Il gruppo hacker responsabile dell’enorme attacco a Twitter del 15 luglio non sembra avere particolare dimestichezza con il Bitcoin (BTC): pare abbiano lasciato degli indizi che potrebbero permettere ad alcuni grandi exchange di identificarli, tramite le proprie chiavi private. 

Transazioni dell’indirizzo bc1qxy. Fonte: Crystal Blockchain.

L’indirizzo Bitcoin che gli hacker hanno utilizzato per raccogliere le donazioni illecite è bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh.

Qualche ora dopo l’inizio dell’attacco, i responsabili hanno cominciato a spostare quei fondi verso altri indirizzi, ma la loro condotta suggerisce che non abbiano particolare dimestichezza con la blockchain: hanno utilizzato più volte gli stessi indirizzi, senza coprire a sufficienza le loro tracce nei passaggi da un exchange all’altro. Sembra inoltre che abbiano fatto un uso molto limitato di servizi di mixing.

Abbiamo svolto delle ricerche on-chain per seguire i flussi e, a nostro parere, molteplici exchange molto noti dovrebbero essere in grado di identificare i criminali.

Coinbase e BitMex

Ci siamo concentrati su un indirizzo, 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF, che è ad uno step di distanza da quello originale utilizzato dagli hacker. Questo account ha ricevuto in totale 14,76 BTC, di cui la maggior parte il 15 luglio, pur essendo stato attivato il 3 maggio.

Circa metà dei BTC proviene da bc1qxy, mentre il resto da altre fonti.

Le tracce lasciate su Coinbase e BitMex. Source: Crystal Blockchain.

Alcuni dei Bitcoin provengono dagli exchange Coinbase e BitMex. Crystal Blockchain ha identificato due indirizzi su Coinbase, 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E e 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet, a due step di distanza da 1Ai52, l’account che ha ricevuto transazioni dirette dal profilo originale degli hacker.

La mattina del 15 luglio, pare sia avvenuto un prelievo di 10 BTC da Coinbase. Qualche ora dopo, 0,4 BTC provenienti da questa transazione vengono inviati ad 1Ai52U. Dato che non si tratta di un trasferimento di denaro diretto, è possibile che nel frattempo i fondi siano passati per diverse persone. Sembra tuttavia un'ipotesi poco plausibile, dato che nel flusso non sono coinvolte delle grandi società.

Un ulteriore prelievo sospetto, questa volta da BitMex, sembra essere quello richiesto da 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP, che è a tre step di distanza da 1Ai52. Il 27 aprile 14,18 BTC sono stati spostati da quell'indirizzo e il 3 maggio sono stati accreditati ad 1Ai52U.

BitGo, Luno, Binance

Gli hacker hanno anche utilizzato il conto 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1 per spostare i fondi dall’account originale; inoltre, questo avrebbe anche ricevuto una piccola somma in BTC da 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz che, a sua volta, era stato il destinatario di alcune somme da indirizzi che sembrano appartenere a BitGo.

La stessa transazione, 89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961, ha inviato piccole quantità di Bitcoin a diversi altri exchange, quali Bittrex, Luno e Binance.

Le tracce lasciate su BitGo, Bittrex, Binance e Luno. Fonte: Crystal Blockchain.

Binance

Il 16 luglio, 0,0011 BTC sono stati depositati sull’account 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY, appartenente a Binance: questo indirizzo è a tre step di distanza da quello originale degli hacker, senza nessun passaggio da altre società.

Le tracce lasciate su Binance. Fonte: Crystal Blockchain.

Riflessioni conclusive

I malintenzionati probabilmente usano un servizio di proxy, dato che le transazioni partono da diverse parti del mondo. I criminali utilizzano indirizzi generati in diversi formati: alcuni sono in Bech32, il più recente, mentre altri sono in P2PKH e P2SH.

Se la nostra analisi dovesse rivelarsi corretta, diverse imprese del settore crypto dovrebbero essere facilmente in grado di identificare questi truffatori.

Ieri Justin Sun, fondatore di Tron, ha promesso che donerà un milione di dollari a chiunque riuscirà ad individuare gli hacker e a fornire informazioni sull'incidente.