Les pirates de Twitter ont laissé des traces Bitcoin discrètes menant à et depuis de grands échanges qui devraient être en mesure de découvrir leur identité.

Les pirates informatiques qui ont mené le détournement massif de Twitter le 15 juillet ne semblent pas être des utilisateurs sophistiqués de Bitcoin Future, car ils ont laissé des pistes menant à et depuis des échanges majeurs qui détiennent vraisemblablement les clés de leur identité.

L’adresse Bitcoin utilisée par les pirates pour solliciter des dons illicites est bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

Quelques heures après le piratage, les auteurs ont commencé à déplacer Bitcoin vers d’autres adresses. La piste Bitcoin qu’ils laissent derrière eux suggère qu’ils ne sont pas terriblement sophistiqués en matière de technologie de blockchain. Ils réutilisent les mêmes adresses, ils ne couvrent pas suffisamment leurs traces depuis et vers les échanges. Ils ont à peine utilisé les services de mixage.

Selon les preuves en chaîne que nous avons recueillies, plusieurs échanges majeurs devraient avoir leur identité.

Nous nous concentrerons sur une adresse à un saut de l’original – 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF. Cette adresse a reçu 14,76 BTC, la plupart le 15 juillet; cependant, l’adresse a été activée pour la première fois le 3 mai. Environ la moitié du BTC provenait de bc1qxy, le reste provenant de diverses autres sources.

Une partie du Bitcoin entrant provient des échanges Coinbase et BitMex . Deux adresses identifiées comme appartenant à Coinbase par Crystal Blockchain, 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E et 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet, sont à deux sauts de 1Ai52, la même adresse qui a reçu des transactions directes du pirate d’origine.

Ce qui semble être un retrait de 10 BTC Coinbase s’est produit dans la matinée du 15 juillet

Quelques heures plus tard, 0,4 BTC provenant du retrait présumé de Coinbase s’est retrouvé dans 1Ai52U. Comme il ne s’agit pas d’un itinéraire direct, il est possible que les pièces changent de main dans l’intervalle. Cependant, cela semble peu probable, étant donné qu’il n’y a pas d’entités majeures entre les deux.

Ce qui semble être un retrait BitMex de 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidKP est à trois sauts de 1Ai52. Le 27 avril, 14.18 BTC a été déplacé de cette adresse, le 3 mai, il s’est retrouvé dans 1Ai52U.

Le 16 juillet, 0,0011 BTC s’est retrouvé dans 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY identifié comme l’une des adresses de dépôt de Binance. Il est à trois sauts de l’adresse d’origine du pirate sans aucune entité majeure entre les deux.

Les pirates semblent utiliser un proxy car les transactions proviennent de différentes parties du monde. Les adresses Bitcoin générées par les pirates se présentent sous différents formats, certaines sont du dernier format Bech32, d’autres des anciens formats P2PKH et P2SH. Si notre analyse est correcte, plusieurs entités cryptographiques majeures devraient être en mesure d’identifier les pirates.