Wpis z mikrobloga

ANALIZA DZIWNYCH TRANSAKCJI NA BITCOINIE

Ostatnio mempool BTC był cały czas pusty, bez przerwy wpadały niepełne bloki, wszystkie tx były wykopywane w pierwszym. Przechodziły z najniższym fee. Dzisiaj od kilku godzin nagle się mocno zapchał. Tak duże skoki w chwilę nie są naturalne. Jeżeli średnio na 10 minut wpada nam tx o sumarycznej wielkości np. 800kB a nagle pojawia się przyrost tx o wielkości kilku MB, czyli wzrost o kilkaset %, to musi być tego jakiś powód. Kiedyś to bcashe nas spamowały, ale dziś już nikt nie ma z tego korzyści. Patrzę więc na mempool i doskonale widać nagłe przyrosty i wszystkie z najniższym fee 1sat/vbajt:

https://i.imgur.com/3hqK9EC.png

Na podziale tx według fee na bloki widać te kobyły i to wyjątkowo ogromne. Średnio na blok 1MB + podpisy segwit mieści nam się ~2800tx (+-300). Jednak popatrzcie na dwa przedostatnie bloki. W każdym po 10 tx i cała pojemność zajęta :D

https://i.imgur.com/GFUVO9g.png

W BTC jest ograniczenie maxymalnej wielkości pojedynczej tx do 100kB, gdzie możemy zagregować masy wejść i wyjść. No raczej spory limit... Widać więc że ktoś #!$%@?ł pełno maxymalnej wielkości tx i wszystkie z najniższą opłatą.

Spoko. Nieraz giełdy robią konsolidację zbiorczą. Tx wyjaśniając... Giełda ma wielu użytkowników i masy wpłat od nich. Każdy wiadomo że wpłaca na osobny adres przypisany tylko dla niego. Mają więc masę drobnych BTC porozrzucanych na setkach adresów. Również z wpłatami, podobne ilości wypłat dokonują ich użytkownicy. Ze względów bezpieczeństwa, giełdy trzymają większość BTC na cold walletach, których klucze nie są trzymane na żadnych serwerach online. Do tego mają hot wallet, do obrotu BTC na bieżąco. Standardowo jednak po prostu zbierają co chwilę wszystkie nowo wpłacone BTC, konsolidują je na hot wallecie i z niego dokonują wypłat. I tak się kręci automat cały czas. Np. Binance i Coinbasema kilka hot walletów, które zazwyczaj w ciągu kilku minut otrzymują setki wpłat, agregują je i robią też setki wypłat.

Tutaj przykładowo zidentyfikowane adresy Binance. Hot walletów ma 15 ( ͡° ͜ʖ ͡°) oznaczone od A do O.
I wszystkie mielą cały czas. Po prawej stronie widać wysokość bloku ostatniej aktywności, wszystkie 710885.

https://i.imgur.com/Jo2Zamy.png

Przykładowe statystyki hot walleta A Binance. Żeby wam uświadomić skalę :D
Przemielonych 15mln BTC, obecnie na adresie ok 20k BTC itd.

https://i.imgur.com/piRZiAJ.png

Tyle że nawet te transakcje batchowe Binance, są stosunkowo małe. Np. jednocześnie 80 wypłat a wielkość 3kB. No, to teraz widzicie jak daleko im do tx o wielkości 100kB, przy czym takich ktoś wrzucił naraz ponad 30 ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)

Sprawdziłem te oczekujące kobyły. Tutaj przykładowa. Ładne bydle...

https://i.imgur.com/IhVeP0w.png

Konsolidacja 950 inputów!!! (każdy z osobnego adresu) do jednego outputu. Niby wygląda klasycznie, jak konsolidacja giełdowych wpłat. Adresy wpłat to nie P2SH, ale zagnieżdżony SegWit.
Wypłata już na adres bech32. Jak najbardziej wszystko pasuje. Standard P2SH dla wpłat użytkowników, bo nawet dziś zdarzają się ewenementy które jeszcze nie obsługują segwita - Przykładowo nasz bimbaj. (Naprawdę chyba chcą pobić jakiś rekord nieobsługiwania 4,5 letniej technologii, albo Siwy to najbardziej uparty bigblokers w historii, bo nawet Roger Ver już się pogodził z SegWitem). Za to hot wallet na który leci wpłata może być bech32, bo to adres przejściowy, konsolidacyjny tylko giełdy.

No dobrze, ale co w tym jest najdziwniejsze? 950 wpłat, przy czym sumaryczna ich wartość to śmieszne 2.199 BTC :D
Wszystkie te pojedyncze wpłaty, to drobne od kilkudziesięciu tys. do kilkuset tys. satoshi. To nie jest normalne że wśród 950 klientów giełdy, wszyscy wpłacają wartości z podobnego przedziału, przy czym nie trafia się nikt z wpłatą przynajmniej 1 BTC? Nie mówiąc już o wpłatach po kilkadziesiąt BTC. Statystycznie to niemożliwe. Istnieje możliwość że giełda konsolidowała na bieżąco większe wpłaty, a te mniejsze sumarycznie przy czystym mempoolu jednocześnie robiła po 1sat/vbajt...

OK. Na dziś już kończę, bo za dużo tego. Poza tym podczas pisania właśnie oczyścił się mempool i potwierdził te molochy. Jutro lub pojutrze dokończę analizę. Mogę powiedzieć że sklasyfikowałem te adresy w jednym dużym klastrze, jednak nie jest on powszechnie zidentyfikowany dla jakiegoś konkretnego podmiotu. Bardzo dziwnie wyglądają transakcje tego klastra. Nie mają sensu dla żadnego rodzaju działalności. Mam jednak pewną teorię, że to jednak pewna giełda robi i dlaczego w tak dziwny sposób... Jest tu wiele dziwnych elementów o których nie wspomniałem. Bardzo dziwne zachowanie. Później wszystko rozwinę, ale możliwe że próba identyfikacji kto to i po co to robi, zajmie mi dużo więcej czasu, bo wiele elementów jest do sprawdzenia. Chyba że to kolejna i nieudolna próba dziwnego mixowania samodzielnie, po jakimś scamie. Plusdtoken i inni mieli jeszcze głupsze próby nieudolnego mixowania...

#bitcoin #kryptowaluty