Арешт урядового підрядника США Джона Дагити (відомого під псевдонімом Lick), якого підозрюють у привласненні понад 46 млн доларів у криптовалюті у Служби маршалів США, став показовим кейсом того, наскільки небезпечною може бути інсайдерська загроза в управлінні цифровими активами. Операцію затримання спільно провели ФБР та елітний спецпідрозділ жандармерії Франції GIGN.
Арешт Джона Дагити та роль підрядника CMDSS у зберіганні конфіскованих криптоактивів
За інформацією правоохоронних органів, під час обшуку в Дагити вилучили значні суми готівки у стодоларових купюрах, кілька жорстких дисків і апаратні криптогаманці (hardware wallets), які ймовірно використовувалися для зберігання та переміщення цифрових активів.
Джон Дагита є сином Діна Дагити (Dean Daghita), президента та генерального директора компанії Command Services & Support (CMDSS) з Вірджинії. З жовтня 2024 року CMDSS виконувала контракт Служби маршалів США, надаючи послуги з управління та зберігання конфіскованих цифрових активів, включно з криптовалютами, пов’язаними з одним із найбільших інцидентів в історії галузі — зламом біржі Bitfinex у 2016 році, коли було викрадено майже 120 000 BTC.
Такі підрядники отримують доступ до інфраструктури зберігання, включно з ключами від криптогаманців або системами, що ними керують. За відсутності жорсткого розмежування прав доступу, контролю змін і незалежного аудиту будь-який привілейований інсайдер може непомітно перевести значні суми на підконтрольні йому адреси.
Як блокчейн-аналітика викрила схему крадіжки криптовалюти уряду США
Першим публічно на можливе розкрадання звернув увагу відомий блокчейн-дослідник ZachXBT. Наприкінці січня він опублікував детальний аналіз, у якому відстежив рух приблизно 23 млн доларів з гаманців, пов’язаних зі Службою маршалів США, на адреси, що, за його висновками, контролював Джон Дагита.
Ключову роль зіграла прозорість публічних блокчейнів. Кожна транзакція незворотно фіксується в розподіленому реєстрі. За наявності кваліфікованого аналізу можна співставити час операцій, шаблони поведінки та зв’язки між адресами, а потім прив’язати їх до конкретних осіб чи організацій. Саме таким підходом користуються аналітичні компанії й правоохоронні органи, що підтверджується регулярними звітами, наприклад, Chainalysis та інших профільних фірм.
За даними ZachXBT, Дагита фактично деанонімізував себе під час конфлікту в закритому Telegram-чаті з іншим зловмисником, відомим як Dritan Kapplani Jr.. У переписці Дагита в реальному часі демонстрував можливість миттєво переміщувати великі суми між двома криптогаманцями. Подальший аналіз блокчейна показав, що ці адреси пов’язані з державними конфіскованими активами, зокрема з коштами, асоційованими зі зламом Bitfinex.
Dust-атака: технічний прийом і психологічний тиск
Після того як зібрані ZachXBT матеріали були передані правоохоронцям, Дагита, за словами дослідника, неодноразово провокував його в Telegram і надсилав невеликі суми на публічний криптогаманець аналітика. Така тактика відома як dust-атака: на адресу жертви надсилаються мізерні суми (dust), які можуть застосовуватись для подальшого відстеження транзакцій, спроб деанонімізації або як елемент психологічного тиску.
У своєму дописі після арешту ZachXBT зазначив, що, на його думку, Дагита викрав понад 46 млн доларів конфіскованих криптоактивів, зловживаючи доступом до ресурсів CMDSS — компанії свого батька, яка мала контракт зі Службою маршалів. Частина цих коштів, за повідомленнями дослідника, використовувалася і для тих самих dust-атак.
Інсайдерська загроза в управлінні конфіскованими криптоактивами
Ця історія демонструє класичний сценарій інсайдерської загрози, коли зловмисник уже перебуває «всередині периметра» безпеки, має легітимні облікові дані й розуміє внутрішні процеси. Згідно з Verizon Data Breach Investigations Report, близько кожного п’ятого інциденту безпеки спричиняють саме інсайдери — співробітники або підрядники, які зловживають наданими привілеями.
У випадку державних структур та великих фінансових організацій ризики ще вищі: мова йде про значні обсяги цифрових активів, складні ланцюжки підрядників і розподілену відповідальність між кількома відомствами. Будь-який збій у процесах контролю доступу, моніторингу транзакцій чи аудиту створює можливість для непомітного виведення десятків мільйонів доларів.
Практичні заходи захисту від інсайдерів у криптоінфраструктурі
Сценарій із підозрюваною крадіжкою понад 46 млн доларів виділяє кілька критично важливих заходів кібербезпеки для організацій, що працюють з криптовалютою та іншими цифровими активами:
1. Принцип найменших привілеїв і розподіл обов’язків. Доступ до приватних ключів, систем зберігання та інтерфейсів управління активами має бути максимально обмежений. Модель «четирьох очей» і розділення ролей не дозволяють одній людині одноосібно проводити великі транзакції.
2. Мультипідпис і апаратні модулі безпеки. Використання multi-sig, апаратних модулів безпеки (HSM) та розподіленого управління ключами знижує ймовірність того, що компрометація одного інсайдера призведе до повної втрати контролю над активами.
3. Постійний on-chain моніторинг і незалежний аудит. Автоматизовані системи аналізу блокчейна здатні виявляти аномальні перекази майже в реальному часі. Регулярний зовнішній аудит гаманців і транзакцій з конфіскованими активами допомагає виявити невідповідності до того, як збитки стануть критичними.
4. Жорсткий контроль підрядників. Компанії на кшталт CMDSS мають проходити як технічний, так і організаційний аудит: перевірку процедур безпеки, фонового скринінгу персоналу, логування дій і готовності до розслідування інцидентів.
5. Відпрацьовані плани реагування. Документовані сценарії Incident Response дозволяють швидко і скоординовано блокувати підозрілі адреси, повідомляти біржі й емітентів стейблкоїнів, а також взаємодіяти з правоохоронними органами та блокчейн-аналітиками.
Історія з Джоном Дагитою показує, що навіть структури з формально високими стандартами захисту вразливі перед добре поінформованими інсайдерами. Організаціям, які управляють криптовалютами та іншими цифровими активами, варто переглянути моделі доступу, архітектуру зберігання ключів і підходи до on-chain моніторингу вже зараз, а не після чергового гучного інциденту. Чим раніше буде впроваджено принцип найменших привілеїв, мультипідпис, безперервний аудит і жорсткий контроль підрядників, тим менше шансів, що наступна багатомільйонна крадіжка конфіскованих активів повториться.
