Криптовалютные расследования курс молодого бойца

Moscow OSINT meetup №6
Криптовалютные расследования:
курс молодого бойца
@angkasawan2007
Избавимся от посредников
@angkasawan2007
Понятия P2P и децентрализация

@angkasawan2007
Децентрализация в контексте криптовалют

@angkasawan2007
Ассиметричное шифрование
@angkasawan2007
Блокчейн и транзакции
@angkasawan2007
Инструменты - обозреватели
blockchain.com walletexplorer.com
@angkasawan2007
Инструменты - визуализация
blockpath.com
maltego
chainalysis
@angkasawan2007
Первое задание
Мы хотим купить криптовалюту у владельца адреса
3JuLSLzwR1VuHG6LS2RN3xyA2U8KrobaeK.
Сделка состоится в формате "лицом к лицу". После сделки
мы планируем положить криптовалюту на свой счет на
бирже Binance. Нам надо узнать источник происхождения
средств: легально ли они были получены? И если
нелегально, то каким именно образом?
@angkasawan2007
Используем обозреватель
Все средства получены с:

1MXHVCztcy8ki5btP7eisXw9WyMnWGfrgd
гУгЛиМ
@angkasawan2007
@angkasawan2007
Особенности и отличия блокчейна Ethereum

1. Поддержка смарт-
контрактов
1. Поддержка токенов
1. Блокчейн Ethereum-это
система состояний
1. Ethereum - это
децентрализованная
экономическая система, а не
просто блокчейн
криптовалюты
@angkasawan2007
Смарт-контракт
Пример работы системы смарт-контрактов

@angkasawan2007
Токен VS Криптовалюта
Токен:
Криптовалюта:
Является цифровым активом,
который работает на базе Является полноценной
блокчейна денежной единицей
Создается самими
Может генерироваться с
пользователями блокчейна
помощью майнинга
Функционируют благодаря
смарт-контрактам Не контролируется смарт-
Не имеет собственного контрактом
блокчейна
@angkasawan2007
Инструментарий Ethereum
etherscan.io
ethtective.com
@angkasawan2007
Перейдем к практике
Задача: Необходимо определить никнейм конечного получателя

транзакции с хешем
3D74E73D7C8A17547BFD5A44953787DCEA9F552159BED91E251D28724D5AD6D
8 на блокчейне Terra: ссылка на обозреватель
@angkasawan2007
Что нам известно:

Адрес отправителя: terra15c8rsgh8np9sflhuvupupjjtmfqexhkln5vz4f
Адрес получателя: terra13yxhrk08qvdf5zdc9ss5mwsg5sf7zva9xrgwgc
Объем средств: 251,650 USTC (stablecoin)
Значение Memo: 0x56e217B012A1df6DAeB1c7BD2E734d2A1E959C61
Время отправки: Nov 29, 2022, 8:22:52 AM (GMT+3)

@angkasawan2007
Собираем информацию о получателе
На Github видим, что искомый адрес является частью моста

Terra>>Ethereum Mainnet
@angkasawan2007
Ищем целевой адрес на блокчейне Ethereum

Проверив адрес из поля Memo в разделе ERC-20 токенов получаем
транзакции:
Третья транзакция сверху по времени и количеству USTC выглядит

очень похоже на ту, что была отправлена с блокчейна Terra
@angkasawan2007
Проанализируем транзакцию
Время отправки токенов: Nov-29-2022 08:23:23 AM +3 UTC
Это и есть та самая транзакция, которая нам нужна
На блокчейне Ethereum для удобства можно поставить ник, и в

данном случае это boatingaccident.eth
@angkasawan2007
Расследование от Benjamin Strick

Связь между сирийскими джихадистами и похищением ребенка в
Южной Африке
@angkasawan2007
Анализируем вводные данные:
Адрес джихадистов: 15K9Zj1AU2hjT3ebZMtWqDsMv3fFxTNwpf

@angkasawan2007
Проанализируем 5oC
Проверяем адрес 3422VtS7UtCvXYxoXMVp6eZupR252z85oC на сайте

bitcoinwhoswho.com
@angkasawan2007
Связь между 5oC и кошельком вымогателей

@angkasawan2007
Вернемся к 5oC
С сайта bitcoinwhoswho.com
James Moore Facebook

@angkasawan2007
Присмотримся поближе к аккаунту

@angkasawan2007
Посмотрим на источник средств транзакции

Первый вход: 15iC9n1VXdFBfGiun56bW1h4mwvHsK9wox
Второй вход: 1CeH3LHRPtyMM9CjwRcJ5Q5QhZC89YwCPn
Хэш транзакции:
3cec898818f664b78f05e2d073b5ceb96e2c790cb6905d354b420b5704caf9ad
@angkasawan2007
Ищем источник средств James Moore
Стрелочка выше: James Moore
Стрелочка ниже: новый адрес

392LK4ZQD3gixWg5xJRTv1a24N3YD
gCbwP
@angkasawan2007
Проанализируем CbwP
Адрес задействован в >12,000 транзакций на сумму ~450,000 BTC

@angkasawan2007
Источник средств CwbP

@angkasawan2007
ЗАБУДЬТЕ
ссылка на расследование: benjaminstrick.com/tracing-a-jihadi-cell-

kidnappers-and-a-scammer-using-the-blockchain-an-open-source-
investigation/
@angkasawan2007
Посмотрим внимательнее на 5oC

@angkasawan2007
Проверим кошелёк
Адреса из расследования:
3422VtS7UtCvXYxoXMVp6eZupR252z85oC
3JXRVxhrk2o9f4w3cQchBLwUeegJBj6BEp
392LK4ZQD3gixWg5xJRTv1a24N3YDgCbwP
Обратим внимание на первый адрес
bc1qwfgdjyy95aay2686fn74h6a4nu9eev6np7q4fn204dkj3274frlqrskvx0
@angkasawan2007
Продолжаем изучать
@angkasawan2007
Страшная правда
Адрес 3422VtS7UtCvXYxoXMVp6eZupR252z85oC
Как и весь кошелек [1e8c4515b5] принадлежит обменнику Luno.com
Сирийские джихадисты, похитители детей из ЮАР и скамер James

Moore никак между собой не связаны, кроме того, что все они
пользовались услугами этого обменника
@angkasawan2007
THE END
ОГРОМНОЕ СПАСИБО:
Soxoj, gospodin sobaka, vali и
моей сестре
ВОПРОСЫ?
@angkasawan2007
Некоторые полезные ссылки для

заинтересовавшихся
Tool листы: Интересные статьи:
Руководство Officer C.I.A

Github aaarghhh
Мануал от Moon
Github Officer C.I.A.
Расследование ZachXBT
Start.me Igor Bederov
Визуализация от OSINT Club

Криптовалютные расследования курс молодого бойца

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Криптовалютные расследования курс молодого бойца

Загружено:

Авторское право:

Доступные форматы

Moscow OSINT meetup №6

Понятия P2P и децентрализация

Децентрализация в контексте криптовалют

Все средства получены с:

Особенности и отличия блокчейна Ethereum

Пример работы системы смарт-контрактов

Задача: Необходимо определить никнейм конечного получателя

Что нам известно:

Адрес получателя: terra13yxhrk08qvdf5zdc9ss5mwsg5sf7zva9xrgwgc

Объем средств: 251,650 USTC (stablecoin)

Значение Memo: 0x56e217B012A1df6DAeB1c7BD2E734d2A1E959C61

Время отправки: Nov 29, 2022, 8:22:52 AM (GMT+3)

Собираем информацию о получателе

На Github видим, что искомый адрес является частью моста

Ищем целевой адрес на блокчейне Ethereum

Третья транзакция сверху по времени и количеству USTC выглядит

Время отправки токенов: Nov-29-2022 08:23:23 AM +3 UTC

Это и есть та самая транзакция, которая нам нужна

На блокчейне Ethereum для удобства можно поставить ник, и в

Расследование от Benjamin Strick

Анализируем вводные данные:

Адрес джихадистов: 15K9Zj1AU2hjT3ebZMtWqDsMv3fFxTNwpf

Проверяем адрес 3422VtS7UtCvXYxoXMVp6eZupR252z85oC на сайте

Связь между 5oC и кошельком вымогателей

James Moore Facebook

Присмотримся поближе к аккаунту

Посмотрим на источник средств транзакции

Второй вход: 1CeH3LHRPtyMM9CjwRcJ5Q5QhZC89YwCPn

Ищем источник средств James Moore

Стрелочка выше: James Moore

Стрелочка ниже: новый адрес

Адрес задействован в >12,000 транзакций на сумму ~450,000 BTC

Источник средств CwbP

ссылка на расследование: benjaminstrick.com/tracing-a-jihadi-cell-

Посмотрим внимательнее на 5oC

Как и весь кошелек [1e8c4515b5] принадлежит обменнику Luno.com

Сирийские джихадисты, похитители детей из ЮАР и скамер James

Некоторые полезные ссылки для

Tool листы: Интересные статьи:

Руководство Officer C.I.A

Вам также может понравиться