【经典案例】侦破全国首例比特币盗窃案

案例背景

2017年5月，全球突如其来的比特币病毒疯狂攻击公共和商业系统。 英国40多家医院遭到大规模网络黑客攻击，全国医疗服务体系陷入混乱。 国内多所高校的校园网也集体沦陷。 全球近74个国家遭到严重袭击。 该病毒通过远程加密用户计算机文件向用户勒索赎金。 用户文件只有在支付赎金后才能打开。 比特币近年来在全球迅速走红，不断演绎着货币世界的神话。 随着市场的火爆，比特币价格上涨，带动了相关行业和其他虚拟货币的繁荣。 受到各界人士的追捧，但也引起了不法分子的注意，网络黑手也悄然降临。

案例简介

2017年7月17日，某小区居民吴某到中原油田公安局报案称，其网上钱包中存储的188.31枚比特币被盗，而这188.31枚比特币的交易价格高达6元多。当天万。 元。 办案人员立即立案侦查，将涉嫌重大作案的戴某控制。 经过几天的审讯，犯罪嫌疑人戴某最终供述了自己毕业于某知名工科院校，专业是软件编程，是某比特币交易担保集团的组长。 戴某通过QQ群认识了吴某，并说服吴某使用自己改写的比特币钱包程序代码，进而盗取了吴某的比特币。 为在最快的时间内获取吴某犯罪的详细证据，中原油田公安局特聘请我司鉴定机构——盘石软件（上海）有限公司计算机司法鉴定所对网络钱包进行功能鉴定吴所用。

鉴定过程

1.制作镜像

使用 UltraISO 制作检查材料 CD 的图像。

2.文件提取

使用UltraISO打开光盘映像并提取其中的文件。 一共提取了24个文件，部分文件如下图所示：

3.远程固定

从委托方处获悉，该程序的源代码在“”网站上，“”上的源代码是固定的，固定过程全程被录像。 部分录制过程如下图所示：

4、检测程序运行

从上述示例光盘中提取的程序称为示例程序，上述远程固定的程序称为示例程序。

使用Chrome浏览器打开检查程序中的“BitcoinWallet by Coinb.in.htm”文件，在浏览器中打开开发者工具，监控该页面的http请求。

点击“NewAddress”按钮，点击该页面的“Generate”按钮生成一个钱包信息，结果如下图所示：

“Address”的值为钱包地址，向该地址转入比特币，在“Transaction”界面输入地址值，结果显示钱包内余额，与转入金额一致。

通过开发者工具发现，当点击页面上的“load”按钮时，页面会向“”网站发送http请求，请求信息如下图所示：

点击“Outputs”按钮进行比特币转账交易。 输入地址信息和交易金额后，点击“提交”按钮，结果如下图所示：

点击“签名”按钮，在新界面输入钱包私钥和上面生成的交易码，点击“提交”按钮，结果如下图所示：

通过开发者工具发现，点击“提交”按钮后，程序会发送请求地址为“”的http请求，请求参数为“data=KwWK41psMC5XF2X8R9tJuHBWWkRuJBUMvWTsCS2nASiK9yawwQWc&value=120”。 “data”参数的值是钱包的私钥。 此请求的状态代码是“503Service Unavailable”。 请求详情如下图所示：

查询“”域名的信息，“”网站的查询结果如下图所示：

以上查询到的信息更新时间为：2017-04-25 16:20:00。

点击“广播”按钮，在新界面输入上面生成的交易验证码，点击“提交”按钮。 结果如下图所示：

经检查，比特币转账交易已经顺利完成。

通过开发者工具发现比特币案例分析，点击“提交”后，程序会向“coinb.in”网站发送http请求，请求信息如下图所示：

上述记录显示，在一次比特币转账交易中，检测程序会发送三个http请求，其中一个是域名“”，将私钥作为参数传递； 另外两个请求的域名是“”。

5.运行示例程序

使用MD5Summer分别计算材料检测程序和示例程序文件的md5值。 材质检测程序的MD5值如下图所示：

示例程序的MD5值如下图所示：

以上结果表明，材料检测程序和示例程序文件中MD5值相同的文件有19个，MD5值不同的文件有5个。 使用 BeyondCompare 比较具有不同 MD5 值的文件的内容。 部分对比结果如下图所示：

从上面的结果可以看出，示例程序和示例程序中存在“coin.js”和“coinbin.js”三个文件，网页文件的内容是不同的。

使用Chrome浏览器打开示例程序，按照上述步骤完成比特币交易流程。 交易过程中，我使用Chrome浏览器的开发者工具查看程序发送的http请求，发现有两个http请求。 请求的域名为“”，没有找到对“”的请求。

分析说明

使用工具修复检查材料中的文件。 《》中的源代码是固定的，固定过程全程录像。

使用Chrome浏览器打开检测程序，使用开发者工具监控程序发送http请求的过程。 程序中生成钱包，将比特币转入钱包。 转账成功后，将钱包中的比特币转入其他比特币钱包。 通过开发者工具发现，该程序在比特币转账过程中发出了3次http请求，其中一次请求域名“”，该请求会传递私钥作为参数； 另外两个请求发出了域名 "" 。

使用MD5Summer计算比较检验材料程序和样本程序文件的MD5值，然后使用BeyondCompare比较不同MD5值文件的文件内容。 结果发现“coin.js”、“coinbin.js”共3个文件与网页文件内容不一致。 用Chrome浏览器打开示例程序，按照上述步骤进行比特币转入转出交易，使用Chrome浏览器开发者工具监控程序发送http请求的过程。 通过开发者工具发现程序在比特币转账过程中一共发送了两次http请求比特币案例分析，请求的域名为“.”。

鉴定意见

经过检查，程序会在比特币转账交易中生成交易码验证码的步骤中，将用户比特币钱包的私钥发送给“”。

专家分析

本案主要鉴别方法是将委托方提供的检测材料和网站样本固定，分别运行这两个钱包程序，进行一笔比特币转账交易，抓取流量数据包，分析目标地址在it，然后check 素材程序会发送三个http请求，一个请求的域名和另外两个请求的域名不一致。 示例程序在比特币转账交易过程中一共发送了两次http请求。 对比检查资料和样本后，发现“coin.js”、“coinbin.js”这三个文件的内容与网页文件不一致。

比特币（Bitcoin）是一种以P2P形式存在的虚拟加密数字货币。 点对点传输意味着去中心化的支付系统。 与所有货币不同，比特币不依赖于特定货币机构的发行。 它是根据特定算法通过大量计算生成的。 比特币经济在整个P2P网络中使用一个由众多节点组成的分布式数据库来确认和记录所有的交易行为。 并采用密码学的设计，保证货币流通各个环节的安全。 P2P 的去中心化特性和算法本身可以保证不能通过大量生产比特币来人为操纵货币的价值。 基于密码学的设计允许比特币只能由真正的所有者转移或支付。 这也保证了货币所有权和流通交易的匿名性。 比特币地址和私钥成对出现，它们的关系就像银行卡号和密码。 该私钥证明您对该地址的比特币所有权。

比特币的交易数据被打包成一个“块”或“块”后，交易就得到初步确认。 当区块链接到前一个区块时，交易将得到进一步确认。 连续6次区块确认后，交易基本不可逆确认。 比特币点对点网络将所有交易历史存储在“区块链”中。 区块链不断增长，一旦一个新区块被添加到区块链中，它就永远无法被删除。 区块链实际上是一组去中心化的用户端节点和所有参与者组成的分布式数据库，是所有比特币交易历史的记录。