Autopsia del Hackeo de Twitter: Coinbase, Binance y BitGo podrían conocer las identidades de los hackers

Los hackers que llevaron a cabo el secuestro masivo de Twitter el 15 de julio, no parecen ser usuarios muy sofisticados de Bitcoin (BTC), ya que dejaron rastros que conducían desde y hacia los principales exchanges que presuntamente poseen las llaves para dar con sus identidades.

Address bc1qxy summary

Resumen de la dirección bc1qxy. Fuente:Crystal Blockchain.

La dirección de Bitcoin que usaban los hackers para solicitar donaciones ilícitas es: bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh. Un par de horas después del suceso, los perpetradores comenzaron a mover Bitcoin a otras direcciones. El rastro de Bitcoin que están dejando atrás sugiere que no son precisamente muy sofisticados cuando se trata de la tecnología blockchain. Están reutilizando las mismas direcciones, no están cubriendo sus huellas hacia y desde los exchanges lo suficiente. Apenas han utilizado otros métodos que dificulten el rastreo.

De acuerdo con la evidencia en cadena que reunimos, varios importantes exchanges deberían ser capaces de dar con las identidades de los perpetradores.

Coinbase y BitMex

Nos centraremos en una dirección a un salto de la original: 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF. Esta dirección recibió 14.76 BTC, la mayor parte el 15 de julio; sin embargo, la dirección se activó por primera vez el 3 de mayo. Aproximadamente la mitad del BTC provino de la original (bc1qxy), el resto fue de diversas fuentes.

Coinbase & BitMex trail

Rastro en Coinbase y Bitmex. Fuente: Crystal Blockchain.

Algunos de los Bitcoin entrantes vinieron de los exchanges, Coinbase y BitMex. Dos direcciones fueron identificadas como pertenecientes a Coinbase por Crystal Blockchain, 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E y 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet, están a dos saltos de distancia de la segunda (1Ai52), la misma dirección que recibió transacciones directas de la dirección del hacker original.

Lo que parece ser un retiro en Coinbase de 10 BTC ocurrió en la mañana del 15 de julio. Un par de horas más tarde, 0.4 BTC provenientes del supuesto retiro de Coinbase terminaron en la dirección 1Ai52U. Como no es una ruta directa, existe la posibilidad de que las monedas cambien de manos en este intervalo. Sin embargo, esto parece algo muy poco probable, considerando que no hay entidades importantes de por medio.

Lo que parece ser un retiro en BitMex desde la dirección 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP está a tres saltos de la dirección 1Ai52. El 27 de abril, 14.18 BTC se trasladaron de esa dirección, para el 3 de mayo, terminaron en la dirección 1Ai52U.

BitGo, Luno y Binance

Los hackers también usaron la dirección: 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1, para mover los fondos de la dirección original. La primera también recibió una pequeña cantidad de BTC de la dirección: 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz, que, a su vez, recibió BTC de varias direcciones que parecen pertenecer a BitGo. La misma transacción: 89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961, envió pequeñas cantidades de BTC a diversos exchanges, incluyendo a Bittrex, Luno y Binance (BNB).

BitGo, Bittrex, Binance & Luno trail

El rastro en BitGo, Bittrex, Binance y Luno. Fuente: Crystal Blockchain.

Binance

El 16 de julio, 0.0011 BTC terminaron en la dirección: 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY, identificada como una de las direcciones de depósito de Binance. Está a tres saltos de la dirección original del hacker sin entidades importantes de por medio.

Binance trail

El rastro en Binance. Fuente: Crystal Blockchain.

Ultimas observaciones

Los hackers parecen estar usando un proxy, ya que las transacciones se originan en diferentes partes del mundo. Las direcciones de Bitcoin generadas por los hackers vienen en diferentes formatos, algunas son del formato, Bech32 más nuevo, otras en los formatos más antiguos, P2PKH y P2SH. Si nuestro análisis es correcto, varias de las entidades principales de criptomonedas deberían poder identificar a los hackers.

Sigue leyendo: