Back to Blog

MetaSleuthでオンボーディングプロセスを強化:Tornado Cashのケーススタディ

MetaSleuth
February 26, 2024

著者:JP Intelligence On Chain

背景

仮想通貨の世界では、2022年には世界中で37億ドルの盗難が発生するなど、多くの混乱が見られました。2023年にはこれらの盗難はわずかに減少しましたが、オンラインでの盗難の全体的な傾向は依然として上昇しています。

リサーチ・捜査機関であるIntelligence Onchainの創設者であり、BlockSecなどの信頼できるパートナーとの提携を通じてプロトコルが悪用されるのを防ぐことに特化したArmoredの創設者でもあります。このブログでは、JPがMetasleuthの洞察に満ちた概要を提供します。Metasleuthは、被害者、法執行機関、弁護士にとって有意義な方法でトランザクションを視覚化するために不可欠なツールです。

内容

私はJP、リサーチ・捜査機関であるIntelligence Onchain、そしてBlockSecなどの著名なパートナーとの数多くの協力関係を通じてプロトコルが悪用されるのを防ぐことに特化した企業であるArmoredの創設者です。

今日は、私がほぼ毎日使用しているツールであるMetasleuthについてお話ししたいと思います。これは私の捜査を支援し、被害者、法執行機関、弁護士にとって有意義な方法でトランザクションを視覚化するのに役立ちます。Metasleuthは、IOCのすべての捜査官が捜査に使用するのに好都合な視覚化ツールです。Metasleuthのようなツールを使用することがなぜ非常に重要なのかを掘り下げてみましょう。

視覚化技術

ナビゲーションに関して、資金は通常左から右に流れますが、特にチャートが拡大する場合には例外もあります。ここではさまざまなノードと対話できます。たとえば、これはノードであり、これらもノードです。これはコントラクトを表します。

Tornado Cashはマネーロンダリングに関連するプロトコルであり、違法です。したがって、危険を示すために赤色で色付けしましょう。このユーザーがTornado Cashからの資金の受領者であることを認識して、彼らの関与を示すために別の色合いを割り当てることができますが、彼らが法の反対側にいることも示します。

資金が進むにつれて、理論的にはこの個人が元の送信者である可能性は低くなりますが、これはトランザクションの詳細にかかっています。Metasleuthを使用すると、特定のEthereumアドレスを深く掘り下げ、トランザクションをフィルタリングし、ERC-20トークンなど、表示されるものを指定し、特定の期間を特定できます。この機能は非常に役立ちます。

図1: Metasleuthの視覚化技術、https://metasleuth.io/result/eth/0x6511f0b7ebecd902b250cdd82773102c42d03a8b?source=78b9ad12-d827-43f5-a839-dab1613459f1
図1: Metasleuthの視覚化技術、https://metasleuth.io/result/eth/0x6511f0b7ebecd902b250cdd82773102c42d03a8b?source=78b9ad12-d827-43f5-a839-dab1613459f1

分析機能

このアドレスを分析することを選択した場合、「分析」機能は左側のパネルですべての重要なトランザクションを表示します。ここでは、トランザクションが非常に少なかったことがわかります。ナビゲーションの観点から、関連アドレスと転送のタブがあります。

図2: Metasleuthの分析機能
図2: Metasleuthの分析機能

関連アドレス

「関連アドレス」タブは、どの Смарт-контрактыがやり取りしたかを示します。たとえば、Tornadoからの1,000ドルのトランザクションが1件あり、黄色い感嘆符でマークされています。これは、ゼロバリューのトークン、無関係なイベント、あるいは詐欺を示している可能性があります。このようなトランザクションを非表示にするオプションがあります。

図3: Metasleuthの関連アドレス
図3: Metasleuthの関連アドレス
図4:Metasleuthの転送記録
図4:Metasleuthの転送記録

自動レイアウト

整理整頓を好む人のために、「自動レイアウト」ボタンですべてをきれいに並べ替えます。「関連アドレス」タブと「転送」タブを区別することが重要です。前者はTornado Cashからの受領者として単一のアドレスを示し、後者はすべての着信トランザクションを表示します。

図5:Metasleuthの自動レイアウト
図5:Metasleuthの自動レイアウト

エッジリスト

2つのノードを接続する線をクリックすると、エッジリストが表示されます。「詳細」をクリックすると、Phalconへのリンク、関与したアドレス、転送された金額を含むすべてのトランザクションハッシュが表示されます。捜査を行っていて特定の Смарт-контрактыに興味がある場合は、データをCSVにエクスポートできます。これは、被害者または法執行機関向けのレポート作成に役立ちます。

図6:Metasleuthのエッジリスト
図6:Metasleuthのエッジリスト

お金に何が起こったのかをさらに探ってみましょう。かなりの量のイーサが預け入れられており、ソートアイコンはトランザクションの順序を年齢別に追跡するのに役立ちます。900イーサ(約360万ドル相当)という巨額が転送され、その後別のアドレスに転送されたことがわかります。

この次アドレスを分析することで、トランザクションのパターンを識別できます。トランザクションの数が少ないことを考えると、関与しているのは同じ人物であると推測できます。これらのトランザクションを追跡するために、新しいカラー スキームを開始します。各色は、中央集権型取引所の場合は紫、スマートコントラクトの場合は白、攻撃者の場合は赤、被害者の場合は緑、その他必要に応じて異なるエンティティを表すことができます。

この人物が攻撃者であるとまだ疑っているため、資金の流れを追跡するために黄色で色付けします。Binanceへの複数の入金に気づきました。これは重要です。なぜなら、その中央集権型取引所の Смарт-контрактыアドレスには、法執行機関がアクセスできる重要な情報が保持されるからです。

図7:黄色の色は資金追跡の結果を強調しています。https://metasleuth.io/result/eth/0x6511f0b7ebecd902b250cdd82773102c42d03a8b?source=1d160f69-7b24-4916-8eb7-1d235d48957d
図7:黄色の色は資金追跡の結果を強調しています。https://metasleuth.io/result/eth/0x6511f0b7ebecd902b250cdd82773102c42d03a8b?source=1d160f69-7b24-4916-8eb7-1d235d48957d

結論

Metasleuthの強みは、資産の旅を追跡できる能力にあります。さらにかなりの量のイーサが移動していることを特定できます。規模を把握するために、Tornado Cashを通じたこの閉鎖的なマネーロンダリングのループは、約7,400イーサ、つまり約3,000万ドルに相当し、すべてKraken、Simple Swab、Binanceなどの取引所を経由しています。

本質的に、MetaSleuthは複雑なトランザクションネットワークの視覚化と分析を促進し、不正な資金の流れの特定と追跡を支援します。

Sign up for the latest updates
Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation
Security Insights

Drift Protocol Incident: Multisig Governance Compromise via Durable Nonce Exploitation

On April 1, 2026 (UTC), Drift Protocol on Solana suffered a $285.3M loss after an attacker exploited Solana's durable nonce mechanism to delay the execution of phished multisig approvals, ultimately transferring administrative control of the protocol's 2-of-5 Squads governance with zero timelock. With full admin privileges, the attacker created a malicious collateral market (CVT), inflated its oracle price, relaxed withdrawal protections, and drained USDC, JLP, SOL, cbBTC, and other assets through 31 rapid withdrawals in approximately 12 minutes. This incident highlights how durable nonce-based delayed execution can decouple signer intent from on-chain execution, bypassing the temporal assumptions that multisig security implicitly relies on.

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Mar 23 – Mar 29, 2026

This BlockSec weekly security report covers eight DeFi attack incidents detected between March 23 and March 29, 2026, across Ethereum and BNB Chain, with total estimated losses of approximately $1.53M. Incidents include a $679K flawed burn mechanism exploit on the BCE token, a $512K spot-price manipulation attack on Cyrus Finance's PancakeSwap V3 liquidity withdrawal, a $133.5K flash-loan-driven referral reward manipulation on a TUR staking contract, and multiple integer overflow, reentrancy, and accounting error vulnerabilities in DeFi protocols. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Newsletter - March 2026
Security Insights

Newsletter - March 2026

In March 2026, the DeFi ecosystem experienced three major security incidents. Resolv Protocol lost ~$80M due to compromised privileged infrastructure keys, BitcoinReserveOffering suffered ~$2.7M from a double-minting logic flaw, and Venus Protocol incurred ~$2.15M following a donation attack combined with market manipulation.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation