Peretas yang menyerang Twitter pada 15 Juli 2020 lalu tampaknya bukanlah “pemakai Bitcoin” yang canggih. Sebab, mereka meninggalkan jejak dari bursa aset kripto besar yang mungkin menyimpan identitas mereka.
Alamat Bitcoin ini bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh dipakai untuk menampung sejumlah Bitcoin dari giveaway palsu dari akun-akun tokoh ternama itu. Beberapa jam setelah peretasan, para pelaku mulai memindahkan dana ke alamat lain.
Jejak Bitcoin yang ditinggal mengindikasikan pelaku tersebut tidak terlalu canggih soal teknologi blockchain. Mereka memakai ulang alamat Bitcoin yang sama dan tidak menutup jejak dari bursa aset kripto. Selain itu, mereka tidak memakai layanan mixing apapun, sebuah teknik yang biasanya lazim digunakan untuk menyamarkan transaksi.
Alamat 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF menerima 14,76 BTC pada 15 Juli. Alamat ini pertama kali diaktifkan pada 3 Mei silam. Sekitar setengah Bitcoin berasal dari alaamt sebelumnya, selebihnya dari sumber lain.
Sejumlah Bitcoin berasal dari bursa Coinbase dan BitMex. Crystal Blockchain mengidentifikasi dua alamat dimiliki Coinbase, yaitu 37p3PS1hKqzYhiVswbqN6nxbwyUoTZvf1E dan 32V6a7K46pSb1XQNGdrmdE2wjgndVfJPet. Kedua alamat ini berjarak dua dari address kedua, alamat yang menerima transaksi langsung dari alamat pertama.
Penarikan dari Coinbase sebesar 10 BTC terjadi pada Rabu (15/07) pagi hari. Beberapa jam kemudian, 0,4 BTC dari penarikan tersebut berujung di alamat “1Ai52U”. Sebab bukan merupakan jalur langsung, ada kemungkinan dana ini berpindah tangan di tengah jalan. Kendati demikian, tampaknya tidak ada entitas besar diantaranya.
Penarikan di BitMex dari alamat 3BMEXqT4yGBFiVBeJFHF4Ak5PyhqTnidK berjarak tiga dari 1Ai52. Pada 27 April, sejumlah Bitcoin dipindahkan dari alamat itu dan berakhir di 1Ai52U pada 3 Mei.
Para peretas juga memakai alamat 1NWJd7BfJLJrEcfGiGfFqbhyaiusWwaZS1 untuk memindahkan dana dari alamat pertama. Alamat tersebut telah menerima sejumlah kecil BTC dari 14kWuX37tgLdYZDSudHuch35NtuGgJqqnz, yang menerima BTC dari sejumlah alamat milik BitGo.
Transaksi yang sama, 89a4ba84043d043d212216718dae4ac3b74e6d08fd4575edab532c1c188dd961, mengirim sejumlah kecil BTC ke beberapa bursa lain, termasuk Bittrex, Luno dan Binance.
Pada 16 Juli, 0,0011 BTC berakhir di alamat 16ftSEQ4ctQFDtVZiUBusQUjRrGhM3JY yang dikenal sebagai salah satu alamat deposit Binance. Alamat ini berjarak tiga dari alamat pertama peretas tanpa ada entitas besar diantaranya.
Para peretas tampaknya memakai layanan proxy, sebab transaksi terkait berasal dari berbagai negara lain. Alamat Bitcoin yang dihasilkan peretas memiliki beragam format.
Beberapa memakai format Bech32 yang baru, lainnya memakai P2PKH dan P2SH. Berdasarkan analisa ini, sejumlah lembaga kripto besar seharusnya mampu mengidentifikasi para pelaku. [cointelegraph.com/ed]