Proseguiamo la nostra analisi. Ricorda che, nell’ultima transazione vista nella parte 3, l’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ ha ricevuto 0.20223736 bitcoin e l’indirizzo 1AgEeJ1cNWpXxABaTysv4CM6MqARSnXFce ne ha ricevuti 2,5. Dato che il comportamento non è conforme a quello visto negli altri casi, proviamo a concentrarci su entrambi gli indirizzi.
Per iniziare, continuiamo a seguire i resti
Cominciamo ad analizzare l’attività dell’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ. Abbiamo già stabilito che questo indirizzo ha ricevuto il resto della transazione. Seguendo la sua attività puoi notare che, la prima ed unica transazione in uscita effettuata prevede un importo in uscita maggiore di quello ricevuto.
Stavolta non sarai più sorpreso come nella scorsa occasione.
Come già ti ho mostrato, dobbiamo ricercare l’hash della transazione con
l’explorer di blockchain.com e vedere gli altri indirizzi coinvolti.
Come ci aspettavamo, oltre all’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ, tra i mittenti troviamo anche l’indirizzo 1BP6cAbMWNCD7zmrYsMTMs44knqiuunHSG.
Trovare lo strumento più adatto
La circostanza in cui sono presenti più indirizzi mittenti, in questa fase dell’analisi, si sta verificando sempre più spesso. Il servizio bitcoinwhoswho.com richiede un buon colpo d’occhio per notare ogni volta questa particolarità. Finora ho deciso di utilizzarlo deliberatamente in quanto eravamo alla ricerca di informazioni sugli indirizzi che man mano individuavamo, e questo servizio ci consente di reperirle rapidamente, a patto che siano state condivise in rete. Tuttavia, abbiamo visto che in quasi tutte le occasioni ci siamo trovati di fronte a indirizzi che hanno effettuato al massimo due transazioni e che quindi difficilmente saranno stati pubblicati online. Per non perderci dettagli preziosi, possiamo pensare di iniziare ad usare l’explorer di blockchain.com anche per esaminare l’attività degli indirizzi bitcoin e non solo per ricercare gli hash delle transazioni. Non ci fornirà informazioni aggiuntive, ma visualizza in maniera più completa le informazioni relative alle transazioni che ogni indirizzo ha effettuato o ricevuto. Non dimenticare di attivare la “vista avanzata”. Troverai un apposito pulsante sul fondo della pagina dopo aver ricercato un indirizzo o una transazione.
Continuiamo a seguire le transazioni
Proseguiamo con la nostra analisi! A questo punto ci tocca esaminare l’indirizzo 1BP6cAbMWNCD7zmrYsMTMs44knqiuunHSG. È probabile che ci siamo imbattuti in un terzo flusso di transazioni che si interseca con quello che stiamo seguendo. Cominciamo con il capire da dove arrivano i bitcoin che ha speso l’indirizzo 1BP6cAbMWNCD7zmrYsMTMs44knqiuunHSG.
Oramai dovresti essere in grado di fare quest’analisi da
solo. Lascia che ti dia io l’input per metterti sulla strada giusta. Comincia ricercando
l’indirizzo con blockchain.com, per vedere da dove sono arrivati i suoi
bitcoin.
Puoi vedere che l’indirizzo mittente è 1ERLDBwMikm96UBqLj9h7FfCVEnGs5grHH. Prova ora a ricercarlo con walletexplorer.com, per capire se il suo algoritmo sia in grado di ricondurlo ad un soggetto noto, in possesso di maggiori informazioni.
Purtroppo non siamo stati così fortunati. L’indirizzo viene
ricondotto esclusivamente al wallet con identificativo e6a20c7ac3 e a nessun
altro indirizzo. Prova ora a seguire a ritroso le transazioni, fino a trovare
da dove potrebbero essere stati acquistati i bitcoin.
Da dove pensi siano stati acquistati questa volta? Ebbene
si! Anche stavolta il flusso di transazioni bitcoin è partito dallo stesso
wallet, alimentato dall’exchange Cex.io e individuato da walletexplorer.com con
l’identificativo 0001d2e726.
La sequenza di transazioni, all’inizio movimenta 4.1721 bitcoin, che man mano saranno coinvolti in transazioni in cui un importo maggiore sarà trasferito verso l’indirizzo di resto e un importo minore sarà inviato a un indirizzo che supponiamo sia in uso a un intermediario di pagamento come BitPay.com o CoinPayments.net.
Anche l'occhio vuole la sua parte
Ecco un grafico che ti aiuterà a capire cosa sta succedendo.
Finora abbiamo individuato tre flussi di transazioni che
sono partiti dall’exchange Cex.io e si sono incrociati poiché sono stati
utilizzati per effettuare transazioni con più indirizzi mittenti.
Continuiamo la risalita, ci siamo quasi...
Osserviamo ora i due indirizzi di destinazione della
transazione.
L’indirizzo 1Mo8of2hfMKRntywZHip88CxSqfJ2VwQbp riceve 0,05383844 bitcoin, mentre l’indirizzo 1FnFRMpgvkUNGuxpsqDS69JtLKGqc5pQTs riceve 0,36984822 bitcoin. Entrambi gli indirizzi ricevono un importo con ben 8 cifre decimali. Come possiamo fare a riconoscere l’indirizzo di destinazione da quello di resto? Ricorda che si tratta di una transazione con due indirizzi mittenti! L’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ ha fatto confluire 0.20223736 bitcoin nella transazione mentre l’indirizzo 1BP6cAbMWNCD7zmrYsMTMs44knqiuunHSG ne ha fatti confluire 0.2214993. Se l’utilizzatore di questi indirizzi avesse voluto trasferire solo 0,05383844 bitcoin, non avrebbe avuto alcun bisogno di impiegare entrambi gli indirizzi.
Possiamo quindi dire che l’indirizzo 1Mo8of2hfMKRntywZHip88CxSqfJ2VwQbp che riceve 0,05383844 bitcoin è l’indirizzo di resto, mentre l’indirizzo 1FnFRMpgvkUNGuxpsqDS69JtLKGqc5pQTs che riceve 0,36984822 bitcoin è l’indirizzo di effettiva destinazione.
Come oramai sarai abituato a fare, ricerchiamo l’indirizzo
di effettiva destinazione con walletexplorer.com, per capire se si tratta di un
soggetto noto.
Purtroppo non è così, ma possiamo osservare che si tratta di
un wallet che ha effettuato 34 transazioni e che contiene 33 indirizzi.
Senza dimenticarci che abbiamo lasciato in sospeso l’analisi dell’indirizzo che riceve 2,5 bitcoin, continuiamo a seguire il flusso di transazioni che abbiamo sotto mano osservando l’attività dell’indirizzo 1Mo8of2hfMKRntywZHip88CxSqfJ2VwQbp che riceve il resto dell’ultima transazione.
Anche in questo caso l’indirizzo esaminato effettua una transazione abbinato ad un altro indirizzo mittente, 129s7TCmH8ahezAemKxoLjx8wjMA1USp2x. Grazie al fatto che abbiamo cambiato explorer, siamo stati in grado di notarlo subito, senza dover porre troppa attenzione sugli importi coinvolti nelle transazioni.
Come al solito, andiamo a vedere da dove prende i bitcoin quest’ultimo indirizzo, osservando le transazioni in cui è stato coinvolto.
I bitcoin arrivano dall’indirizzo 1Kn6wUwfAKarFHc1suXH2xFViQxe9WEzCQ. Vediamo se walletexplorer.com è in grado di dirci qualcosa in più.
Purtroppo non è stato così. Andiamo allora a guardare le transazioni dell’indirizzo 1Kn6wUwfAKarFHc1suXH2xFViQxe9WEzCQ.
A volte dobbiamo capire cosa abbiamo davanti dal suo comportamento
A colpo d’occhio puoi già notare che c’è qualcosa di strano.
L’indirizzo effettua un’unica transazione in uscita che coinvolge oltre 88
bitcoin e viene inviata a 7 indirizzi. Torniamo al risultato di
walletexplorer.com e approfondiamo le informazioni che ci vengono fornite.
Tra gli indirizzi di destinazione, 5 sono sconosciuti, uno viene ricondotto a BtcMarkets.net e uno a 999Dice.com. Un comportamento di questo tipo, per la varietà di destinatari e per gli ingenti importi movimentati, di solito è tipico di exchange o intermediari di pagamento. Purtroppo non possiamo dire a quale soggetto possa essere ricondotto questo indirizzo. Magari, se hai qualche idea, non esitare a suggerirmela.
Torniamo adesso alla transazione effettuata sia dall’indirizzo 1Mo8of2hfMKRntywZHip88CxSqfJ2VwQbp che dall’indirizzo 129s7TCmH8ahezAemKxoLjx8wjMA1USp2x, per analizzarne gli indirizzi destinatari.
L’indirizzo 1LAnu8aBw5MMkbp2aj7y3ypj6tH3jTPSPg riceve 0,00128844 bitcoin mentre l’indirizzo 13Bsa1JgufyYtDSvpw2uEpHx3n6ofoKhGm riceve 0.0625 bitcoin. Con tutto quello che hai imparato finora sarai in grado in un istante di determinare che l’indirizzo 13Bsa1JgufyYtDSvpw2uEpHx3n6ofoKhGm è quello di effettiva destinazione del pagamento mentre l’indirizzo 1LAnu8aBw5MMkbp2aj7y3ypj6tH3jTPSPg è quello di resto.
Anche in questo caso walletexplorer.com non ci da
informazioni, ma possiamo comunque osservare che siamo di fronte ad un wallet,
con ID 035e72375b, che ha effettuato 593 transazioni.
Una miniera di informazioni
Andiamo ora ad osservare l’indirizzo di resto, per
continuare a seguire la sequenza di transazioni. Anche in questo caso,
l’importo trasferito in uscita è superiore al saldo disponibile dell’indirizzo.
Osserva i dettagli della transazione in uscita 76f379d206304d0da93584633610289b296651f77ba3329c9dd94d0640909f10. Nonostante l’importo trasferito sia estremamente piccolo, solo 0,02357879 bitcoin, notiamo che sono presenti ben sei indirizzi mittenti! Un dato del genere è una miniera di informazioni per un analista. Si possono infatti seguire a ritroso altri cinque flussi di transazioni, e raccogliere un maggior numero di informazioni che potrà essere utilizzato per individuare i reali utilizzatori dei bitcoin che stiamo seguendo.
A questo punto lascio a te l’onere di seguire a ritroso
tutte le transazioni di questi indirizzi, oramai hai imparato come fare. Non
rientra nello scopo di questo articolo ricostruire tutte le transazioni, ma
solo mostrarti come fare.
Non lasciare indietro nessuna informazione
Andiamo avanti invece, continuando a vedere dove sono dirette le transazioni bitcoin che stiamo seguendo. L’indirizzo 129ZJG3i5qSSEdvzAjjBNqsrtiX2pRyFz5 che riceve 0.00004579 è quello di resto mentre l’indirizzo 1FbV7p8zDqfuVU1unCTmmLjm7ShLD9GPyk che riceve 0,023533 è quello di effettiva destinazione del pagamento.
Walletexplorer.com non lo riconduce ad alcun soggetto, ma
individua comunque un wallet che ha effettuato 292870 transazioni,
comportamento tipico di un exchange.
Andiamo avanti, osservando la transazione in uscita dell’indirizzo di resto 129ZJG3i5qSSEdvzAjjBNqsrtiX2pRyFz5.
I bitcoin vengono inviati a due indirizzi. Come al solito, determiniamo subito che l’indirizzo 155HWPsNcBGxMuMgiQjhAUD2ggCMGLVm9X che riceve 0.00003139 è l’indirizzo di resto mentre l’indirizzo 1Pw16T7ZMDkoMu1uR1AqQzNy11F9sDifX9 che riceve 0.008643 è quello di effettiva destinazione del pagamento. Anche in questo caso l’indirizzo esaminato non è l’unico mittente della transazione, ma figura insieme ad altri due indirizzi. Osserviamo l’indirizzo di destinazione del pagamento.
Viene ricondotto al medesimo wallet che ha ricevuto la
transazione precedente. Ricorda, è sempre bene prendere nota degli
identificativi dei wallet che incontri durante un’analisi, non sai mai quando
potrebbero sbucare nuovamente. Riuscire a collegare due transazioni effettuate
o incontrate in due momenti diversi ad uno stesso wallet può essere
un’informazione molto preziosa.
Capolinea!
Andiamo ad osservare l’indirizzo 155HWPsNcBGxMuMgiQjhAUD2ggCMGLVm9X che ha ricevuto il resto dell’ultima transazione.
L’indirizzo presenta solo la transazione in entrata appena
vista. L’importo presente, 0,00003139 è talmente esiguo che l’utilizzatore,
probabilmente, ha deciso di non utilizzarlo più.
A questo punto, possiamo dire di aver seguito un flusso di bitcoin in cui sono state fatte molteplici transazioni verso diversi intermediari di pagamento, riducendo via via l’importo che veniva portato avanti come resto, fino ad arrivare a un importo praticamente nullo e soprattutto al punto in cui si interrompe il flusso di transazioni.
Non dimentichiamoci che dobbiamo ancora osservare dove è
andata la transazione di 2,5 bitcoin citata all’inizio dell’articolo, ma ne
parleremo nella prossima parte.
Comments