Analisis forense Blockchain

Las criptomonedas son sistemas bastante complejos y se han escrito libros completos
sobre su funcionamiento interno. Sin embargo, algunos detalles podrian ser útiles para los investigadores.
Una dirección de criptomoneda es una combinación de letras y números, que es a menudo representado en Base58. Suelen tener 34, 42 o incluso 96 caracteres, aunque hay otras longitudes. Una dirección de Bitcoin se ve así:

1BoatSLRHtKNngkdXEeobR76b53LETtpyT


Una dirección de Ethereum se ve así:

0x89205A3A3b2A69De6Dbf7f01ED13B2108B2c43e7


Una dirección de Monero se ve así:

44AFFq5kSiGBoZ4NMDwYtN18obc8AemS33DBLWs3H7otXft3XjrpDtQGv7SqSsaBYBb98uNbr2VBBEt7f2wfn3RVGQBEP3A


Una dirección es esencialmente una clave pública que un usuario de la criptomoneda puede darle a cualquiera que desee enviarles valor. Sin embargo, para mover las monedas almacenadas en una dirección se necesita la clave privada adjunta. Al investigar en línea, el investigador verá muchas direcciones de criptomonedas, pero siempre serán la dirección de clave pública o un derivado de ésta. A pesar de que algunas claves privadas terminan en línea como filtraciones o errores de los usuarios, esto es muy raro y las criptomonedas controladas por la clave desaparecerán.
Las direcciones de criptomonedas son pseudoanónimas en el sentido de que no estan directamente vinculadas a una cuenta o identidad, pero existen técnicas para poder inferir quien es el propietario pero esto es complejo y requiere mucho tiempo para lograrlo.
Cuando un usuario desea enviar un valor de criptomoneda a otro usuario, construye una transacción que se comunica a cada nodo de la red blockchain (usuario de nodo completo)
de esa criptomoneda. Los llamados nodos mineros luego agregan transacciones a un bloque (piense en un imagen mental de una caja llena de transacciones) y usa computadoras especializadas para resolver un problema matemático complejo que bloquea el bloque para que los datos no puedan ser cambiados fácilmente. Si alguien intenta cambiar los elementos de una transacción, necesitaría comunicar ese cambio a todos los nodos de la red y recalcular el problema matemático. Cuantos más bloques hay para calcular encima del bloque que contiene la transacción modificada, más difícil será realizar el cambio.

blockchain explorers

Con la excepción de algunas criptomonedas cerradas o muy seguras, las blockchains son de fuente abierta y, por tanto, un recurso útil para un investigador. Si un investigador
localiza una dirección que pertenece a un sospechoso, como en la firma de su publicación en el foro por ejemplo, es sencillo determinar el valor que ha tenido la dirección o tal vez que todavía tiene y que se almacena en la dirección. Para hacer esto necesitamos usar un explorador de bloques. Puede encontrar muchos ejemplos de todas las criptomonedas principales.
Para Bitcoin, algunos ejemplos son:

■ www.blockchain.com
www.blockcypher.com
www.btc.com

Otros, como www.blockchair.com y www.bitinfocharts.com, proporcionan exploradores de muchas monedas como Bitcoin, Bitcoin Cash, Dogecoin, Ethe-
reum, Litecoin y más. Básicamente, todos muestran la misma información. pero en diferentes interfaces gráficas, por lo que es importante comprender los elementos primarios. Echemos un vistazo a blockchain.com/explorer. Aquí podemos buscar una diredccion Bitcoin, Bitcoin Cash o dirección Ethereum. Esto devolverá una lista de todas las transacciones donde la dirección ha sido una “entrada”, donde pagó dinero a otra dirección, o una “salida”, donde recibió dinero de otra dirección.
Si echamos un vistazo a una dirección de Bitcoin, vemos un bloque de metadatos en la parte del panel superior seguido de una serie de transacciones:

Los metadatos sobre una dirección pueden ser muy interesantes ya que pueden ayudarnos a construir una imagen del uso de esta dirección. Por ejemplo, ¿en cuántas transacciones ha estado involucrada esta dirección? ¿Cuánto Bitcoin ha recibido esta dirección a lo largo del tiempo y cuánto queda allí ahora? Los valores también tienen una opción gráfica. Esto mostrará el movimiento de monedas a lo largo del tiempo. Cuando fue el primer pago realizado y qué patrones vemos? ¿Se reciben las monedas de inmediato? ¿Se mudó o se retuvo en la dirección? ¿Cuándo se realizó el primer pago? ¿Por qué son importantes estas preguntas? Tomemos el ejemplo de una estafa en la que una computadora de la víctima ha sido infectada con un virus que cifra todos los datos, y
se exige un rescate de Bitcoin por un código de desbloqueo. Las preguntas planteadas podrían decirnos cuándo probablemente comenzó la estafa, cuántas víctimas pagaron a la direccion del estafador, cuánto dinero se ha ganado, si las monedas se mueven o se han retenido, y así sucesivamente. En el caso del ransomware Petya / NoPetya, las monedas fueron retenidos en la dirección durante varios días después de que las víctimas pagaran antes de mudarse. Esto se puede ver claramente buscando la dirección utilizada por
los estafadores: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX.

1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Echando un vistazo en el gráfico para el balance y destacando el pico obvio en junio de 2017. Es sencillo determinar cuándo las víctimas comenzaron a pagar, cuánto
recibieron, y cuando se movieron las monedas. En el gráfico se desprende claramente que los pagos comenzaron el 27 de junio de 2017 y los pagos terminaron el 28 de junio de 2017. Las monedas permanecieron en la dirección hasta julio 4, 2017, cuando se tramitaron. Esto nos ayuda a comprender el ciclo de vida de la estafa; Los pagos a las víctimas realmente se realizaron durante un período de 24 horas y retenidos en la dirección por unos pocos días antes de ser trasladados. No se realizaron otros pagos importantes. Este es un buen ejemplo de cómo los metadatos de una sola dirección puede ayudarnos a crear una imagen de una dirección utilizada en un delito.
El número de pagos puede ayudarnos a discernir el número probable de víctimas. y un sitio llamado https://oxt.me nos desglosa amablemente esto. Buscar el sitio y mira la dirección 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
nuevamente:

Encuentramos estos datos muy útiles, ya que rápidamente se desglosan cuando una dirección comienza a usarse, cuando se vio por última vez, y los valores recibidos y retirados separados para las monedas. El desglose de las transacciones entrantes y salientes también nos ayuda a comprender, en este ejemplo, el número de víctimas probables, 89 pagos entrantes, y cuántas direcciones se utilizaron para finalmente mover las monedas lejos de la dirección de la estafa. Si estuviéramos analizando los pagos en una
tienda web de la darkweb, por ejemplo, entonces los pagos entrantes probablemente serían clientes.

Las víctimas de una estafa suelen ser novatos en criptomonedas y, por lo tanto, tienden a comprar monedas directamente de un interchange y envíaselas al estafador. Si el interchange puede ser identificado, es fácil hacer una solicitud al interchange de informacion de tipo KYC para saber quien esta detrás del pago.

siguiendo al dinero

Cuando los investigadores describen investigaciones sobre criptomonedas, a menudo se refieren al seguimiento de algún tipo de pagos ilícitos desde una dirección de origen a un destino.
Debido a la naturaleza pseudoanónima de las criptomonedas, como Bitcoin con su direccionamiento Base58 de 34 caracteres, esto es complejo de lograr. Es lo que se describe como el “address blindness” puede establecerse rápidamente al hacer clic de una transacción a otra.
Pasar de una transacción a otra es ligeramente diferente en todos los diversos exploradores de blockchain. Usando Blockchain.info, usa el enlace esaltado “spent” en el lado del output de la transacción para pasar a la transacción siguiente / posterior,
y de forma bastante confusa, haga clic en el enlace “Output” en el lado de entrada de la transacción para volver a la transacción anterior:

A continuación, debemos determinar si una de las direcciones es una dirección de pago. En la gran mayoría de las transacciones que son direcciones de uno a varios o de varios a varios, una de las salidas será una dirección de cambio. La razón es que cada Bitcoin
se compone de 100 millones de satoshis, por lo que las posibilidades de que los pagos a varias direcciones se sumarán exactamente a las cantidades de entrada es pequeña. En este ejemplo, el el pago es de una billetera “3”. Las direcciones de Bitcoin que comienzan con el número 3 se utilizan para transacciones de múltiples firmas o más complejas que una simple de pago de dirección a dirección. Las salidas son a una dirección 3 y a una dirección 1. Es significativamente más probable que la dirección de cambio sea también una dirección 3. Por lo tanto podemos inferir que la direccion 3 es el cambio y la 1 es la dirección de pago.
Existen otras técnicas para discernir qué dirección de salida es la direccion de cambio. Por ejemplo, en la Figura de abajo cualquiera de los 3 insumos habría pagado a la direccion 3HfFw. . . , pero los 3 son necesarios para la cantidad enviada a 3B5kC. Esta nos ayuda a concluir que la dirección de cambio es la dirección 3HfFw y, por lo tanto, necesito seguir al otro.

Una vez que hayamos discernido la dirección o direcciones que probablemente sean los pagos, podemos seguirlos hasta la siguiente transacción haciendo clic en el botón Spent. En este ejemplo, ambas salidas están sin gastar, por lo que estamos en un callejón sin salida. Al hacer clic en la transacción anterior o siguiente, solo se proporcionará otra lista de entradas y salidas, y el investigador puede perderse inmediatamente. Se recomienda
detenerse después de cada clic e investigar las direcciones, y construir la imagen de nuevo antes de seguir adelante. Una vez que haya movido dos o tres transacciones de su punto de partida, la experiencia muestra que a menudo está más allá del alcance de la
investigación. A menos que su sospechoso esté usando mezcladores para moverse y dividir las monedas, que es extremadamente difícil de seguir sin la ayuda de una herramienta comercial, los pagos de intereses tienden a realizarse dentro de unas pocas transacciones de su punto de partida.

identificando exchanges y traders

Pasar de una transacción a otra es sencillo pero fundamentalmente no tiene mucho sentido a menos que podamos identificar un recurso confiable y del mundo real que pueda tener información KYC o datos de registro, como direcciones IP. Identificando estos
recursos es clave en la mayoría de las investigaciones. Cabe señalar que no es posible rastrear a través de un intercambio. Un depósito de una moneda en un intercambio seguido de un retiro no le devolverá la misma moneda al igual que pagar $ 10 en
un banco y luego retirarlo de un cajero automático devolverá el mismo billete. Una vez se ha realizado un depósito, su única posibilidad de rastrearlo es que el intercambio funcione con usted para proporcionar los datos KYC necesarios.
Varios sitios web intentan identificar las direcciones que pertenecen a intercambios y los
traders; los más fiables son www.walletexplorer.com y www.bitcoinwhoswho.
com
. Este último sitio también tiene una función de denuncia de estafas y también usa en la web buscando menciones de las direcciones que buscó.
Walletexplorer.com intenta utilizar técnicas de agrupamiento para identificar una dirección y luego inferir la propiedad de otras direcciones de la misma entidad.
Este es el mismo método utilizado por las ofertas de software comercial. El proceso es simple: haga un depósito en un intercambio y le proporcionará una dirección de pago; retira una moneda y verás la direccion de entrada Ahora tiene dos direcciones que sabe que pertenecen al intercambio. A continuación, utilice técnicas y algoritmos de agrupación en clústeres para localizar otras direcciones propiedad de la misma entidad. Una discusión completa de la agrupación en clústeres está más allá de esta introducción, pero como ejemplo, busque transacciones donde la dirección es conocida y la dirección de entrada se comparte con otras direcciones de entrada. Es probable que estas direcciones son propiedad de la misma entidad.
Aquí es donde sobresalen las herramientas comerciales, y si se toma en serio la investigando crímenes que involucran criptomonedas, su vida de investigador será realmente muy dura sin comprar una de las herramientas principales. Todas las herramientas intentan identificar grupos de direcciones propiedad de interchanges, traders, sitios de la darknet y otros para ayudar al investigador. La mayoría tiene capacidades de visualización para hacer el trabajo de rastreo desde su transacción sospechosa hasta un intercambio u otra entidad conocida.
En el momento de redactar este post, las principales herramientas comerciales son:

■ Chainalysis ( chainalysis.com )
■ Ciphertrace ( ciphertrace.com )
■ Elliptic ( http://www.elliptic.co )
■ Coinfirm ( coinfirm.com)

Maltego (no cubierto en este post) también tiene transformaciones gratuitas disponibles para instalar desde el Hub. Estos son proporcionados por blockchain.com y proporcionan transformaciones para localizar direcciones de entrada y salida de transacciones. Esto puede ser muy útil como una herramienta de visualización low cost. Ciphertrace también vende transformaciones para dar acceso a su base de datos de identificación de Bitcoin de Maltego.

Curso de Blockchain (23 y final). Presente y futuro del ecosistema blockchain

introduccion La tecnología Blockchain está cambiando rápidamente y seguirá afectando en la forma en que nuestro negocio se desarrolla a medida que surgen nuevos desarrollos. Ha desafiado el modelo de negocio existente y ha prometido grandes beneficios como el ahorro de costos, la eficiencia y la transparencia. En este curso hemos explorado los fundamentos técnicos […]

Leer más Curso de Blockchain (23 y final). Presente y futuro del ecosistema blockchain

Curso de Blockchain (22). Escalabilidad y otros desafios

Este post tiene como objetivo explorar varios desafíos que deben abordarse antes de que blockchain pueda convertirse en una tecnología convencional. A pesar del hecho de que se han desarrollado múltiples casos de uso y pruebas de concepto (PoC) , y que la tecnología funciona bien para muchos escenarios, todavía existe la necesidad de abordar […]

Leer más Curso de Blockchain (22). Escalabilidad y otros desafios

Curso de Blockchain (20). Generalidades de las Blockchains empresariales

En este post, investigaremos las blockchains empresariales. ¿Cuál es la arquitectura estándar de las blockchains empresariales? ¿Por qué se requieren? Responderemos a estas preguntas y también trataremos de responder a la gran pregunta de por qué las cadenas de bloques públicas actuales no son necesariamente una gran elección para casos de uso empresarial. También presentaremos […]

Leer más Curso de Blockchain (20). Generalidades de las Blockchains empresariales


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s