Nell’articolo “Tracking Illicit Transactions With Blockchain: A Guide, Featuring Mueller” di Brenna Smith, pubblicato sul sito Bellingcat.com il 1 febbraio scorso, viene descritta la tecnica utilizzata per individuare una transazione effettuata via Bitcoin.

La transazione è citata in un documento della Grand Court del District of Columbia di cui é noto l’importo esatto (0,026043 equivalenti a 9.74 dollari) e la data in cui è stata effettuata (1 febbraio 2016).

La transazione, effettuata da un gruppo di agenti
segreti russi, aveva lo scopo di manipolare l’operato della Democratic National Committee
statunitense e la campagna presidenziale di Hillary Clinton.

Brenna è riuscita ad individuare l’indirizzo Bitcoin 1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR da cui è partita la transazione osservando il contenuto dei blocchi di transazioni presenti nella blockchain nel 1° febbraio 2016.

Partendo da questo dato, potrebbero esserti poste da un tuo ipotetico “decisore” due richieste precise:

  • Chi aveva la disponibilità di questo indirizzo
    pubblico?
  • Esistono altri indirizzi collegabili a questo?

Executive Summary

Da quanto osservato, possiamo affermare che un determinato ammontare di bitcoin (11,8445) sia stato acquistato tramite l’exchanger Cex.io, utilizzato successivamente per pagamenti abbastanza regolari tramite intermediari come CoinPayments.net e BitPay.com.

Ricostruendo il flusso di transazioni e comunicando le transazioni di interesse agli exchanger e intermediari interessati, è possibile ottenere ulteriori dettagli in merito agli attori coinvolti avvalendosi però di poteri di polizia giudiziaria estranei alle attività di Open Source Intelligence di seguito indicate.

Analisi delle transazioni

In un’analisi di questo tipo, devi innanzitutto porti due domande:

  • Da dove
    arrivano i bitcoin?
  • Dove sono
    andati a finire?

Per trovare risposta a queste due domande ti suggerisco di applicare a questo caso la tecnica di analisi chiamata “flow analysis" che in questo caso assomigli molto al classico approccio “follow the money”.

Questo approccio ti dovrebbe permettere di individuare non tanto chi ha gestito quei soldi ma piuttosto chi potrebbe fornirti qualche informazione più precisa sui giri che hanno fatto quei bitcoin: gli eventuali exchanger o gestori di pagamenti attivi.

Rivolgiamo la nostra attenzione agli exchanger o gestori di pagamenti via bitcoin perché sono coloro che permettono di cambi tra valuta corrente e virtuale.

Per poter continuare le proprie attività nel rispetto delle normative dei Paesi in cui operano, hanno dovuto adottare le procedure KYC previste per arginare gli utilizzi illeciti del denaro.

Quindi individuare queste entità legali ed i wallet di interesse permetterà alle forze dell'ordine di ottenere tutte le informazioni necessarie sui loro clienti tramite l'utilizzo degli strumenti previsti dall'attività di Polizia Giudiziaria.

Da dove arrivano i bitcoin?

Per cercare una risposta a questo quesito utilizzeremo uno dei molti blockchain explorer disponibili: bitcoinwhoswho.com. Questo servizio è in grado di fornirti informazioni aggiuntive sugli indirizzi che stai controllando (report di scam o collegamenti a pagine web in cui vengono citati, ecc.).

In abbinamento puoi utilizzare walletexplorer.com: questo servizio utilizza un algoritmo per ricercare indirizzi bitcoin ed associarli ad altri al fine di ricostruire un wallet e ricondurre quest’ultimo ad entità note come exchanger, dark market, siti di gambling, ecc.

Purtroppo in questo caso l'analisi dell'indirizzo
1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR tramite bitcoinwhoswho.com non ha fornito alcuna informazione aggiuntiva.

Bitcoin address report bitcoinwhoswho.com
Figura 1

Nota comunque che questo indirizzo è stato coinvolto in due sole transazioni: una in entrata e una in uscita citata dall'articolo.

Transazioni indirizzo
Figura 2

Neppure walletexplorer.com è in grado di fornirti alcuna informazione utile: il wallet composto dal solo indirizzo in analisi non risulta essere collegabile ad alcun nominativo noto, né viene aggregato alcun ulteriore indirizzo bitcoin che potrebbe essere nella disponibilità del medesimo utilizzatore.

Walletexplorer.com

Per capire da dove sono arrivati i bitcoin, torniamo al risultato fornito da bitcoinwhoswho.com.

Osserva la transazione in entrata, indicata dalla freccia di colore verde nella figura 2, e visualizzane le informazioni disponibili sull’indirizzo mittente, 1HF9VgN3AcA5RJd6ZUPnXdETmFbYmikveN.

Anche questo indirizzo ha effettuato due sole transazioni di cui non è possibile ottenere informazioni aggiuntive né via bitcoinwhoswho.com né via walletexplorer.com.

Transaction history
Figura 4

Proseguiamo quindi analizzando l’indirizzo mittente: 17aW6uemEhYGCw38g3D35Q9z9kuG3vPmED.

Anche in questo caso non abbiamo fortuna. Non ci resta che ricostruire la sequenza di transazioni, individuando man mano gli indirizzi mittenti:

  • 1Fj4RkrtnnMn5mBtQFW5ZkzEw4vGyCoRe9;
  • 1KSkbN7JHYxBSoYwuuWuzA4dpZf9TKP6V8;
  • 1AB99VvWeLtRcEZ6yubX1Cqvcvi4bPH6R6;
  • 13ZMs871ZBcTTauhXDpRQ6hDaTaPcPVmTY;
  • 1MS4KRpKakzTEUFzcU9PHCbs2f1u9a1aL4;
  • 1MYQzejdwhiU83qy4SsLKcm7CwV5XxVFRn;
  • 1ECFBdcnfhVWcGG6k4p4Pt4J9ciQsK8wEn;
  • 1GN5ZGGQsgQGQdP5Yc2LAWUKssrLk5YRbc;
  • 1KgUcHDuWLVzFxVnwp3u5jZw3FmorjG1jD.

Se osservi con particolare attenzione le transazioni che interessano l’ultimo indirizzo dell’elenco, puoi notare che questo riceve bitcoin da quattro distinti indirizzi, diversamente da quanto abbiamo visto sinora.

Transazioni ultimo indirizzo

Questi quattro indirizzi

  • 1CfuE3aEv66wmDoQg3fjqUeDB4GZMNT6Ut;
  • 1H5bZcVTreuAvfkMirwE3kgtPLKeu7x9jy;
  • 1MTUx1CdrSpbeK8M67Muok26W6HN77g8WP;
  • 1CvGAuaq68zfL3rutetVHCuH7211vUZjHw;

sono soggetti ad un’attività molto più intensa rispetto agli
altri finora esaminati.

Nota che walletexplorer.com clusterizza tutti i 4 indirizzi nel wallet ID 0001d2e726, le cui attività sono in gran parte transazioni in entrata riconducibili all’exchanger Cex.io, gestito dalla società anglosassone Cex.io LTD.

Display wallet on Walletexplorer.com

Con ragionevole certezza, possiamo dunque ritenere che i bitcoin siano stati acquistati tramite l’exchanger Cex.io che, grazie alle sue procedure KYC, dovrebbe essere in grado di fornire informazioni sul cliente che ha effettuato l’acquisto o quanto meno sull'account utilizzato.

...continua nel prossimo articolo...

Se hai domande o perplessità su quanto descritto lascia un commento qui sotto!

Tags:
GRU
Mister Serious
Post by Mister Serious
February 19, 2019
Head of the AnuBitux project. Works as a cryptocurrency analyst and in the blockchain forensics field. In the free time he develops this distro and codes with Python.

Comments