Secondo il comunicato stampa rilasciato in data 1 marzo, i ricercatori di BIG Blockchain Intelligence Group Inc. sarebbero riusciti ad individuare alcuni dei 534 milioni di dollari in NEM (XEM) rubati durante l'attacco informatico del 26 gennaio ai danni di Coincheck: si troverebbero in una piattaforma di exchange con sede a Vancouver.

Il giorno successivo, il quotidiano ufficiale del Comitato Centrale del Partito Comunista giapponese ha riportato che 24 milioni di NEM rubati si troverebbero proprio in Giappone, nell'exchange di criptovalute Zaif.

Il giornale ha spiegato che poiché Tech Bureau, il gestore di Zaif, è registrato alla Financial Services Agency, è obbligato per legge a confermare l'identità dei propri clienti, che potrebbe aiutare a "scoprire le credenziali dei criminali". L'articolo aggiunge che al momento Tech Bureau non ha rilasciato commenti sulla questione.

I NEM rubati possono essere tracciati grazie al sistema di marcatura sviluppato dai creatori della criptovaluta, che avvisa le piattaforma di exchange quando un account è stato etichettato come contenente fondi illeciti. Il seguente messaggio è infatti allegato agli 11 indirizzi di portafoglio dei criminali:

“coincheck_stolen_funds_do_not_accept_trades : owner_of_this_account_is_hacker.”

"Fondi rubati a Coincheck, non accettare gli scambi: il proprietario di questo account è un hacker."

Il sistema automatico di marcatura permette agli exchange di criptovalute di identificare facilmente gli indirizzi degli hacker, impedendo loro di convertire i NEM in altre criptovalute o denaro fiat.

Un articolo di Cointelegraph riguardo al sistema di marcatura spiega che, a causa della "incredibile quantità" di NEM rubati, è "improbabile che gli hacker utilizzino exchange minori per convertire o riciclare i fondi rubati [...] A questo punto, l'unica opzione sicura per i criminali è conservare i NEM sottratti."

Secondo BIG, gli hacker stavano cercando di spostare i NEM illeciti in un exchange con base a Vancouver, e poi nuovamente in Giappone. Bloomberg scrive che Shone Anstey, presidente e cofondatore di BIG, si è rifiutato di rivelare il nome dell'exchange in questione, la quantità di NEM coinvolta nella transazione o la presunta destinazione finale in Giappone.

Da gennaio ad oggi, 6 degli 11 portafogli utilizzati durante l'attacco spostano continuamente piccole quantità di NEM, in valori che oscillano tra una ed oltre 10.000 monete.

Uno di questi indirizzi conteneva un messaggio in giapponese, allegato all'ultimo trasferimento dell'1 marzo di circa 7 NEM:

“Questo acquisto è per determinare l'indirizzo Bitcoin del criminale, non è stato effettuato a scopo di profitto."

Gli altri 5 indirizzi spostano invece quantità molto più grandi, che vanno da poco meno di 300.000 a 5, 10 o addirittura 20 milioni di NEM.

Anstey ha rivelato a Bloomberg che la dimensione della transazione di NEM verso l'exchange canadese ha allertato la Forensic and Investigations Division di BIG:

“Abbiamo pensato che fosse una quantità talmente grande che valeva la pena indagare. Stanno cercando di trasferire quante più monete possibili prima che la porta venga chiusa, ma la quantità da spostare è davvero immensa."

BIG ha promesso che invierà i dati di quanto scoperto sia alle autorità del Canada che degli Stati Uniti.