15 Temmuz’da büyük ses getiren Twitter hack’inin gerçekleştiren kötü niyetli kişilerin, çok karmaşık Bitcoin (BTC) kullanıcıları olmadıkları ifade ediliyor. Çünkü bilgisayar korsanları, muhtemelen kimlik bilgilerini herhangi bir adres kaybı olayına karşı saklayan borsalarda izler bıraktı.
Ayak İzleri
Bilgisayar korsanlarının yasadışı olarak kullandıkları Bitcoin adresinin “bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh” olduğunu biliyoruz. Saldırıdan birkaç saat sonra failler Bitcoin’i diğer adreslere taşımaya başladı. Geride bıraktıkları Bitcoin izi, Blockchain teknolojisi söz konusu olduğunda çok sofistike ya da tahmin edilemez olmadıklarını gösteriyor. Failler aynı adresleri tekrar tekrar kullanıyorlar ve kullandıkları borsa yollarının kapatamıyorlar. Ayrıca herhangi bir mixer servisinin de neredeyse hiç kullanılmadığı ifade ediliyor. Hatta elde edilen verilere göre bazı borsalar kimlikleri biliyor bile olabilir.
Coinbase ve BitMex
Orijinalinden bir adım uzakta olan bir adrese (1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF) odaklanıldığıda bu adresteki BTC’lerin çoğunun 15 temmuz’da geldiğini görüyoruz ve adreste 14.76 BTC bulunuyor. Bununla birlikte ilk olarak 3 Mayıs’ta etkinleştirilen hesaptaki BTC’lerin büyük bir kısmının bc1qxy’den geldiği de görülüyor.
Öte yandan cüzdana gelen bazı Bitcoin’lerin, Coinbase ve BitMex borsalarından gönderildiği görülüyor Crystal Blockchain tarafından Coinbase’e ait olduğu belirlenen iki adresin (37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E ve 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet) doğrudan hacker’lara ait olduğu bilinen 1Ai52 ile bağlantılı olduğu da ifade ediliyor.
Bunların yanında Coinbase ve BitMex kaynaklı olarak gerçekleşen farklı birkaç işlemin olduğu da belirtiliyor.
BitGo, Luno, Binance
Bilgisayar korsanları, fonları orijinal adresten taşımak için 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1 adresini de kullandı. Ayrıca BitGo’ya ait olduğu tespit edilen cüzdan adreslerine de rastlandı. BitGo’nun yanı sıra Bittrex, Luno ve Binance dahil olmak üzere diğer bazı borsalara da küçük miktarlarda BTC gönderildi.
Tüm bunların yanında 15 Temmuz’da gerçekleşen hack girişiminin bilgisayar korsanları, işlemler dünyanın farklı yerlerinden kaynaklandığı için bir proxy kullanıyor gibi görünüyor. Bilgisayar korsanları tarafından üretilen Bitcoin adreslerinin de farklı biçimlerde üretildiği görülüyor. Cointelegraph tarafından yapılan açıklamalara göre bazı adresler Bech32 biçimindeyken bazıları P2PKH ve P2SH biçimlerinde. Eğer analiz doğruysa bazı kripto para borsalarının saldırganların kimlikleri hakkında bilgisi olabilir.
