Tidigare denna månad tillkännagav USA: s justitieministerium (DOJ) beslag och avlägsnande av Welcome to Video (WTV), en av världens största darknet-marknadsplatser för barnpornografi. Webbplatsen nås via Tor Hidden-tjänster (.lök) och genomförde totalt 353 000 $ helt i bitcoin från 2015 till 2018.

Det borde inte bli någon överraskning att alla bitcoin-transaktioner in och ut ur WTV var spårbara. Tillsammans med undercover-undersökningstekniker blev Bitcoins pseudo-anonymitet en integrerad del av hur utredare kunde lokalisera och ta till sig de mörka nätmarknaderna samt dess globala användarbas.

Vidare läsning: Är Bitcoin anonym?

I motsats till vad man kan överväga FBI eller NSA-territorium leddes USA: s inblandning i ärendet av IRS- och Homeland Security Investigations (HSI) -lag. I DOJ meddelande, Chef Don Fort, chef för IRS-undersökningsgrupp, uppgav att genom användning av “sofistikerad spårning av bitcoin-transaktioner” kunde agenter identifiera administratören av WTV-webbplatsen och lokalisera dess server i Sydkorea. Allt är sant – och det ger ett bra pressmeddelande – men det finns mer i historien.

Ett Blockchain-verktyg som följer pengarna

I allmänhet krävs en mängd olika tekniker och används för denna nivå av cyberundersökning. Under ärendet fick brottsbekämpning faktiskt hjälp av blockchain-analysprogramvara skapad av Chainalysis. I en intervju med Bitcoin Magazine förklarade Jonathan Levin, Chainalysis medgrundare och strategichef, rollen som Bitcoin spelade i det här fallet.

Chainalysis tillhandahåller en specialiserad “follow-the-money” -stilen för datavisualisering för bitcoin-transaktioner till myndigheter, kryptovalutabörser och traditionella finansinstitut. Men Levin betonade att Chainalysis aldrig är enbart arkitekten för att lösa ett ärende. Dess programvara fungerar i en mycket mer kompletterande stödroll för brottsbekämpning.

“Det vi verkligen tillhandahåller är utbildning och programvara till brottsbekämpande myndigheter så att dessa organ själva och kryptovalutabörser kan samarbeta för att bygga den här typen av utredningar”, säger Levin. ”Vi hjälper till att identifiera de tjänster som individer använder för att ta in och ut pengar. Dessa utbyten kan sedan identifiera vem dessa individer använder KYC-standarder och sedan belysa den informationen med brottsbekämpning för att fortsätta och gripa. ”

Vidare läsning: Bitcoin är inte anonym och Tor-användare glömmer detta

Använda Chainalysis Investigations-produkten Chainalysis Reactor, IRS-Criminal Investigations (IRS-CI), HSI och en kohort av andra nationella myndigheter över hela världen kunde kartlägga flödet av transaktioner på Bitcoin blockchain som överförde medel till WTV bitcoin-adresser.

Reactor-produkten förenklar i princip hur människor kan se kryptovalutatransaktioner så att data från dessa insikter lättare kan smälts och förstås. Denna bitcoin-transaktionsinformation sprids därefter som bevis för gripande till andra brottsbekämpande myndigheter i Storbritannien, Sydkorea, Tyskland, Saudiarabien, Förenade Arabemiraten, Tjeckien, Kanada, Irland, Spanien, Brasilien och Australien.

Kartläggning av chainalysis-transaktioner kan ta ner marknaderna för mörka nät.Chainalysis bitcoin-transaktionskartläggning och visualisering som visar flöden av medel in och ut från Välkommen till videoadresser.

Genom Chainalysis-kartläggning visste brottsbekämpning att rikta sig mot andra mörka nätmarknader och kryptovalutabörser för att ytterligare identifiera WTV-användarbasen för efterföljande arresteringar. USA-baserade kryptovalutabörser är åtminstone enligt lag skyldiga att följa KYC-standarder och följa brottsbekämpning. Många av dessa utbyten gav kopior av identifikation, adresser och annan transaktionsinformation, medan öppen källkodsinformation och “standardundersökningstekniker” gjorde resten.

”Detta är en av de mest framgångsrika borttagningarna av en webbplats för barnpornografi de senaste åren”, säger Levin, “och det möjliggjordes både genom brottsbekämpande insatser och samarbete med utbyten av kryptovalutor, och utan det skulle fallet inte ha varit så framgångsrik.”

Med tanke på att Chainalysis positionerar sig i kryptovalutans ekosystem som ett data- och efterlevnadsföretag och tillhandahåller analysprogramvara till myndigheter, finansinstitut och kryptovalutabörser, tror Levin att slåss mot missbruk av kryptovaluta kommer att skapa mer förtroende för marknaden och ge fler möjligheter till fler människor.

När kryptovalutor blir mer vanliga, berör och integrerar mer traditionella finansinstitut i kryptovalutaekonomin, finns det en ständigt växande efterfrågan på att förstå hur och varför människor använder kryptovalutor. Som ett resultat expanderar Chainalysis över hela linjen inom alla sina affärsområden. Levin sa att det kommer att fortsätta att lägga till fler kryptovalutor till sin plattform och expandera globalt, särskilt i Asien-Stillahavsområdet.

Till skillnad från mer traditionella anti- (fiat) penningtvättstjänster har Chainalysis en klar fördel.

“Skillnaden mellan vad de gör och vad Chainalysis gör ligger i det tydliga faktum att blockchain-analys kräver en allmänt tillgänglig oföränderlig storbok”, förklarade Levin.

En uppenbar iakttagelse ur ett perspektiv som följer med pengarna, med hjälp av en offentligt oföränderlig storbok gör det mycket mindre svårt och tidskrävande att analysera transaktionsdata.

Blockchain-analys vs CoinJoin

Forskning över internet om effektiviteten av att blanda tjänster som CoinJoin ger en miasma av åsikter. Tidigare har regeringstjänstemän och teknologer sagt att det kan knäckas. Men tekniken för både blandning och avblandning av kryptovaluta fortsätter att bli bättre. En trådbunden artikel ger lite bakgrund till varför det inte alltid ligger i en offentlig eller privat organisations bästa att avslöja en detaljerad metod för omblandning för allmänheten.

Den verkliga effekten av att blanda mynt är sannolikt inte ett enkelt ja-eller-nej-svar. Så här förklarar Levin det:

”Det har förekommit fall där CoinJoin är relativt ineffektivt. det har förekommit fall där det har varit effektivt. Så det finns inget heltäckande svar på om blockchain-analys gör eller inte kommer genom blandningstjänster som CoinJoin. ”

Den andra stora operativa gliden upp

Bortsett från Bitcoin, kan en annan viktig paus i ärendet hittas i åtal (explicit) för WTV: s administratör, Jong Woo Son. Åtalet visar en annan viktig säkerhetsavgift. I september 2017 upptäckte utredarna att genom att högerklicka på WTV-hemsidan och välja “visa sidkälla”, kan vem som helst se webbplatsns serverns IP-adress.

En månad senare exponerades en annan IP-adress på samma sätt. Dessa två IP-adresser användes som bevis och spårades tillbaka till ett enda konto som en telekommunikationsleverantör i Sydkorea var värd för. Kontot registrerades till Son.

Under samma tid skickade en undercover-agent upprepade gånger BTC till en bitcoin-plånbokadress som tillhandahålls på WTV-webbplatsen. Varje gång överförde ägaren till denna bitcoin-adress pengar till en annan adress som innehades på ett “BTC-utbyte.” Kontokortet för kontot förvarades i Sonns namn.

Med rimliga bevis för att söka i Son’s hus hittade utredarna ytterligare indikatorer för att bekräfta Son som WTV: s administratör, inklusive fyra e-postkonton som ägs av Son kopplade till samma läckta IP-adress på WTVs hemsida.

Så varför använda Bitcoin?

Mellan 2015 och avstängningen 2018 presenterade WTV över en fjärdedel av en miljon videor, över åtta terabyte med kanske något av det mest avskyvärda innehållet på internet. Det debiterade användare så mycket som $ 350 i bitcoin för en prenumeration. I DOJ-utgåvan anges att den här webbplatsen var en av de första i sitt slag för att tjäna pengar på videor för exploatering av barn med bitcoin.

Att bara acceptera bitcoin för denna nivå av kriminell aktivitet var dock inte bara oklokt, det var också ganska ovanligt. Enligt den icke-akademiska darkweb-, krypto- och läkemedelsmarknadsforskaren Caleb (@ 5auth), “marknadsplatser som WTV kräver vanligtvis inte betalning.”

Caleb har en mycket bättre förståelse för darkweb än den genomsnittliga personen. Hans syn på betydelsen av WTV-avstängningen är ganska österrikisk. När allt kommer omkring, i anonyma – och i WTV: s, olyckliga – marknadsplatser, rör den osynliga handen alltid marknaden.

“WTV fyllde en plats som nu är ledig,” sa Caleb. ”Någon kommer att skapa en webbplats och fylla tomrummet. Den nya webbplatsen kommer sannolikt att göra färre grundläggande misstag under skapandet och öva bättre opsec. Men jag tvivlar på att de kommer att släppa stöd för bitcoin eller genomdriva användningen av mer privata kryptovalutor. ”

På den sista punkten är Levin överens om: “Det kommer att ta ganska lång tid för någon annan kryptovaluta att ta bort bitcoin som den mest använda kryptovalutan på darkweb,” sa han.

Och eftersom bitcoin är den mest beprövade betalningsmetoden på dessa olagliga onlinemarknader, skulle det inte vara dåligt för företaget att inte acceptera det..

“Det har gjorts mycket forskning som har visat att mörka nätmarknader har verklig konkurrens, och ur ett akademiskt perspektiv tror jag att dessa marknadsplatser är oundvikliga att existera”, säger Levin. ”Om [pratande om darknet-plattformar i allmänhet] marknadsförs för att försöka få så många människor som möjligt att delta på marknaden, och det innebär att transaktioner sker i bitcoin, kan folk känna att det är värt risken om det innebär att få ett större mål marknadsföra.”

Detta kommer till den paradoxala karaktären att använda bitcoin för kriminell verksamhet. Ur ett operativt säkerhetsperspektiv visar WTV-avstängningen att det förmodligen är en av de värsta betalningsmetoderna för denna nivå av kriminell aktivitet.

Men åtminstone allmänt sett om darkweb-ekonomi är bitcoin fortfarande den överlägset mest använda och accepterade betalningsmetoden. Enligt Caleb visar bevis att fram till några månader sedan misslyckades eller dog nästan alla darkweb-läkemedelsmarknader som endast accepterade monero på grund av brist på kunder.

Darknet Markets Förmåga att betala med MoneroEn SamaSara Market röstar för XMR-implementering

En eller två marknader endast för XMR genererar intäkter. Caleb påpekar dock att även om Monero kan verka bättre för olaglig aktivitet, föredrar marknaden fortfarande bitcoin och inte accepterar det kommer att begränsa tillväxten.

“Fly-by-night” -marknader kan starta butik med ett av de många manusen för att skapa en grundmarknad som endast accepterar bitcoin och ändå gör ett mord, “sa Caleb.

Skicka ett “Clear Message” till Darknet Markets

I slutändan betalade bitcoin för WTV-prenumerationer, och det ledde utredarna till dörren till Jong Woo Song, en 23-årig sydkoreansk medborgare, som för närvarande tjänar sin straff som den dömda administratören och serviceoperatören för WTV.

En analys av servern avslöjade att webbplatsen hade mer än en miljon bitcoin-adresser, vilket tydde på att den hade kapacitet för minst en miljon användare.

Totalt har brottsbekämpande myndigheter över hela världen delat data som samlats in från den beslagtagna webbplatsen och kryptovalutabörser för att identifiera och lagföra sina kunder. Hittills har denna information skickats till 38 länder och resulterat i gripandet av mer än 337 personer över hela världen. Det har gjorts sökningar på bostäder och företag av 92 olika individer i USA, varav två tidigare federala agenter.

I Washington, DC, ledde beslag av WTV till en särskilt dramatisk serie av händelser, som började med “verkställandet av fem sökoptioner och åtta arresteringar av individer som båda konspirerade med webbplatsens administratör och själva var användare,” enligt till DOJ-släppet. “Två av dessa användare begick självmord efter genomförandet av sökoptioner.”

I DOJ-meddelandet konstaterades också att WTV: s borttagnings- och uppföljningsutredningar är “ansvariga för räddningen av minst 23 mindre offer som bor i USA, Spanien och Storbritannien, som aktivt misshandlades av användare av webbplatsen.”

Idag lever ärendet fortfarande och utredarna förföljer fortfarande WTV-användare. En Chainalysis blogginlägg släpptes tillsammans med DOJ-meddelandet, vilket kunde anses vara riskabelt.

Levin erkände den potentiella nackdelen men stod vid det här beslutet och sa: ”Okej, du kan driva den här typen av aktiviteter ytterligare under jord, men jag tror att det här fallet skickar ett riktigt tydligt meddelande.”