Back to Blog

Cómo rastrear fondos salientes de una dirección usando MetaSleuth

MetaSleuth
December 13, 2023
6 min read

En este tutorial, describiremos la funcionalidad de seguimiento de fondos de MetaSleuth. Durante la investigación, generalmente queremos rastrear los fondos salientes de una dirección. MetaSleuth facilita este proceso al admitir el seguimiento del flujo de fondos desde una dirección.

Tutorial de MetaSleuth: Usa el análisis avanzado de MetaSleuth para el seguimiento ligero de fondos

A continuación, mostramos un ejemplo real del seguimiento de una víctima de phishing para demostrar esta funcionalidad. La dirección rastreada es ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).

¿Qué es el seguimiento de fondos y por qué MetaSleuth?

Desde sus inicios, MetaSleuth tiene como objetivo proporcionar a los analistas capacidades de análisis visual más convenientes. Tras sumergirse en el grupo de investigadores on-chain y la comunidad Web3, descubrimos que una de las tareas más comunes es rastrear los fondos salientes de una dirección específica dentro de un rango de tiempo definido.

Por ejemplo, esto implica rastrear fondos robados desde la dirección de una víctima para recuperarlos, monitorear los objetivos de los inversores inteligentes para mejores inversiones, y rastrear transacciones sospechosas con fines de prevención de lavado de dinero (AML).

Sin embargo, el flujo de fondos desde estas direcciones activas puede ser extremadamente complejo, involucrando múltiples tokens, diversos destinos y abarcando largos períodos. Esta situación sí genera dificultades para los investigadores on-chain, quienes deben dedicar tiempo a extraer información relevante para su análisis.

Para resolver este problema, MetaSleuth ha proporcionado la solución más ligera / mejor experiencia de usuario / más rápida entre todas las herramientas de asistencia.

Detalles del caso

  • Antecedentes: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) ha sufrido grandes pérdidas en una estafa de phishing. Y un furioso investigador on-chain fue encargado de descubrir a dónde van los fondos robados y revelar grupos de phishing ocultos.

  • Herramientas de asistencia: la función de análisis avanzado en Metasleuth.io

  • Pistas conocidas

    Víctima:ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

    Fecha: alrededor del 2023.02.25-2023.02.27

    Activos perdidos: token desconocido, cantidad desconocida

    Red: Ethereum

Paso 1: Seleccionar la dirección

Visita MetaSleuth, selecciona la red blockchain correspondiente (por defecto es Ethereum) e ingresa la dirección de origen de los fondos, es decir, ryanwould.eth. MetaSleuth resolverá la dirección correspondiente basándose en el nombre ENS. Luego, en el lado derecho del cuadro de búsqueda, utiliza la función principal de MetaSleuth, Advanced Analyze.

Punto de entrada de Metasleuth.io
Punto de entrada de Metasleuth.io

Paso 2: Seleccionar la dirección

Después de ingresar al panel de configuración de Análisis Avanzado, podemos elegir la dirección de los fondos y el rango de tiempo. En esta tarea, solo nos enfocamos en la salida de fondos (out) y el período de tiempo alrededor de cuando ocurrió el phishing (2023-02-25->2023-02-28). Después de completar la configuración, hacemos clic en aplicar y presionamos Enter para ingresar al lienzo.

Configuración de análisis avanzado
Configuración de análisis avanzado

Paso 3: Generar el primer gráfico de flujo de fondos

¡Excelente! Metasleuth.io genera rápidamente un gráfico visual de todos los flujos de fondos salientes entre el 25 de febrero de 2023 y el 28 de febrero de 2023. Gracias a esta función, ahorramos mucho tiempo en la clasificación de datos.

Además, aprovechando las etiquetas de direcciones mantenidas por MetaSleuth, podemos identificar fácilmente que dentro de este breve período de tiempo, solo se detectaron dos flujos de fondos inusuales, ambos dirigidos hacia la dirección "Fake_Phishing11227". Estas transacciones anómalas involucraron 1.842 USDC y 519.351 tokens DATA, como se muestra en el gráfico.

El flujo de fondos inicial
El flujo de fondos inicial

Paso 4: Filtrar los tokens de interés

Para una mejor visualización, abrimos el elemento de configuración de tokens, eliminamos otros tokens predeterminados, dejando solo los tokens robados (USDC, DATA), y luego confirmamos nuestros cambios.

Filtro de tokens
Filtro de tokens

Paso 5: Extender el flujo de fondos de la dirección de interés

El flujo de fondos se vuelve extremadamente conciso y claro. Para rastrear la salida de fondos, extendemos aún más el segundo salto de la transferencia de fondos. En el segundo salto de la relación de transferencia de fondos, descubrimos que la dirección de phishing "Fake_Phishing11227" transfirió los fondos robados a Airswap e intercambió tokens a través de Airswap.

El flujo de fondos filtrado
El flujo de fondos filtrado

Paso 6: Procesar la operación de intercambio de tokens

Debido a nuestra configuración de filtrado de tokens, solo nos enfocamos en DATA y USDC, lo que ocultó el proceso de intercambio de tokens. Para abordar esto, agregamos ETH a la configuración de tokens y añadimos nuevamente la transacción de intercambio (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). Con esta actualización, ahora tenemos una vista completa del proceso de intercambio de tokens. El actor de phishing intercambió tokens USDC y DATA a través de AirSwap y obtuvo 14,58 ETH. En esta etapa (2022-02-27 22:30), centrarse únicamente en USDC y DATA ya no sería significativo. Necesitamos rastrear el camino del ETH adquirido para descubrir direcciones de phishing adicionales.

Agregar transacción
Agregar transacción
El flujo de fondos completo
El flujo de fondos completo

Paso 7: Filtrar aún más con rango de tiempo

Por lo tanto, continuamos con el Análisis Avanzado de la dirección de phishing "Fake_Phishing11227". Del mismo modo, solo nos enfocamos en los fondos salientes, y el rango de tiempo entre el 27 de febrero de 2023 y el 28 de febrero de 2023. Procedemos haciendo clic en el botón "Analizar" para continuar con el análisis.

Botón de análisis adicional
Botón de análisis adicional

Paso 8: Detener la investigación al encontrar destinatarios de interés

Hemos obtenido los destinos de los fondos de "Fake_Phishing11227" dentro del rango de tiempo especificado. Parece que hay numerosas direcciones receptoras involucradas, lo que indica un proceso de distribución de los fondos obtenidos ilícitamente.

Entre todos los destinatarios, las direcciones "offtherip.eth", "Fake_Phishing76579" y "Fake_Phishing7064" recibieron la mayor parte de los fondos distribuidos, por un monto de 10,36 ETH, 8,36 ETH y 1,85 ETH, respectivamente.

Basándonos en esta proporción de distribución, consideramos a offtherip.eth como la entidad más sospechosa en esta investigación y llamamos la atención sobre ella.

Resultado final del rastreo
Resultado final del rastreo

Al obtener la dirección inusual "offtherip.eth", los pasos adicionales pueden requerir el uso de técnicas no relacionadas con blockchain, como el análisis de ingeniería social. Sin embargo, en este análisis centrado en las transferencias de fondos on-chain, metasleuth.io ha proporcionado una gran cantidad de asistencia técnica conveniente, permitiendo que todo el análisis se complete en menos de 10 minutos.

Conclusión

  • Víctima: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
  • Fecha: 2023-02-27 22:00
  • Activos perdidos: 1.842 USDC, 519.351 DATA
  • Red: Ethereum
  • Destino de los fondos:
  • Primer salto: Fake_Phishing 11227
  • Segundo salto:
  • offtherip.eth
  • Fake_Phishing76579
  • Fake_Phishing7064
  • Tiempo de análisis consumido: <10 min

Usa metasleuth.io para hacer el análisis fácil y la tecnología accesible.

Acerca de MetaSleuth

MetaSleuth es una plataforma integral desarrollada por BlockSec para ayudar a los usuarios a rastrear e investigar eficazmente todas las actividades cripto. Con MetaSleuth, los usuarios pueden rastrear fondos fácilmente, visualizar flujos de fondos, monitorear movimientos de fondos en tiempo real, guardar información importante y colaborar compartiendo sus hallazgos con otros. Actualmente, admitimos 13 blockchains diferentes, incluyendo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) y más.

Sitio web: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation