هل نفذ رازليخان وداتش أكبر سرقة عملات مشفرة في التاريخ؟

لا يبدو أنهما عبقريان لكن تتعدد القرائن على أنهما وراء قرصنة ونهب إحدى أكبر بورصات "بتكوين"

ملصق قرب المحكمة في مدينة نيويورك يصور امرأة بصفات رازليخان
ملصق قرب المحكمة في مدينة نيويورك يصور امرأة بصفات رازليخان المصدر: بلومبرغ
المصدر: بلومبرغ
تعديل مقياس القراءة
ع ع ع

تربص القراصنة لأسابيع بعد اختراقهم خوادم "بتفينيكس" (Bitfinex) قبل أن يحاولوا نهب بورصة العملات المشفرة، فقد راقبوا تداولات المتعاملين بعملة "بتكوين" ودرسوا أوامر التحكم بنظام الأمن. كان الأمر أشبه بالاختباء وراء فتحة تهوية فوق خزينة بنك لمراقبة الصرافين ينقلون الأموال من وإلى البنك بدقة بحثاً عن مواطن ضعف.

لم يسع القراصنة لسرقة عملة "بتكوين" بذاتها، فهي تتواجد فقط على شكل مدخلات في قاعدة بيانات تديرها أجهزة الكمبيوتر حول العالم، بل كانوا يسعون للحصول على مفاتيح التشفير الخاصة، وهي كلمات مرور مشفرة من شأنها أن تسمح لهم بإلغاء قفل تأمين العملات ونقلها إلى حساباتهم.

في أحدث هجوم إلكتروني.. قراصنة يسرقون 590 مليون دولار من العملات المشفرة

نفذ القراصنة مخططهم بمجرد عثورهم على تلك المفاتيح، فرفعوا سقف السحب اليومي لدى البورصة من 2500 إلى مليون بتكوين في الساعة 10:26 صباحاً من يوم 2 أغسطس 2016، وهو حد أكثر من كافٍ لتفريغ الخزينة بأكملها. ثم بدأوا إرسال أوامر لنقل "بتكوين" الخاصة بـ"بتفينيكس" باستخدام المفاتيح إلى عناوين يتحكمون بها عبر "بلوكتشين". سرق القراصنة خلال ثلاث ساعات و51 دقيقة 119754 "بتكوين"، أي أكثر من نصف حيازة ما كانت آنذاك إحدى أكبر بورصات العملات المشفرة.

حين أدرك المسؤولون التنفيذيون في "بتفينيكس" ما حدث، استعانوا بفريق أمن لفحص ذاكرة الخوادم بحثاً عن أدلة. كانت سرقة جشعة ومتطورة واشتبه بعض العملاء بتورط أطراف داخلية، أو أن الجناة ربما كانوا ينتمون إلى نخبة جيش القرصنة في كوريا الشمالية، التي كانت قد سرقت 81 مليون دولار من بنك بنغلاديش المركزي قبل ستة أشهر. لكن لم يجد المحققون خيوطاً هامةً يتتبعونها فقد محى القراصنة بصماتهم الرقمية قبل تسجيل الخروج.

أكبر سرقة تاريخياً

كانت كل المعلومات المتاحة لدى "بتفينيكس" هي العناوين التي أرسل القراصنة الأموال المسروقة إليها على نظام "بلوكتشين" وهي مكونة من 34 خانة. أتاحت الشركة هذه العناوين ليطلع عليها الجميع عبر الإنترنت في محاولة للحصول على مساعدة جمهور المستخدمين. قبعت معظم الأموال في تلك المحافظ الرقمية لسنوات دون أن يمسسها أحد، حتى في ظل تحول "بتكوين" من عملة يدفعها فضول أقلية إلى هوس عالمي رفع سعرها بأكثر من 100 ضعف. بلغت قيمة "بتكوين" المسروقة أكثر من 8 مليارات دولار بحلول 2021، ما يجعلها السرقة الأكبر في التاريخ. لم تكن هناك طريقة واضحة لمعرفة من استولى على العملات رغم وجودها في تلك المحافظ الرقمية. لم يكن بإمكان الشرطة إعادتها بغياب مفاتيح التشفير الخاصة بالقراصنة.

قراصنة عمالقة رغم حداثة عهدهم

غير أن عميلاً في دائرة الإيرادات الداخلية يعمل من قبو منزله بمدينة غراند رابيدز في ميشيغان عثر على دليل. فقد بدت المحافظ الرقمية مرتبطة بزوجين من مدينة نيويورك في مطلع ثلاثيناتهما، وهما إيليا ليكتنستاين وهيذر مورغان.

لدى النظر إلى حساباتهما على وسائل التواصل الاجتماعي، لا يبدو أن الزوجين ذوي عبقرية إجرامية. يميز ليكتنستاين، الملقب داتش، شعره المتموج وابتسامة شقية كما لو أنه نسخة طفولية من إليجاه وود. بدا داتش مولعاً للغاية بقطة الزوجين البنغالية كلاريسا. بينما تمحور اهتمام مورغان حول الموسيقى، تحديداً الموسيقى الرديئة للغاية، التي ألفت كلماتها وأدتها ونشرتها في مقاطع فيديو على "يوتيوب" و"تيك توك". رقصت مورغان في أحد المقاطع الموسيقية المصورة مستخدمة لعبة على هيئة تمساح لتوجيه إيحاءات جنسية. تجولت في مشهد آخر في شوارع الحي المالي بنيويورك مرتدية سترة رياضية ذهبية وحقيبة خصر وقبعة ذات حافة مسطحة كتب عليها "لا أبالي بأي شيء". لقبت مورغان نفسها "تمساح وول ستريت"، كما تفاخرت في إحدى الأغنيات بمهاراتها في القرصنة قائلةً: "سأحتال لسرقة كلمة المرور الخاصة بك وسأستولي على جميع أموالك"، واعتمدت "رازليخان" لقبها كمغنية راب.

تسويق وغناء

كانت مورغان، البالغة من العمر 31 عاماً آنذاك، قد أسست شركة صغيرة متخصصة في صياغة النصوص التسويقية حملت اسم ""سيلزفولك" (SalesFolk). أقامت مورغان مع ليكتنستاين في شقة في بناء مرتفع إيجارها 6500 دولار شهرياً في "وول ستريت". بدت شقة الزوجين في منشورات مورغان على موقع "تيك توك" مكتظة بتحف رخيصة منها جمجمة تمساح وتمثال لجمل وقطعة غير مفهومة وُصِفت فقط بأنها "صخور المجاري الأوكرانية". عُلق جلد حمار وحشي على الحائط قرب جهاز تدريب رياضي مزين بخطوط حمار وحشي. كما عُلق زوج من رؤوس الظباء طويلة القرون في نفس المكان بجانب صورة أشعة سينية لرئتي مورغان إبان إصابتها بفيروس كورونا المسبب لمتلازمة الشرق الأوسط التنفسية (MERS) خلال زيارتها لمصر.

مؤسس صندوق للعملات المشفرة يُحذِّر من قراصنة كوريا الشمالية

صورت مورغان نفسها على أنها مكافحة دائمة من أجل تغيير عالم التقنية وواحدة من المتمردين عليه مثل ترافيس كالانيك مؤسس "أوبر"، أو براين تشيسكي مؤسس "إير بي إن بي". كتبت مغنية الراب مقالات في مجلة "فوربس" بانتظام وتقول سيرتها الذاتية إنها: "تستمتع بموسيقى الراب وتصميم أزياء الشارع عندما لا تضطلع بعمل هندسة عكسية للأسواق السوداء بغرض التفكير في طرق أفضل لمكافحة الاحتيال والجرائم الإلكترونية". أو كما قالت في أغنيتها "فيرساتشي بدوين": "أنا متعددة المواهب... أنا مغنية راب وخبيرة اقتصاد وصحفية... كاتبة ورئيسة تنفيذية... وفاسقة للغاية".

تنزع "رازليخان" كمؤدية موسيقية للمبالغة الجنسية كما تفتقر للجاذبية بشكل صارخ، حيث تتراوح موضوعات نكاتها بين الإسهال والجنس مع التفاخر بممارساتها التجارية المضطربة. تعتبر حركتها المميزة، إذا كان بإمكانك اعتبارها كذلك، هي رفع يدها وتفريق أصابعها لتشكيل حرف "V"، ثم إخراج لسانها قائلةً "هرج ومرج!" لتتبع ذلك بسعلة عميقة متعمدة.

"الجنّي مارك"

تقحم مورغان القوافي بافتعال مزعج في كلمات أغانيها فيبدو أداؤها مصطنعاً لدرجة تجعل الممثل تشيت هانكس الذي يهوى الراب قياساً بها يبدو وكأنه مغني الراب الشهير كندريك لامار. أضف لذلك أن كلمات أغانيها تفتقر للمعنى، فقد وصفت في أغنية حالة هلوسة أعطيت فيها مصباحاً سحرياً وقابلت جنياً يعرض عليها تحقيق أمنياتها مقابل "تلبية رغباته الجنسية"، فقط لتدرك لاحقاً الهوية الحقيقية للجني: "لم يكن منحرفاً عادياً... لقد كان مارك زوكربيرغ".

أوضحت مورغان في مقالاتها في "فوربس" ومقاطع الفيديو المتعلقة بالمساعدة الذاتية التي تنشرها على "يوتيوب" أنها ابتكرت شخصية الراب الخاصة بها كوسيلة لاحتضان الغرابة التي جعلتها هدفاً للسخرية باستمرار. لقد نشأت خارج مدينة تشيكو بولاية كاليفورنيا، حيث كانت "تتعرض للتنمر بلا رحمة" بسبب لثغتها وتقويم أسنانها. جمعت مورغان بين دراستها في جامعة كاليفورنيا بمدينة دافيس والدراسة في الخارج في كوريا الجنوبية وتركيا. وجدت هويتها بعد التخرج بين جماعات الرحالة المغامرين أولاً في هونغ كونغ ثم في القاهرة. تقول أمينة أمونياك، التي ظلت على اتصال بمورغان بعد لقائهما قبل عشر سنوات عبر موقع "كاوتش سيرفينغ" على الإنترنت: "عندما تلتقي مورغان بشخص ما غالباً ما يصبح صديقاً للأبد".

"مايكروسوفت": عصابة "لابسوس" للقرصنة غرضها الابتزاز وسرقة العملات المشفرة

قابلت مورغان ليكتنستاين قبل نحو سبع سنوات في سان فرانسيسكو حيث انتقلت للعمل في شركة ناشئة. ما يزال اقتفاء آثار مغازلاتهما المبكرة على موقع "لينكد إن" ممكناً، حيث ترك ليكتنستاين توصية لمورغان قال فيها: "تصيغ هيذر رسائل محددة تعلق بأدمغة العملاء تماماً كخطاف لحم مشحوذ جيداً".

ولد ليكتنستاين في روسيا ونشأ في شيكاغو التي انتقل إليها والداه هرباً من الاضطهاد الديني. اكتشف داتش أثناء وجوده في جامعة ويسكونسن في ماديسون، ممارسة مشبوهة عبر الإنترنت تُعرف باسم "التسويق بالعمولة" التي تعني أن يشتري أناس مساحات إعلانية مجمعة على "فيسبوك" أو"غوغل" ويصممون إعلانات لأقراص الحمية ومعززات الدماغ ومواقع القمار الخارجية. ادعى ليكتنستاين في منشوراته عبر المنتدى أنه حقق أكثر من 100 ألف دولار سنوياً من التسويق بالعمولة فيما كان ما يزال طالباً.

ذكي ومتغطرس

يعتقد رايان إيغل، أحد المسوقين بالعمولة الذي يقول إنه عمل مع ليكتنستاين، أنه حتى في صناعة مليئة بالزملاء المزعجين، فقد برز ذكاء ليكتنستاين وعجرفته: "لقد كان أحد هؤلاء المهووسين بالتقنية الذين يحاولون التأثير عليك".

ساهم ليكتنستاين بعد تخرجه بتأسيس شركة متخصصة في تقنيات الإعلان، ليتركها في 2016 ويصبح مستثمراً في الشركات الناشئة مقابل حصص فيها. غالباً ما يبدو مشاركاً على مضض في مقاطع فيديو "تيك توك" التي تنشرها مورغان، حيث تساءل في أحد مقاطع الفيديو قائلاً: "إنك تصوّرينني باستمرار وتتوقعين حدوث شيء ما، ماذا تريديني أن أفعل؟ هل تريدين أن أقوم بشيء غريب وأقدم رقصة صغيرة؟. كان ذلك بعدما سألته مورغان عن عادته في تذوق طعام قطتهما كلاريسا وقوله: إنه يفتقر للملح و الفلفل لكن بخلاف ذلك فهو رائع للغاية". لم يرد ليكتنستاين على طلبات للتعليق.

بورصة العملات المشفرة "بيتمارت" تتعهد بتعويض المستخدمين عن قرصنة 150 مليون دولار

كنت أتمنى أن أطلب من مورغان الكشف عن جانبها من القصة. فكرت في الاتصال بها بالفعل، لكنها أوصت في أغنيتها "فيرساتشي بدوين" بعدم فعل ذلك: "إن ترسل لي رسالة إلكترونية فسحقاً لرسالتك..." ثم أدركت أنها قدمت عروضاً إيضاحية كاملة حول كيفية حث الأشخاص على الرد على رسائل البريد الإلكتروني. كانت أول قاعدة وضعتها هي "تعقب جمهورك إلكترونياً" لتفهمه. أعتقد أنني أتممت هذا بعدما أخضعت نفسي لساعات من مشاهدة أغانيها ومقاطع الفيديو الخاصة بها. قالت إن الخطوة التالية هي التفكير بما يفعله المنافسون. كنت قد قرأت أن شركة "نتفليكس" طلبت بالفعل من أحد منتجي مسلسل "تايغر كينغ" (Tiger King) إعداد فيلم وثائقي عنها. فراسلتها قائلاً: "هيذر، صانعو الأفلام الوثائقية يخططون لجعلك (تايغر كينغ) المقبل. يمكن أن تساهم إجاباتك في إعادة كتابة السرد"، لكنها لم ترد.

اختراقات متكررة

لا يبدو من ناحية واقعية أن من حاولت زج القوافي دونما أي تناغم قادرةٌ على أن تكون لصةً ماهرةً. لكن هذا هو عالم التشفير، حيث لم يكن الافتقار إلى الخبرة أو الكفاءة عائقاً أمام الشهرة والثروة دائماً، وحيث تحدث اختراقات على نطاق واسع بشكل منتظم.

كان لدى بورصات تداول "بتكوين" وظيفة واحدة من حيث الأساس وهي تأمين الأموال النقدية والمشفرة التي يرسلها المستخدمون، لكنها فشلت بذلك منذ بدايات القطاع. عدلت أول بورصة كبرى لتداول بتكوين، "إم تي غوكس" (Mt. Gox)، موقعاً إلكترونياً كان قد أنشئ لتداول بطاقات لعبة (Magic: The Gathering Cards) الافتراضية. كان تأمين الموقع وحفظ السجلات سيئين لدرجة أن القراصنة كانوا يسرقون عملات "بتكوين" بمجرد أن يودعها المستخدمون. طلبت شركة "إم تي غوكس" الحماية من الدائنين في 2014 وقالت إنها فقدت 7% من إجمالي عملات "بتكوين" الموجودة في العالم.

خطأ تقني بأكبر بورصتين لتداول العملات المشفرة يُخرج الأسعار عن السيطرة

توالت عمليات اختراق بورصات تداول العملات المشفرة، وكان من بين أضخمها اختراق "بورصة كوين تشيك" (Coincheck) وسرقة 530 مليون دولار من حيازاتها في 2018، وكذلك سرقة 280 مليون دولار من "كوكوين" (KuCoin) في 2020. قالت شركة "تشيناليسيز" المتخصصة بتحليلات العملات الرقمية وأمنها إن ما مجموعه 3.2 مليار دولار من العملات المشفرة سُرق خلال العام الماضي من البورصات الرقمية، وتطبيقات التمويل اللامركزي، التي يبرم من خلالها متداولو العملات الرقمية صفقات مباشرة فيما بينهم. تُظهر إحصائيات مكتب التحقيقات الفيدرالي أن هذا المعدل يزيد بمقدار مئة ضعف عن إجمالي الأموال المسروقة خلال عمليات السطو على البنوك ​​في الولايات المتحدة قياساً للمتوسط السنوي. تقول "تشيناليسيز" إن كثيراً من الأموال استولت عليها مجموعة "لازاروس" للقرصنة في كوريا الشمالية.

مناعة محدودة

كان يُنظر إلى "بتفينيكس" لدى اختراقها على أنها إحدى أفضل البورصات سمعةً، لكنها ليست بمناعة مبنى خزانة سبائك الإيداع الأميركية الشهير قرب حصن "فورت نوكس". قامت البورصة الرقمية في الأصل على شفرة نسخها شاب فرنسي من بورصة أخرى تدعى "بتكوينكا" (Bitcoinica) والتي اعتُبرت غير آمنة على نطاق واسع، وخضعت "بتفينيكس" لإدارة جراح تجميل تحول لاستيراد الإلكترونيات منخفضة الجودة يدعى جيانكارلو ديفاسيني. استثمر ديفاسيني، المقيم في ميلانو، في "بتفينيكس" في 2012 ليصبح رئيسها بحكم الواقع رغم أنه رسمياً مديرها المالي. يرأس ديفاسيني أيضاً شركة "تيثر" (Tether)، مُصدرة ما يسمى بالعملة المستقرة "تيثر" المفترض دعمها بالدولار الأميركي بنسبة 1 إلى 1، غير أن الجهات التنظيمية الأميركية غرمت الشركة على خلفية الكذب بشأن أصولها البالغة 67 مليار دولار.

مواقع الأفلام المقرصنة على الإنترنت تجني المليارات من الإعلانات

أنشأت "بتفينيكس" نظام أمان جديد عقب خسارتها لما قيمته 400 ألف دولار تقريباً من العملات المشفرة في اختراق في 2015. كانت البورصات الأخرى تخلط عملات المستخدمين معاً بشكل عام، وتخزن مفاتيح التشفير الخاصة على أجهزة كمبيوتر غير متصلة بالإنترنت، وهي ممارسة تُعرف باسم "التخزين الخامل". احتفظ النظام الجديد برصيد كل مستخدم في عنوان منفصل على منصة "بلوكتشين"، ما يسمح للعملاء برؤية محل تخزين أموالهم بأنفسهم. كما استخدمت "بتفينيكس" برنامجاً من شركة "بتغو" (BitGo) لتأمين الأصول الرقمية، ومقرها سان فرانسيسكو. قال مايك بيلشي، رئيس الأخيرة التنفيذي في بيان أعلن فيه الصفقة: "هذا المستوى الجديد من الشفافية والأمان يجعل حدوث انتهاكات مشابهة لما تعرضت له (إم تي غوكس) مستحيلاً".

صُمم برنامج "بتغو" للموافقة تلقائياً على التحويلات الأدنى من سقف معين، لذا لم تتأخر عمليات السحب الصغيرة، لكنه تطلب توقيع أحد المسؤولين التنفيذيين في "بتفينيكس" يدوياً لإتمام التحويلات الضخمة. كان يُفترض أن يعني ذلك، بالحد الأقصى، سرقة عدد قليل فقط من عملات بتكوين حتى لو اختُرقت "بتفينيكس". لكن تهيئة النظام كانت معيبة، فقد أمكن تغيير الحد الأقصى للتحويل بأمر أرسله شخص لديه بيانات الاعتماد الإلكترونية الخاصة بأحد مسؤولي "بتفينيكس" التنفيذيين.

حصان طروادة

أظهرت وثائق المحكمة أن هذا ما فعله القراصنة بعدما استعانوا بملف حصان طروادة للوصول عن بعد (RAT) لاختراق البورصة. تتيح مثل هذه الملفات الضارة للمهاجمين التحكم الكامل في جهاز الكمبيوتر المستهدف كما لو كانوا يجلسون أمام لوحة المفاتيح. اضطر القراصنة للتوقف فقط عندما تفقد أحد العاملين في "بتفينيكس" أرصدة الحسابات ولاحظ وجود ما يريب.

قال المسؤولون التنفيذيون في "بتفينيكس" إنهم فكروا بوضعها تحت الإفلاس بعد الهجوم، لكنهم خفضوا أرصدة جميع العملاء بنسبة 36% بدلاً من ذلك وأصدروا سندات دين لتغطية الخسائر كي يمنحوا أنفسهم فرصة لتعويض الخسائر والاستمرار بالنشاط. جنت البورصة في غضون ثمانية أشهر ما يكفي لسداد مديونياتها للعملاء، إما نقداً أو كأسهم في "بتفينيكس".

لمخاطرها الكبيرة.. صناديق التقاعد مازالت حذرة تجاه العملات المشفرة

أبلغت بورصة العملات المشفرة السلطات بالاختراق، لكن لم تكن هناك أدلة تتعقبها. كان القراصنة قد محوا ذاكرة الخوادم لدى خروجهم وكذلك كل ما يشير إلى مكانهم. لم تتمكن شركة "ليدجر لابس" (Ledger Labs)، التي حققت في الاختراق نيابة عن "بتفينيكس"، من تحديد كيفية وصول القراصنة إلى خوادم البورصة. أكدت "بتغو" أن برنامجها عمل على نحو صحيح، رغم أنها غيرت قواعدها بحيث لا يمكن رفع حدود السحب إلا بعد مكالمة فيديو مع أحد موظفيها. رفضت شركتا "بتغو" و"بتفينيكس" التعليق على الأمر، وكذلك المحقق الرئيسي في "ليدجر لابس".

قال مايكل شاولوف، المبرمج السابق لدى سلاح الاستخبارات الإسرائيلي والمؤسس المشارك في شركة تأمين الأصول الرقمية "فايربلوكس" (Fireblocks)، إن مثل هذه الاختراقات لا تتطلب مستوى عالٍ من الخبرة التقنية بشكل عام، مضيفاً أن الجزء الأصعب غالباً ما يكون صياغة بريد إلكتروني يخدع شخصاً من الداخل ليفتح محتوى ضاراً. قال شاولوف: "عامل الهندسة الاجتماعية محوري".

هندسة تلاعبية

بدا ذلك وكأنه دليل؛ فقد ألقت مورغان محاضرة في 2019 بعنوان "كيف تهندس اجتماعياً طريقك إلى أي شيء" في فعالية سميت بـ"صالون نيويورك" (NYC Salon). ظهرت مورغان في منشور إعلان ترويجي لكلمتها في الفعالية وهي ترتدي ثوباً ضيقاً من جلد الثعبان اللامع بينما حملت مفتاحاً كبيراً لربط الأنابيب. بعد محاولتها إثارة حماسة الحشد المرتبك عبر غناء بضعة جمل من أغنية "فيرساتشي بدوين"، قالت مورغان في المحاضرة: "أكره مصطلح تلاعب، مضيفةً أن الهندسة الاجتماعية تتضمن إقناع شخص ما بمشاركة معلومات أو اتخاذ إجراء لا يفعله بغياب ذلك. فيما كان إما صدفة مؤسفة أو ضرباً مذهلاً آخر من الغطرسة، نشرت مورغان في اليوم السابق للسرقة صورة لها برفقة ليكتنستاين على "إنستغرام" بينما يجلسان على أريكة قطيفة زرقاء، وأرفقتها بنص يقول: سأحب دائماً أن أقع في المتاعب بصحبة هذا الرجل المجنون".

صندوق تقاعد هيوستن يشتري عملات مشفرة ويقول إنها أصول "لا يمكن تجاهلها"

في يوم السرقة، ولج أحد موظفي "بتفينيكس" إلى منتدى بتكوين الرئيسي على منصة "ريديت" ونشر جميع العناوين التي أرسل القراصنة عملات بتكوين المسروقة إليها. لم يكن ذلك كثيراً، فقد كانت مجرد قائمة بآلاف الأكواد المكونة من 34 رمزاً. لكن الأمر كان أشبه بتفجير مغلف صبغة داخل حقيبة مسروقات أحد لصوص البنوك لتمييز الأوراق النقدية الموجودة فيها.

تُجرى جميع المعاملات على نظام بلوكتشين لتداول "بتكوين" علنياً، بحيث يمكن لأي شخص البحث عن عنوان والاطلاع على جميع العناوين الأخرى التي أرسلت إليها عملات رقمية أو أتت منها. لن يقبل كثيرون تلقي عملات بتكوين من العناوين التي كشفت عنها "بتفينيكس" على "ريديت"، فحتى لو لم يمانعوا الحصول على أموال مسروقة، سيساورهم القلق بشأن ما إذا كان يمكنهم إنفاقها بأنفسهم، أم أن ذلك سيضعهم على قائمة المشتبهين.

تجميد المسروقات

لم تتحرك عملات بتكوين المسروقة طيلة ستة أشهر. يبدو أن القراصنة نسوا جزءاً مهماً من خطتهم، حيث كان يجدر بهم إيجاد طريقة لطمس صلتهم بعملية الاختراق ليتمكنوا من استخدام العملات فعلياً. كان أمامهم مكان واحد يرحب بتلقي العملات المسروقة، وهو موقع "ألفاباي" (AlphaBay). كانت "ألفاباي" إحدى أسواق الشبكة المظلمة "دارك ويب"، وهو جزء مخفي من الإنترنت لا يمكن الوصول إليه إلا عبر متصفح لا يكشف هوية المستخدم. نشر المستخدمون عبر السوق المظلمة إعلانات تعرض المواد الأفيونية والأسلحة وبطاقات الائتمان المسروقة مقابل عملات مشفرة. قالت "ألفاباي" على موقعها إنها تريد أن تكون "أكبر أسواق عالم الإنترنت السفلي على غرار "إيباي" (eBay)". في حال غفل أي شخص عن هدف السوق المظلمة، كان من بين الأسئلة الشائعة لديها "هل (ألفاباي) سوق قانونية؟" وتجيب: "قطعاً لا".

"الاحتياطي الأسترالي": التغيرات التنظيمية قد تمحو مكاسب العملات المشفرة

نُقل ما قيمته 22 ألف دولار من عملات "بتكوين" المسروقة إلى "ألفاباي" في يناير 2017 عبر سلسلة من المعاملات الصغيرة، حيث خُلطت جميع عملات "بتكوين" المرسلة إلى السوق المظلمة معاً، مما يصعب رصد صلة تلك العملات بمصدرهم على نظام بلوكتشين أياً كان. بمجرد سحب المستخدم أمواله إلى عنوان جديد، يمكن تتبع مسار عملات "بتكوين" الخاصة به إلى "ألفا باي" فحسب. برغم عزوف جميع البورصات الرئيسية عن قبول عملات بتكوين المرسلة من عناوين مرتبطة بعملية السرقة، فقد وافقت بعض البورصات الأصغر على قبول العملات التي جاءت من سوق مخدرات على الشبكة المظلمة.

أُرسلت عملات بتكوين المسروقة من "ألفاباي" إلى واحدة من بورصات العملات المشفرة، ثم إلى أخرى. فتح ليكتنستاين حساب التداول الثاني مستخدماً اسمه الحقيقي، حتى أنه أرسل صورة ملتقطة ذاتياً للتحقق من هويته. سيكون الشخص الوحيد الذي على دراية بعلاقة ليكتنستاين بالأموال المسروقة هو الشخص الذي يدير "ألفاباي"، والذي لا يعرف إلا باسم "ألفا02" (Alpha02).

عملية الحرية

لسوء حظ اللصوص، كانت سوق "ألفا باي" بالفعل هدفاً لتحقيق منفصل فقد اكتشفت أجهزة شرطة في عدد من الدول أن "ألفا02" كنديٌ يُدعى ألكسندر كاز، 25 عاماً، وكان قد انتقل إلى تايلاندا واشترى بأرباحه ثلاثة عقارات وسيارة لامبورغيني وأخرى بورشه.

كان من بين أخطاء كاز استخدام بريده الإلكتروني Pimp_Alex_91@hotmail.com في بعض الرسائل القديمة، واستخدمه أيضاً تحت اسمه الحقيقي.

أطلق المحققون ما أسموه "عملية الحربة" في 5 يوليو 2017. اقتحمت سيارة للشرطة الملكية التايلاندية البوابة الأمامية لمجمع سكني في بانكوك اشتبهت الشرطة المحلية والسلطات الأميركية أن كاز يقيم فيه. دفعت الضجة مدير "ألفاباي" للخروج، وبينما احتجزته الشرطة، هرع عملاء آخرون إلى الداخل. ألقي القبض على كاز وتوفي في السجن بعد أسبوع فيما بدا انتحاراً، وفقاً لصحيفة "بانكوك بوست". لكنه ترك وراءه كثيراً من الأدلة، حيث عثرت الشرطة على جهاز الكمبيوتر المحمول الخاص به مفتوحاً، وكذلك حسابه على "ألفاباي".

كان كريس جانشفسكي، آنذاك 33 عاماً، العميل الخاص في مصلحة الضرائب من بين العملاء الفيدراليين الأميركيين الذين سافروا إلى بانكوك من أجل عملية اعتقال رأس "ألفاباي". برغم غرابة الأمر، فقد أراد جانشفسكي العمل لدى مصلحة الضرائب الأميركية منذ زار عميلٌ خاص أخويته المحاسبية في "جامعة سنترال ميشيغان ". كان المتحدث قد أمتع جانشفسكي وزملاءه المحاسبين الطموحين بقصص المطاردات السريعة وركل الأبواب. لكن لم تكن هناك مطاردات ولا أبواب ليركلها في وظيفته الأولى، بل مجرد عمليات تدقيق لحسابات مجموعة من السباكين وتجار السيارات في مدينة شارلوت وما حولها. قال جانشفسكي: "كما يمكنك أن تتخيل، لا يتحمس الناس لوجودك هناك بشكل كبير".

لا بد من أثر

عُين جانشفسكي في وحدة جديدة لمكافحة الجرائم الإلكترونية في واشنطن عام 2015. ركز الفريق المكون من اثني عشر عميلاً في البداية على البيانات المسروقة المستخدمة في ارتكاب جرائم الاحتيال الضريبي، ثم انتقلوا لقضايا العملات المشفرة. أدرك العملاء أنه رغم عدم كشف منصة "بلوكتشين" هويات مستخدميها، وأن المجرمين غالباً ما ينقلون عملاتهم بين محفظة وأخرى، إلا أن مسار المعاملات يؤدي إلى بورصة في جميع الأحوال تقريباً، وهي ستتطلب تحديد الهوية قبل السماح لشخص ما ببيع "بتكوين" مقابل النقود. حتى لو استخدم المحتالون وسيطاً أو بطاقة هوية مزورة، فإنهم يتركون أدلة. كل ما كان على العملاء فعله هو تتبع المعاملات لفترة كافية. يقول تيغران غامباريان، وهو عضو آخر في وحدة مكافحة الجرائم الإلكترونية في مصلحة الضرائب، والذي يدير تحقيقات بورصة العملات الرقمية "بينانس" حالياً: "الجميع يرتكبون أخطاء في نهاية المطاف".

تحقيق في إعلانات مُضللة من منصة "فوييجر" المُفلسة لتداول العملات المشفرة

قاد تتبع العملات المشفرة جانشفسكي وزملاؤه لتجار مخدرات وخدمات غسيل أموال وحتى لموقع كان يبيع مقاطع فيديو لتعديات على أطفال. مع كل عملية إفلاس، جمع الفريق البيانات التي سمحت لهم بربط مزيد من الجرائم بمزيد من عناوين "بتكوين" من جهة، وربط مزيد من عناوين "بتكوين" بمزيد من الأشخاص من جهةٍ أخرى.

رفض جانشفسكي الإفصاح عن توقيت ربط فريقهم بين عملات "بتكوين" المسروقة والثنائي مورغان وليكتنستاين، كما يرفض مناقشة التفاصيل الأخرى للتحقيق في عملية السرقة. تُظهر الإيداعات القانونية أنهم بدأوا العملية المضنية لتحويل الخيوط إلى أدلة يمكن استخدامها في المحكمة بحلول 2020، حيث أرسلوا طلبات قانونية للبورصات التي استحوذت على الأموال المسروقة وإلى مزودي خدمات الإنترنت التي استخدمها الزوجان. استغرقهم الأمر أكثر من عام لجمع أدلة كافية لتبرير استصدار مذكرة تفتيش.

دخل جانشفسكي وعملاء فيدراليون آخرون الشقة الكائنة بالمبنى رقم 75 في "وول ستريت" في 5 يناير 2022. كان والدا مورغان يزورانها وقد جلبا لها كعكات البرسيمون المفضلة لديها وقد خبزتها جدتها لها. حين بدأ العملاء البحث عن الهواتف وأجهزة الكمبيوتر، قالت هي وليكتنستاين إنهما أرادا مغادرة الشقة وأخذ كلاريسا معهما، وفقاً لملفات المحكمة. بعدها حاولت مورغان اختلاق تمويه بخراقة.

لقد قالت إن القطة كانت مختبئة تحت فراشها وجلست القرفصاء بجانب منضدة قرب السرير وفيما كانت تنادي القطة، أمسكت مورغان بهاتف كان على منضدة وبدأت تكرر الضغط على زر القفل بسرعة، لكن جانشفسكي انتزعه من يدها.

ما تحت السرير

عثر العملاء على صندوق مليء بالأجهزة الإلكترونية تحت السرير، بما في ذلك حقيبة بسحاب كتب عليها عبارة "هاتف مسبق الدفع" وحقيبة أدوات تجميل مخططة باللونين الأحمر والأبيض تحوي تسعة هواتف أخرى. لقد صادروا ما لا يقل عن أربع أجهزة محافظ، وهي وحدات تخزين تحمل كلمات مرور مكونة من سلاسل مشفرة لإلغاء قفل عملات بتكوين الخاصة بالمستخدم، وكتاب جيب محشو بـ 40 ألف دولار نقداً. كما عثروا في مكتب ليكتنستاين على كتابين جرى تفريغهما لإنشاء تجاويف مخفية. تحدث الزوجان لبرهة باللغة الروسية التي درستها مورغان ولا يفهمها أي من العملاء الفيدراليين.

بعد التفتيش المبدئي لأجهزتهم الإلكترونية، لم يعثر الوكلاء على مفاتيح الترميز الخاصة بعملات بتكوين المسروقة، لذا لم يكن لديهم أدلة كافية لاعتقال الزوجين.

بعد خمسة أيام من التفتيش، أصدرت مورغان أغنية جديدة، غنت فيها على إيقاع طبل وأورغن بدا مخيفاً، لمدة خمس دقائق ونصف عن علاقتها مع ليكتنستاين وحول غرابتهما المشتركة وعينيه الخضراوين و "ظهره الجميل" ونكاتهما الخاصة مثل احتفاظه بوجبات خفيفة في جيوبه على الدوام أو كيف لا يستطيع أي منهما قيادة السيارات. تقول مورغان إنها لا تريد العمل بوظيفة عادية وتحمل المخاطر لتشعر بأنها على قيد الحياة، وقالت: "لا تنس خطة الخروج". كانت موغان قد تزوجت من ليكتنستاين قبل بضعة أشهر، وتقول في أغنيتها إنها تريد أن تبقى معه "حتى النهاية اللعينة".

كان أداؤها للأغنية غريباً كحاله دائماً، لكن مع الأخذ في الاعتبار أنها نشرت الأغنية بينما تفكر حتماً في عقوبة سجن طويلة الأمد، ستجد أن الكلمات تتخذ منحى مؤثراً. تقول رازليخان في المقطع الأخير: "نحن غريبون جداً بالنسبة لكوننا أشخاصاً عاديين... الجميع يعرف ذلك. أنت الأفضل بالنسبة لي... هكذا تسير قصتنا... هذا هو عرض رازليخان وداتشي... جاهزون للاحتفال ولنكن غرباء!" مع انتهاء الأغنية، تقول رازليخان بالروسية "أحبك" لكن بلكنة أميركية خالصة.

تفتيش سحابي

حصل العملاء أيضاً على مذكرات لتفتيش حسابات التخزين السحابية الخاصة بليكتنستاين. عثروا في أحدها على قائمة بهويات مزورة لذكور وإناث وتدوينات تشير إلى أن الزوجين ذهبا إلى كييف في 2019 لشراء بطاقات سحب بأسماء مستعارة. بدا الأمر للعملاء كما لو أن ليكتنستاين ومورغان كانا يستعدان للفرار من البلاد. فك الفريق رموز تشفير أحد ملفات ليكتنستاين في 31 يناير ليعثر على شيئ أكثر ترويعاً: مفاتيح ترميز خاصة بنحو 2000 عنوان "بتكوين" مرتبطة بسرقة "بتفينيكس"، وهكذا احتجزت الحكومة ما قيمته 3.6 مليار دولار.

أمريكا تصادر عملات "بتكوين" بـ 3.6 مليار دولار سُرقت من بورصة "بيتفينكس"

عاد العملاء إلى شقة الزوجين واعتقلوهما بعد أسبوع. اتُهم ليكتنستاين ومورغان بالتآمر لارتكاب جريمة غسيل أموال. قال المدعون إنهما كذبا على البورصات لنقل الأموال التي سُرقت من "بتفينيكس". لم يتطرق التحقيق إلى تحديد القائم بالهندسة الاجتماعية الفعلية والقرصنة، وبما أن البيانات حُذفت، فقد لا يتطرق أحد لهذا الأمر أبداً.

تصدرت أنباء الاعتقال الأخبار الوطنية، فقد كانت أكبر عملية مصادرة لأموال مسروقة على الإطلاق. قالت نائبة المدعي العام ليزا موناكو في مؤتمر صحفي: "لقد وجهت وزارة العدل اليوم ضربة قاصمة لمجرمي الإنترنت الذين يتطلعون للاستثمار في العملات المشفرة". انهالت تعليقات "تيك توك" على مقاطع الفيديو الموسيقية لمورغان، وفي غضون ساعات باتت رازليخان بالفعل أسطورة احتيال تلوكها الألسن في عالم وسائل التواصل الاجتماعي. قال تريفور نوا في برنامج "ذا دايلي شو": "إن سرقة (بتكوين) لا تكاد تقارن بتسمية هذا الهراء غناء راب". رأى منتجو أفلام الجريمة الواقعية أوجه شبه بين مورغان وآنا ديلفى الوريثة الوهمية أو إليزابيث هولمز مؤسسة شركة "ثيرانوس". لذا، أقدم بعضهم على إنتاج بعض الأعمال الفنية، حيث كلفت "نتفليكس" أحد صناع مسلسل "تايغر كينغ" (Tiger King) بتصوير وثائقي بعد ثلاثة أيام فقط من الاعتقال، فضلاً عن إطلاق بودكاست، وإعداد الشركة المنتجة لفيلم السرقة "وكر اللصوص" (Den of Thieves) مسلسلاً روائياً، فيما عكفت مجلة "فوربس" ناشرة مقالات مورغان على إنتاج وثائقي منافس.

فرق بينهما الحجز

دفع المتهمان ببراءتهما، غير أن ليكتنستاين احتُجز مع عدم السماح بخروجه بكفالة، فيما أُطلق سراح مورغان بكفالة بلغت 3 ملايين دولار. جادلت الأخيرة بأنها لن تهرب كونها تخزن أجنة مجمدة في نيويورك وتخطط لإنجاب طفل من ليكتنستاين عن طريق التلقيح الصناعي. عادت مورغان إلى شقتها، لكنها عرضت في مايو عدداً من ممتلكاتها للبيع على لوحة رسائل المبنى، بما في ذلك ثلاثة أقفال إلكترونية ولوحة مقلدة لأحد أعمال فنان الغرافيتي الشهير بانكسي. جاء في نسخ لمنشوراتها قدمها أحد الجيران، أنها تخطط للانتقال وتحتاج لتقليص ممتلكاتها. قال ممثلو الادعاء في ملف قضائي أودع المحكمة في 30 مايو إنهم كانوا يتحدثون مع محامي الزوجين بشأن عقد صفقة مقابل اقرارهما بالذنب. ستعقد الجلسة المقبلة لنظر الدعوى في أغسطس.

غادر جانشفسكي في مارس دائرة الإيرادات الداخلية ليترأس قطاع التحقيقات العالمية بشركة استخبارات أنظمة "بلوكتشين" "تي أر إم لابس" (TRM Labs). ما تزال عملات بتكوين المصادرة بحوزة الحكومة، حيث تحتفظ بها خدمة المارشال الأميركية على أجهزة محافظ مشفرة في خزنة مغلقة داخل مبنى فيدرالي لم يُكشف عنه. انخفضت قيمة العملات إلى حوالي 2 مليار دولار مع انهيار سوق العملات المشفرة. قال مالكو "بتفينيكس" إن البورصة دفعت بالفعل معظم مستحقات المستخدمين، وإنها تدين بنحو 30 مليون دولار إضافية فقط. الأمر الذي يعنى أنه عند رد عملات بتكوين، ستذهب معظم الأموال إلى مستثمري "بتفينيكس"، بما في ذلك مديروها التنفيذيون. لكن بعض المتداولين الذين فقدوا عملات "بتكوين" سيقولون إنه يجب إعادة العملات إليهم دون شك.

وزارة الخزانة الأميركية: العملات المشفرة تحتاج إلى تنظيمٍ متسق عبر الدول

ما يزال مصير خمس "بتكوين" المسروقة غير معلوم. قالت شركة تحليلات العملات المشفرة "إليبتك إنتربرايزس" (Elliptic Enterprises) إن نحو 70 مليون دولار أُرسلت إلى سوق "هيدرا" الروسية على الشبكة المظلمة. لا يعرف أحد إلى أين ذهبت الأموال انطلاقاً من هناك، لكن تجاراً يسمون رجال الكنز في "هيدرا" يعرضون مقايضة العملات المشفرة بحزم مغلفة من الروبلات يخفونها في أماكن سرية. يمكن أن تكون هناك مبالغ كبيرة من المال مدفونة تحت الأرض في مكان ما في روسيا بانتظار عودة مورغان وليكتنستاين لاستخراجها.

عودة إلى نيويورك، حيث وضع أحدهم ملصقاً كاريكاتورياً لرازليخان على عمود إشارة مرور مقابل مدخل المشتبه بارتكابهما جناية إلى محكمة مانهاتن الفيدرالية. يبدو الملصق حديثاً وقد رُسمت فيه رازليخان ممتطية تمساحاً وعارية الصدر فيما مدّت لسانها وباعدت بين أصابعها تمثيلاً لعلامتها المميزة بشكل حرف "V".