Những hacker thực hiện vụ tấn công Twitter khổng lồ vào ngày 15/7 dường như không phải là người dùng Bitcoin chuyên nghiệp, vì chúng để lại những dấu vết và các sàn giao dịch lớn có lẽ đang giữ chìa khóa nhận dạng của chúng.
Địa chỉ bc1qxy. Nguồn: Crystal Blockchain
Địa chỉ Bitcoin mà hacker dùng để thu hút quyên góp bất hợp pháp là bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh. Vài giờ sau vụ hack, thủ phạm bắt đầu chuyển số Bitcoin đó sang các địa chỉ khác nhau. Dấu vết mà chúng để lại cho thấy rằng chúng không chuyên về công nghệ blockchain. Chúng đang sử dụng lại cùng một địa chỉ, không cố gắng che đậy dấu vết của mình. Chúng hầu như không sử dụng bất kỳ dịch vụ mix nào.
Theo các bằng chứng on-chain thu thập được, một số sàn giao dịch lớn có thể có danh tính của hackers.
Coinbase và BitMex
Chúng tôi sẽ tập trung vào các hoạt động của một địa chỉ ban đầu – 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF. Địa chỉ này đã nhận được 14,76 Bitcoin, hầu hết vào ngày 15/7; tuy nhiên, địa chỉ được kích hoạt lần đầu tiên vào ngày 3/5. Khoảng một nửa số Bitcoin đến từ bc1qxy, phần còn lại từ nhiều nguồn khác nhau.
Theo dõi địa chỉ Bitcoin trên Coinbase & BitMex | Nguồn: Crystal Blockchain
Một số Bitcoin có nguồn gốc từ các sàn giao dịch Coinbase và BitMex. Hai địa chỉ được xác định là thuộc về Coinbase, 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E và 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet, là hai bước chuyển trung gian từ 1Ai52, cùng một địa chỉ nhận được giao dịch trực tiếp từ địa chỉ ban đầu của hacker.
Dường như việc rút 10 Bitcoin trên Coinbase xảy ra vào sáng ngày 15/7. Một vài giờ sau, 0,4 BTC (có nguồn gốc từ Coinbase) đã được chuyển đến 1Ai52U. Vì nó không phải là một tuyến đường trực tiếp, nên có khả năng các coin đổi chủ trong khoảng thời gian này. Tuy nhiên, điều này dường như không thể, vì không có các thực thể chính ở giữa.
Dường như rút tiền khỏi BitMex từ 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP là ba bước trung gian của 1Ai52. Vào ngày 27/4, 14,18 BTC đã được chuyển từ địa chỉ đó, đến ngày 3/5, nó đã dừng chân tại 1Ai52U.
BitGo, Luno, Binance
Các hacker cũng đã sử dụng địa chỉ 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1 để di chuyển Bitcoin từ địa chỉ ban đầu. Trước đây cũng đã nhận được một lượng Bitcoin nhỏ từ 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz. Địa chỉ này đã nhận được Bitcoin từ một số địa chỉ dường như thuộc về BitGo. – Giao dịch tương tự 89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961 đã gửi một lượng nhỏ Bitcoin đến một số sàn giao dịch khác, bao gồm Bittrex, Luno và Binance.
Theo dõi địa chỉ Bitcoin trên BitGo, Bittrex, Binance & Luno | Nguồn: Crystal Blockchain
Binance
Vào ngày 16/7, 0,0011 Bitcoin đã dừng chân tại 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY được xác định là một trong những địa chỉ tiền gửi của sàn giao dịch Binance. Đó là ba bước trung gian từ địa chỉ hacker ban đầu mà không có thực thể chính ở giữa.
Theo dõi địa chỉ Bitcoin Binance. Nguồn: Crystal Blockchain.
Quan sát cuối cùng
Các hacker dường như đang sử dụng ủy quyền vì các giao dịch bắt nguồn từ các nơi khác nhau trên thế giới. Các địa chỉ Bitcoin được tạo bởi hacker có các định dạng khác nhau, một số là định dạng Bech32 mới nhất, một số khác ở định dạng P2PKH và P2SH cũ. Nếu phân tích của chúng tôi là chính xác, thì một số thực thể tiền điện tử chính sẽ có thể xác định được danh tính các hacker.
