Nguy cơ khởi kiện các sàn giao dịch tiền điện tử sau các cuộc tấn công ransomware

Vào tháng 10 năm 2019, các tin tặc không xác định đã xâm nhập vào một công ty bảo hiểm của Canada bằng cách cài đặt phần mềm độc hại BitPaymer, mã hóa dữ liệu và hệ thống CNTT của công ty. Các tin tặc yêu cầu một khoản tiền chuộc 1,2 triệu đô la được trả bằng Bitcoin (BTC) để đổi lấy phần mềm giải mã cần thiết để công ty lấy lại quyền truy cập vào hệ thống của mình.

Công ty bảo hiểm có trụ sở tại Vương quốc Anh của công ty – chỉ được gọi là AA – đã thu xếp trả tiền chuộc bằng BTC và hệ thống của công ty đã được sao lưu và chạy trong vòng vài ngày. Trong khi đó, AA bắt đầu quá trình tìm kiếm các con đường hợp pháp để thu hồi số BTC bị tin tặc thu được. Nó đã tham gia vào công ty điều tra blockchain Chainalysis, công ty có cuộc điều tra tiết lộ rằng 96 trong số 109,25 BTC được thanh toán đã được chuyển đến một ví liên kết với sàn giao dịch Bitfinex.

Cho đến nay, câu chuyện này (thật không may) là không bình thường. Bitcoin chiếm phần lớn các khoản thanh toán ransomware do tính ẩn danh, khả năng truy cập (giúp nạn nhân trả tiền chuộc dễ dàng hơn) và khả năng xác minh các giao dịch (cho phép tội phạm xác nhận sau khi thanh toán đã được thực hiện). Gì Là Tuy nhiên, điều bất thường về câu chuyện này là nó đã gây ra một cuộc chiến pháp lý kéo dài 14 tháng giữa AA và Bitfinex, một cuộc chiến chỉ mới kết thúc gần đây sau khi AA ngừng tuyên bố chống lại Bitfinex tại Tòa án Tối cao Vương quốc Anh.

Sau khi truy tìm số BTC bị đánh cắp trên nền tảng của Bitfinex – và với danh tính của các tin tặc vẫn chưa được xác định – AA bắt đầu vụ kiện chống lại Bitfinex vào tháng 12 năm 2019. Một lần nữa, điều này không có gì lạ: các tòa án Vương quốc Anh có nhiều biện pháp xử lý để hỗ trợ nạn nhân gian lận trong việc cố gắng thu hồi tài sản của họ. Trong trường hợp các ngân hàng, sàn giao dịch hoặc các tổ chức trung gian khác có thể vô tình nhận hoặc giữ tài sản bị chiếm đoạt hoặc bị đánh cắp, nạn nhân của gian lận có thể dựa vào:

• Các lệnh của Norwich Pharmacal, yêu cầu bên thứ ba tiết lộ một số thông tin nhất định cho người nộp đơn để hỗ trợ nỗ lực phục hồi. Trong bối cảnh này, thông tin sẽ là danh tính của chủ sở hữu ví mà BTC đã được theo dõi và / hoặc chi tiết của bất kỳ giao dịch nào khác liên quan đến BTC kể từ khi nhận được bằng ví được liên kết với sàn giao dịch.

• Các lệnh đóng băng ngăn chặn những kẻ lừa đảo bị đơn xử lý bất kỳ tài sản nào của họ cho đến khi có thông báo mới. Một sàn giao dịch được thông báo về lệnh đóng băng liên quan đến khách hàng phải thực hiện các bước để đóng băng tài khoản để ngăn khách hàng rút tiền và tiêu tán tài sản.

• Trong trường hợp có thể xác định rằng bên thứ ba giữ tài sản thuộc về người yêu cầu bồi thường gian lận, có thể lấy các lệnh độc quyền để ngăn bên thứ ba xử lý tài sản cụ thể đó. Các lệnh liên kết thường được thực hiện để yêu cầu chủ thể của lệnh độc quyền tiết lộ thông tin thuộc loại Norwich Pharmacal được giải thích ở trên.

Tiền điện tử là tài sản ở Vương quốc Anh

Các tòa án Vương quốc Anh rất quen thuộc với các biện pháp xử lý trước đây khi liên quan đến tài khoản ngân hàng và tiền tệ fiat. Gần đây hơn, các tòa án đang vật lộn với cách các nguyên tắc này áp dụng cho tiền điện tử. Tuy nhiên, rõ ràng là các tòa án sẵn sàng áp dụng linh hoạt các nguyên tắc pháp lý, để đảm bảo rằng các biện pháp xử lý này có sẵn cho các nạn nhân đang cố gắng khôi phục tài sản tiền điện tử bị đánh cắp.

Trong trường hợp AA, Công lý Simon Bryan – lần đầu tiên – xác định rằng Bitcoin có thể được phân loại là tài sản theo luật của Anh, có nghĩa là anh ta có thể đưa ra lệnh cấm độc quyền liên quan đến tài sản đó. Điều này có vẻ hiển nhiên, nhưng theo truyền thống, luật pháp coi tài sản là thứ có thể được sở hữu theo nghĩa hữu hình hoặc được thực thi bằng quyền khởi kiện. Tiền điện tử rõ ràng không đáp ứng cả hai yêu cầu, nhưng các tòa án đã thực hiện một cách tiếp cận thực dụng để đảm bảo rằng các tài sản vô hình mới, như tiền điện tử, được coi là tài sản.

Cách tiếp cận linh hoạt này có nghĩa là AA đã có thể nhận được sự cứu trợ theo lệnh. Bitfinex đã đóng băng tài khoản một cách hợp pháp và cung cấp cho AA thông tin về danh tính của khách hàng sở hữu ví có BTC bị đánh cắp.

Hóa ra là BTC đã được chuyển lại trước khi Bitfinex được các luật sư của AA liên hệ và không thể trả lại được. AA đã đạt được thỏa thuận bí mật với khách hàng của Bitfinex (cũng là bị đơn đối với yêu cầu bồi thường của AA) và sau đó chuyển hướng sang Bitfinex, trong một nỗ lực để nhận được khoản bồi thường bổ sung. Công ty bảo hiểm đã đưa ra một số khiếu nại pháp lý chống lại Bitfinex, bao gồm khẳng định rằng sàn giao dịch đã nhận được BTC (hoặc số tiền thu được có thể theo dõi) khi đó là tài sản thuộc về AA. Do đó, AA đã tuyên bố rằng nên áp đặt quỹ tín thác hợp pháp, giữ Bitfinex chịu trách nhiệm với AA về BTC. Người ta cũng lập luận rằng Bitfinex đã thiếu thận trọng về việc liệu BTC có được chuyển hợp pháp vào ví liên quan hay không.

Đây là những lập luận khó chứng minh và sau khi Bitfinex đưa ra biện pháp bảo vệ pháp lý chi tiết và phản hồi đối với các tuyên bố của AA, AA cuối cùng đã quyết định từ bỏ các tuyên bố chống lại Bitfinex. Nhưng đây không phải là kết thúc của câu chuyện. Thông thường, khi một nguyên đơn từ bỏ vụ kiện của mình, vị trí mặc định là họ phải trả tất cả các chi phí của bị đơn. Tuy nhiên, AA lập luận rằng trách nhiệm chi phí của nó nên được giảm 50%, dựa trên hành vi được cho là “không hợp lý” của Bitfinex. Các bên đã đấu tranh với điều này tại một phiên điều trần của Tòa án Cấp cao vào tháng Giêng, đỉnh điểm là tòa án quyết định không có hành vi bất hợp lý nào có thể biện minh cho bất kỳ sự giảm nhẹ nào. Do đó, AA được lệnh thanh toán 100% chi phí pháp lý của Bitfinex, bao gồm cả chi phí của việc đăng ký không thành công của chính họ để giảm các chi phí đó.

Phần kết luận

Có thể hiểu được rằng các nạn nhân của gian lận – những người có thể không theo đuổi thành công kẻ lừa đảo thực sự – có thể bị cám dỗ để tham gia vào một sàn giao dịch tiền điện tử với nhiều túi tiền, có lẽ với hy vọng đơn giản là họ có thể tạo ra một khoản thanh toán khiêm tốn và tránh thời gian. và chi phí của các thủ tục pháp lý phức tạp.

Các công ty bảo hiểm mạng như AA có thể tính toán rằng lợi ích chi phí liên quan đến các bước đó sẽ hợp lý. Tuy nhiên, các sàn giao dịch như Bitfinex sẽ tiếp tục tự bảo vệ mình một cách mạnh mẽ, đặc biệt khi giá trị pháp lý của các tuyên bố là cực kỳ thách thức và cuối cùng thể hiện nỗ lực kéo một sàn giao dịch vô tội vào hậu quả của một tội phạm mạng mà nó không hề hay biết và dính líu đến.

Bài viết này được đồng tác giả bởi Stephen Elam và Shelley Drenth.