Válaszolok magamnak:
A cikkből egyértelműen kiderül, hogy noha a magyarázatban végig csak a .*.*=.* szerepel, ezt a regexet azért így írták meg, mert van benne csoportosítás - azaz nagy eséllyel egy általunk már nem ismert részben hivatkoznak ezekre a (zárójellel körülvett) részekre. Azaz technikailag .*(.*=.*) szerepel, ez pedig nem illeszkedik másra, mint a zárójel nélküli forma, de a zárójelek miatt lehet más az eredménye - ha például a logokba betesz dolgokat arról, hogy a waf mit fogott meg.
Mutatom (nagyon bugyuta perl kód, bocsánat):
$ perl -n -e 'print $1 ."\n" if m/.*(.*=.*)/;' << q
> Alma=Jonatán
> q
=Jonatán
$
Míg ha kihagyjuk a zárójeleket, akkor:
$ perl -ne 'print $1 ."\n" if m/.*.*=.*/;' << q
> Alma=Jonatán
> q
$
Összefoglalva: minden bizonnyal van oka, hogy az eredeti regexet így írták meg, de mivel a zárójelezés sem az illeszkedés tényét, sem a helyét, sem a hosszát - de leginkább az illeszkedés megkeresésénél a backtracking lépések számát nem befolyásolja (csak azt, hogy a megtalált sztringből megjegyez-e valamit későbbi feldolgozásra), a magyarázatban már törölte a szerző.
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?