Come ricorderai, alla fine della parte 3 della nostra analisi, abbiamo incontrato una transazione che prevedeva due indirizzi destinatari: l’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ che ha ricevuto 0.20223736 bitcoin ed è stato esaminato nella parte 4 della nostra analisi e l’indirizzo 1AgEeJ1cNWpXxABaTysv4CM6MqARSnXFce che ne ha ricevuti 2,5.
In questa parte della nostra analisi, vediamo cosa capita ai 2,5 bitcoin trasferiti. Un importo così preciso è stato senz’altro trasferito intenzionalmente, non è un resto casuale. Tuttavia, nella maggior parte delle transazioni esaminate finora, abbiamo visto inviare importi molto più esigui agli effettivi destinatari. Quindi, è buona norma in un’analisi di qualsiasi tipo, porre maggiore attenzione verso tutti quei comportamenti che “spezzano” la regolarità, cercando di arrivare ad individuare i motivi che potrebbero aver dato luogo all’anomalia.
Cominciamo l’analisi
Iniziamo subito a guardare cosa è stato fatto con l’indirizzo che stiamo esaminando.
L’indirizzo è stato coinvolto in un’unica transazione in uscita, in favore di due indirizzi: 1J8kvixEnAnGDEDwkfqJS246sXdW1mhkvB che riceve 0.99805659 bitcoin e 1NPgLU4sVj5ww2UZ8DktDSYm7kLJN6sYq1 che ne riceve 1.50168541. In questo caso, non è per nulla semplice capire quale dei due sia l’indirizzo di effettiva destinazione e quale sia l’indirizzo di resto. Infatti, viene coinvolto un unico indirizzo mittente, che spende tutto il saldo disponibile, ed entrambi gli indirizzi di destinazione ricevono un importo con 8 cifre decimali.
Quindi, per evitare che possa sfuggirci qualcosa, dobbiamo esaminare attentamente entrambi gli indirizzi, alla ricerca di comportamenti simili a quelli già visti finora o di interazioni con entità note.
Primo indirizzo destinatario
Iniziamo osservando il comportamento che assumerà l’indirizzo 1J8kvixEnAnGDEDwkfqJS246sXdW1mhkvB, che ha ricevuto 0.99805659 bitcoin.
Diversamente da quanto abbiamo visto finora, questo indirizzo ha ricevuto un importo di quasi un bitcoin, ma non lo ha speso. In questi casi, controllare l’indirizzo con walletexplorer.com non darà grandi risultati. I dati mostrati da questo servizio sono basati sull’attività che è stata fatta con gli indirizzi. In questo caso, non essendoci stata praticamente alcuna attività, non sarà possibile raggruppare questo indirizzo con altri, o ricondurlo ad entità note.
Si tratta di una situazione nuova, abbiamo un indirizzo che dispone di un importo sostanzioso di bitcoin e che ancora non li ha spesi. Ciò non vuol dire che l’utilizzatore, da un giorno all’altro non possa decidere di utilizzare quest’indirizzo per effettuare una nuova transazione e fornirci nuove informazioni.
Tuttavia, anche se in questo caso abbiamo un solo indirizzo da osservare, in quanto potrebbe effettuare delle transazioni, non è per nulla pratico pensare di verificare ogni giorno se il saldo ha subito variazioni. Prova ad immaginare di avere decine di indirizzi da tenere sotto controllo e di doverli verificare uno ad uno per diverse volte al giorno.
Conosciamo un nuovo strumento
Possiamo sfruttare un servizio che fa al caso nostro, offerto dal sito Blockonomics. Una volta creato un account gratuito, abbiamo a disposizione un servizio chiamato “Wallet Watcher”, che ci consente di tenere sott’occhio più indirizzi simultaneamente.
Abbiamo la possibilità di aggiungere più indirizzi ed etichettarli in modo da riconoscerli facilmente. Non dimenticare, dalla scheda delle impostazioni, di spuntare la casella che ti consente di ricevere un avviso via e-mail ogni volta che uno degli indirizzi che osservi è interessato da qualsiasi attività.
In questo caso, considera il saldo dell’indirizzo è invariato dall’8 aprile 2016, quindi la possibilità che venga utilizzato improvvisamente è piuttosto bassa. Tuttavia, prova ad immaginare di lavorare su un caso più attuale, dove gli indirizzi vengono continuamente convolti in transazioni in entrata e in uscita, o di avere sottomano un indirizzo utilizzato per ricevere donazioni per scopi illeciti. Un servizio di questo tipo potrà senz’altro aiutarti moltissimo a tenere in mano la situazione e non dover ogni volta ricominciare la tua analisi da zero in quanto ti trovi davanti uno scenario mutato.
Secondo indirizzo destinatario
Proseguendo la nostra analisi, andiamo ora ad osservare l’indirizzo 1NPgLU4sVj5ww2UZ8DktDSYm7kLJN6sYq1 che ha ricevuto 1.50168541 bitcoin, nella transazione riportata all’inizio di questa parte della nostra analisi.
In questo caso i bitcoin sono stati tutti spesi, in un’unica transazione.
Come puoi osservare, si tratta di un’unica transazione che vede tra i mittenti altri 11 indirizzi e che è stata effettuata in favore di altri 6 indirizzi.
Un altro attore sulla scena!
Nella nostra analisi non abbiamo mai incontrato una transazione che vedesse coinvolti così tanti indirizzi. Anziché cominciare subito ad esaminare tutti gli indirizzi, raggruppandoli in un unico wallet e osservando ciascuno di essi dove abbia preso i suoi bitcoin, cerchiamo di capire chi abbiamo di fronte. Cerchiamo il nostro indirizzo con walletexplorer.com.
Come puoi vedere, walletexplorer.com ha raggruppato l’indirizzo in un wallet che ha effettuato 232621 transazioni! Si tratta di un wallet che, sulla base delle ricostruzioni effettuate dagli algoritmi su cui è basato walletexplorer.com, contiene ben 37632 indirizzi! Direi che sono troppi per una sola persona.
Torniamo per un attimo all’immagine precedente, in cui viene mostrata l’attività effettuata con il wallet in cui è incluso l’indirizzo che stiamo esaminando. Come puoi vedere tu stesso, cliccando qui, le transazioni in uscita vengono effettuate verso spectrocoin.com.
Cosa potrebbe essere successo?
Cominciamo con il capire cosa è spectrocoin.com. Si tratta di un exchanger che consente di scambiare tra loro diversi tipi di valute virtuali o di acquistarle e venderle utilizzando valute a corso legale.
La macchina del tempo
Ricordiamoci però che le valute visualizzate al momento dell’analisi, potrebbero essere diverse da quelle accettate al momento della transazione. Proviamo a capire quale fosse la situazione al momento della transazione, quindi, indicativamente, nel periodo di aprile 2016. Per farlo possiamo sfruttare un servizio chiamato WayBack Machine. Cerchiamo la pagina spectrocoin.com e visualizziamo i dati disponibili.
Sono presenti diversi dati relativi al 2016. In particolare, è presente una cattura del sito che risale all’8 aprile, casualmente proprio il giorno in cui è stata effettuata la transazione che stiamo studiando.
Come puoi vedere anche tu, all’epoca della transazione, il sito supportava esclusivamente Bitcoin e nessun’altra valuta virtuale.
In particolare, il sito poteva essere utilizzato per comprare e vendere bitcoin, oltre che per avere un proprio wallet online o avere una carta di debito virtuale alimentata con i propri bitcoin.
A questo punto possiamo ipotizzare che la transazione di 1.50168541 bitcoin, effettuata verso l’indirizzo 1NPgLU4sVj5ww2UZ8DktDSYm7kLJN6sYq1, fosse finalizzata a cambiare i bitcoin in valuta a corso legale o effettuare un pagamento tramite la carta virtuale di SpectroCoin. Purtroppo, a questo punto, le informazioni non sono più presenti in blockchain, ma sono nella esclusiva disponibilità di chi gestisce spectrocoin.com.
Ricapitolando…
Partendo da una singola transazione bitcoin, siamo stati in grado di:
- individuare altri flussi di transazioni collegati;
- capire che i bitcoin sono stati acquistati, probabilmente, dall’exchange Cex.io;
- ricostruire lo schema con cui i bitcoin sono stati utilizzati regolarmente per inviare pagamenti tramite BitPay.com e CoinPayments.com, seguendo il resto delle transazioni;
- seguire un flusso di transazioni fino al suo esaurimento;
- individuare dove i bitcoin sono stati probabilmente riconvertiti in moneta a corso legale, tramite SpectroCoin.com.
L’analisi che abbiamo condotto, è partita da una transazione casuale. Ovviamente, lo scenario che ci si trova davanti è sempre imprevedibile. Più sono gli strumenti che padroneggerai e maggiori saranno le possibilità che avrai di riuscire ad analizzare in maniera produttiva qualsiasi scenario ti troverai davanti.
Purtroppo, una volta arrivato ad un exchange, è difficile che questo decida di condividere con te le informazioni relative ai suoi clienti, a meno che tu non possa avvalerti dei poteri delle Forze di Polizia o della Magistratura.
Leave a Reply