加密貨幣錢包型態
電腦錢包是最普遍儲存加密貨幣的方式,一般來說程式設計的相對簡易使用,也有很明確的操作介面如何接收或發送加密貨幣,最知名的程式有 Electrum、Armory、Bitcoin Core 與 MultiBit-HD 等。大部分程式的命名方式不外乎是「wallet」,在電腦上快速搜尋可立即找到是否有加密貨幣的錢包程式。
手機上也有提供加密錢包的 APP,知名的有 Mycelium、Greenbits、breadwallet、Jaxx 與 Airbitz 等,部分 APP 可能會有密碼鎖功能,需要另外輸入數字密碼才能解開。
另一種線上錢包通常是由交易所提供,登入時需要帳密認證,另外為了加強安全性,大部分都有提供 two-factor authentication。較知名的有 Coinbase、GDAX、Gemini 與 Kraken。交易所的功能與股市交易類似,可用現金買賣加密貨幣,而以上這四個交易所皆須要實際身分認證才可進行買入或賣出加密貨幣交易。Coinbase 與 GDAX 與檢調單位有良好的配合紀錄,在有搜索票的情況下曾經協助辦案提供了客戶資料與交易模式等資訊。
冷儲存錢包(Cold Storage Wallet)則是最難找出嫌犯是否有加密貨幣的保存方式。使用私鑰是唯一可以發送加密貨幣的方式,冷儲存的概念就是將私鑰改用實體的方式,儲存在非電腦、手機等連線裝置上。所以私鑰的型態可能是一張紙,或一個在 USB 硬碟的檔案,最難的就是直接將私鑰記在腦裡。因為私鑰太難記住,另一種型態的私鑰是採 BIP-39 定出來的 Wallet 格式,由 12 至 24 個英文單字(Recovery Seed)組合而成,避免記住私鑰的痛苦。
- 私鑰(Private Key)的樣子:aep2aJ4453213303DA67DC0FB6C233AA33262HEsdttoF5cM
- BIP-39 的 Recovery Seed:match develop neutral myself mass gauge imitate want unfair napkin width skate
在查扣的電腦上,第一步先調查網頁瀏覽紀錄,是否有交易所的書籤或使用紀錄,如果沒有,再搜尋是否有電子錢包程式。而在手機上,只要看是否有加密貨幣或交易所相關的 APP,即可得知是否有加密貨幣。如果沒有,可能嫌犯就是使用冷儲存方式,這時就要找出可能記載私鑰的紙或檔案等。不要忘了若是採用 Recovery Seed,就有可能是一連串的英文單字組合,而 Recovery Seed 若找出,只要匯入 Coinbase 或其他電子錢包程式,就可以立即將加密貨幣匯出到指定的公鑰錢包地址。
透過 Cellebrite Cloud Analyzer 來協助辦案
到目前為止,鑑識軟體只能從 Coinbase APP 上提取加密貨幣的賬戶餘額與部分數據,且並不是所有手機都可以提取出這些資訊。若透過前段所提的方式無法取得私鑰,可採用 Cellebrite 的 Cloud Analyzer 雲端提取功能,從 Coinbase 線上提取出 Bitcoin 的地址與交易紀錄,進而協助辦案。
提取後數位鑑識人員可以透過時間軸的方式,呈現出加密貨幣的交易量與時間點。再將這些重要資訊加到調查中,資金流可能與犯罪有所關連,而這個關鍵證據可能就是偵防的突破口。
Cloud Analyzer 應用實例
檢調單位知道嫌犯正在向高中生販售毒品。然而,儘管在多次逮捕與搜查,檢調單位仍然無法找到嫌犯擁有的任何金錢,也沒有任何實體金流證明他的非法販售毒品活動。而在最近一次的搜查,檢調單位取得了搜索票並從嫌犯的電話中提取了資料。雖然發現嫌犯有一個電子錢包,但只能看到有很多的加密貨幣。而透過 Cellebrite Cloud Analyzer,檢調單位能夠從 Coinbase 上提取出交易金額與時間點。當這些加密貨幣與毒品買賣時間軸互相比對,再加上電話通聯記錄時,檢調單位終於找到金流證據並成功打擊犯罪。此外,這個數位證據還顯示,嫌犯在學區內進行毒品販售,這又增加了嫌犯的刑罰。
Cellebrite PC Collector
若查扣到的裝置是電腦,Cellebrite 另提供了一個電腦上密碼提取程式,PC Collector。只要在嫌犯的電腦上執行該程式,就可以把記錄在瀏覽器內的網站帳密全部提取下來,取得帳密後,可以再透過 Cloud Analyzer 提取雲端的資料。
查獲的加密貨幣如何儲存
每個單位應依領域需求,開發出自己的加密貨幣管理準則。一般來說,通常會包括以下事項:
- 先確定誰有權進行查扣和交易
- 當案件牽涉加密貨幣,需通知內外相關單位
- 須遵循處理與保管加密貨幣 SOP
- 數位證據須依物證管制鏈(chain-of-custody)準則處理
各單位也應該要有自己的數位錢包,並把錢包的公鑰(收取加密貨幣使用)發布給所有調查人員。因當查扣到有加密貨幣的手機或電腦時,並不代表取得加密貨幣的所有權,如果嫌犯有其他的同夥,只要知道私鑰,就可以立即將加密貨幣轉出到其他的電子錢包。所以當下調查人員應該要依照管理準則,在最短的時間內將查扣的加密貨幣移轉到單位成立的電子錢包內。
而揭諦數位也開發了在地化的加密貨幣冷儲存方案,避免線上交易所被攻擊或私鑰管理不當導致加密貨幣被竊取。該方案部屬後可讓各縣市單位各自管理自有的加密貨幣錢包,使用多人生物驗證機制來進行簽核與解密私鑰,降低私鑰的內部管理衍生問題。若有興趣可與我們團隊聯繫。
而查獲的不法所得加密貨幣,應該採用什麼方式儲存?一般儲存可以分為線上或線下,線上如交易所、Wallet 的 APP 或保險庫(Vault),線下的如 Hardware Wallet(Ledger Nano S、TREZOR 和 KeepKey 等),或直接將私鑰印出放在保險庫裡保存。但不管採取哪一個方式,都是針對單一個人的管理方式,若有一個人取得了加密貨幣的私鑰,可以快速的將貨幣移轉出,而因為交易都是匿名且不可逆,事後也很難追蹤金流方向。
區塊鏈最重要的,就是讓私鑰保持安全的狀態。如果你把私鑰存在電腦中,就像是買了一條金條,但卻藏在家的壁爐裡。
Eric Larcheveque, Ledger
美國白領犯罪中心的網路犯罪小組建議採用 Coinbase 交易所的服務作為各單位的線上錢包。Coinbase 是位於美國的加密貨幣交易所,服務提供自今成多次的避免駭客攻擊,尚未有資料與貨幣竊取問題發生,另外也積極配合美國的檢調單位停用嫌犯 Coinbase 帳戶、現金流查閱等。且因為有 Know Your Customer 程序,目的是為了預防身份盜竊、金融詐騙、洗錢及恐怖主義融資等,所以 Coinbase 買賣加密貨幣交易皆需做身分驗證,所以線上的帳號是可以追朔到個人。