mei)国(guo)法(fa)律。

  联邦调(diao)查局旧金山办事处负责助理特工Elvis Chan6月(yue)7日在新闻(wen)电话(hua)会议上表示(shi),这些资金是专门从使用DarkSide勒索软件入(ru)侵Colonial的黑客分包商(shang)那里没收(shou)的。但他(ta)拒绝透露FBI是如何获得钱包访问权限的具体细节。

  Elvis表示,FBI并不需要等犯罪(zui)分子使(shi)用美国的(de)(de)加密货币(bi)服务才能达到(dao)目的(de)(de),不过他(ta)同时认同,全球有大(da)量(liang)的(de)(de)互联(lian)(lian)网基(ji)(ji)础设(she)施都设(she)在(zai)美国,而联(lian)(lian)邦(bang)调查(cha)局可(ke)以获得(de)(这些基(ji)(ji)础设(she)施的(de)(de))搜查(cha)令。

  “我不想公开我们的‘手艺’,以防未来还需要再(zai)次使用这种技能。”他(ta)说,“对于处理海(hai)外(wai)案件,技术方面不是问题。”

  不过他透(tou)露说,跟踪勒(le)索(suo)软件(jian)组织的微软威胁情报中心(Microsoft‘s Threat Intelligence Center)协助了调查。

  FBI特工的话说明(ming),该(gai)机构可(ke)以通过搜查美(mei)国基础设施的最(zui)(zui)底(di)层(ceng)信息,以及综合利用美(mei)国各种(zhong)IT服务(wu)供应商的共享(xiang)信息,来获取全(quan)球任何(he)一个组织的最(zui)(zui)隐私信息。

  黑(hei)客组织(zhi)DarkSide的私钥(yao)能被FBI查出(chu)来并“盗”走(zou)63.7个比特币,那么其他持币人(ren)的私钥(yao)呢(ni)?细(xi)思极恐。

  作者:舒时,港漂,博士,资深另(ling)类投(tou)资者。曾任中资资产(chan)管理(li)基金经理(li)及投(tou)资总监等职。新著《重新定义金融:加密货币(bi)与数字资产(chan)》。