加密网络犯罪剖析

美国国家经济研究局工作论文系列 的解剖学CRYPTO-ENABLED网络犯罪林威廉聪坎贝尔哈 维丹尼尔·拉贝蒂 Zong-Yu吴 工作文件30834http://www.nber.org/papers/w30834 国家经济研究局(NATIONALBUREAUOFECONOMICRESEARCH) 麻萨诸塞州大道1050号马萨诸塞州,剑桥021382023年1月 Rabetti感谢以色列科学基金会，康奈尔金融科技计划和特拉维夫大学的财政支持。本文表达的观点是作者的观点，不一定反映国家经济研究局的观点。 分发NBER工作文件供讨论和评论之用。它们没有经过同行评审，也没有接受NBER官方出版物随附的 NBER董事会的审查。 ©2023年由林威廉聪、坎贝尔R.哈维、丹尼尔·拉贝蒂和吴宗玉执导。保留所有权利。未经明确许可 ，可以引用不超过两段的短段文字，但须注明来源，包括©通知。 的解剖学Crypto-Enabled网络犯罪 LinWilliamCong，CampbellR.Harvey，DanielRabetti，andZong-YuWuNBER工作文件No.30834 2023年1月 冻胶。H56、K24O30 摘要 虽然加密货币和数字资产的出现有望通过提供廉价、快速和安全的价值转移来改善和破坏金融体系，但它也为网络犯罪开辟了新的支付渠道。解决问题的先决条件是了解问题的本质。通过收集各种公共 、专有和手工收集的数据，包括俄语的暗网对话，我们对加密网络犯罪进行了首次详细剖析，并强调了相关的经济问题。我们的分析显示，一些有组织的勒索软件团伙主导着该领域，并已发展成为复杂的类似公司的运营，包括实体办公室、特许经营和附属计划。随着时间的推移，他们的技术也变得更加激进，需要多层勒索和声誉管理。对加密货币使用的全面限制可能被证明在解决加密网络犯罪方面无效，并阻碍创新。相反，区块链透明度和数字足迹能够有效地取证，以跟踪、监控和关闭占主导地位的网络犯罪组织。 林威廉琮 SC康奈尔大学约翰逊商学院的圣人大厅 14853年和NBER纽 约伊萨卡岛 坎贝尔·r·哈维·杜克大学 福库商学院的达勒姆数控 27708-0120 和NBER cam.harvey@duke.edu 丹尼尔Rabetti 康奈尔Fintech倡议 和特拉维夫大学科勒管理学院以色列特拉维夫，6997801rabetti@mail.tau.ac.il 吴Zong-Yu福克斯这 纽约 w.zongyu@gmail.com 的解剖学Crypto-Enabled网络犯罪∗ 林威廉·坎贝尔·r·哈维·丹尼尔RabettiZong-Yu吴 初稿:2022年7月。这个草案:2022年12月 摘要 虽然加密货币和数字资产的出现有望通过提供廉价、快速和安全的价值转移来改善和破坏金融体系，但它也为网络犯罪开辟了新的支付渠道。解决问题的先决条件是了解问题的本质。通过收集各种公共、专有和手工收集的数据，包括俄语的暗网对话，我们对加密网络犯罪进行了首次详细剖析，并强调了相关的经济问题。我们的分析显示，一些有组织的勒索软件团伙主导着该领域，并已发展成为复杂的类似公司的运营，包括实体办公室、特许经营和附属计划。随着时间的推移，他们的技术也变得更加激进，需要多层勒索和声誉管理。对加密货币使用的全面限制可能被证明在解决加密网络犯罪方面无效，并阻碍创新。相反，区块链透明度和数字足迹能够有效地取证，以跟踪、监控和关闭占主导地位的网络犯罪组织。 1Crypto-Enabled网络犯罪 自十多年前开始以来，去中心化，隐私和匿名一直是加密货币运动的主要组成部分（Nakamoto，2008）。虽然该技术刺激了许多创新，但网络犯罪分子对加密货币的采用已成为加密监管辩论的核心问题。勒索软件攻击、洗钱活动和各种基于加密的诈骗最近激增，促使美国总统发布执行命令，要求各机构建立行动程序.1根据联邦贸易委员会（2022年）的数据，加密货币是报告最多的欺诈支付方式——超过银行转账、电汇和信用卡——占728美元.8m占2022年年初至今报告的33.5%）。全球勒索软件造成的损害可能远远超过 $30b到2023.3保护消费者、投资者和企业的第一步是科学地分析问题的本质，这是我们研究的目标。 这个问题。加密货币的增长为犯罪分子提供了两个新的机会。首先，黑客利用集中式组织（如加密交易所或去中心化算法）的弱 点来窃取数字资产。例如，日本加密货币交易所Mt.Gox是多次攻击的受害者-2014年的最后一次攻击导致近850，000比特币损失（170亿美元 4在这些攻击中，硬币被转移到匿名区块链地址。但是任何人都可以看到这个漏洞，因为所有交易的分类账在这里都是公开的。虽然原始漏洞是完全匿名的（假设该地址以前从未使用过），但攻击者最终需要“兑现”。来自该地址的每笔进一步交易也是公开的 ，允许有效部署区块链取证来追踪攻击者。 除了通过交换和原型漏洞窃取加密货币之外，传统的网络犯罪活动现在还可以使用该技术的新支付渠道-这是我们研究关注的第二个机会。加密货币取代了可追溯的电汇或传统的现金手提箱，并受到勒索的欢迎。加密货币的日益普及也助长了许多其他形式的网络犯罪，包括犯罪组织洗钱5。 有关支持加密的网络犯罪的信息通常是分散的、私密的和不完整的。我们从公共（泄露）和专有数据源中收集最全面的数据集 ，并通过手动搜索、信息收集和数据处理对其进行扩展。这一努力使我们能够量化支持加密的网络犯罪，了解主要网络犯罪分子的操作，并为各种问题（尤其是勒索软件攻击）提供经济学观点 。 *丛先生现就职于康奈尔大学约翰逊商学院和will.cong@cornell.edu年NBER;哈维在杜克大学富库商学院和cam.harvey@duke.eduNBER工作;拉贝蒂在特拉维夫大学和FinTech@Cornell倡议，rabetti@mail.tau.ac.il;吴在福克斯-IT，NCC集团，宗yu.wu@fox-it.com。由于Fox-IT是一家法医专业知识咨询公司，Wu宣布了潜在和普遍竞争的利益，因为该公司可以从对加密货币取证的需求增加中受益。 1拜登总统于2022年3月9日表示，“美国应确保保障措施到位，并促进数字资产的负责任发展，以保护消费者、投资者和企业。https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/09/fact-sheet-president-biden签署行政命令，确保负责任，数字资产创新/。 2见附录A，表A1。自2019年以来，加密货币在所有类别中也呈现出最快的增长率。3见https://www.infosecurity-magazine.com/news/ransomware-exceed-300亿美元-2023/。 4请参阅https://crystalblockchain.com/articles/the-10-biggest-crypto-exchange-hacks-in-history/。 5分析公司Elliptic表示，RenBridge（一个跨链平台）被用来转移5.4亿美元的非法加密资金（见https://www.coindesk.com/tech/2022/08/10/elliptic-says-renbridge-was-used-to-launder-540m-illicit-funds/）。 AbuseType 地址 ReportCount 交易 TotalReceived(美元) ReportCount( 每个地址) 比特币的容量 476 3,011 4,343,281 22,972,900 6.33 (2.2%) (1.7%) (32.0%) (6.9%) 勒索诈骗 6,982 69,684 213,804 607,569 9.98 (32.3%) (38.3%) (1.6%) (0.2%) Darknet市场 192 1,244 161,727 413,045 6.48 (0.9%) (0.7%) (1.2%) (0.1%) Ransomware 5,163 41,919 5,771,718 156,366,213 8.12 (23.9%) (23.1%) (42.5%) (47.1%) 性勒索 7,306 59,906 44,236 34,162 8.20 (33.8%) (33.0%) (0.3%) (0.0%) 其他 1,531 5,924 3,034,165 151,548,126 3.87 (7.1%) (3.3%) (22.4%) (45.7%) 总计 21,650 181,688 13,568,931 331,942,018 8.39 (100.0%) (100.0%) (100.0%) (100.0%) 表1：2017-2022年报告的与犯罪活动相关的比特币地址 （来源：编译自BitcoinAbuse.com-其他信息涉及在Blockchain.com检查地址历史记录） 上浆了crypto-enabled网络犯罪。我们首先通过从比特币滥用报告中提取基本信息来了解比特币生态系统中基于加密的网络犯 罪的规模，比特币滥用是一个网络攻击受害者的服务平台，用于披露比特币地址用于接收付款。 图1：网络犯罪报告（来源：BitcoinAbuse.com） BitCoinAbuse平均每月登记5，000份网络犯罪报告（见图1） ，其中包含有关每个地址的重新移植计数，最新报告日期，简短描述以及报告的网络犯罪类型，支付的BTC总额和链上交易数量的信息。请注意，重新移植分为五类：不倒翁（在用户和多个地址之间混合比特币以消除链上跟踪），勒索诈骗（向受害者发送威胁性电子邮件要求比特币付款），暗网市场（用于交换非法商品和服务的挖掘市场），勒索软件（网络犯罪分子使用的恶意软件 加密数据并将受害者锁定在他们的文件和文件夹之外-付款被换取解密数据的密钥和不发布敏感信息的承诺）、Sextortion（威胁受害者其浏览成人内容的证据将泄露给电子邮件联系人的电子邮件 ）和其他（上述解释的网络犯罪或vic-tims找不到合适类别的案例的组合）.6 表1显示了这些报告的分布情况。在报告的21，650个地址中，sextortion在网络犯罪报告计数中领先（33.8%），其次是勒索诈骗（32.3%）和勒索软件（23.9%）.7这三种类型的网络犯罪共同占Bit-coin滥用系统上所有报告条目的94.4%。报告的相关交易数量为比特币区块链上最活跃的网络犯罪提供了不同的画面。在13.6m加密犯罪相关交易中，勒索软件领先大部分链上活动（42.5%），其次是比特币不倒翁（32.0%）和其他（22.4%）。激烈的交易活动与链上洗钱技术有关，其中包括将与犯罪相关的比特币重新洗牌为数百个零散的转账，并将这些转账与其他比特币混合，以消除区块链上的痕迹。在计算收到的BTC总量时，观察到类似的链上活动。截至2022年4月，勒索软件以（42.5%）领先BTC支付，其次是其他（45.7%）和比特币不倒翁（6.9%）。如果排除“其他”，勒索软件将主导与网络犯罪相关的比特币活动，占BTC支付总额的86.7%8。 表1的最后一列提供了其他见解;例如，勒索诈骗和性勒索的平均报告数量比其他网络犯罪要大，也许 6一些滥用报告显示，加密性勒索通常如下：“您可能已经注意到，我从您的电子邮件帐户发送了此电子邮件（如果您没有看到，请检查发件人电子邮件ID）。换句 话说，我可以完全访问您的电子邮件帐户。几个月前，当您访问成人网站时，我用恶意软件感染了您，从那时起，我一直在观察您的行为为了阻止我，将979美元转 移到我的比特币地址。如果您不知道该怎么做，谷歌-“购买比特币”。我的比特币地址（BTC钱包）是1BC2fkA47etRPRRjWt3oB5yYo8ZSCkEznU。 7有关报告跨类别的分布，请参阅在线附录A。 8请注意，并非所有收