# Как с помощью OSINT поймать хакера, укравшего NFT 

**Published by:** [Schwarz_Osint](https://paragraph.com/@schwarz-osint/)
**Published on:** 2022-10-08
**URL:** https://paragraph.com/@schwarz-osint/osint-nft

## Content

Прим. переводчика. Данный материал является переводом треда CountZe0, я не являюсь автором данного материала.Также я хотел бы сказать, что люди способные расследовать кражу крипты, это уникальные таланты, это вовсе не значит, что они умеют вполне разборчиво разъясняться. Я потратил два дня, что б это разобрать и сделать это более простым для вас.В статье упоминаются 16 кошельков, каждый из них имеет свой номер:0x8c79 -1 №1 TC 0x0642 - 2 0x33e0 - 3 0xeb45 - 4 0x3aE4 - 5 0x8998 – 6 №2 TC 0x78f9 – 7 0x38dB – 8 0x945b – 9 №3 TC 0x8648 – 10 кошелек использованный для кражи 0x974E – 11 0xdE09 – 12 0x2742 - 13 0xb521 - 14 0xA474 - 15 0x8648 - 16Этот тред покажет вам, как вы можете поймать хакеров/мошенников в web 3, используя методы OSINT.В качестве примера я буду использовать адрес 0x8c7934611b6AD70FBEa13A1593dE167a4689b9A9 (1). Согласно сообщению @zachxbt , хакеры украли 91 NFT.Давайте воспользуемся Etherscan, чтобы определить происхождение средств, которыми хакеры оплатили транзакции и украли NFT. Первая входящая транзакция на 0x8c79 (1) была от 0x0642 (2).Мы остановимся здесь, чтобы прояснить основы.Я отмечаю адрес A как “адрес финансирования”, если адрес A отправляет некоторые средства на адрес B, а адрес B никогда не получал средства до этой транзакции, то владелец адреса A, скорее всего, тесно связан с владельцем адреса B.Для лучшего пониманияВ нашем случае адрес финансирования будет 0x0642 (2). Он получил все свои средства от 0x33e0 (3). Затем средства были переведены на 0x8c79 (1) и на… Адрес Бинанса! 0x33e0 (3) помечен как мошеннический адрес, участвующий в краже NFT!0x33e0 (3) получает свои транзакции из 0xeb45e (4). 0xeb45e (4) и 0x33eo (3) (адрес помеченный как мошеннический) отправили по 4,75 и 2,45 ETH на 0x78f9 (1). Всего было совершено 7 транзакций (по 1 ETH каждая) с 0x78f9 (1) на Tornado cash.Все средства внесенные на 0x78f9 (1) и на 0xeb45e (4) были смешаны вместе и обналичены в одно и то же время, что означает, что (1) и (4) должны контролироваться одним и тем же лицом.Теперь давайте исследуем 0xeb45e (4). Кошелек получил свои транзакции из Changenow.io , поэтому мы не можем полагаться на адрес получения транзакций. Но более 90% полученных средств (10.16/10.29 ETH) были отправлены из Opensea. https://changenow.io/Кстати, этот адрес (4) забанен в OpenSea, что косвенно доказывает тот факт, что он использовался в противоправной деятельности (но мы, конечно, знаем, что это за деятельность: кражи NFT!)Мы не смогли получить никакой полезной информации от источников средств, поэтому я попытался определить их место назначения. 0xeb45e (4) получил 10,3 ETH, 4,75 ETH было обналичено на TornadoCash. Куда делись другие средства? Как вы можете видеть на графике, 0xeb45e отправил средства на 0x3aE4B (5) (1,46 ETH) и 0x89982 (6) (3,06 ETH), остальное было кинуто на Бинанс.https://www.binance.com/en Наверное время вступить в дело правоохранительным органам? К слову вот адрес транзакции:Так это, наверное, должно выглядеть.0x8998 (6) используется для тех же целей, что и 0x78f9 (1) – это адреса для вывода крипты через Tornado, давайте пометим его как Точку вывода №2. (Далее N2 TC и N1 TC). Как и в предыдущем сценарии, давайте выясним происхождение этих финансов . Большинство из них (32 ETH) были получены от 0x38dB (8) . Это интересный адрес: он получил 95 ETH за продажу Ape # 181 и теперь запрещен на OpenSea.32 из этих 95 ETH отправились на адрес 0x8998 (6, N2 TC) , еще 32 — на адрес 0x78f97 (7, N3 TC). 0x78f97 (7, N3 TC) является еще одним адресом для вывода средств Tornado, обозначим его номером “N3 TC”. Кстати, 0x945b (8 N3 TC) получил 0,25 ETH с адреса 0x8998 (6, N2 TC). И, как и в последнем сценарии, было проведено 4 транзакции (по 10 ETH каждая) с Tornado cash, смешав все украденные токены. 0x945b (9) отправил 2 транзакции в Tornado, по 100 ETH каждая. Те 32 ETH, которые мы отслеживали, консолидированы, смешаны и обналичены в перемешку с некоторыми другими средствами. Мне кажется, я где-то видел этот сценарий… Давайте выясним происхождение “других средств”: откуда взялись 170 ETH?Что ж, вот график (картинка ниже). 125 ETH были переведены с 0x8648 (10). Вы можете найти более подробную информацию о краже NFT, связанной с этим адресом, на @zachxbt. Давайте обозначим это как “Кража NFT”.Еще 40 ETH были получены от 0x974E (11). Этот адрес был частью цепочки транзакций, идущей от 0xdE09 (12), переводившей украденные средства на 0x945b (9, №3 TC). В итоге эти транзакции осели на Бинансовом кошельке 0xb521 (14)Кстати, что означает термин "цепи отслаивания"?Peel chain - это метод отмывания большого количества криптовалюты посредством длительной серии незначительных транзакций. Небольшая часть “очищается” от адреса субъекта при транзакции с низкой стоимостью. Но в нашем случае была добавлена небольшая порция. Еще 13 ETH были получены от 0xA474 (15). К слову, 0x8648 (10) (кошелек использованный для кражи) получил транзакции с 0xA474 (14) адреса. 0xA474 (15) получил большую часть средств за продажу токена MATCH #17940, также 0xA474 получал транзакции из ранее упомянутого 0xdE09 (12).Давайте исследуем аффилированные кошельки 0xdE09 (12). Он помечен как Fake_Phishing5099 в Etherscan и уже упоминался в данном треде несколько раз. Но перед этим давайте остановимся и немного подумаем. Кто получает деньги с фишингового адреса? Хакер, парень, который отмывает их деньги, спамер… Ну, вот и этот парень. 0x2742 (13) Этот адрес получил 3,06 ETH от 0x33e0 (3). Вы не найдете никакой информации об этом адресе в Google, но если вы введете его в Google pictures...Какой-то парень был обманут владельцем 0x2742 (13), спамером с ником Kollegah. Он обещал Discord mass DM и потерпел неудачу. После этого часть его данных, включая личную электронную почту, была раскрыта администраторами форума. Вы можете найти его самостоятельно, погуглив 0x2742 (13). “Коллега” использует аватарку в качестве изображения своего профиля в TG. Итак, существует группа фишинговых адресов с сильными финансовыми связями, отправляющая деньги парню, рассылающему спам в Discord и продвигающему NFT. Мне это кажется подозрительным.Так выглядит карта расследования на https://www.breadcrumbs.app/reports/2101

## Publication Information

- [Schwarz_Osint](https://paragraph.com/@schwarz-osint/): Publication homepage
- [All Posts](https://paragraph.com/@schwarz-osint/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@schwarz-osint): Subscribe to updates