Интернет
Максим Друковский

«Бонни и Клайд криптомира»: история Хизер Морган и Ильи Лихтенштейна — пару обвиняют в отмывании $5 млрд в биткоинах

От абсурдных тиктоков и рэпа до шпионских схем и планов побега в Россию — о судьбе мошенников-супругов, оказавшихся в центре масштабного криптовзлома, уже готовят сериал на Netflix.

Иллюстрация New York Post

8 февраля в одной из квартир на Уолл-стрит агенты ФБР арестовали молодую семейную пару — 34-летнего Илью Лихтенштейна, имеющего российское гражданство, и его 31-летнюю жену Хизер Морган. Их подозревают в сговоре с целью отмывания почти 120 тысяч биткоинов, которые похитили в 2016 году во время взлома криптобиржи Bitfnex. Личность хакера, ответственного за масштабную кражу, до сих пор не установлена — супругов обвиняют лишь в попытке обналичить огромную сумму, которая оказалась в их распоряжении.

Новость о задержании мошенников, причастных к одному из крупнейших криптовзломов, быстро разошлась по тематическим сайтам, а вскоре привлекла внимание и людей вне индустрии — в основном благодаря Морган, которая активно вела соцсети, писала для Forbes и снимала абсурдные рэп-клипы. Пара стала примером типичных «криптобро», которые сочетали в себе безумные идеи и амбиции миллиардеров — и почти смогли их реализовать.

Пока Netflix и Forbes запускают производство фильма и двух сериалов по мотивам истории, журналисты пытаются разобраться в ней подробнее: от используемых мошеннических схем до жизни преступников. TJ собрал истории из материалов New Yorker, Intelligencer, Vice и других изданий о теперь уже самых известных «криптоотмывателях».

Взлом Bitfinex и последующее движение украденных биткоинов

2 августа 2016 года одна из главных на тот момент криптовалютных бирж Bitfinex сообщила, что с платформы украли 119 756 биткоинов. На тот момент их стоимость оценивалась примерно в 60 миллионов долларов, на момент ареста Морган и Лихтенштейна — уже в 5 миллиардов. Ситуация затронула всех пользователей: сразу после атаки сайт заморозил все счета и операции и не работал около недели. За это время курс токена упал на 20%.

Взлом затронул не конкретные аккаунты, а общий баланс Bitfinex — и владельцы приняли решение «разделить убытки». Когда сайт заработал, все клиенты обнаружили, что баланс их кошелька сократился на 36%. Потери компенсировали специально выпущенной криптовалютой, которая выполняла функцию долгового обязательства. Спустя восемь месяцев после запуска нового токена биржа обналичила все монеты и таким образом погасила долг.

Курс «долгового токена» Bitfinex с момента выпуска до погашения. График TradingView

До сих пор не ясно, как именно произошла атака. Даже после задержания пары мошенников из Нью-Йорка правоохранительные органы почти не описывали схему взлома. Для хранения токенов биржа использовала кошельки компании BitGo с мультиподписью — доступ к таким хранилищам возможен только при помощи нескольких ключей разных держателей. Многие считали, что за взломом могли стоять сотрудники Bitfinex или BitGo, но эти подозрения до сих пор никак не подтвердились.

В криптосообществе куда больше внимания уделяли не самому взлому, а дальнейшему пути украденных биткоинов. Во-первых, следить за судьбой миллионов, а затем и миллиардов долларов, которые к тому же влияют на всю индустрию, куда интереснее, чем пытаться найти анонимного хакера. А во-вторых, система блокчейна позволяет отслеживать любые транзакции с токенами: каждый мог увидеть, куда переводили и на что тратили валюту. Этим же пользовались и правоохранители, расследующие преступление.

В прозрачности блокчейна и заключается основная сложность для хакеров. Криптокошелёк может оставаться анонимным, но при попытке, например, обналичить токены через биржу следователи могли просто запросить данные о счёте, на который перевели деньги. Сразу после взлома почти все украденные биткоины оказались на одном кошельке, на котором большая часть суммы — более 94 тысяч монет — и оставалась до января 2022 года.

Около 25 тысяч биткоинов с основного кошелька переместились на даркнет-рынок AlphaBay, но мошенники не успели их обналичить — в 2017 году сайт закрылся после спецоперации полиции. Украденные токены заранее вывели из AlphaBay на счета нескольких криптобирж, владельцев которых уже можно было установить. И, хотя благодаря трансферу через даркнет пара смогла частично «замести следы», обналичить крупную сумму на легальных платформах всё ещё было невозможно из-за проверок безопасности.

В течение нескольких лет мошенники продолжали попытки отмыть токены. Они постоянно переводили небольшие суммы между счетами и биржами, обменивали биткоины на альткоины, часть монет выделяли на покупку NFT и сделки с золотом. Отдельно в материалах дела упоминаются покупки подарочных сертификатов и виртуальных карт в разных сервисах: с их помощью пара пользовалась Uber, бронировала отели, покупала продукты в Walmart и игры в PlayStation Store.

Путь биткоинов между разными счетами, принадлежавшими Лихтенштейну и Морган

Расследование, обыск и последующий арест супругов

Главная неосторожность мошенников заключалась в том, что все счета и аккаунты были зарегистрированы на их реальные имена и принадлежавшие им компании. Несколько раз они привлекали внимание бирж крупными переводами, и, когда пара не могла объяснить происхождение токенов, их операции замораживали. Со временем информация дошла до ФБР, и против Лихтенштейна и Морган началось расследование.

«Мой парень дарил мне биткоины в 2014 и 2015 году, за что я ему очень благодарна. До этого они хранились на физическом криптокошельке», — так звучит версия Морган, которую она рассказала одной из бирж. Лихтенштейн сообщил той же платформе, что получил валюту от «внешних инвестиций». Позже аналитики установили путь этих токенов: они все вели к основному кошельку, на который поступили украденные с Bitfinex биткоины.

В начале 2022 года федеральные агенты добились ордера на обыск в квартире супругов, в ходе которого обнаружились главные доказательства по делу — файлы Лихтенштейна, защищённые алгоритмом шифрования и паролем. Когда следователи их взломали, то обнаружили данные более 2 тысяч криптовалютных кошельков, в том числе связанного со взломом. Также в хранилище оказалась таблица с пометками, какие из них заморозили или скомпрометировали.

Скриншот таблицы с адресами кошельков из материалов дела

Получив доступ к основному кошельку, власти изъяли оттуда более 94 тысяч биткоинов. Минюст США назвал это крупнейшей финансовой конфискацией в своей истории. По версии прокуратуры, 25 тысяч токенов всё ещё остаются под контролем мошенников, и как минимум к 7,5 тысячам (29 миллионов долларов) пара имеет доступ.

Агенты ФБР также обнаружили в квартире пары около 40 тысяч долларов наличными в разной валюте, десятки физических кошельков и мобильных телефонов, в том числе с пометкой «burner» — так обозначают «одноразовые» телефоны, которые уничтожают после использования для конспирации. В нескольких книгах были вырезаны страницы, чтобы прятать в них деньги и физические накопители.

Когда проходил обыск, Морган попросила забрать свою кошку из-под кровати. Однако вместо этого она попыталась заблокировать свой телефон. «Морган присела рядом с кроватью и звала кошку — это было рядом с тумбочкой, где лежало одно из устройств. Девушка протянула руку, схватила его с тумбочки и несколько раз нажала кнопку блокировки. Правоохранителям пришлось вырывать телефон из ее рук», — говорится в судебных документах.

Власти нашли доказательства и того, что супруги планировали сбежать в Россию или Украину: в файловом хранилище нашли скриншоты и ссылки из даркнета о подделке документов, в том числе файл «Идеи для паспорта». Кроме того, в 2019 году супруги уже выезжали в Украину, где якобы пытались отмыть биткоины через местных мошенников и найти возможность получить поддельные паспорта сразу на месте.

Ссылки на информацию о поддельных документах. Скриншот из материалов дела

Жизнь Лихтенштейна и Морган до и после хакерской атаки

Согласно судебным документам, Илья Лихтенштейн родился в 1987 году в Ростове, но ещё в детстве вместе с родителями переехал в США. Он вырос в штате Иллинойс, а в 2010 году получил психологическое образование в соседнем Висконсине. После университета он уехал в Сан-Франциско и стал соучредителем стартапа MixRank, который помогал другим компаниям в поиске новых клиентов и рынков.

В сети Лихтенштейн использовал прозвище Датч («голландец») и описывал себя как «технологический предприниматель, исследователь и, временами, фокусник». В старшей школе он учился вместе с будущим основателем сервиса Cameo Стивеном Галанисом, который хорошо отзывался об однокласснике: «Он был хорошим парнем, умным. Это как если бы ограбление провернул МакТрахер из фильма „SuperПерцы“».

Хизер Морган родилась в 1990 году в штате Орегон, а выросла в маленьком городке на севере Калифорнии. В инстаграме она рассказывала, что в детстве отец учил её охоте с копьём, если «однажды дикий кабан нападёт на неё». Она окончила Калифорнийский университет в Дейвисе с экономической степенью, после чего отправилась в Каир ради аспирантуры в Американском университете.

До этого девушка успела побывать в Японии и Турции, где, по её словам, научилась ценным навыкам ведения переговоров, наблюдая за торговцами коврами и владельцами лавок на местном базаре. В начале десятых Морган вернулась в США и занялась предпринимательством, основав несколько собственных стартапов. В 2014 году Лихтенштейн консультировал одну из её компаний — предположительно, так пара и познакомилась.

Блок instagram недоступен

В последующие годы будущие супруги запустили ещё несколько проектов. Деятельность некоторых стартапов они регулярно освещали в сети, но многие оказались фиктивными и впоследствии использовались для отмывания денег. В 2016 году Лихтенштейн неожиданно ушёл с поста MixRank, где был соучредителем, а в его профиле на LinkedIn с тех пор были только расплывчатые должности вроде «инвестора» или «наставника».

В начале 2018 года с фактического рабочего места уволилась и Морган. Друзьям она часто говорила о выгорании, но позже заявила, что покинула собственную компанию из-за нечестных сотрудников и финансовых махинаций с их стороны. «Это очень странное чувство — получить столько свободного времени после безостановочной работы в течение долгих лет. Примерно в то же время я открыла для себя рэп», — рассказывала девушка.

Вскоре будущие супруги переехали в Нью-Йорк, в квартиру на Уолл-стрит стоимостью около миллиона долларов. В 2019 году они обручились, для этого Лихтенштейн разметил билборды с Razzlekhan — рэп-альтер эго Морган — по всему Манхэттену. Свадьба состоялась только в ноябре 2021 года, когда пара уже узнала о расследовании против них. На свадьбе невесту вынесли в паланкине под хит группы Europe «Final Countdown».

Билборды с Хизер Морган на Манхэттене

Цифровой след в соцсетях — от «кринж-рэпа» до советов по кибербезопасности

Многие подробности о жизни супругов раскрылись благодаря соцсетям Морган. Vice отмечает, что у неё есть активные аккаунты в твиттере, инстаграме, тиктоке, фейсбуке, ютубе и других платформах — при этом контент в разных источниках почти не повторяется. Пара не перестала выкладывать посты ни когда узнала о расследовании, ни после обыска в их квартире.

По словам журналистов, соцсети пары показывали типичную жизнь богатой молодой семьи, но нельзя было сказать, что у них в распоряжении находятся миллиарды долларов. Особенно учитывая абсурдность многих постов Морган: например, тверк на крыше одного из небоскрёбов Манхэттена, дегустация кошачьей еды или попытка воспользоваться китайскими палочками ногами.

Отдельное внимание после ареста досталось музыкальной карьере Морган. Девушка рассказала, что с детства слушала хип-хоп и сама мечтала стать рэпершей — этому мешали дефекты речи, из-за которых она в школе посещала логопеда. В 2019 году Хизер рассказала, что всю жизнь стеснялась своего голоса, но решила преодолеть неуверенность в себе и в итоге придумала образ Razzlekhan, «роскошной версии Чингисхана».

В 12 лет я поставила брекеты и носила их до поступления в колледж. Мои зубы были настолько искривлены, что я наверняка фигурирую в нескольких медицинских пособиях.

Хизер Морган

Осуществить мечту девушки помог продюсер и музыкант Дайрон Саутерленд, с которым та познакомилась на вечеринке в Нью-Йорке. В течение нескольких лет они вместе писали тексты и выступали в местных клубах. В качестве гонорара девушка оплачивала счета наставника и дарила дорогие подарки. В какой-то момент она решила подписать с ним официальный контракт, но стороны не договорились о деньгах, после чего Морган переписала куплеты в совместных треках.

Тогда я увидел её истинное лицо. Она использовала меня, но сейчас я уже не держу зла. Очевидно, карма — та ещё сука.

Дайрон Саутерленд

Морган выкладывала свои рэп-клипы на ютуб-канале Razzlekhan — после ареста ролики на нём скрыли, но вскоре доступ вернулся, а 18 февраля там даже появилось несколько архивных видео. Девушка также фристайлила на разные темы в тиктоке. Новые слушатели назвали творчество «кринжовым», отметив как нелепое содержание треков, так и навыки рэперши: она часто не попадала ни в ритм, ни в тональность мелодий.

В большинстве песен Морган читала о роскошном образе жизни «крокодила с Уолл-стрит» и делала отсылки на предпринимательство и блокчейн-сферу. Трек Cutthroat Country особенно заинтересовал пользователей: в тексте есть строчки «Spearfish your password, all your funds transferred» («Выловила твой пароль, все средства переведены»). Об этом также упоминается в судебных документах, подготовленных прокурорами.

Помимо кривляний в тиктоке и абсурдного рэпа Морган увлекалась цифровым дизайном, скульптурой, рисованием и созданием собственных коллекций одежды. Она также выступала на конференциях, где рассказывала о бизнесе, кибербезопасности и социальной инженерии — технике манипулирования людьми. На лекциях девушка иногда пользовалась вниманием аудитории, чтобы исполнить рэп, и только после этого переходила к теме.

Кроме того, Хизер работала внештатным редактором в нескольких бизнес-журналах. С декабря 2017 года она написала около 50 статей для Forbes: среди них были личные колонки, интервью с певицами Awkwafina и Ashinikko, советы для предпринимателей и скучающих на карантине. Ещё около сотни материалов на похожие темы от имени Морган вышли в журнале Inс. Оба издания заявили, что официально прекратили сотрудничество с автором.

В 2020 году Морган выпустила материал о защите бизнеса и финансов от хакеров. Иронично, что в статье девушка цитировала сотрудника компании BitGo, отвечающей за безопасность Bitfinex во время взлома в 2016 году. Другой эксперт сказал: «Мы стараемся по-настоящему узнать наших клиентов и отслеживать необычную активность». Именно благодаря этому принципу ФБР в итоге нашли мошенников, владеющих украденными биткоинами.

Обвинение супругов и судьба украденных биткоинов

Власти США предъявили супругам обвинения в заговоре с целью отмывания денег и обмане правительства Соединённых Штатов. Максимальный срок по этим статьям подразумевает до 25 лет лишения свободы. Основным подозреваемым считается Илья Лихтенштейн, а Хизер Морган предварительно называют его сообщницей. По версии прокуроров, она владеет прикладными знаниями в криптовалютах и помогала мужу добровольно.

Хизер Морган и Илья Лихтенштейн вместе со своим адвокатом на заседании 8 февраля. Фото Элизабет Уильямс/AP

Подозреваемых собирались отпустить под залог в размере 8 миллионов долларов, но сторона обвинения оспорила решение. Это объяснили риском побега, к которому супруги, судя по найденным в их квартире доказательствах, готовились заранее. Адвокат пары заявил, что если бы его клиенты собирались покинуть Штаты, то сделали бы это ещё в 2021 году, когда узнали о расследовании, либо в январе, в период между обыском и арестом.

Ещё одним аргументом защиты стали эмбрионы, которые Морган заморозила некоторое время назад, чтобы в будущем завести детей. «Если они сбегут, то буквально предадут своё будущее», — объяснил адвокат. Обвинение возразило, что ребёнка будет трудно воспитать, если родителей посадят на 25 лет. В итоге суд вынес решение оставить Лихтенштейна за решёткой, а Морган перевести под домашний арест.

Пока неясно, что будет с биткоинами, конфискованными Минюстом США. Правительство заявило, что пострадавшие в результате взлома в 2016 году смогут вернуть их через суд, несмотря на компенсацию клиентам биржи. Представители Bitfinex в свою очередь рассчитывают вернуть их себе, чтобы покрыть понесённый ущерб.

Новости о конфискации уже повлияли на рынок криптовалют: курс служебного токена LEO, который является частью экосистемы Bitfinex, за день вырос почти на 50%. Кроме того, одновременное возвращение всех украденных биткоинов в оборот может снизить их стоимость — 120 тысяч токенов составляют около 0,6% от всех существующих на рынке биткоинов.

Открытым остаётся и вопрос о виновниках самой хакерской атаки. В 2019 году в Израиле по подозрению во взломе арестовали двух братьев, а осенью 2021 года в Индии задержанный хакер заявил, что за преступление ответственен он. С тех пор ни одно из этих обвинений не подтвердились. Некоторые также настаивают, что сотрудники Bitfinex и BitGo если и не организовали похищение, то должны как минимум понести наказание за нарушение безопасности.

Большая часть пользователей не верит, что Лихтенштейн и Морган могли организовать такое преступление — якобы в мошеннической схеме они оказались чуть ли не случайно. Однако такая версия всё ещё существует. По мнению редактора издания CoinDesk, наивно предполагать, что кто-то украл 120 тысяч биткоинов с одной из крупнейших бирж, чтобы затем полностью передать их одиозной паре предпринимателей.

#криптовалюты #хакеры #истории #мошенничество