2018年02月04日

コインチェックで盗まれた仮想通貨NEMの送金アドレス NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG を見てみた このエントリーをはてなブックマークに追加

仮想通貨まったくわかんないな。
盗まれたのはCoincheck(コインチェック)が管理していた仮想通貨らしい。
仮想通貨にもいろいろ種類があって、よく知られているのはビットコインって仮想通貨らしいけど、今回盗まれたのはNEMという仮想通貨。

仮想通貨はブロックチェーンという技術で取引情報が記録されているらしい。
で、その取引情報を辿れば盗まれた仮想通貨がいまどういう状況なのかわかるようである。

仮想通貨NEMは、BlockChain Explorerというサイトにてこの盗まれたNEMを特定できるということらしい。

で、これを見ると、盗まれたXEMの送金先アドレスはNC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NEM - BlockChain Explorerのようである。

で、このアドレスがはじめてつかわれたのは、1/26の00:02:13。
Timestamp Amount Fee Sender Recipient
2018-01-26 00:02:13 10 0.05 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG

Amountというのは送金額、Feeは手数料という意味らしい。
Senderは送信者、Recipientは受信者ということなので、
Amount(送金額):10
Fee(手数料):0.05
Sender(送信者):NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ
Recipient(受信者):NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
となる。
ちなみに、送信者の「NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ」ってのはコインチェックのNEMのウォレットのアドレスのよーです。
犯人と思われる人ははじめに
Timestamp Amount Fee Sender Recipient
2018-01-26 00:02:13 10 0.05 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG

って10NEM送ってみて、「お?いけるやん?!」と思い、そのあと立て続けに、0時6分から0時21分の間に、100,000,000NEMを5回に分けて送金、その後20,000,000NEM、3,000,000NEMと送金を続けてることがわかる。
2018-01-26 00:04:56 100,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
2018-01-26 00:06:46 100,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
2018-01-26 00:07:04 100,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
2018-01-26 00:08:21 100,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
2018-01-26 00:09:22 100,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
2018-01-26 00:10:36 20,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
2018-01-26 00:21:14 3,000,000 1.25 NC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG

最初の1/26 00:02:13の10NEMの取引から00:21:14の3,000,000NEMの取引、つまり19分の間に523,000,010NEMがNC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGというアドレスに送金されたということがわかるようだ。
ちなみに、NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGのアドレスの送信、受信記録は2018-01-26 00:02:13より前のものは見つかんなかった。
ってことは、このアドレスはコインチェックからNEMを搾取するために作られたものなんかな?(わからん・・・)

この時点で、NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGというアドレスには523,000,010NEMが送金されている。
そのあと、このNC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OGというアドレスから、先ほど送金された523,000,010NEMのうち523,000,000NEMが8つの別のアドレスに送金される。
2018-01-26 02:57:24 30,000,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ (1)
2018-01-26 02:58:42 50,000,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW (2)
2018-01-26 03:00:33 50,000,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ (3)
2018-01-26 03:02:12 750,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4 (4)
2018-01-26 03:14:09 100,000,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW (5)
2018-01-26 03:18:07 100,000,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524 (6)
2018-01-26 03:28:44 100,000,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI (7)
2018-01-26 03:29:54 92,250,000 1.25 NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5 (8)


(1)〜(8)共に、1/26にホワイトハッカーのmizunashiさんが、
「Message:Return the stolen funds to Coincheck!」
と目印を付けているようです。
mizunashiさんの用に2〜3名別の目印を付けている方もいるようですが、その後の動きはこんな感じ。
(1)NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ:30,000,000:動きなし
(2)NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW:50,000,000:動きなし
(3)NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ:50,000,000:動きなし
(4)NBKLQYXEIVEEGARYPUM62UJIFHA3Y6R4LAPU6NP4:750,000:動きなし
(5)NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW:100,000,000:動きなし
(6)NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524:100,000,000:動きなし
(7)NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI:100,000,000:動きなし
(8)NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5:92,250,000:ちょいと動きあり。

この(8)については、その後すぐにこんな動きになっている。
2018-01-26 03:49:28 10,000,000 1.25 NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5 NCF6IA5ZNKIUXE3COV7WK23EIOBEPDV5DJFZQTTH
2018-01-26 03:59:18 9,999,998.75 1.25 NCF6IA5ZNKIUXE3COV7WK23EIOBEPDV5DJFZQTTH NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5

10,000,000NEMをNCF6IA5ZNKIUXE3COV7WK23EIOBEPDV5DJFZQTTHというアドレスに送金したのち、手数料の1.25を引いた9,999,998.75NEMが10分後に殆どすべて元のNA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5に戻されている。
これは何がしたかったんだろうか?何かここで犯人の意図しないことがあったんだろうか?
ちなみに(1)〜(8)のアドレスも送信、受信記録共に2018-01-26 00:02:13より前のものは見つかんなかった。

こうやって追っかけてみてもサッパリわかんないんだが、エライ人はこの取引記録のログから色々わかるんかもしれんな。

あと、BlockChain Explorerでは取引記録のログは確認できるけど、その取引がどういう端末から指示されたかとかその端末がどのIPアドレスから指示されたのかって情報は持っていないので、犯人捜しはそのあたりも必要になってくるよーな気がする。
この指示された端末のIPアドレスは誰がわかるんだろうなあ?

まあ普通に考えるとコインチェックの人はIPアドレスの情報とかわかるんかもしれんな。
あと、気になったのは、コインチェックのNEMのウォレットのアドレスNC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NEM - BlockChain Explorerの1/26以前の取引記録を見てみるのも面白いかもしれんな。

また、犯人、もしくは犯人からNEMが不正に取得されることを知っている人がいるのであれば、1/26に盗まれる前にコインチェックからNEMを大量に引き上げてる可能性もあるからなぁ。
まあ直前に大量のNEMを別アドレスに送金するのは明らかにアヤシイから何回かに分けて送金してたかもしれんな。

しばらく、NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG NEM - BlockChain ExplorerNC3BI3DNMR2PGEOOMP2NKXQGSAKMS7GYRKVA5CSZ NEM - BlockChain Explorerあたりを見てみると面白いかもな。

余談だがBlockChain ExplorerがRSS Feedに対応してくれれば楽なんだがなぁ・・・(願望)
posted by りょーち | Comment(0) | 自分メモ