แฮ็กเกอร์ที่โจมตี Twitter เมื่อวานนี้นั้นอาจดูไม่เหมือนมืออาชีพเท่าที่ควร เนื่องจากที่อยู่ Bitcoin ของเค้านั้นทิ้งร่อยรอยและเส้นทางที่นำไปสู่เว็บเทรดที่สำคัญที่อาจรู้ตัวตนของเค้าได้
ที่อยู่ Bitcoin ที่แฮ็กเกอร์ใช้มากที่สุดในการโจมตีคือ bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh โดยหลังจากผ่านไปสองสามชั่วโมงของการแฮ็ค ผู้กระทำผิดได้เริ่มย้าย Bitcoin ไปยังที่อยู่อื่น โดยเส้นทาง Bitcoin ที่พวกเขาใช้นั้นไม่ได้มีความซับซ้อนมากนัก พวกเขามีการนำที่อยู่เดิมกลับมาใช้ใหม่ และไม่ได้มีการปิดบังจากการติดตามอย่างเพียงพอ และเพื่อแลกเปลี่ยนอย่างเพียงพอ รวมถึงพวกเค้าแทบไม่เคยใช้บริการปกปิดธุรกรรมหรือ mixing service
จากหลักฐานทางออนไลน์ที่เราสามารถเก็บรวบรวมมาได้ พบว่าเว็บเทรดที่สำคัญหลายแห่งอาจรู้ตัวตนของพวกเขาเหล่านี้
Coinbase & BitMex
เราจะโฟกัสไปที่ที่อยู่ 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF ซึ่งที่อยู่นี้ได้รับ 14.76 BTC เมื่อ 15 กรกฎาคม อย่างไรก็ตาม ที่อยู่นี้ถูกเปิดใช้งานครั้งแรกในวันที่ 3 พฤษภาคม และประมาณครึ่งหนึ่งของ BTC มาจากที่อยู่ bc1qxy และส่วนที่เหลือจากแหล่งอื่น ๆ
บางส่วนของ Bitcoin มาจาก Coinbase และ BitMex โดยมีที่อยู่สองที่ระบุว่าเป็นของ Coinbase โดย Cryptal Blockchain ได้แก่ 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E และ 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet
มีการถอนเงิน 10 BTC จาก Coinbase ในตอนเช้าของวันที่ 15 กรกฎาคม และสองสามชั่วโมงต่อมาก็มีการถอน 0.4 BTCจาก Coinbase และสันนิษฐานว่าไปสิ้นสุดที่ที่อยู่ 1Ai52U แต่เนื่องจากไม่ใช่การโอนเป็นเส้นทางตรง จึงมีความเป็นไปได้ที่เหรียญจะเปลี่ยนมือในช่วงเวลานั้น
ส่วนการถอนจาก BitMex โดยที่อยู่ 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP โดยมี 14.18 BTC ถูกย้ายจากที่อยู่ดังกล่าวในวันที่ 3 พฤษภาคม และไปสิ้นสุดที่ที่อยู่ 1Ai52U
BitGo, Luno, Binance
แฮกเกอร์ยังได้ใช้ที่อยู่ 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1 เพื่อย้ายเงินทุนจากที่อยู่เดิม โดยในอดีตเคยได้รับ BTC จำนวนเล็กน้อยจากที่อยู่ 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz ซึ่งในทางกลับกัน ก็ได้รับ BTC จากที่อยู่หลายแห่งที่เป็นของ BitGo – โดยธุรกรรม 89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961 มีการส่ง BTC จำนวนเล็กน้อยไปยังเว็บเทรดอื่น ๆ รวมถึง Bittrex, Luno และ Binance
Binance
เมื่อวันที่ 16 กรกฎาคม มี 0.0011 BTC ที่ไปลงเอยใน 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY ซึ่งระบุว่าเป็นหนึ่งในที่อยู่การฝากของ Binance
ข้อสังเกตสุดท้าย
แฮ็กเกอร์ดูเหมือนจะใช้ proxy ในธุรกรรมที่เกิดขึ้นจากส่วนต่างๆของโลก ที่อยู่ Bitcoin ที่สร้างโดยแฮ็กเกอร์มาในรูปแบบที่แตกต่างกัน บางตัวเป็นรูปแบบใหม่ล่าสุดของ Bech32 และมีส่วนที่อยู่ในรูปแบบ P2PKH และ P2SH ที่เก่ากว่า หากการวิเคราะห์ของเราถูกต้อง หน่วยงานที่สำคัญหลายแห่งควรสามารถระบุตัวแฮ็กเกอร์ได้
อ้างอิง : LINK
