Wpis z mikrobloga

@splitt ANALIZA WŁAMU GIEŁDA KUCOIN...

Wszystkie wypłaty BTC zrobił w jednym bloku. Nie patrzcie na idealną godzinę co do sekundy bo to nie jest idealny czas pojawienia się tx, tylko wykopania bloku.

Widać że człowiek robił to szybko. Dobrze założył że muszą mieć jakiś limit powyżej którego robią ręczną tx a nie emitują z automatu. Ustalił 100 BTC. Po pierwszej wypłacie widać że się spieszył i #!$%@?ł żeby zdążyć jak najwięcej gdyby mieli mu przeszkodzić w trakcie, więc #!$%@?ł na ten sam adres.

Co ciekawsze, to wszystkie wypłaty pochodziły ze zbiorczego adresu hot walleta na którym ciągle robiono wpłaty z adresów depozytowych P2SH użytkowników i kondensowano wpłaty, jednocześnie robiąc wypłaty. Standardowy automat. Binance ma takich kilka i #!$%@? pełno wpłat i wypłat w każdym bloku bez przerwy.

Ten adres tak bez przerwy był hotwalletem kucoina już od ok 2 lat i #!$%@?ł, więc dawno został łatwo sklastrowany (wystarczyło coś wpłacić na kucoin a to lądowało na nim).
Przez te dwa lata 39 172 tx wpłat i 22 657 tx wypłat. Łącznie przez niego przemieliło się 427 873 BTC.

Co tu jest ciekawego??? To że ten adres to zwykły P2PKH. Jedno sygnaturowy.
Kolejna ciekawostka to że wypłacił łącznie 1008 BTC i ostatnia wypłata była mniejsza, na 15 BTC.

NIE WYPŁACIŁ WIĘCEJ TYLKO DLATEGO ŻE WYCZYŚCIŁ CAŁY ADRES HOT WALLETA A NOWE WPŁATY Z DEPOZYTOWYCH NIE ZDĄŻYŁY JESZCZE ZOSTAĆ WYSŁANE :DDDDDDD
(niepotwierdzone inputy też można wydać).

Czyli, nie #!$%@?ł więcej tylko dlatego że system nie nadążał a nie dlatego ze nie było więcej BTC, przeszkodzili mu, lub jakieś zabezpieczenia były.... System dalej #!$%@?ł i nadal kondensował wpłaty na tym adresie po opróżnieniu :D

Ostatnia wypłata była na wysokości bloku 649 969 (i wtedy go opróżnił do zera)
a już w kolejnym bloku 649 970 wpadły trzy kolejne tx wpłat z kilkudziesięciu adresów depozytowych użytkowników...

Na ok 4,5 BTC; 5,8 BTC i 5,6 BTC :DDD

https://blockchair.com/bitcoin/transaction/cc42d4c428071a0a62eca29a289dc7a71a10303ccbb2e04677224418e5e50ab6

https://blockchair.com/bitcoin/transaction/5b8cf75dab4ee6157d810ad2d1573c26d15ef116610c341d9384ae79b92ca479

https://blockchair.com/bitcoin/transaction/128d8f6efbc0e6edf75734432878c7085d2e645cf084384b4d0c37df30e8b433

Później system zdążył jeszcze jedną wpłatę na ten adres zrobić i zorientowali się co się dzieje, po czym wyłączyli system...

Jak widać typek wypłacał po 100 BTC, czyli mimo że było to adres P2PKH jedno sygnaturowy, to złodziej zlecał wypłaty poprzez platformę giełdową, zwyczajnie zyskując do niej dostęp. Nie uzyskał do adresu kluczy, jednak widzimy że 14h po włamie giełda wypłaciła z tego hot walleta przejściowego wszystkie środki które zdążyły się tam nazbierać w tych 4 wpłatach, czyli ~20,8 BTC wypłacając je w tej tx:

https://blockchair.com/bitcoin/transaction/25936866cda2445dddfda4aca5e9693ce6e81720af60eefcb122b147bb8d9da9

Jacy ostrożni nagle sie zrobili :DDD
Szkoda że nie na multigowy, co za dzbanidła...

Bardzo żenująca ta giełda działała... Pewnie zorientowali się nie sami pracownicy, tylko system im wywalił że brak depozytów na wypłaty użytkowników, bo zlecają a mu brakuje i żeby zasilić go z cold walleta :DDDD

No i na pierwszym screenie widać jeszcze dwie tx na ten sam adres w zielonej ramce.
To dwie wypłaty tethera (omni) na ten sam adres BTC. Łącznie na 999 160 USDT.

Oraz ostatnia (to juz nie wpłata onchain, tylko marker na samym omni) - blokada tych USDT.
Że mam #!$%@? na inne shity, (poza tym na czym śledzić? Na ETH na którym ciężko cokolwiek ukryć i jest wręcz anty anonimowe?) będę nadzorował ten adres i co z nim chłopaczek zrobi... 1k BTC to łatwa ilość do wyprania...

Bez problemu mu to zrobię za 5% wartości i wypłacę w jakiej chce formie w przeróżnych coinach, jakie sobie wymyśli, podzielona jak chce... Gwarantuję 100% brak powiązania.

#bitcoin
#kryptowaluty