Крипту в массы!
@osint_mindset Статья - X, редактор - Akvagon | February 10, 2023
Приветствуем, наши дорогие OSINT-еры! Давненько не читали по-настоящему сложные работы? Сегодня же мы сполна реализуем эту потребность - погрузимся в мир криптовалют. О да, многие сейчас вздрогнули от этого слова, ведь при высокой популярности этого явления, редкий человек разбирается в этой теме настолько, чтобы только рассуждать на эту тему, и стоит ли тогда заикаться в сторону криптовалютных расследований? Стоит! Наши любящие админы OSINT: форум расследований считают, что мы справимся с любым таском, и сейчас мы вам это докажем.
Задание
Найти никнейм владельца адреса 0xBc277188Ab8C9983B8098d6CBD7b0205a819BfB8
Скрывать не будем, первое с чем столкнулись форумчане, это с пятью стадиями принятия неизбежного.
Отрицание
Гнев
Торг
Депрессия
Принятие
Мы действительно не знали с чего начать - для многих это первый опыт в мире криптовалют, однако новый, безумно захватывающий опыт, поэтому погнали!
Первым, на что мы обратили внимание, логично стал сайт из таска https://polygonscan.com. В нем мы отметили сам адрес и какие-то еще непонятные для нас функции, они пригодятся нам в будущем.
Поиск в стандартных поисковиках ничего путного не дал, это очевидно, ведь таск подразумевает именно анализ адресов и различного рода операций.
Хотя, будет справедливым отметить, Google нам все же помог - вместе с ним и обсуждениями на форуме мы пришли к выводу, что это вызываемые функции конкретного смарт-контракта. То есть в транзакции можно увидеть получателя, конкретную функция и что она делает, но это понимание вряд ли даст нам какие-либо зацепки, но запомним на будущее.
Пока фиаско, однако не вешаем нос - одному из форумчан кое-что бросилось в глаза:
Со счета 0x9A284d23C0Bb66e4E6901b2e93F8B72E5C665ad0 перекидывали 90 eth, а через 2 месяца назад бросали 15 eth, возможно это счета одного человека
Так же мы заметили, что ранее были поступления на этот же счет.
Потратив не один час на анализа счетов, мы пришли к выводу, что это аирдропы, и ничего полезного отсюда не достать, так как это не продвинет нас в расследовании. Опять мимо...
Что такое аирдроп?
Аирдроп криптовалют (от англ. «airdrop» — сброс грузов с самолета в воздухе) — это распространенная в криптоиндустрии тактика, которая направлена на привлечение внимания к проекту за счет бесплатной раздачи его токенов или монет.
Для участия в аирдропе и получения награды нужно выполнить одно или несколько условий. Например, подписаться на страницы проекта в соцсетях, быть держателем определенного криптоактива или пользователем конкретного приложения.
Но мы не сдаемся, и находим следующую зацепку - кошелек, который закидывал и выводил деньги с исходного (0x9A284d23C0Bb66e4E6901b2e93F8B72E5C665ad0), то же самое делал и с 0xFB5326968bD5f1aB0b6C317637097020fE89b0bE.
Прошло не так много времени, а мы уже умеем анализировать, и главное - находить какую-никакую информацию. Однако, это не предел, и нам стоит искать дальше. Тут как раз всплывает интересный пост про наш адрес в twitter.
Начались бурные обсуждения - адрес наконец всплыл в сети, становится очень интересно! Однако простой ресерч дал нам понять, что это обыкновенный бот.
Вернемся к началу. Опять начинаем анализировать счет 0x9A284d23C0Bb66e4E6901b2e93F8B72E5C665ad0, и немного прочитав про криптовалюту, мы решили посмотреть ENS.
ENS — это токен Ethereum, который управляет протоколом Ethereum Name Service для создания удобочитаемых криптовалютных адресов и децентрализованных доменных имен.
Для наглядности и понятности, на нашем polygonscan есть вкладка ERC-20 token, это и есть токен ENS.
Однако на форуме появляется информация о том, что ENS - это ник. Но естественно не тот, который нам нужен, ведь не всё так просто. Но давайте сразу разграничим, в ERC-20 token ники не отображаются, но они могут быть отображены в в erc1155 или erc721.
Мы читали и учились по ходу решения таска. Мы не можем всё знать, но мы знаем как найти и получить из этого интересующую нас информацию.
Решение затянулось, на форуме уже начали появляться комментарии по типу этого:
"крутой таск, решается долго, сложно и много"
И это даже подстегивает! Кто-то из форумчан наткнулся на адрес снова, он указывался при покупке дискорда.
Что нам это дает? Совсем не лишнюю информацию по разыскиваемой персоне, конечно. Мы начали делиться своими наработками, вплоть до того, что рисовали схему ручкой на листе бумаги, что бы уловить хоть какую-то информацию и получить зацепку.
И тут на форуме возникает вопрос, какие в ETH и EVM-compatible блокчейнах есть типы адресов? Опять идем изучать мат. часть и вкратце получаем ответ. Eoa отличается закрытым ключом, которым подписываются транзакции, контракт не может сам ничего инициировать помимо предусмотренного в нём.
Соответственно, если мы ищем аффилированность адресов, то нам надо смотреть на еоа. И первой с решением справилась valí!
Решение
► Берём исходный адрес на Полигоне и идём изучать все транзакции с начала, чтобы определить источник средств. Счета не берутся из ниоткуда, их кто-то создаёт и кто-то пополняет, чтобы с их помощью можно было производить какие-то операции.
Самая первая транзакция – через прокси, владелец закинул на адрес Dai Stablecoin (здесь и далее – ТАК Я ЭТО ПОНИМАЮ).
Обращаем внимание на токены, по которым проводились первые транзакции. Их лучше запомнить, впоследствии на этом адресе они просто повсюду – владелец "любит" QiDao, Dai Stablecoin, MiMatic...
Например, MiMatic = MAI, и если гуглить некоторые адреса из списка транзакций исходного (назовём его Цель), можно встретить эти адреса на странице с официальными счетами маишеров.
► Самая первая транзакция ever – 268 дней назад (на момент поиска). Первая транзакция на Etherscan – 261 день назад. Условно говоря, просмотрев все транзакции на Полигоне, обращая особенное внимание на эту неделю, после переключаемся на Etherscan.
►Но до этого вытаскиваем из Полигона ещё немного интересного: например, у Цели есть как минимум четыре аффилированных адреса, взаимосвязанных между собой первичными транзакциями и цепочками перебрасывания средств туда-обратно, а ещё у Цели есть транзакции с токенами ERC-721 и ERC-1155.
Подробнее почитать про токены Ethereum и их значение можно тут.
Через токены 721 и 1155 находим, например, NFT-коллекции Цели.
►Вот OpenSea:
►Вот Rarible:
Анализ покупок по этим токенам, увы, ничего не даёт.
Почти ничего: опять обращаем внимание на вкладывание денег в MAI,
а ещё на TETU, veTETU, xxDai TETU, и вот эту транзакцию на Полигоне:
Вот тут можно подробнее почитать про dxTETU, но если в двух словах – Цель не просто "любит" TETU, судя по всему, а ещё и доверяет ей средства на 90+ дней.
► Переходим всё же на Etherscan. Анализ цепочек с контрактами, а также аффилированных адресов, упомянутых выше (0x02d.., 0x9a2.., 0xfb5.., ox3cec.. etc.) лично меня привёл в тупик. Концы уходят в воду, какие-то замыкаются между собой или упираются в прокси/нульадресы.
► Игнорируем контракты и пересматриваем все транзакции, обращая на этот раз только на транзакции с EOA адресами (потому что их надо специально подтверждать и они точно не случаются автоматически, как в контрактах). То есть кто-то живой пришёл и решил, хочу сделать операцию.
► На третьей странице вкладки Transactions на Etherscan видим транзакцию на адрес с привязкой к ENS _tetu-community_.
► Открываем этот адрес и видим совсем немного операций. Наша Цель оказывается "родительским" адресом – если присмотреться, можно увидеть, что Цель закинула немного денег и почти все они ушли на покупку ERC-1155 c ENS.
► Обращаем внимание на самую последнюю транзакцию. Всё остальное – это контракты, а оставшуюся от перевода Цели и комиссий сумму перевели на адрес с ENS zarigis.eth. Поехали смотреть.
Картина та же: адрес пополнили, чтобы купить с него ENS. Дальше по нему идут только контракты.
► Через токен ERC-1175 идём смотреть на страницу с этим ENS.
► Ни в описании, ни в истории покупок нет ничего интересного (кроме уже известного). Идём в гугл.
► Пробежимся по выдаче. И вуаля, результат.
► Ну и чтобы совсем подтвердить: у Tetu есть свой дискорд-сервер.
► Ответ: никнейм владельца адреса – Zarigis.
Ох. Было действительно непросто. Сегодня мы приоткрыли завесу тайны со страшных криптовалют и провели настоящее расследование, с почином, друзья!
Если вас заинтересовала эта тема - скорее бегите на форум, там вас уже ждет новый таск по крипте. А на сегодня мы с вами прощаемся, никогда не сдавайтесь идо новых встреч в интересных решениях!
@osint_mindset Канал, где вы можете узнать основные события в сообществе @forum_rassledovaniy Форум, где вы можете поучиться решать таски
Last updated
