Scarlet CTF Forensics/Peel That Off!

 

이 문제도, Forensics/Dark Tracers 과 비슷한 유형 (블록체인 포렌식) 문제이다.

 

처음 주어지는 해시값 88617a44b501b2aa2ed1001a94fccbafb126578c5c2e696b20ae91dcc2a93e0a 이있는데 

 

이 트랜잭션부터 사기꾼의 잔돈 분리 체인이 시작이된다. 따라서 목표는 

 

1. 잔돈 분리 체인을 끝까지 추적
2. 마지막으로 추적 가능한 트랜잭션 찾기
3. 그 트랜잭션의 수신 주소 중 하나가 거래소 이름
4. 최종적으로 tx 해시값, 날짜(MM/DD/YYYY), 거래소 이름을 확보한다.

위의 트랜잭션을 끝까지 따라가다보면, 마지막에 더이상 추적할 수 없는 단일 트랜잭션 상태가 된다.

이때 1,2번 목표를 달성하게된다. 

 

그 다음 확보 해야할것은, 거래소 이름이다. 

 

거래소 이름을 판단하려면, 여러 온체인 패턴 + 외부 라벨링 + 행동 특성을 분석해야하고, 맞아 떨어질 때 확정할 수 있게된다.

(주소 하나만으로는 해당 주소를 특정하는 것은 옳지않음 - 이것은 참고 정보일 뿐 증거는 될 수 없다.)

 

그럼 어떻게 확정을 지을 수 있을까?

 

★ 가장 마지막으로 3BTC가 전송된 주소, 16rmYLNaTUqQcPnUKPEWbryXCfdV9P7W2Y 이 주소는 단독으로 쓰이지 않았음

수백 ~ 수천 개의 서로 다른 주소로 부터 소액 ~ 중액 BTC가 반복적으로 유입되는 것을 확인 할 수 있었고, 곧바로 다른 대형주소로 이동하는 패턴도 식별하게 되었다. (아래 사진 참고)

 

따라서, 이 패턴은 개인 지갑이 절대 아니라는 것을 확정 지을 수 있는데.

 

이러한 패턴을 이해하려면 개인 지갑과 거래소 입금 주소의 차이점을 어느정도 이해하고 있어야한다.

항목	개인 지갑	거래소 입금 주소
입력 수	적음	매우 많음
송금 주체	소수	불특정 다수
잔액 유지	오래 유지	짧음
다음 단계	다른 개인 주소	핫 윌렛/배치tx

이러한 차이점을 보고 판단을 내릴 수 있다.

 

내가 본 구조에서 3BTC가 입금되었을때, 해당 주소에 머무르는 시간이 매우 짧고, 이후 다수의 입금을 모아서 한 번에 큰 트랜잭션으로 이동하는게 Binanace, Coinbase, Kraken이 공통으로 쓰는 구조이고, 그럼 이 중 특정을 해야해야함.

이 트랜잭션을 확인하다보면, 이 주소가 자금을 보낸 다음 트랜잭션들을 Binanace hot wallet cluster로 확정된 주소들과 연결된다.
즉, 입금 주소 단독이 아니라, Binance 내부 지갑 구조에 편입이 된걸 확인할 수 있다.

 

따라서 문제의 정답은 

RUSEC{87bb6410cf4d11b4220a0ff32e6d63fa95308898a8704cd9b48e5587b565f179:11/07/2021:binance} 이 된다.