In i labyrinten av kryptopenningtvätt
För kryptovalutor kombineras ofta attraktionen av anonymitet med den skumma undre världen av olaglig verksamhet, bl.a. penningtvätt. Att förstå komplexiteten i blockchain-transaktioner är avgörande för brottsbekämpande myndigheter och finansiella institutioner som försöker bekämpa ekonomiska brott. Cybertrace analyserar om en Bitcoin-adress är intrasslad i penningtvättssystem, med fokus på den ökända taktiken som kallas skimming. Genom verkliga undersökningar och praktiska exempel kommer vi att belysa de tekniker som används för att spåra och spåra misstänkta transaktioner, vilket belyser blockkedjeanalysens avgörande roll i kampen mot ekonomiskt bedrägeri.
Låt oss nu hoppa direkt in.
Den utredning
Vår undersökning började med en due diligence-begäran för en Bitcoin (BTC) transaktion kopplad till ett annat företag. Transaktionen visade att cirka 14,000 XNUMX USD skickades från en adress till en annan. Genom att använda en blockchain-skanner avslöjades att sändningsadressen ägdes av den välkända kryptobörsen Binance. Själva adressen användes för börskunder för att göra pengaruttag från sina konton (enligt flera kommentarer som publicerats av anonyma användare på blockchain-scanners webbplats). Mottagarens adress verkade bara vara en slumpmässig adress utan känd tillhörighet. Så vi har en Binance-uttagsadress som skickar pengar till en slumpmässig adress som jag kommer att namnge.
Crypto Laundromats: hur man spårar penningtvätt i Bitcoin
Så den första transaktionen var troligen ett uttag av pengar, inget intressant här. Exchange-uttagsadressen hade tusentals tidigare transaktioner och verkade av allt att döma ofarlig. Uttagsadressen (hädanefter kallad adress 1) hade mycket liten aktivitet men några dagar senare gjorde den en överföring av pengar till en andra adress (adress 2), som sedan överförde pengar till en tredje, och den fjärde, femte och sedan sexa.
Att söka på alla adresser i WalletScan avslöjar att adress 5 var associerad med ransomware.
Efter att ha upptäckt den preliminära länken till Ransomware-adressen tittade vi närmare på adressernas transaktionshistorik.
Connecting Dots: hur man spårar kryptopenningtvätt
Transaktionshistoria
Ytterligare undersökningar av transaktionshistoriken för alla adresser visade att adress 6 hade tusentals tidigare transaktioner, och alla transaktioner var inmatade i adressen, detta är en stark indikator på att det är en utbytesadress.
Ytterligare forskning i de personliga kommentarerna som publicerades på olika webbplatser visade att adress 6 ägdes av Binance.
Så spåret av medel slutar med en ransomware-ansluten adress som skickar pengarna till Binance-börsen.
Transaktionsbelopp
Att gräva vidare i fondtransaktionerna visade att:
Adress 1 fick BTC värd 14,000 11,200 USD (vid den tiden) och skickade sedan BTC värd 2 XNUMX USD till adress XNUMX
Adress 2 skickade sedan BTC till ett värde av 8,400 3 USD till adress XNUMX
Adress 3 skickade vidare $5,600 4 till adress XNUMX
Adress 4 skickade vidare $2,800 5 till adress XNUMX
Adress 5 skickade alla $2,800 6 till adress XNUMX
Varje belopp är $2,800 XNUMX mindre än det föregående, vilket innebär att varje adress behöll samma belopp. Detta är definitivt ett bevis på ett samband med tanke på det upprepade beteendet. Så, vad gjorde varje adress med pengarna?
UTXO?
Låt oss här pausa för en snabb bakgrundsbild. Bitcoin har en UTXO-modell (unspent transaction output), vilket innebär att en adress inte bara kan skicka ut en del av sina pengar, den måste istället mata ut alla sina medel för varje transaktion.
Hur fungerar detta? Låt oss säga att du har en plånbok med 10BTC och du vill köpa något som kostar 8BTC. När du väljer att skicka 8 BTC till mottagaren kommer de andra 2 BTC att gå till en ny tredje adress, "ändra adress" som också ägs av dig. Ändringsadressen skickar vanligtvis ändringen tillbaka till den första adressen du äger.
Många blockskannerwebbplatser visar inte ändringsadressdelen av transaktionen, så var medveten om att detta händer med varje BTC-transaktion.
Undersöker ändra adresser
Blockskannrar visade att varje adress 1-5 endast hade haft två transaktioner, att ta emot och skicka pengarna. Sedan började vi gräva i transaktionerna för att titta på ändringsadresser.
Och här upptäckte vi att när adress 1 skickade $11,200 2 till adress 2,800 så skickade den också $6 2 till en tredje adress, som visade sig vara adress 2,800! På liknande sätt skickade adress 6 $3 2,800 till adress 6 och i samma transaktion skickade resten till adress XNUMX. T Likaså för de andra adresserna som var och en skickade $XNUMX XNUMX till adress XNUMX och resten längre fram.
Förvirrande?
Låt oss visualisera. Vi såg ursprungligen fondernas spår som en rak linje:
Men vi upptäckte att pengarna gick på flera linjer som alla till slut gick till adress 6.
Så fort vi ser detta mönster vet vi att pengarna tvättas. Flödet av medel här är ett klassiskt exempel på "skumning", en av de mest använda metoderna för att tvätta pengar.
Skimming innebär att medlen skickas från ett konto till ett annat, ägt av samma person, varje adress ”skummar” en bit uppifrån och skickar små delar av medlen till samma slutmottagare. Ur mottagarens perspektiv tar de emot flera överföringar av medel från olika adresser. Mottagaren ser inte att alla dessa adresser är kopplade till varandra.
Hur vet vi att adresserna (exklusive Binance-adressen) ägs av samma person? Eftersom varje adress är ändringsadressen för den föregående transaktionen.
Om adress 1 skickade pengar till adress 6 (den avsedda mottagaren) och i samma transaktion skickade resten till adress 2, betyder det att 2 faktiskt var den ändrade adressen. Adress 2 skickar pengar till 6, och resten går till 3, och mönstret fortsätter för 4 och 5. Eftersom de alla bytte adresser, betyder det att de alla ägdes av samma person. Så ägaren till adress 1 är också ägaren till den Ransomeware-anslutna adress 5.
Därför, även om vi inte känner till personens identitet, ser vi att de tog ut pengar från Binance, tvättade det (med hjälp av en ransomware-adress i processen) och sedan skickade tillbaka alla pengarna till Binance.
För att sammanfatta visade vi hur man spårar pengar, identifierar penningtvättsaktivitet, ändrar adresser och skumningsmodellen. Det här exemplet är inte unikt och utredarna kommer med stor sannolikhet att se samma egenskaper i sina egna utredningar.
Med denna kunskap i hand måste vi komma ihåg att i takt med att det digitala landskapet utvecklas, så gör också metoderna för finansiella brottslingar. Det är därför det är så användbart att förstå och uppskatta framsteg inom blockkedjeanalys och nya verktyg som Cybertraces WalletScan.
Genom att förstå krångligheterna med skumningstaktik och utnyttja kraften i blockchain forensics, kommer utredare också att utvecklas och behålla ett försprång gentemot konkurrenterna.
Gästförfattare
Om författaren:
Tom Caliendo är författare till The Open Source Intelligence Guide, en bok som fokuserar på hur utredare med eller utan datorkunskaper kan använda OSINT.
Tom är en cybersäkerhetsjournalist som täcker de framväxande hoten och Internets dolda lager; han är medgrundare av forsknings- och litteraturföretaget Brockett Consulting – brockettconsulting.com.
Tom är en livslång utredare med en passion för att utbilda andra om potentialen hos OSINT. Han är licensierad och erfaren inom olika utredningsområden, inklusive privat utredning, undersökning av kryptovaluta, arkivforskning, etisk hackning och släktforskning.
Han bor i Virginia där han är trädgårdsmästare, biälskare och expert på att jaga sin femåring.
Hans bok finns tillgänglig på Amazon -https://www.amazon.com/Open-Source-Intelligence-Guide-Anything/dp/B0C9SH1NWL
Följ Tom på hans hemsida – TheOsintGuide.com
Twitter - https://twitter.com/DeepWebOsint
Instagram - https://www.instagram.com/theosintguide_book/
Substack – https://substack.com/@theosintguide
