Quello che succede nella Blockchain NON rimane nella Blockchain – Quinta parte -

Quello che succede nella Blockchain NON rimane nella Blockchain – Quinta parte -

Mister Serious
by Mister Serious
March 19, 2019

Come ricorderai, alla fine della parte 3 della nostra analisi, abbiamo incontrato una transazione che prevedeva due indirizzi destinatari: l’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ che ha ricevuto 0.20223736 bitcoin ed è stato esaminato nella parte 4 della nostra analisi e l’indirizzo 1AgEeJ1cNWpXxABaTysv4CM6MqARSnXFce che ne ha ricevuti 2,5.

Transazione 1

In questa parte della nostra analisi, vediamo cosa capita ai 2,5 bitcoin trasferiti. Un importo così preciso è stato senz’altro trasferito intenzionalmente, non è un resto casuale. Tuttavia, nella maggior parte delle transazioni esaminate finora, abbiamo visto inviare importi molto più esigui agli effettivi destinatari. Quindi, è buona norma in un’analisi di qualsiasi tipo, porre maggiore attenzione verso tutti quei comportamenti che “spezzano” la regolarità, cercando di arrivare ad individuare i motivi che potrebbero aver dato luogo all’anomalia.

Cominciamo l’analisi

Iniziamo subito a guardare cosa è stato fatto con
l’indirizzo che stiamo esaminando.

Transazione 2

L’indirizzo è stato coinvolto in un’unica transazione in uscita, in favore di due indirizzi: 1J8kvixEnAnGDEDwkfqJS246sXdW1mhkvB che riceve 0.99805659 bitcoin e 1NPgLU4sVj5ww2UZ8DktDSYm7kLJN6sYq1 che ne riceve 1.50168541. In questo caso, non è per nulla semplice capire quale dei due sia l’indirizzo di effettiva destinazione e quale sia l’indirizzo di resto. Infatti, viene coinvolto un unico indirizzo mittente, che spende tutto il saldo disponibile, ed entrambi gli indirizzi di destinazione ricevono un importo con 8 cifre decimali.

Quindi, per evitare che possa
sfuggirci qualcosa, dobbiamo esaminare attentamente entrambi gli indirizzi,
alla ricerca di comportamenti simili a quelli già visti finora o di interazioni
con entità note.

Primo indirizzo destinatario

Iniziamo osservando il comportamento che assumerà l’indirizzo 1J8kvixEnAnGDEDwkfqJS246sXdW1mhkvB, che ha ricevuto 0.99805659 bitcoin.

Indirizzo 1

Diversamente da quanto abbiamo visto finora, questo
indirizzo ha ricevuto un importo di quasi un bitcoin, ma non lo ha speso. In
questi casi, controllare l’indirizzo con walletexplorer.com non darà grandi
risultati. I dati mostrati da questo servizio sono basati sull’attività che è
stata fatta con gli indirizzi. In questo caso, non essendoci stata praticamente
alcuna attività, non sarà possibile raggruppare questo indirizzo con altri, o
ricondurlo ad entità note.

Wallet Explorer 1

Si tratta di una situazione nuova, abbiamo un indirizzo che
dispone di un importo sostanzioso di bitcoin e che ancora non li ha spesi. Ciò
non vuol dire che l’utilizzatore, da un giorno all’altro non possa decidere di
utilizzare quest’indirizzo per effettuare una nuova transazione e fornirci
nuove informazioni.

Tuttavia, anche se in questo caso abbiamo un solo indirizzo da osservare, in quanto potrebbe effettuare delle transazioni, non è per nulla pratico pensare di verificare ogni giorno se il saldo ha subito variazioni. Prova ad immaginare di avere decine di indirizzi da tenere sotto controllo e di doverli verificare uno ad uno per diverse volte al giorno.

Conosciamo un nuovo strumento

Possiamo sfruttare un servizio che fa al caso nostro, offerto dal sito Blockonomics. Una volta creato un account gratuito, abbiamo a disposizione un servizio chiamato "Wallet Watcher", che ci consente di tenere sott’occhio più indirizzi simultaneamente.

Wallet Watcher 1

Abbiamo la possibilità di aggiungere più indirizzi ed
etichettarli in modo da riconoscerli facilmente. Non dimenticare, dalla scheda
delle impostazioni, di spuntare la casella che ti consente di ricevere un
avviso via e-mail ogni volta che uno degli indirizzi che osservi è interessato
da qualsiasi attività.

Wallet Watcher 2

In questo caso, considera il saldo dell’indirizzo è invariato dall’8 aprile 2016, quindi la possibilità che venga utilizzato improvvisamente è piuttosto bassa. Tuttavia, prova ad immaginare di lavorare su un caso più attuale, dove gli indirizzi vengono continuamente convolti in transazioni in entrata e in uscita, o di avere sottomano un indirizzo utilizzato per ricevere donazioni per scopi illeciti. Un servizio di questo tipo potrà senz’altro aiutarti moltissimo a tenere in mano la situazione e non dover ogni volta ricominciare la tua analisi da zero in quanto ti trovi davanti uno scenario mutato.

Secondo indirizzo destinatario

Proseguendo la nostra analisi, andiamo ora ad osservare l’indirizzo 1NPgLU4sVj5ww2UZ8DktDSYm7kLJN6sYq1 che ha ricevuto 1.50168541 bitcoin, nella transazione riportata all’inizio di questa parte della nostra analisi.

In questo caso i bitcoin sono stati
tutti spesi, in un’unica transazione.

Transazione 3

Come puoi osservare, si tratta di un’unica transazione che vede tra i mittenti altri 11 indirizzi e che è stata effettuata in favore di altri 6 indirizzi.

Un altro attore sulla scena!

Nella nostra analisi non abbiamo mai incontrato una
transazione che vedesse coinvolti così tanti indirizzi. Anziché cominciare
subito ad esaminare tutti gli indirizzi, raggruppandoli in un unico wallet e
osservando ciascuno di essi dove abbia preso i suoi bitcoin, cerchiamo di capire
chi abbiamo di fronte. Cerchiamo il nostro indirizzo con walletexplorer.com.

Wallet Explorer 2

Come puoi vedere, walletexplorer.com ha raggruppato
l’indirizzo in un wallet che ha effettuato 232621 transazioni! Si tratta di un
wallet che, sulla base delle ricostruzioni effettuate dagli algoritmi su cui è
basato walletexplorer.com, contiene ben 37632 indirizzi! Direi che sono troppi
per una sola persona.

Wallet Explorer 3

Torniamo per un attimo all’immagine precedente, in cui viene mostrata l’attività effettuata con il wallet in cui è incluso l’indirizzo che stiamo esaminando. Come puoi vedere tu stesso, cliccando qui, le transazioni in uscita vengono effettuate verso spectrocoin.com.

Cosa potrebbe essere successo?

Cominciamo con il capire cosa è spectrocoin.com. Si tratta
di un exchanger che consente di scambiare tra loro diversi tipi di valute
virtuali o di acquistarle e venderle utilizzando valute a corso legale.

SpectroCoin 1

La macchina del tempo

Ricordiamoci però che le valute visualizzate al momento dell’analisi, potrebbero essere diverse da quelle accettate al momento della transazione. Proviamo a capire quale fosse la situazione al momento della transazione, quindi, indicativamente, nel periodo di aprile 2016. Per farlo possiamo sfruttare un servizio chiamato WayBack Machine. Cerchiamo la pagina spectrocoin.com e visualizziamo i dati disponibili.

WayBackMachine 1

Sono presenti diversi dati relativi al 2016. In particolare, è presente una cattura del sito che risale all’8 aprile, casualmente proprio il giorno in cui è stata effettuata la transazione che stiamo studiando.

SpectroCoin 2

Come puoi vedere anche tu, all’epoca della transazione, il sito supportava esclusivamente Bitcoin e nessun’altra valuta virtuale.

In particolare, il sito poteva essere utilizzato per
comprare e vendere bitcoin, oltre che per avere un proprio wallet online o
avere una carta di debito virtuale alimentata con i propri bitcoin.

SpectroCoin 3

A questo punto possiamo ipotizzare che la transazione di 1.50168541 bitcoin, effettuata verso l’indirizzo 1NPgLU4sVj5ww2UZ8DktDSYm7kLJN6sYq1, fosse finalizzata a cambiare i bitcoin in valuta a corso legale o effettuare un pagamento tramite la carta virtuale di SpectroCoin. Purtroppo, a questo punto, le informazioni non sono più presenti in blockchain, ma sono nella esclusiva disponibilità di chi gestisce spectrocoin.com.

Ricapitolando...

Partendo da una singola transazione bitcoin, siamo stati in
grado di:

  • individuare altri flussi di transazioni collegati;
  • capire che i bitcoin sono stati acquistati, probabilmente, dall’exchange Cex.io;
  • ricostruire lo schema con cui i bitcoin sono stati utilizzati regolarmente per inviare pagamenti tramite BitPay.com e CoinPayments.com, seguendo il resto delle transazioni;
  • seguire un flusso di transazioni fino al suo esaurimento;
  • individuare dove i bitcoin sono stati probabilmente riconvertiti in moneta a corso legale, tramite SpectroCoin.com.

L’analisi che abbiamo condotto, è partita da una transazione
casuale. Ovviamente, lo scenario che ci si trova davanti è sempre
imprevedibile. Più sono gli strumenti che padroneggerai e maggiori saranno le
possibilità che avrai di riuscire ad analizzare in maniera produttiva qualsiasi
scenario ti troverai davanti.

Purtroppo, una volta arrivato ad un exchange, è difficile che questo decida di condividere con te le informazioni relative ai suoi clienti, a meno che tu non possa avvalerti dei poteri delle Forze di Polizia o della Magistratura.
Tags:
intelligence, Wayback Machine, GRU
Mister Serious
Post by Mister Serious
March 19, 2019
Head of the AnuBitux project. Works as a cryptocurrency analyst and in the blockchain forensics field. In the free time he develops this distro and codes with Python.

Comments
s1UtDEcxjrbk-_zL1EEzk2-QmrXyxtEk6HdXTMFJPHj7S9Gx7l790wPr3xZKntF7FfTVCVT9NyyT4y_h--ekcwrQR64r3Ip-3hwFefaHGV-mU5fK8xDIhW07UVuNKeQGTA66Rc4InOFV3gb_ha6MY

OsintOps Telegram/WhatsApp Channels

Jump into our Telegram and WhatsApp Channels and Groups, on which we publish daily information and resources regarding OSINT

Telegram OsintOps Channel

Telegram Group ENG

Telegram Group ITA

WhatsApp OsintOps Channel