Twitter üzerinde 15 Temmuz gecesi yaşanan hack olayında, dolandırıcılık amacıyla kullanılan Bitcoin cüzdan adreslerine dair detaylı bir araştırma yapıldı.

İlk bulgulara göre, bilgisayar korsanlarının kripto para borsaları üzerinde işlem yaptıkları tespit edildi. Bahsi geçen adreslerin izi sürüldüğünde, borsa işlemleri üzerinden kişilerin kimlikleri tespit edilebilir. Zira hackerlar, ileri seviye gizlilik yöntemlerini uygulayan Bitcoin (BTC) kullanıcılarına benzemiyorlar.

Address bc1qxy summary

Adres bc1qxy özeti. Kaynak: Crystal Blockchain.

Bilgisayar korsanlarının yasa dışı para toplamak için kullandıkları Bitcoin adresi bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh. Saldırıya birkaç saat kala failler, cüzdan içindeki Bitcoin'i farklı adreslere taşıdı. Geride bıraktıkları Bitcoin izi, blockchain teknolojisi konusunda çok bilgili olmadıklarını gösteriyor. Aynı adresleri tekrar kullanmış ve borsalara doğru giden işlemlerde gizleme yapmamışlar. Transfer işlemlerini gizlemek için kullanılan karıştırma hizmetini ise neredeyse hiç kullanmamışlar.

Zincir üstü kayıtlara göre, bazı büyük borsalarda hesabı olan kişilerin bu hack vakasından sorumlu oldukları düşünülebilir.

Coinbase ve BitMex

Orijinal adresin bir adım gerisine baktığımız zaman şu cüzdan karşımıza çıkıyor:

1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF

Bu adrese 14,76 BTC yollandı ve işlemin büyük kısmı 15 Temmuz'da gerçekleşti. Ancak, adres 3 Mayıs'ta etkinleştirildi. İçindeki BTC'nin yarısı, bc1qxy adresinden gönderildi.

Coinbase & BitMex trail

Coinbase ve BitMex borsalarındaki işlem izi. Kaynak: Crystal Blockchain.

Gelen Bitcoin'lerin bir kısmı Coinbase ve BitMex borsalarından aktarıldı. Crystal Blockchain tarafından Coinbase'e ait olduğu belirlenen iki adres, 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E ve 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet, hack olayına ait 1Ai52 adresinden sadece iki adım uzaklıkta.

Coinbase borsasından 15 Temmuz günü 10 BTC çekildi. Birkaç saat sonra, 0,4 BTC, Coinbase'de olduğu varsayılan 1Ai52U hesabına gitti. Doğrudan bir rota olmadığı için, coin el değiştirmiş olabilir. Ancak, aralarında önemli bir işlem girdisi olmadığı için bu olası görünmüyor.

Bitmex'te olduğu düşünülen 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP adresi ise 1Ai52'den üç adım uzaklıkta. 27 Nisan'da 14,18 BTC bu adresten taşındı. İzlediği yol 3 Mayıs'ta 1Ai52U adresinde sona erdi.

BitGo, Luno, Binance

Bilgisayar korsanları, fonları orijinal adresten taşımak için 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1 adresini de kullandı. İlk adres ayrıca 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz'den az miktarda BTC aldı ve bu da BitGo'ya ait gibi görünen çeşitli adreslerle işlem yaptı.

Aynı işlemde Bittrex, Luno ve Binance (BNB) dahil olmak üzere birçok borsaya küçük miktarlarda BTC gönderildi.

BitGo, Bittrex, Binance & Luno trail

BitGo, Bittrex, Binance ve Luno işlem izi. Kaynak: Crystal Blockchain.

Binance

16 Temmuz'da, Binance borsasına kayıtlı olduğu düşünülen 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY cüzdanı içine 0,0011 BTC gönderildi. Bu da orijinal hacker adresinden üç adım uzaklıkta ve aralarında büyük bir değişiklik yok.

Binance trail

Binance işlem izi. Kaynak: Crystal Blockchain.

Son gözlemler

Bilgisayar korsanlarına ait işlemler dünyanın farklı yerlerine ait gözüktüğünden proxy aracılığıyla işlem yaptıkları düşünülebilir. Analizimiz doğruysa, önde gelen kripto para borsaları, bu kişilerin kimliklerini tespit edebilir.