Quello che succede nella Blockchain NON rimane nella Blockchain - Terza parte -

Quello che succede nella Blockchain NON rimane nella Blockchain - Terza parte -

Mister Serious
by Mister Serious
March 05, 2019

Una volta giunti alla transazione di partenza come spiegato nella parte 1 e nella parte 2 di questa analisi, vediamo cosa è successo da lì in poi. All’inizio puoi osservare che le transazioni proseguono con lo stesso schema: un indirizzo riceve un importo di bitcoin inferiore e con meno cifre decimali e un altro riceve il cosiddetto resto della transazione, un importo maggiore e con più cifre decimali.

Transazione 1

Con le stesse regole usate sino ad ora, possiamo affermare che l’indirizzo 1NZ4MSeYcDKFiPRt8h7VK6XMhShwzhCzCp è quello che riceve effettivamente i bitcoin, mentre l’indirizzo 1AK79g9gpvZ8jn2C9MsWQpijMFA5JaTdqP è quello che riceve il resto della transazione ed è in uso alla stessa persona che ha effettuato la transazione.

In questo caso walletexplorer.com non ci dà alcuna
informazione sull’indirizzo di destinazione.

Wallet explorer 1

Continuaimo a seguire la catena di transazioni

Ora puoi iniziare a guardare allo step successivo, cercando l’indirizzo di resto 1AK79g9gpvZ8jn2C9MsWQpijMFA5JaTdqP con bitcoinwhoswho.com.

Transazione 2

Anche in questo caso la situazione è quella vista nella maggior parte dei casi della nostra analisi. Oramai non dovresti avere difficoltà a riconoscere che l’indirizzo 153LqeB1mQa8xDaQDyvhWTCNweVTDeH9BE è quello di effettiva destinazione del pagamento mentre l’indirizzo 1RBiVomgGeqqRm4NQkJhmffWtAfJDdjFr è quello di resto.

Trattandosi in tutti i casi di indirizzi poco utilizzati, è facile che bitcoinwhoswho.com non ci dia altre informazioni utili. Osserviamo dunque cosa è in grado di dirci walletexplorer.com sull’indirizzo di destinazione del pagamento.

Wallet explorer 2 - CoinPayments

In questo caso, l’indirizzo è stato ricondotto a CoinPayments.net. Proseguiamo con la nostra analisi e vediamo cosa accade nelle transazioni successive.

Per fare ciò, come ormai avrai capito, dobbiamo analizzare le transazioni effettuate dall’indirizzo 1RBiVomgGeqqRm4NQkJhmffWtAfJDdjFr.

Transazione 3

Se ricerchiamo l’indirizzo di resto con walletexplorer.com, notiamo che non viene ricondotto ad alcun soggetto noto, ma viene comunque associato ad un wallet con una grande attività, ben 211.023 transazioni! Un comportamento simile è tipico di un exchange o di un intermediario di pagamento. È difficile immaginare una persona che effettui un simile numero di movimentazioni.

Wallet explorer 3

Andando avanti, osservando man mano le transazioni
effettuate dall’indirizzo di resto individuato di volta in volta, potrai notare
i seguenti indirizzi di destinazione dei pagamenti:

  • 1AV6NxfKYTwDSqbcGFn76KtAFHwCDYScHi, non ricondotto ad alcun soggetto, ma associato allo stesso wallet con ID 0000979937 del caso precedente;
  • 1G85zgoQu1VeEaH4gQwyfS9VQqUxBJD6bb, non ricondotto ad alcun soggetto, ma associato allo stesso wallet con ID 0000979937 dei casi precedenti;
  • 1MYQwTsamJ18WnaeggkF4Tboms5ySHp2VA, non ricondotto ad alcun soggetto, ma associato allo stesso wallet con ID 0000979937 dei casi precedenti;
  • 1PQAL7HxjzuoKVAbbTijkZ3mPZWhtgEjYM, non ricondotto ad alcun soggetto, ma associato allo stesso wallet con ID 0000979937 dei casi precedenti;
  • 1MRFjrnChHPMP9WH797Tg27eZNzQexQW6S, non ricondotto ad alcun soggetto;
  • 1EMVNB1aGTdL48oi2T6t4wZLUDQ9Kc5ddv, non ricondotto ad alcun soggetto, ma associato allo stesso wallet con ID 0000979937 dei casi precedenti.

Qualcosa di insolito, oppure no?

Proseguendo, arriviamo all’indirizzo 1HvWTwViSsy8j5Z9QWCGKKFiSCgDe1uLAM, che riceve il resto delle transazioni precedenti. Osservane attentamente le transazioni, noti nulla di strano?

Transazione 4

L’indirizzo sembra ricevere 1,37587747 bitcoin, ma ne spende 2,70223736! Sembra un assurdo. Invece è una visualizzazione ingannevole delle informazioni fornita da bitcoinwhoswho.com. Il servizio infatti visualizza solo le informazioni strettamente legate all’indirizzo che hai ricercato. Per capire cosa è successo, devi innanzitutto annotare la stringa 23e7879eaa2c2757d049f1a22a176dda4907be407aa70fdcc3ea4a5b57754f52 scritta al di sopra della transazione “anomala”. Si tratta dell’identificativo della transazione, chiamato hash. Per poterlo approfondire dobbiamo sfruttare un altro blockchain explorer, ad esempio blockchain.com.

Così facendo puoi notare che l’indirizzo 1HvWTwViSsy8j5Z9QWCGKKFiSCgDe1uLAM non è l’unico mittente della transazione.

Transazione 5

Infatti i bitcoin provengono anche dall’indirizzo 16xyGaTT2dQipfhUz8rNPR4L98xx7zQ9Et. Così puoi imparare un altro metodo per ricondurre più indirizzi ad un medesimo soggetto, il “cospending”. Se una transazione proviene da due indirizzi, chi la ha effettuata doveva disporre delle chiavi private di entrambi per poterla firmare. Possiamo quindi dire che quell’utente dispone di entrambi gli indirizzi, o che entrambi gli indirizzi sono parte dello stesso wallet.

Un'altra sequenza di transazioni

Nota che l’indirizzo 16xyGaTT2dQipfhUz8rNPR4L98xx7zQ9Et aveva già dei bitcoin disponibili quando lo hai incontrato. Quindi anche questo indirizzo avrà una sua storia e un suo flusso di transazioni. Se cominciamo ad osservare le transazioni legate a questo flusso di transazioni, notiamo che queste presentano un comportamento pressoché identico a quello visto finora.

Il nostro indirizzo riceve i suoi bitcoin dall’indirizzo 17SLcA24f4s3RXupPWWAdJsfJcdhyRivfF.

Transazione 6

Quest’indirizzo, proseguendo a ritroso, riceve i bitcoin dall’indirizzo 17GKzWc4m7kEPxvoHAtPisvtZ7Qnk2sMd ed effettua un’unica transazione in uscita, di cui l’indirizzo 1ZeSmMCHFqd6Gg8y3NhrChVTyTPbUkneJ che riceve 0,144816 bitcoin è quello di effettiva destinazione e l’indirizzo 16xyGaTT2dQipfhUz8rNPR4L98xx7zQ9Et che riceve 1,32640989 bitcoin è quello di resto.

Transazione 7

Proseguendo a ritroso, possiamo cercare di arrivare al punto in cui questi bitcoin potrebbero essere stati comprati. Non voglio annoiarti con un’altra analisi uguale a quella già vista nella prima parte. Magari puoi provare a ricostruire da solo il percorso fatto dai bitcoin. Voglio comunque anticiparti che i bitcoin provengono dal medesimo wallet legato a Cex.io, che abbiamo incontrato nella prima parte, con ID 0001d2e726 su walletexplorer.com.

Un po' confuso? Le immagini possono aiutare

Eccoti un’immagine che potrà aiutarti a capire cosa sta accadendo. Ci sono due flussi di transazioni che partono dall’exchange Cex.io: uno è quello che abbiamo seguito nelle prime due parti della nostra analisi e uno è quello appena incontrato. I due flussi si uniscono nel momento in cui i bitcoin nella disponibilità degli indirizzi 1ZeSmMCHFqd6Gg8y3NhrChVTyTPbUkneJ e 16xyGaTT2dQipfhUz8rNPR4L98xx7zQ9Et vengono utilizzati per effettuare la medesima transazione.

Schema 1

Continuiamo a seguire i bitcoin

Finora ti ho fatto guardare solo i mittenti della
transazione in cui abbiamo notato il cospending da parte di due indirizzi. Ma
guarda anche i destinatari della transazione.

Transazione 8

Troviamo l’indirizzo 1DqYiuVPjxrS3tkE8VeSorvx4ZEeR3oGkZ che riceve 0,20223736 bitcoin e l’indirizzo 1AgEeJ1cNWpXxABaTysv4CM6MqARSnXFce che ne riceve esattamente 2,5.

Con i criteri che ti ho fatto adottare finora, condividerai
senz’altro che l’indirizzo che riceve 2,5 bitcoin sia quello di effettiva
destinazione. Infatti, come ricorderai, abbiamo detto che è improbabile che un
utente voglia effettuare una transazione specificando un importo di 8 cifre decimali,
ottenendo un resto di esattamente 2,5 bitcoin.

In questo caso possiamo rafforzare la nostra affermazione tenendo in considerazione di aver visto due indirizzi mittenti. Se un utente avesse voluto trasferire 0,20223736 bitcoin non avrebbe avuto senso utilizzare entrambi gli indirizzi mittenti. Infatti, al momento della transazione, osservando lo storico delle transazioni ricevute da ognuno dei mittenti, l’indirizzo 16xyGaTT2dQipfhUz8rNPR4L98xx7zQ9Et disponeva di 1.32640989 bitcoin

Transazione 9

e l’indirizzo 1HvWTwViSsy8j5Z9QWCGKKFiSCgDe1uLAM disponeva di 1.3758774 bitcoin.

Transazione 10

Quindi l’unico motivo ragionevole per utilizzare entrambi gli indirizzi come mittenti è avere l’intenzione di trasferire 2,5 bitcoin. Se l’utilizzatore degli indirizzi avesse voluto trasferire 0,20223736 bitcoin gli sarebbe stato sufficiente utilizzare uno dei due indirizzi ottenendo, a seconda dei casi, un resto di circa 1,12 o 1,17 bitcoin.

Dato che abbiamo riscontrato un comportamento anomalo
rispetto a quello visto fino ad ora, dobbiamo analizzare attentamente cosa
fanno entrambi gli indirizzi di destinazione. Potremmo infatti trovarci
dinnanzi o ad un pagamento più sostanzioso, o ad una transazione di
consolidamento, cioè una transazione effettuata per raccogliere i saldi
disponibili su più indirizzi in uno solo.

Per ora diciamo che può bastare così, parleremo di questo nella
prossima parte di questa analisi.
Tags:
intelligence, GRU
Mister Serious
Post by Mister Serious
March 5, 2019
Head of the AnuBitux project. Works as a cryptocurrency analyst and in the blockchain forensics field. In the free time he develops this distro and codes with Python.

Comments
s1UtDEcxjrbk-_zL1EEzk2-QmrXyxtEk6HdXTMFJPHj7S9Gx7l790wPr3xZKntF7FfTVCVT9NyyT4y_h--ekcwrQR64r3Ip-3hwFefaHGV-mU5fK8xDIhW07UVuNKeQGTA66Rc4InOFV3gb_ha6MY

OsintOps Telegram/WhatsApp Channels

Jump into our Telegram and WhatsApp Channels and Groups, on which we publish daily information and resources regarding OSINT

Telegram OsintOps Channel

Telegram Group ENG

Telegram Group ITA

WhatsApp OsintOps Channel