Các hacker thực hiện vụ tấn công diện rộng trên Twitter vào ngày 15/07 có vẻ không phải là những tay sử dụng Bitcoin lành nghề, khi nhiều dấu vết được chúng để lại trên các sàn giao dịch có thể sẽ giúp việc truy lùng danh tính trở nên dễ dàng hơn.
Địa chỉ Bitcoin mà các hacker sử dụng giả mạo hoạt động quyên góp là “bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh”. Vài giờ trước vụ hack, các đối tượng này bắt đầu dịch chuyển Bitcoin đến nhiều địa chỉ. Đáng chú ý, tổ chức này sử dụng lại cùng một địa chỉ và không có sự cẩn thận trong việc tính toán lộ trình chi tiết trên các sàn giao dịch. Ngoài ra, tổ chức này cũng không sử dụng công cụ trộn tiền để xoá bỏ tung tích.
Theo các dữ liệu trên chuỗi Cointelegaph thu thập, một vài sàn giao dịch có thể sẽ biết chính xác danh tính của các cá nhân này.
Coinbase và BitMEX
Chúng ta sẽ tập trung vào địa chỉ ở giai đoạn sau của địa chỉ gốc được đề cập ở trên là “1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF”. Địa chỉ này nhận được 14,76 BTC, hầu hết lượng tiền này là vào ngày 15/07, tuy nhiên địa chỉ này lần đầu được kích hoạt vào ngày 03/05. Trung bình một nửa lượng BTC này đến từ bc1qxy và phần còn lại là đến từ nhiều nguồn khác.
Một trong số lượng Bitcoin đầu vào là đến từ Coinbase và BitMEX. Hai địa chỉ được cho là của Coinbase và Cryptal Blockchain là “37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E” và “32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet”, đây là các địa chỉ cách 2 bước (giai đoạn) so với 1Ai52 – địa chỉ từng được nhận giao dịch trực tiếp từ các hacker.
Có vẻ như 10 BTC đã được rút ra trên Coinbase vào sáng ngày 15/07. Vài giờ sau đó, 0,4 BTC rút tiền từ Coinbase được chuyển vào ví 1Ai52U. Vì đây không phải lộ trình chính, nên nhiều khả năng lượng coin này đã được qua tay nhiều lần.
Ví được cho là rút tiền từ BitMEX – “3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP” – nằm cách 3 giai đoạn so với 1Ai52. VÀo ngày 27/04, 14,18 BTC đã được dịch chuyển từ địa chỉ ví này, trước ngày 03/05, và đích đến là 1Ai52U.
BitGo, Luno và Binance
Các hacker cũng sử dụng địa chỉ “ 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1” để dịch chuyển lượng tiền của mình. Địa chỉ này nhận một lượng BTC nhỏ từ “14kWuX37tgLdYZDSudHuch35NtuGgJqqnz” – địa chỉ trước đó từng nhận BTC từ nhiều nguồn khác như BitGO. Một giao dịch tương tự khi “89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961” gửi một lượng BTC nhỏ đến nhiều sàn lớn bao gồm Bittrex, Luno và Binance.
Binance
Vào ngày 16/07, 0,0011 BTC đã được chuyển đến 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY – một địa chỉ deposit trên Binance. Đây là địa chỉ nằm cách 3 bước nhảy từ địa chỉ gốc của hacker nhưng không có một đối tượng nào nằm giữa.
Kết luận chung
Các hacker có vẻ như sử dụng một địa chỉ đại diện khi mà giao dịch được trải dài trên nhiều vùng khắp thế giới. Địa chỉ Bitcoin được hacker sử dụng có nhiều format khác nhau, một vài là Bech32, trong khi một số khác là P2PKH cùng P2SH. Nếu như phân tích từ phía Cointelegraph là chính xác, nhiều khả năng danh tính của các hacker có thể bị nhiều sàn giao dịch truy lùng thành công.
Theo Cointelegraph
Có thể bạn quan tâm: