2/3
おとなしくしていたようで、動きのない日でしたが、下記アドレスから犯人へ長い暗号化メッセージが送られています。
NAKITOCI2RGG4JVWY3VAW452NYPWZDVY7LNPSM6Z
このアドレスは2/1から犯人へコンタクトを始めており、犯人からは2/2夜にメッセージを受け取っています。これはそれに対する返信と思われますが、どんなやり取りがあったのでしょう。
なおこのアドレス、日本語でメッセージが発された履歴があるので日本人のようです。
2/2 Changelly, Cryptopiaへ送金 & 謎のメッセージ
(1) Changelly
まず、2/1と同じルートでチェコの取引所Changellyに流れています。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓300000XEM @事件当日1/26
NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ (中継者X)
↓292600.238XEM @2018-02-01 23:45:11
NBVWA3S2PAXPXT7X52HKEKNDVNMBG3ZATYED6MIY (中継者Z)
↓1100XEM @2018-02-02 03:59:22
NBLQ6PE7Z5CVANJNXGOR74UQLOJ2YMGJJOZ4YFAQ (Changelly)
最後はbc1a0e80078111e8bc46c3b087ee04fcというメッセージつきです。個人アカウントへの送金が示唆されます。
(2) Cryptopia
続いて日中にニュージーランドの取引所Cryptopiaに送金。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓1000XEM
NBY4HYCXBN4DMOCAND7JICXTACT5VIJ4H76G33LT (中継者A)
↓1000XEM
NDZJUUOLE52XUYW2FQAKE6WJNHHE6SLHCHMBYMV5 (中継者B)
↓998XEM @2018-02-02 13:56:58
NBQ73BYLVGMO7L2WFG2VVOJHOBWWJKW7D3V7UE4E (Cryptopia)
中継先のアドレスの残高はほぼゼロになっており、犯人の送金からAの送金の間はしばらく時間が経ってますが、Aの送金からBの送金は早いです(3分程度)。AとBは同一人物のように思えます。
Aは、犯人から送金される前に、犯人に対してかなり長いメッセージを送っています(2018-02-01 19:20:40)。暗号化されており中身は不明です。犯人は1000XEMとともに暗号化メッセージを返しています(2018-02-01 21:24:21)。どんなやり取りがなされたのかよくわかりません。
また、別のルートでも流れています。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓100XEM
NDUO6J6H253GULLVXJU66CIEYQYBOWU5DOYUZMZF (中継者C)
↓100XEM @2018-02-02 16:43:38
NBQ73BYLVGMO7L2WFG2VVOJHOBWWJKW7D3V7UE4E (Cryptopia)
Cは、犯人から送られる前に「give me love plz.」というメッセージを犯人に送っています(2018-02-01 14:38:58)。犯人からは送金とともに暗号化されたメッセージを返されています(2018-02-01 21:43:33)。
で、このAとC、どちらも初めての取引は
NA6KPADJW64R7CVGPC4AZ66I3HTOK5YQK44G3MZL (関係者D)
からの送金です。このDは、Cryptopiaから送金されたのが初めての取引で、その直後にCへ送金(2018-02-01 14:30:07)しており、そのまた直後にCが犯人に「give me love plz.」(2018-02-01 14:38:58)です。DとCは同一人物と思われます。さらに、DがAへ送金(2018-02-01 19:11:55)した直後に、Aが犯人に上述の長いメッセージを送っています(2018-02-01 19:20:40)。DとAも同一人物と思われます。つまり、ABCD全て同一人物であり、Cryptopiaにアカウントを持っていると推定します。
なおABCDは、2/1の中継車Yと同一人物ではないかと思います。Yは犯人からの送金前に犯人とコンタクトした形跡がありません。ただ、犯人からの送金時に暗号化メッセージを受け取っています。そのタイミングは、先のABCDへの送金の直後(2018-02-01 21:55:48)です。
この人物は、まず初めに犯人に長文メッセージを送った際、盗まれたXEMをABCDのアドレスを使ってCryptopiaでの換金/他の仮想通貨への交換を試してみるということと、Yのアドレスを使ってICOに参加することにより、マネロンの可能性を調査してもいいよというオファーをしたのではないでしょうか。
(3) 謎のメッセージ
さて、最後に上記のC、犯人に謎のメッセージを送っています。内容は下記です。
—
こんにちは。すみませんお詫びがあります。。匿名ネットワークで取引所を経由している最中に、メッセージを暗号化して送ってしまい、着金に送れが発生してしまいました。少し時間がかかるかもしれません。。ただ洗浄のルートは確立できましたので、次回からはスムーズに行えるかと思います。取り急ぎ、DASHの送金確認をするために、こちらのアドレス(Xr6maJSptxgD6NRBRqnv4YwsqoJvhLc7iB)へ、0.01DASHをお送りしました。着金が出来ているかのご確認をお願いします。txid:e6e8d429afa99b6708e187a3899460a05074ed2090e5d6516cd5a2695160b8df
—@2018-02-02 19:04:28
一体これは何でしょうか。何かのトラップなのか、間抜けなのか、よくわかりません。
2/1 Poloniex, Cryptopia, Loyalcoinへ送金
取引所などに送金が見られました。
(1) Poloniex
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓1000XEM
NBZMQO7ZPBYNBDUR7F75MAKA2S3DHDCIFG775N3D
これはアメリカの取引所Poloniexのアドレス。これにだけ「1000」というメッセージがついており、犯人のアカウントへの送金を試みているのではないかと推測。
(2) 不明なウォレット
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓1000XEM
NBAPJNCPMLPRB3L76GCMO42XRAG4WKYFWMDULIKM
これは下記サイトでXEM送金の手順の中で示されているアドレスで、
実際には
というeobotという取引所?にプロフィールのあるユーザーにも送金先と指定されている。よくわかりません。
(3) 新規ウォレット?
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓各1000XEM
NCTI6GAML7EIMVABJX2JYMAILMVOC3GNK772OQD5
NDGLD5YU72S2XSUQ3XBBIQRA6BIX5JACZ3KO55KO
こちら残りの2件は不明ですが公開鍵がないので新しいウォレットか何かでしょうか。
(4) Cryptopia
別のアドレスを介してニュージーランドの取引所Cryptopiaにも送金がありました。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓300000XEM (1/26 事件直後)
NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ (中継者X)
↓5400XEM
NBQ73BYLVGMO7L2WFG2VVOJHOBWWJKW7D3V7UE4E (Cryptopia)
メッセージ欄にb073cbc657aec862と書かれています。Cryptopiaの特定のアカウントのデポジットに還流した可能性があります。
(5) Loyalcoin
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓300000XEM (1/26)
NCM6WE7SJFDVTLSPTMZGBUZUETDYINITILS3DCIZ (中継者X)
↓
NDSP2JTBLTNLH4UXREHCTEJHPOZFBYJG7WB7N4FG
↓
NCPWSOGDWN7E7FHVWRDVQNIEHW5PAZTGIHO423LL (Loyalcoin)
事前にCryptopiaから入金してLoyalcoinに参加し、その後犯人の資金を受け取り、再度Cryptopiaから入金してその金額分をLoyalcoinに入れて追跡されていても資金を動かせることを確認し、その後犯人からの資金をLoyalcoinに入れるという慎重ぶりです。
さらに、別のアドレスから再度Loyalcoinにも流れています。
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG (犯人)
↓1000XEM
NCHKKOXUH6Y3YR32B37PUOZOIE3VFEOWH7BDYGJQ (中継者Y)
↓260XEM
NCPWSOGDWN7E7FHVWRDVQNIEHW5PAZTGIHO423LL (Loyalcoin) @2018-02-01 23:18:44
中継者Yは犯人から送金される前後でこのLoyalcoinとやらに「Loyalcoin Purchase for Tudor. 260 XEM=65,000 LYL」とご丁寧なメッセージつきで送金しています。
YはもともとChangellyから送金されるところから取引が始まっており、その後、Cryptopiaからも資金が入っています。ちなみにこの人はマメらしくtanner2corp%40gmail.comとメールアドレスらしきものを残しています。
1/29
盗まれたNEMの送金先
旗艦アドレス
NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG
旗艦アドレスからの送金先
NDDZVF32WB3LWRNG3IVGHCOCAZWENCNRGEZJVCJI (1億A)
NB4QJJCLTZWVFWRFBKEMFOONOZFDH3V5IDK3G524 (1億B)
NDZZJBH6JZPYSWRPRYHALLWMITWHOYTQGXR53HAW (1億C)
NDODXOWEIZGJSMAEURXACF4IEHC2CB7Q6T56V7SQ (0.5億A)
NA7SZ75KF6ZKK267TRKCJDJBWP5JKIC2HA5PXCKW (0.5億B)
NA6JSWNF24Y7DVIUVPKRNAY7TPOFJJ7G2URL7KU5 (0.92億)
NCTWFIOOVITRZYSYIGQ3PEI3IMVB25KMED53EWFQ (0.3億)
