Se non hai domande riguardo al primo proviamo a trovare una risposta al secondo quesito che ci ha posto il nostro ipotetico Decisore: che fine fanno questi bitcoin?

Come hai potuto osservare, tutte le transazioni in uscita, contraddistinte dalla freccia rossa, avevano solitamente come destinatari due indirizzi: un indirizzo di destinazione effettivo e uno di resto (change address) in possesso di chi ha effettuato la transazione.

Capire a chi è destinata una transazione

Determinare quale sia l’effettivo indirizzo di destinazione e quale sia di resto non è cosí immediato come potresti immaginare dato che è necessario analizzare caso per caso, effettuare valutazioni statistiche e individuare criteri oggettivi o comportamenti ripetuti utili per profilare l’utente e gli strumenti che ha utilizzato.

In questi caso, osservando con particolare attenzione le transazioni con la freccia rossa, puoi notare che, per ogni transazione:

• ad un indirizzo è destinato un importo maggiore che viene via via portato avanti di transazione in transazione, composto generalmente da otto cifre decimali;
• ad un secondo indirizzo viene girato un importo minore, composto da sei cifre decimali.

Solitamente l’indirizzo che riceve cifre composte da più decimali è quello di resto dato che è improbabile che un utente effettui una transazione precisa all'ottava cifra decimale ottenendo un resto con al massimo sei cifre decimali.

Se consideri che questa circostanza si ripete in diverse
transazioni, questo fenomeno risulta ancora più improbabile.

Come risalire la catena di transazioni?

Per capire meglio quanto accade seguiamo il flusso finanziario, partendo dal primo indirizzo in cui si è verificato per la prima volta il comportamento ricorrente che abbiamo individuato, 1KgUcHDuWLVzFxVnwp3u5jZw3FmorjG1jD.

In questo caso l’indirizzo che riceve 0,8 bitcoin , 1N5hfyuGVZbTR78zXQ22kjUyCwZbgB8yhw, è molto probabilmente l’indirizzo di effettiva destinazione, mentre l’indirizzo che riceve 11,04445 bitcoin, 1GN5ZGGQsgQGQdP5Yc2LAWUKssrLk5YRbc, è l’indirizzo di resto. È molto improbabile che un utente voglia effettuare una transazione di 11,04445 bitcoin (anche specificando l’importo in valuta corrente sul proprio client) ed ottenga un resto di esattamente 0,8 bitcoin.

Analizziamo l'indirizzo, quello di effettiva destinazione. Tramite walletexplorer.com è possibile collegarlo ad entità note, exchanger o intermediari di pagamento come BitPay.com, CoinPayments.net, CoinGate.com, ecc., che ci permettono di avvicinarci ulteriormente a chi era effettivamente il destinatario della transazione.

Nel primo caso, l’indirizzo 1N5hfyuGVZbTR78zXQ22kjUyCwZbgB8yhw non viene ricondotto a nessun soggetto noto.

Ciò non vuol dire che non sia possibile ricondurre l’indirizzo ad un exchanger o ad un intermediario di pagamento ma piuttosto che walletexplorer.com non è stato in grado di identificare il soggetto che presumibilmente controlla l’indirizzo.

Per aiutarti a capire cosa sta succedendo, ecco un'immagine esplicativa. Ricorda che, in molti casi, realizzare grafi delle transazioni è uno metodo molto utile per riuscire a capire meglio cosa sta succedendo.

Continuiamo così!

Continuando a seguire la sequenza di pagamenti, osservando cioè la transazione effettuata dall'indirizzo di resto 1GN5ZGGQsgQGQdP5Yc2LAWUKssrLk5YRbc e considerando il comportamento assunto nelle altre transazioni esaminate, possiamo ipotizzare che il destinatario effettivo è l’indirizzo 1Mut7bPWhQS2NkTQ6wUpRtbV65vyELBqcs e quello di resto è l’indirizzo 1ECFBdcnfhVWcGG6k4p4Pt4J9ciQsK8wEn.

Analizzando le informazioni che ci ha fornito da walletexplorer.com, a conferma di quanto abbiamo ipotizzato poco fa, 1Mut7bPWhQS2NkTQ6wUpRtbV65vyELBqcs è ricondotto all’intermediario di pagamento BitPay.com.

Osserva ora la transazione in uscita effettuata dall’indirizzo 1ECFBdcnfhVWcGG6k4p4Pt4J9ciQsK8wEn.

Desumiamo, con gli stessi criteri adottati per le transazioni precedenti, che l’indirizzo di destinazione è 1ChwFk9Wtq7zav6TRnxE8e8xgf5daFXV5D, mentre l’indirizzo di resto è 1MYQzejdwhiU83qy4SsLKcm7CwV5XxVFRn. Anche in questo caso walletexplorer.com non è stato in grado di ricondurlo ad alcun servizio noto.

Proseguendo
lungo il flusso di transazioni, troviamo i seguenti indirizzi di destinazione:

• 13ov4UBJYJQBC1Tv5vEvijShn2vWS3vPrJ, non riconducibile ad alcun soggetto;
• 1Atc1n6rCm7GMpW1JsRuwF8b2hWQJjxi6i, non riconducibile ad alcun soggetto, ma destinatario di un importo pari a 5 bitcoin, insolitamente elevato;
• 13DD8uH3FMZbJjXnSgZfL2MMTxesT9qUgJ, non riconducibile ad alcun soggetto ma raggruppato con altri 6 indirizzi che potrebbero essere ulteriormente esaminati;
• 1Hy8Comf7wyBtqgGzph3fX8Ky6S5t8eXeh, riconducibile al medesimo wallet dell’indirizzo del punto precedente;
• 1DLTLvpev16LemyDtuyEL2WnyLskcPSvKM, riconducibile a CoinPayments.net;

• 1J8LeRgSwuHqfJuFX3Uo62WnDNFsNuAygR, riconducibile a BitPay.com;

• 1Jkoon938Pe66whJgZZwxn6zzjKMLkFRCX, non riconducibile ad alcun soggetto;
• 14mUSXvddwR9qgBr93BGXEAcgRw84jEtaG, non riconducibile ad alcun soggetto;
• 1NZ4MSeYcDKFiPRt8h7VK6XMhShwzhCzCp, non riconducibile ad alcun soggetto;

Quest’ultimo indirizzo è quello che ha ricevuto la transazione dall’indirizzo 1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR, citato nell’articolo da cui abbiamo cominciato la nostra analisi.

Ricapitoliamo

Tornando al discorso principale, nella seguente immagine puoi osservare graficamente quello che abbiamo ricostruito fino ad ora con la nostra analisi. Nota come gli indirizzi di resto sono rappresentati da cerchi che diventano man mano più piccoli, per rappresentare la parte di bitcoin che viene "persa" per effettuare i pagamenti.

A questo punto, con lo stesso metodo, puoi continuare a seguire la catena di transazioni, individuando ulteriori soggetti noti e osservare se l’indirizzo di resto, che ad ora sta ricevendo un importo superiore a 4,5 bitcoin, andrà via via esaurendosi o, a un certo punto sarà completamente inviato ad un altro soggetto.

Cos'altro dovremmo guardare?

Per ottenere altre informazioni, potrebbe essere esaminato il citato wallet di sette indirizzi, tra cui 13DD8uH3FMZbJjXnSgZfL2MMTxesT9qUgJ e 1Hy8Comf7wyBtqgGzph3fX8Ky6S5t8eXeh.

Inoltre, possiamo osservare che il citato indirizzo 1Atc1n6rCm7GMpW1JsRuwF8b2hWQJjxi6i, con la transazione effettuata in data 23 dicembre 2015, riceve ben 5,0 bitcoin, a differenze delle altre transazioni dove gli importi sono molto più esigui. Potrebbe trattarsi di un pagamento più sostanzioso ma, considerando che all'inizio della sequenza di transazioni venivano movimentati meno di 12 bitcoin, potrebbe anche darsi che l'utilizzatore di questi indirizzi abbia voluto smezzare i bitcoin gestiti e dare inizio a un'altra sequenza di transazioni. Infatti, la transazione seguente è destinata in favore degli indirizzi 1HbKVbT2k82JcMrvErwWMhJPGHjSo8iLBK e 1JX9Q7fqn9TajUe4F6vjWGtGnD2wqnXTii. Di questi, l’indirizzo 1HbKVbT2k82JcMrvErwWMhJPGHjSo8iLBK viene ricondotto, da walletexplorer.com, all’intermediario di pagamento BitPay.com, come accaduto in altri casi visti finora.

Seguimi in un’ultima considerazione utile per poter seguire un flusso di transazioni: osservando gli importi delle transazioni ed assumendo che l’indirizzo con più cifre decimali sia quello di resto, per continuare a tracciare il flusso e individuare rapidamente l’indirizzo di resto da quello di destinazione effettiva, puoi concentrarti sulle ultime cifre dell’importo trasferito che rimarranno le stesse in gran parte dei casi.

Nel nostro caso infatti, si ripetono diverse volte le cifre “47”.

Per favore non esistere a farmi tutte le domande che ritieni necessario in merito a quanto ho cercato di spiegare in questi due post.

>>> In seguito a quanto esposto nell’Executive Summary è stato richiesto un ulteriore approfondimento sulle transazioni avvenute dopo il 1 febbraio 2016. <<<

Approfondimento che inizieremo a vedere nella terza parte