Вскрытие Twitter Hack: Coinbase, Binance, BitGo может знать идентификатор хакера

Похоже, что хакеры, совершившие массовые угоны Twitter 15 июля, не являются искушенными пользователями Биткоин (BTC), поскольку они оставили следы, ведущие к основным обменам и от них, которые предположительно содержат ключи к их личности.

Адрес bc1qxy сводный.Источник: Crystal Blockchain.

Адрес Биткоин, который хакеры использовали для сбора незаконных пожертвований, это bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh.Через пару часов после взлома злоумышленники начали переводить биткоин на другие адреса.След Биткоина, который они оставляют после себя, говорит о том, что они не очень сложны, когда дело доходит до технологии блокчейна.Они многократно используют одни и те же адреса, они недостаточно покрывают свои следы от и до обменов.Они почти не пользовались услугами микширования.

Согласно собранным нами свидетельствам, несколько крупных бирж должны иметь свою личность.

Coinbase & BitMex

Мы сконцентрируемся на адресе на расстоянии одного шага от оригинала – 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF.Этот адрес получил 14,76 BTC, большинство из них 15 июля;однако адрес был впервые активирован 3 мая. Приблизительно половина BTC была получена от bc1qxy, остальная часть – из различных других источников.

Coinbase & BitMex след.Источник: Crystal Blockchain.

Часть входящего биткоина пришла с бирж Coinbase и BitMex.Два адреса, идентифицированные как принадлежащие Coinbase с помощью Cryptal Blockchain, 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E и 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet, являются двумя переходами от 1Ai52 прямого адреса, того же адреса, который получил прямой адрес от полученного прямого хакера от того же адреса, который был получен от прямого адреса, полученного прямым адресом, от того же адреса, который был получен от прямого адреса, полученного прямым адресом, от того же адреса, который получен прямым адресом, полученным прямым адресом от того же адреса, который получил прямой адрес, полученный от прямого хакера от того же адреса, который получен прямым адресом, полученным от прямого адреса хакера, полученного прямым адресом, полученным прямым адресом, полученным прямым адресом, полученным прямым адресом, который получил тот же адрес, который получил прямой адрес.

Похоже, что снятие Coinbase на 10 BTC произошло утром 15 июля. Пару часов спустя 0,4 BTC, происходящее от предполагаемого изъятия Coinbase, закончилось в 1Ai52U.Поскольку это не прямой маршрут, существует вероятность того, что монеты переходят из рук в руки в интервале.Однако это кажется маловероятным, учитывая, что между ними нет крупных предприятий.

То, что кажется выводом BitMex из 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP, находится в трех прыжках от 1Ai52.27 апреля 14.18 BTC был перенесен с этого адреса, к 3 мая он оказался в 1Ai52U.

Битго, Луно, Бинанс

Хакеры также использовали адрес 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1, чтобы переместить средства с исходного адреса.Первый также получил небольшое количество BTC от 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz, который, в свою очередь, получил BTC от нескольких адресов, которые, похоже, принадлежат BitGo.- Та же транзакция 89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961 отправила небольшие суммы BTC на несколько других бирж, включая Bittrex, Luno и Binance (BNB).

Тропа BitGo, Bittrex, Binance & Luno.Источник: Crystal Blockchain.

Binance

16 июля 0,0011 BTC оказались в 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY, идентифицированной как один из депозитных адресов Binance.Это три прыжка от первоначального адреса хакера без каких-либо крупных объектов между ними.

Бинанс тропа.Источник: Crystal Blockchain.

Заключительные наблюдения

Похоже, хакеры используют прокси, поскольку транзакции происходят из разных частей мира.Адреса Биткоин, генерируемые хакерами, бывают разных форматов, некоторые из них имеют новейший формат Bech32, другие – в старых форматах P2PKH и P2SH.Если наш анализ верен, то несколько основных криптовалютных сущностей должны быть в состоянии идентифицировать хакеров.