<?php wp_title('|', true, 'right'); ?>
By
กรกฎาคม 1, 2017

คดีปริศนา กับ 25,000 Bitcoin ที่หายไป

บทความ, แนะนำ
ติดตามสยามบล็อกเชนบนSiam Blockchain

Bitcoin เป็นสกุลเงินดิจิตอลที่ตั้งอยู่บนเทคโนโลยีที่ชื่อ Blockchain ซึ่งทำให้เกิดคุณสมบัติ เช่น ป้องกันการใช้ซ้ำ ป้องกันการโกงโดยการแก้ไขยอดเงิน หรือ การที่สามารถตรวจสอบได้โดยทุกคนว่ามีธุรกรรมอะไรเกิดขึ้นบ้าง แต่มีอีกหนึ่งอย่างที่ทุกคนมักเข้าใจว่า “Bitcoin ช่วยเพิ่มความเป็นส่วนตัว” เพราะมีการใช้ Address ในการเป็นที่ที่เอาไว้รับ Bitcoin และถ้าเราหลีกเลี่ยง Address Reuse หรือการใช้ Address ซ้ำ ก็จะยิ่งเพิ่มความปลอดภัย เพราะเปรียบเสมือนว่าคุณมีหลายบัญชีเล็กๆ แต่อันที่จริงแล้ว “ความเป็นส่วนตัว” ไม่เคยถูกระบุว่าเป็นเป้าหมายหลักที่ Bitcoin ต้องการจะไปถึง

ในบทความนี้เป็นการนำเสนอการวิเคราะห์ของงานวิจัยอันหนึ่ง เขียนโดยนาย Fergal Reid และนาย Martin Harrigan นักวิจัยจาก Clique Research Cluster ที่ University College Dublin ในงานวิจัยนี้แสดงให้เห็นว่ามันเป็นไปได้ ที่จะตามหาต้นตอที่มาที่ไปของ แต่ละคนใน Bitcoin

สุดยอดคดีจารกรรม 25,000 Bitcoin

จอมโจรคิด หรือแก๊งค์ Ocean ก็ต้องหลบไป เมื่อเจอกับการขโมย Bitcoin จำนวนถึง 25,000 เหรียญในปี 2011 ชายคนนี้ตื่นขึ้นมาในตอนเช้า และพบว่า Bitcoin ที่มีมูลค่า ณ ตอนนี้คือ 2,250 ล้านบาท หายไปในพริบตา การขโมยนี้เกิดขึ้นเพราะ มี hacker สามารถเจาะรหัสผ่านของ account ใน SlushPool ซึ่งเป็น pool สำหรับการขุด Bitcoin ได้ และนายคนนี้ก็ไม่ระมัดระวังที่จะเก็บ Wallet ของเขาให้ดี ทำให้โจรคนนี้สามารถโอนเงินออกจาก Wallet ของเหยื่อได้ อีกทั้งยังเปลี่ยน payout address ให้เครื่องขุดเขาให้ชี้ไปที่อีก address และแน่นอนว่าการโอนของ Bitcoin ย้อนกลับคืนมาไม่ได้ ในโพสต์ของผู้เสียหาย มีการให้ข้อมูลทุกอย่าง ทั้ง Address ของเขา และลิงก์ไปยังการโอนที่เกิดขึ้นที่เรายังสามารถเห็นได้อยู่ใน Blockchain Explorer ซึ่งเป็นเว็บที่ทำให้เราเห็นการเคลื่อนไหวของ Bitcoin ใน Blockchain เรามาลองดูกันครับ ว่าเราจะตามหาโจรคนนี้ได้หรือไม่

ทีมวิจัยได้ใช้ซอฟต์แวร์ในการสร้างภาพด้านบนขึ้นมา ซึ่งเป็นการแสดงให้เห็นว่า 25,000 Bitcoin นั้นไปที่ไหนบ้าง

สีแดง คือ Address ของโจร

สีเขียว คือ Address ของผู้เสียหาย

สีส้ม คือ กลุ่ม hacker ชื่อ LulzSec ตัวละครใหม่ในเรื่องนี้

วงกลม คือ Address ซึ่งอาจจะเป็นของใครก็ได้ และ Address หนึ่งสามารถเชื่อมถึงผู้ใช้งานหลายคน

เส้นที่ลากระหว่างวงกลม แสดงให้เห็นถึงทิศทางการโอนของ Bitcoin โดยสีบนเส้นจะบอกว่า Bitcoin มาจากใคร เช่น เส้นโยงสีเขียว ไปหาวงกลมสีแดงคือการขโมย 25,000 BTC ไปให้โจร

จะเห็นว่าจากภาพนี้ สิ่งที่เกิดขึ้นมี ดังนี้

  1. การโอนจำนวนเล็กๆออกจาก Address ของเหยื่อ (เส้นสีเขียวหลายเส้นที่ลากออกมาจากวงกลมสีเขียว)
  2. การโอนก้อนใหญ่ 25,000 ไปให้โจร (เส้นสีเขียวเส้นเดียวที่ลากจากวงกลมสีเขียวไปยังวงกลมสีแดง)
  3. การโอนแบบกระจายตัวไปมาหลากหลาย Address จาก Address ของโจร (เส้นสีแดงหลายเส้นที่ลากออกไปจากวงกลมสีแดง)
  4. โจรคนนี้ยังได้บริจาคบางส่วนให้กับกลุ่ม hacker LulzSec ด้วย (เส้นสีแดงบนสุด)

ถ้าเราลองวิเคราะห์ตาม และคิดซะว่าเราเป็นโจรคนนี้ สิ่งที่เราต้องทำอย่างแรก คงเป็นการปกปิดเงินนี้ โดยอาจจะกระจายไปตาม Wallet ต่างๆที่เรามีอย่างละหน่อยๆ แล้วพอได้จังหวะ ก็อาจจะโอนเข้ามาที่บัญชีของเราเพื่อจะได้เอาออกไปใช้งาน

แต่ด้วยความเป็น Blockchain ที่เป็นบัญชีที่ทุกคนเห็นทุกๆการเคลื่อนไหวของ Bitcoin ทำให้เราตามไปได้จนเจอว่า Bitcoin ไปสิ้นสุดอยู่ที่ กลุ่ม hacker LulzSec นั่นเอง ก็คงไม่ยากที่เราจะสรุปได้ว่า LulzSec คือ ผู้ร้ายของเรา

แต่ความจริงแล้วมันไม่ใช่อย่างนั้น

ภาพที่สองนี้ คือ การขยายภาพแรกและลบรายละเอียดอื่นๆที่ไม่สำคัญกับการวิเคราะห์ทิ้งไป ในภาพนี้เราจะเห็นว่า ตัวเหยื่อเอง และผู้ร้าย ถูกเชื่อมต่อกันเป็นวงจร โดยมีตัวละครใหม่มาอีก 2 ตัว ดังนี้

สีม่วง คือ ตัว Slush Pool เอง ที่เป็นผู้จ่ายรางวัลจากการขุดให้กับนักขุดที่คนที่มาเข้าร่วม pool นี้

สีเหลือง คือ บุคคลปริศนา ที่เป็นนักขุดใน Slush Pool เช่นกัน

ในภาพนี้ จะมีการใส่วันเวลาของการโอนที่เกิดขึ้นด้วย ทำให้เห็นภาพชัดขึ้นว่าอะไรเกิดขึ้นก่อนหลัง

  1. เส้นสีม่วงอันบน คือการจ่ายเงินรางวัลการขุดจาก Slush Pool ไปยังบุคคลปริศนา
  2. เส้นสีม่วงอันล่าง ที่มีตารางแนบมาด้วย นี่คือรางวัลจากการขุดของเหยื่อของเรา ที่มีปริมาณถึง 441.83 BTC ในช่วงเวลา 70 วัน
  3. เส้นสีเขียวที่ลากไปยังเส้นสีแดง คือ การขโมย Bitcoin โดยมีการโอนครั้งแรกจำนวน 1 BTC แล้วตามด้วย 25,000 BTC
  4. โจรได้ทำการโอน Bitcoin ไปให้ LulzSec และบุคคลปริศนาสีเหลืองก็ยังเคยมีการโอน Bitcoin ไปให้ LulzSec ด้วย แต่ที่เวลาต่างกัน

ถ้าดูจากเวลาของการโอนที่เกิดขึ้นในภาพ จะเห็นว่าโจรคนนี้โอนให้กลุ่ม hacker LulzSec หลังจากเกิดการขโมย 1 BTC จากเหยื่อแล้ว หลังจากนั้นจึงตามมาด้วยการขโมย 25,000 BTC

และยังมีสิ่งที่น่าสนใจเพิ่มเติม คือ บุคคลปริศนาที่เพิ่มเข้ามา เชื่อมต่อเส้นทางระหว่างโจรและเหยื่อให้เป็นวงกลม น่าประหลาดมากที่เขาคนนี้ก็เคยโอนเงินให้ LulzSec เหมือนกันกับโจร แต่มันเกิดขึ้นก่อนจะมีการขโมยแค่ 1 วัน อาจจะเป็นเรื่องบังเอิญก็ได้

จากข้อมูลใหม่นี้ สรุปได้ว่า ผู้ร้ายคนนี้อาจจะไม่ได้เกี่ยวข้องอะไรกับ LulzSec เพราะเงินที่ hacker กลุ่มนี้ได้ไปนั้น เป็น BTC ของนายโจรคนนี้จริงๆ ไม่ใช่ BTC จาก 25,000 ที่จะโดนขโมยในลำดับต่อมา ถ้าไม่ใช่เพราะโจรคนนี้ ชื่นชอบในกลุ่ม LulzSec อยู่แล้ว และอยากบริจาคให้พวกเขา หรือโจรคนนี้อาจจะรู้ว่าในอนาคตอาจจะมีคนอย่างพวกเรามาคอยไล่ล่าหาเบาะแสของเขาอยู่ และเขาก็พยายามที่จะส่งเราไปผิดทาง

แล้ว 25,000 BTC นั้น ไปไหน?

ในภาพสุดท้ายนี้ ยิ่งซับซ้อนกว่าเดิม เพราะมันคือการซูมออกมาดู เครือข่าย Blockchain ในภาพที่ใหญ่ขึ้น และจะได้เห็นว่า 25,000 BTC นี้ ไปไกลจากตัวละครไม่กี่ตัวที่เราวิเคราะห์ผ่านมามาก เราสามารถทำความเข้าใจภาพนี้ได้ ดังนี้

  1. กล่องทางด้านซ้ายมือ คือ Theft Reporter (เหยื่อ) ถูกขโมยไปโดย Alleged Thief (โจร) และถ้าตามดูจากลูกศร จะเห็นกระแส BTC ที่ไหลออกไปด้วยความพยายามที่จะกลบร่องรอยของ BTC ที่ขโมยมา
  2. กล่องทางด้านขวามือ คือ การเคลื่อนไหวของ BTC กระแสที่หนึ่ง ที่พยายามจะแตกตัวออกมาเป็น กระแส A และ B แต่สุดท้าย BTC ที่มาฝั่งนี้ ไปรวมตัวกันที่ C ซึ่งเป็น Address ของใครก็ไม่ทราบได้
  3. อีกกระแสหนึ่งที่วิ่งจากกล่องแรก ไปยังตัว Y นั่นคือการกระจายตัวของ Address เล็กๆน้อยๆ ที่ต่างก็รับ Bitcoin ที่มาจาก 25,000 Bitcoin นี้ไปคนละนิดหน่อย นี่อาจจะเป็นทางตันของเราแล้ว ถ้า Address แทบทุกอันตรงนั้น ไม่โอนทุกอย่างเข้าไปยัง Online Wallet ชื่อ MyBitcoin ในตอนจบ

สรุป กระแส BTC ของ 25,000 นี้ วิ่งไป 2 ทาง

  1. วิ่งลงไปหา C ซึ่งเป็นบุคคลปริศนาที่เรายืนยันตัวไม่ได้ คาดว่าเป็นบัญชีสำรองที่เอามาไว้พักเงินบางส่วน
  2. ที่เหลือ วิ่งไปทาง Y และ BTC ส่วนใหญ่ ไปบรรจบกันที่ Wallet ของ user หนึ่งของ MyBitcoin

นั่นแสดงว่า เรามีเบาะแสว่า ผู้ร้ายของเราอาจเป็นผู้ใช้งาน MyBitcoin และถ้าผู้ให้บริการ MyBitcoin คิดจะเปิดดูข้อมูลว่าโจรคนนี้เป็นใครจาก Address ที่ได้รับ BTC มหาศาลนี้ พวกเขาก็สามารถทำได้ และจะสามารถจับโจรคนนี้ได้

ปริศนาเริ่มซับซ้อนไปกว่านั้น เมื่อ Address จาก MyBitcoin Wallet ของคนที่เราคิดว่าน่าจะเป็นโจรนี้ เคยเกี่ยวข้องกับการขโมย BTC อีกครั้งหนึ่งก่อนหน้านี้ด้วย เราอาจจะกำลังพบกับการโจรกรรมต่อเนื่องโดยมีเบื้องหลังเป็นโจรคนเดียวกันอยู่ ก็เป็นได้

สิ่งที่เราเรียนรู้จากคดีนี้

  1. ดูแลรักษาทุกๆ Account ทุกๆ Wallet ของท่านให้ดี เพราะเมื่อโดนขโมยแล้ว ทุกอย่างจะหายไปในพริบตา ตั้งรหัสผ่านให้แน่นหนาที่คนอื่นเดาไม่ได้ และใช้ 2 Factor Authentication เพื่อเพิ่มความยากในการเข้าถึงข้อมูลของเรา
  2. Blockchain เป็นระบบบัญชีแบบกระจายตัวและสาธารณะ เราสามารถเห็นการโอนไปมาในระบบนี้ได้ โดยไม่ต้องขออนุญาตใคร รู้ได้ด้วยว่า Address นี้มียอดเงินเท่าไร นักวิจัยกลุ่มนี้ถึงขนาดวาดออกมาเป็นกราฟได้เลย ทำให้เห็นภาพรวมของ Blockchain ได้ชัดเจนขึ้นว่า ณ จุดนั้น มี Bitcoin ไปอยู่ที่ไหนบ้าง
  3. Blockchain อาจจะไม่ได้สร้างความเป็นส่วนตัว หรือความนิรนามมากนัก ซึ่งอย่างที่กล่าวไปแล้วว่า สิ่งนี้ไม่ใช่เป้าหมายหลักของ Bitcoin การใช้ Address แทนตัวเอง ถึงจุดหนึ่ง มันก็มีสิทธิ์ตามกลับมาหาเราได้ ถ้าเรากระทำการ Address Reuse หรือเมื่อมีตัวกลางอย่างเช่น Pool ขุด หรือ Online Wallet ที่ถือข้อมูลเอาไว้อยู่ว่าเราเป็นใคร

กดคลิกเพื่อแสดงความเห็น

ซ่อนความเห็น