FBI 使用密钥控制被黑客入侵的比特币账户

5月初，俄罗斯黑客组织“黑暗面”（DarkSide）入侵美国Colonial Pipeline运输公司网络，并成功勒索赎金。 然而，最近的事件出现了重大逆转。 美国司法部6月7日宣布，已追回DarkSide今年从Colonial Pipeline勒索的大部分赎金。 该公告详细说明了黑客如何通过在全球启用的勒索软件构成威胁，以及黑客组织的支付账户如何在美国被拦截。

殖民地是美国东部石油运输的“大动脉”，支撑着东海岸45%的燃料供应，同时也为军队供应燃料。 该公司在遭到黑客攻击后，被迫全面停止运营，直接导致17个州和华盛顿特区进入紧急状态。

据美联社报道，这是迄今为止美国最严重的针对关键基础设施的网络攻击。 《纽约时报》评论说，这次袭击暴露了美国基础设施的脆弱性，这是一个令人不安的信号。

在此背景下，FBI成功扭转局势，对美国来说是不小的成就，至少可以大大减轻民众的恐慌情绪。 由于比特币价格从 4 月份的 6.3 万美元高位跌至近期的 3.3 万美元，追回的比特币价值约 230 万美元，接近原赎金总价值的一半。

不过，从外媒披露的文件来看，“币圈”的恐慌可能才刚刚开始。 据美国副总检察长丽莎·摩纳哥（Lisa Monaco）称，FBI 追回了 63.7 个比特币（赎金总额约为 75 个，占比 85%），使用的方法是进入其中一个黑客组织的比特币账户，然后利用转移其中比特币的“钥匙”。

在这里，最有可能让币圈震惊的是FBI是如何获得涉案账户密钥的。 根据联邦调查局的一份宣誓书，执法人员使用区块链分类账的实时监控工具追踪了几笔比特币交易，首先确定了 DarkSide 收到赎金的地址。 随后，FBI获得了“私钥”，直接从DarkSide的账户中划走了63.7个比特币。 一个细节是这个账户里其实有69.60422177个比特币，但是​​FBI判断与黑客赎金不一样的是只有63.7个与案件相关的地址，所以只转了63.7个比特币。

这一证词公布后，不少币圈投资者都感到脊背发凉。 为什么？

这里首先要介绍一下比特币中“密钥”的一些概念。 在比特币网络中，每个比特币用户至少拥有一对私钥和公钥。 如果一段数据使用密钥加密，则必须使用配对的公钥对其进行解密（反之亦然）。 此加密使用非对称加密。

其中，“密钥”是随机生成的256位二进制数，通过不可逆算法可以得到“公钥”（不可逆是指即使知道公钥，也不能通过逆运算得到密钥)，公钥经过两次哈希运算得到一个20字节的公钥哈希，然后再经过一次编码过程生成比特币钱包地址。

简单来说，密钥就像一个不能泄露的账户密码，公钥就像一个可以泄露的银行账户，钱包地址相当于银行卡号。 一般来说，比特币交易发起方需要用密钥对交易（包括转账金额和转账地址等）进行签名，然后将签名后的加密交易信息和生成的公钥广播到全网。 Bitnet 上的每个节点收到交易信息后，可以用公钥解密，验证交易是否合法——在整个过程中，交易发起人的密钥是最关键的信息。 密钥可以说是持有者对比特币钱包地址的所有权和控制权的唯一凭证。 只有有了密钥，比特币钱包地址中的比特币才能被使用和交易。

FBI不仅可以定位到黑客组织的比特币钱包地址黑客破解比特币私钥，还可以使用密钥进行转账。 背后的神操作让人叹为观止。 FBI 获得密钥的方法只有两种。 一种是根据钱包地址反推秘钥； 另一种是通过其他方式直接截获关键信息。

从上面的介绍我们可以知道，即使知道地址，也基本不可能推导出密钥； 因此，FBI大概率会使用其他软件中途截获关键信息。

据悉，成功执行此次恢复任务的是美国司法部新成立的打击勒索软件的特别小组——“勒索软件和数字勒索特别工作组（RDETF）”。 这是新组建的团队的第一个任务。

FBI 副局长保罗·阿贝特说，通过访问一个持有约 63.7 个比特币的中央账户，FBI 能够控制 DarkSide 的收益，价值约 230 万美元。 一份法庭文件称，联邦调查局能够获得该团伙其中一个比特币钱包的“密钥”或密码。 目前还不清楚密钥是如何泄露的。

美国官员一直对如何获得钥匙的细节守口如瓶。 法院文件只是声称黑客破解比特币私钥，根据美国法律，扣押 DarkSide 收益是在北加利福尼亚州进行的。

负责 FBI 旧金山办事处的助理特工 Elvis Chan 在 6 月 7 日的新闻电话会议上表示，这些资金完全是从使用 DarkSide 勒索软件破坏 Colonial 的黑客分包商那里没收的。 但他拒绝透露 FBI 如何获得钱包访问权限的具体细节。

埃尔维斯表示，FBI 不需要等待犯罪分子在美国使用加密货币服务来实现他们的目的，但他也认同全球大量互联网基础设施位于美国，而 FBI可以获得（这些基础设施的）搜索结果。

“我不想公开我们的‘手艺’，以防我们将来需要再次使用该技能，”他说。 “对于海外案件，技术方面不是问题。”

不过，他表示，追踪勒索软件组织的微软威胁情报中心协助了调查。

按照FBI特工的话说，该机构可以通过搜索美国基础设施最底层的信息，综合利用美国各IT服务商的共享信息，获取全球任何组织最私密的信息。

黑客组织DarkSide的私钥能被FBI查到，“偷走”了63.7个比特币，那么其他持币者的私钥呢？ 仔细想想。