Topic: Thodex Cüzdanlarının Analizi (Read 170 times)

Benim anlamadığım şey şu, forumdaki paylaşımdan biliyoruz, destek(!) ekibinin cüzdan adresi yerine private key verebildiği kadar teknik anlamda yetersiz bir ekip tarafından yürütülen bu borsa 4 yıl nasıl ayakta kaldı?
Buradan da şuna geliyorum, bunların en baştan exit scam niyetiyle işe giriştiğini zannetmiyorum, bana göre olan şu, gayet acemice ve büyük sorunları görmezden gelerek yürütülmeye çalışılan bir projede bir noktada deniz bitti ve battı balık yan gider mantığıyla, "iş olmadı ama para bende" diyerek topuklayıp tüydüler.
Arkadaşın büyük ölçüde tosuncuktan etkilendiğini düşünüyorum ama bence tosun daha kurnaz, tam bu işlerin adamı, başını da böbürlenme merakı yakacak. Bu vatandaş ise çok zaman geçmeden enselenir çünkü hal ve hareketleri profesyonel tokatçı profiline uymuyor.

Twitter'da yine birileri didik didik etmiş cüzdanları ve tüm ağlarda ki toplam çalınan miktarın 150 - 160 Milyon dolar seviyelerinde olduğunu söylüyor. Haberlerde çıkan 2 Milyar dolar rakamlar ama gerçekten saçmalıktan başka birşey değil.

Konudaki arkadaşların dediği gibi 10 Milyon Dolar civarı Türkiye şartlarında gerçekten güzel rakamlar. Umarım bir an önce yakalanır ve gerçekler gün yüzüne çıkar.

Elinize sağlık güzel bir analiz rapor olmuş. Ama gerçek değerler ena az 1 yıl sonra masak tarafından ortaya çıkartıla bilir diye düşünüyorum. Epey bir trafik analizi yapmaları  gerekecek. Ayrıca kendi içinde yaptıkları paralel işlemlerin ayıklanması gerekecek. Kandırmak için kullandıkları işlemlerin ortadan kaldırılması.

Mükemmel bir yazı olmuş, elinize sağlık. Heyecanla ve ilgiyle okudum. Haberci geçinen konudan bir haber olan insanlar halka milyarlarca vurulmuş gibi bir algı yaratıp kripto paraları lekelemeye çalıştı, sizin detaylı çalışmanız ise ders niteliğinde olmuş.

Yalan yok, bahsettiğiniz gibi 4-6 milyon ya da 10 milyon dolar gibi bir para çalınmış olacağını düşünmüyordum, çok daha yüklü bir vurgun bekledim ben de. Fakat bu miktar için kırmızı bülten çıkartılıp adamın yakalanmaya çalışılması da bir garip gelmedi değil

Harıka bı analız olmus ellerınıze saglık merıtım olsa bende gonderırdım akıllara zarar acıklamalar var tvlerde 2 mılyar dolar falan hep hıkaye o zaman keske batmasaydı da ınsanlar magdur olmasaydı

@Bthd

Bütün hususlara katılıyorum. 2 ilave yapabilirim:

1. Hack olayı tek bir büyük işlem yerine çok sayıda işleme yayılmış olabiliyor.
2. Destek servisleri neredeyse her şirkette amatör hareketler sergileyebiliyor. Thodex'in yazılım ekibi ise GitHub'ta incelediğim kadarıyla fena değil. Kullanıcı nazarıyla da Thodex yazılımının hiç de fena olmadığını düşünüyorum. Çeşitli irili ufaklı buglar her borsa gibi onlarda da vardı elbet. Ama borsa yazılımı yazmak gibi ağır bir işin altından kalkmayı başarmışlar sonuçta. Blokzincir entegrasyonları da gayet stabildi (gerçekleşmeyen çekimler genelde para olmadığı için). Yazılım kıyaslaması yapacak olsak, kendim de bir yazılımcı olarak, Thodex > BtcTurk derim.

Eski bir hack olayından bahsetmek en azından ethereum cüzdanlarından yola çıkarak mümkün değil. Borsanın bitcoin cüzdanlarını incelemeden bir şey söyleyemem ancak borsadan en güçlü çıkışın 2 sene önce 1 ayda yaklaşık 5500 ethereum ile binance borsasına yapıldığı görülüyor. Nakit ihtiyaçlarını karşılamak için yaptıklarını düşünsek bile satılan birimler USDT v.b. olarak cüzdana geri dönmemiş.

Hala aynı cüzdanlar kullanılmaya devam edildiğine göre bu süreçte yaşanmış bir hack olayından bahsetmek çok mümkün değil. Belki o aralıkta da büyük bir çıkış yapmışlardı kendileri fakat ana kullanıcı profilinin düşük bilgi seviyesinde olduğu düşünüldüğünde çok az miktarda gelecek çekim taleplerini karşılamakta zorlanmamışlardır. Sonuçta bakiyelerini görmek isteyen kullanıcılar cüzdan sekmesine baktığında hayali rakamlar görmeye devam edebilirlerdi.

Belki de o zamanlar bir çıkış planı vardı ancak döndürebildiklerini görünce devam ettiler. Hangi açıdan bakarsanız bakın yapılan işlemler bilinçli yapılmış görünüyor. Teknik ekiplerinin bilgi seviyesinin ne kadar düşük olduğunu anlatan bir kaç yazı paylaşmıştım (TxID - Private key ayrımı yapamayacak derecede). Piyasada uzun vadeli tutunarak iş yapmak istemedikleri belliydi.

Soruşturmada gerçekleri konuşan birileri çıkarsa merdiven altı olarak tabir edebileceğimiz benzeri borsalarda ne kadar kirli işlerin döndüğünü ve piyasayı nasıl kirlettiklerini çok daha iyi görebiliriz.

22 Nisan'da gerçekleşen çekimi kimin yaptığını düşünürken yanlış gönderimi kurtarmak isteyen kullanıcılara private key paylaşarak hizmet verdikleri bilgisini eklerseniz birden fazla kişinin kullanıcı private keylerine doğrudan ulaşma şansı olduğunu anlayabilirsiniz. Tabi bu durum çekim hizmeti sundukları ana cüzdanlar için daha farklı olabilir.

Bu ihtimal var evet, ölçümü mümkün olmadığı için ben de hesaba dahil etmedim. Diğer yandan kişisel "tahminim" bunun olmadığı yönünde. Hack olayını inandırıcı buluyorum. Son birkaç yıldır, çalınan parayı yerine koymak için uğraştıkları bana inandırıcı görünüyor. Borsaya müşteri çekmek için türlü reklamlar çekilişler de "bence" hep bu telafiyi hızlandırmak içindi. Başından beri dolandırıcılık amacıyla yola çıkmış olsalardı bence bunun için 4 yıl beklemezlerdi. Tabi bunlar hep tahmin... İç yüzünü öğrenmek için soruşturmayı beklemek zorundayız.

Şu aşamada benim en çok merak ettiğim şey 22 Nisan'da borsa kapalıyken sabaha karşı bu şaibeli çekimleri yapan kişinin kim olduğu. CEO talimatıyla mı yapıldı yoksa kendi hesabına çalışan bir çalışan mı yaptı merak ediyorum. 62 kişi gözaltına alındığına göre yakında cevabı öğreniriz.

@Vcob92
Teşekkür ederim.

Ellerinize sağlık, meritim olmadığı için veremiyorum...

Bende kripto anlamında rakamın abartıldığı kadar yüksek olmadığını düşünüyorum. Hayali satışın daha ağır olduğunu düşünüyorum. Buda ancak şirket verileri ve banka hesaplarıyla ortaya çıkar.. Hele global piyasalarla oluşan fiyat farkının doğurduğu arbitraj imkanının kullanıcıların iştahını kabarttığınıda düşünürsek, TL girişinin ve hayali varlık satışının daha fazla olabileceğini varsayabiliriz.

Çalınan miktar hesaplanırken borsanın tüm hacminin işleme dahil edildiği noktasında hemfikiriz. Yani bahsi geçen 150 milyon dolar gerçek değerin çok uzağında bütün cüzdanları incelememekle birlikte ana ethereum cüzdanları ile bağlantılı hesaplarda gerçekleştirilen yüklü işlemleri incelerseniz miktarın maksimum 10 milyon dolar civarında olduğu söylenebilir. Bunlara BTC, Doge, XLM, XRP gibi diğer varlıkları da eklediğinizde ortaya çıkacak maksimum tutar 50 milyon dolar civarındadır (bu tutara borsanın daha öncede kaçırmış olduğu tutarlar dahil değildir). Hesaplamanızda sadece son tarihleri ele almışsınız fakat bu çıkış ve usulsüz işlemler çok daha önceden başlamış olabileceği için gerçek tutarı hesaplamanın imkansız olduğunu söyleyebilirim. Sadece borsanın resmi kaynakları üzerinden kullanıcı bakiyeleri toplanarak gerçek tutarlara ulaşılabilir.

Daha önce ana cüzdanla bağlantılı cüzdanlar üzerine yaptığım çalışma:

Merhaba,

Thodex olayına dair bir cüzdan incelemesi yaptım. Gazetecilerin, savcıların, avukatların ve konuya ilgisi olan herkesin kullanımı için aşağıda paylaşıyorum. Bitcointalk kaynak göstererek alıntı yapılabilir.

Öncelikle bu bir dolandırıcılığa benzemiyor, daha çok iflasa ve devamında yaşanan yolsuzluğa benziyor. Çiftlikbank olayına benzetmekse tamamen akıldışı; ortada 4 yıldır faaliyet gösteren gayet normal görünümlü bir borsa var. TL gönderebiliyor, kriptopara satın alabiliyor ve bunu kendi cüzdanınıza çekebiliyordunuz. Basındaki "2 milyar dolar" iddiaları da ekonomi muhabirlerimizin hali bakımından umutsuzluk verici. İddia galiba Twitter'dan çıktı. Haber kaynaklarının çoğu da bunu gerçekmiş gibi haberleştirdiler.

2 milyar dolar iddiasından sonra daha makul bir iddia Muhabbit'te yayınlanan araştırmada ortaya atıldı: 150 milyon dolar. Ancak bunda da ciddi sıkıntılar görüyorum. Muhabbit son 3 ayda Thodex cüzdanlarından yapılan tüm çekimleri toplayarak bu sayıya ulaşmış. Dolayısıyla bu rakama kullanıcı çekimleri de dahil; üstelik arbitraj vs nedeniyle aynı parayı tekrar tekrar çeken kullanıcılar da var. 150 milyon doların tamamına çalıntı olarak bakmak çok büyük yanlış. Diğer yandan yayınladıkları listedeki bazı hesapların aslında Thodex'e ait olmadığı belli oluyor.

Örneğin aşağıdaki 3 adres Thodex'e ait kabul edilmiş. Ancak bu adresler, transferlerden görüldüğü üzere kesinlikle Thodex cüzdanı değil, bilakis Binance'te yer alan 3 adet kişisel adres. Bu kullanıcılar Thodex midir başkası mıdır bilemeyiz. 150,000,000 doların içindeki yaklaşık 5,000,000 dolar bu adreslerden gelmiş.

• https://etherscan.io/address/0x7a9d7fda8ef48d2da6bbdd875bb9e007e1e07794
• https://etherscan.io/address/0x12e20be2F1560E914f0B384815C8fC58066CEa9A
• https://etherscan.io/address/0xF203551e9D9440a282273BA2b939Db89D16a7bee

1 Cüzdanlar

NOT: BTC, LTC, DOGE gibi ağların takibi çok zor olduğu için bu incelemede yer almamıştır. Bunun dışındaki ağlar için Thodex cüzdan adresleri mevcut olmadığı için onlar da incelemede yer almamıştır.

NOT: İncelemede yer alan 0xb6b9...ccc2 adresi Muhabbit'te yayınlanan rapordan elde edilmiştir. Diğer adreslerin tamamı kendi tespitimdir ve doğruluğu kesindir.

1.1 ETH ve ERC20 Tokenler

1.1.1 0x2149...a74c

Cüzdan boş durumda, yaklaşık 300 dolarlık bakiye mevcut. 23 Ocak 2021'e kadar bakiye belli bir dengeye sahipken (ETH), bu tarihten itibaren çekimler yatırmalara baskın gelmiş ve bakiye sürekli erimiş. Son 1 yıllık ETH bakiyesi:



Borsanın kapatıldığı 20 Nisan 2021 tarihinden sonra bu adresten 2 farklı hedefe çekimler yapılmış. Tüm bu çekimler 22 Nisan günü saat 03:30 - 07:00 aralığında yapılmış:

1. Binance'ta bir hesaba (0xdab8...9e96):

• 25,708,232 HOT (Güncel değeri: $327,008)
• 5,898.98952 LINK (Güncel değeri: $195,787)
• 177,009.37476 BAT (Güncel değeri: $207,100)

2. Kişisel bir cüzdana (0x36c4...b019):

• 115,828 USDT (Güncel değeri: $115,828)
• 15.105 MKR (Güncel değeri: $59,446)

Yani borsa kapandıktan sonra bu adresten toplamda $905,169 çıkarılmış.

Bu transferler devlet yetkililerinin el koyması neticesinde yapılmış olabilir mi diye biraz araştırdım. Thodex şirketinde yapılan aramalarda bilgisayarlara el konulduğuna dair en erken haber 22 Nisan'da saat 21:39'da internete düşmüş. Ayrıca sözkonusu transferler için gereken private key'ler muhtemelen şirkette değil sunucularda ve belki de evden çalışan personelde tutuluyordu. Bu durumda bu transferlerin devlet yetkilileri tarafından yapılmadığı kesin. Zaten hedeflerden birisinin Binance olması bu ihtimali ortadan kaldırıyor.

1.1.2 0xb6b9...ccc2

Bu cüzdan Thodex'in soğuk cüzdanı veya borsa sahibinin kişisel cüzdanı. Sadece ETH için kullanılmış, ERC20 tokenleri tutulmamış. Güncel bakiyesi $800 civarında. Diğer sıcak cüzdandaki bakiye azaldıkça buradan oraya takviye yapılmış. Bazen de harici borsalara yüklü çekimler sıcak cüzdan yerine doğrudan bu cüzdandan yapılmış. Bunlar müşteri çekimi midir; yoksa borsa kendisi harici borsaya para mı göndermiştir bilemiyoruz. Ama bu haricî transferler genelde eski tarihli; borsanın kapanma süreciyle bir ilgisi yok gibi duruyor (kişisel görüşüm).  Son 1 yıllık ETH bakiyesi:



1.2 XLM - GAUJ...W6AY

Güncel bakiyesi 35,286 XLM ($15,307). Borsa kapandıktan sonra yapılan tek çekim 4 XLM'lik bir çekim. Saat 19:56'da, yani borsa kapanmadan 4 dk önce, 28,799 XLM'lik bir çekim yapılmış; ama bunun kullanıcı çekimi olması yüksek ihtimal; çünkü XLM çekimleri o gün sorunsuz çalışmış.

1.3 XRP - ryBA...sGWZ

Cüzdanda 7,200 XRP var ($7,344). Borsa kapandıktan sonra herhangi bir çekim yapılmamış. Borsanın XRP rezervi kullanıcıların kaçması nedeniyle tükenmiş görünüyor. Borsa sahibinin iddia ettiği gibi 2018 yılında bir hack yaşanmışsa, çalınan paralar arasında XRP de olabilir.

1.4 TRX ve TRC20 Tokenler - TVaw...S4ZM

Cüzdanın güncel bakiyesi 16,969 TRX ($1,791). Borsa kapandıktan sonra 22 Nisan'da saat 05:44'te 25,831,640 TRX çekilmiş ($2,738,153). Ayrıca bundan biraz önce saat 05:40'ta 15,280 USDT çekilmiş.

1.5 EOS - koineksadres

Cüzdanın güncel bakiyesi 112,459 EOS ($555,552). Borsa kapandıktan sonra hiçbir çekim yapılmamış.

2. Bilanço

Kayıplar:

• Borsa yetkilileri tarafından yapılan şaibeli kriptopara çekimleri, borsanın kapalı olduğu 22 Nisan günü saat 03:30-07:00 aralığında gerçekleşmiş. Yapılan toplam çıkış $3,658,602.
• İncelemede yer almayan kriptopara türlerinde yaşanan muhtemel kayıplar. Bunlar arasında öne çıkanlar BTC ve DOGE; ancak Thdoex'te BTC ve DOGE çekimlerinin son haftalarda gerçekleşmediğini gözönüne alırsak bu 2 bakiyenin sıfır olduğunu varsaymak mümkündür.
• Borsadan yapılan bir diğer çıkış, Faruk Fatih Özer'in iddiasına göre 2018'de yaşanan siber hırsızlık neticesinde kaybolan 25,000,000 TL tutarındaki kriptoparalardır.

Kalanlar:

• Borsanın bilinen cüzdanlarında ardakalan bakiyeler toplamda $581,094. Bu bakiyenin kontrolünün borsa yetkililerinde olduğu unutulmamalıdır. Her an başka bir cüzdana çekilebilir.
• İncelemede yer almayan kriptopara türlerine ait cüzdanlardaki muhtemel bakiyeler.
• Haberlerde yer alan bilgiye göre Thodex'e ait el koyulan banka hesaplarındaki toplam bakiye 31,000,000 TL.

3. Sonuç

Todex personeli kaynaklı olan, gerçek kriptopara transferleri üzerinden gerçekleşen çalıntı miktarı 4-6 milyon dolar aralığındadır. Thodex'in hacim olarak oldukça ölü bir borsa olması da bu aralığı teyit etmektedir. Bunun dışında eğer borsanın insanlara hayalî kriptopara satması sözkonusu olmuşsa, bu şekildeki yolsuzluğun tespiti eldeki verilerle mümkün değildir. Mağdurların beyan ettiği tutarları toplamak bu anlamda bir fikir verebilir.