美国司法部宣布已追回此前 Colonial Pipeline 支付给勒索软件 DarkSide 的部分加密货币赎金。

据悉，此前美国最大的燃油管道 Colonial Pipeline 遭到勒索软件 DarkSide 攻击，DarkSide 提出价值 500 万美元的比特币赎金要求。Colonial Pipeline 于北京时间 5 月 9 日交付赎金 75 BTC。

根根据 PeckShield「派盾」旗下的反洗钱反欺诈系统 CoinHolmes 显示，Colonial Pipeline 交付赎金 75 BTC 后，这 75 BTC 被分别转至开头为 bc1qxu 和开头为 bc1qu5 的两个钱包地址，赎金占比分别大约为 84% 和 16%。

PeckShield「派盾」此前分析过 DarkSide 这个勒索组织已经形成完整的「勒索即服务（RaaS）」产业链，开发者向下家提供作案工具和方法，然后抽成获利。从资金流转图可以看出，这一次被 FBI 冻结的是勒索下游的资金（开头为 bc1qxu，63.7 BTC），开发者的资金自收到后就没有动过（开头为 bc1qu5，11.2 BTC）。

属于勒索下游的开头为 bc1qxu 的 63.7 BTC 先是转到了开头为 3EYkxQ 的地址，随后转入开头为 bc1qq2 的地址，再分两笔分别转入开头为 bc1qpx 的目标地址（FBI 掌握私钥的地址，63.7 BTC）和另一地址（5.9 BTC）。

本周一提交的一份宣誓书显示，追回此笔赎款源于联邦调查局（FBI）掌握了转账过程中某一关键钱包的私钥，但并未披露 FBI 是如何获得该密钥的。

PeckShield「派盾」 反洗钱专家表示：“FBI 很可能追踪到了勒索软件在美国的服务器代理，然后被端了，私钥可能存在服务器上面。”

早前 DarkSide 的网站被封，他们发文宣布解散，并将支付服务器上的资金转移到了一个未知的地址。

”以我们以往帮助警方追踪涉及洗钱的虚拟货币案例来看，一般情况下，通过追踪和分析资金流向，分析交易模式和对手方信息，如果犯罪嫌疑人使用中心化交易机构洗钱，可通过定位中心化交易机构，并出具司法调证，封堵疑似涉案资金，锁定涉案嫌疑人。但是，在 Colonial Pipeline 的案例中，资产并未流入中心化交易机构，所以 FBI 应该不是通过这种方式查封这笔款项的。此外，目前还没有迹象显示有私钥泄漏的可能，我们的判断倾向于 FBI 从服务器代理着手追回这笔赎金。”PeckShield「派盾」 反洗钱专家解释道。