Neste tutorial, descreveremos a funcionalidade de rastreamento de fundos do MetaSleuth. Durante a investigação, geralmente queremos rastrear os fundos enviados de um endereço. O MetaSleuth facilita esse processo ao suportar o rastreamento do fluxo de fundos em uma direção.
Tutorial MetaSleuth: Use a análise avançada do MetaSleuth para rastreamento leve de fundos
A seguir, mostramos um exemplo real de rastreamento da vítima de phishing para demonstrar essa funcionalidade. O endereço rastreado é ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).
O que é Rastreamento de Fundos e Por que Usar o MetaSleuth
Desde o início, o MetaSleuth tem como objetivo fornecer aos analistas capacidades de análise visual mais convenientes. Após nos imergirmos no grupo de investigadores on-chain e na comunidade Web3, descobrimos que uma das tarefas mais comuns é rastrear os fundos enviados de um endereço específico dentro de um intervalo de tempo definido.
Por exemplo, isso envolve rastrear fundos roubados do endereço de uma vítima para recuperá-los, monitorar os alvos de smart money para melhores investimentos e rastrear transações suspeitas para fins de prevenção à lavagem de dinheiro (AML).
No entanto, o fluxo de fundos desses endereços ativos pode ser extremamente complexo, envolvendo múltiplos tokens, alvos diversificados e abrangendo longos períodos. Essa situação traz dificuldades para os investigadores on-chain, que precisam gastar tempo extraindo informações relevantes para sua análise.
Para resolver esse problema, o MetaSleuth oferece a solução mais leve/ melhor experiência do usuário/ mais rápida entre todas as ferramentas auxiliares.
Detalhes do Caso
-
Contexto: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) sofreu enormes perdas em um golpe de phishing. E um furioso investigador on-chain foi encarregado de descobrir para onde os fundos roubados estão indo e revelar grupos ocultos de phishing.
-
Ferramentas Auxiliares: a função de análise avançada no Metasleuth.io
-
Pistas Conhecidas
Vítima:ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Período: aproximadamente 2023.02.25-2023.02.27
Ativos Perdidos: token desconhecido, valor desconhecido
Rede: Ethereum
Etapa 1: Selecionar o endereço
Acesse o MetaSleuth, selecione a rede blockchain correspondente (o padrão é Ethereum) e insira o endereço de origem dos fundos, ou seja, ryanwould.eth.
O MetaSleuth resolverá o endereço correspondente com base no nome ENS. Em seguida, no lado direito da caixa de pesquisa, use a função principal do MetaSleuth, Análise Avançada.

Etapa 2: Selecionar a direção
Após entrar no painel de Configurações de Análise Avançada, podemos escolher a direção dos fundos e o intervalo de tempo. Nesta tarefa, focamos apenas na saída de fundos (out) e no período em torno do qual o phishing ocorreu (2023-02-25->2023-02-28). Após concluir as configurações, clicamos em aplicar e pressionamos Enter para entrar no canvas.

Etapa 3: Gerar o primeiro gráfico de fluxo de fundos
Ótimo! O Metasleuth.io gera rapidamente um gráfico visual de todos os fluxos de fundos de saída entre 25 de fevereiro de 2023 e 28 de fevereiro de 2023. Graças a essa função, economizamos muito tempo na triagem de dados.
Além disso, aproveitando os rótulos de endereços mantidos pelo MetaSleuth, podemos identificar facilmente que, neste breve período, apenas dois fluxos de fundos incomuns foram detectados, ambos direcionados ao endereço "Fake_Phishing11227". Essas transações anômalas envolveram 1.842 USDC e 519.351 tokens DATA, conforme representado no gráfico.

Etapa 4: Filtrar tokens de interesse
Para melhor visualização, abrimos o item de configuração de tokens, removemos outros tokens padrão, deixando apenas os tokens roubados (USDC, DATA), e confirmamos as alterações.

Etapa 5: Expandir o fluxo de fundos do endereço de interesse
O fluxo de fundos torna-se extremamente conciso e claro. Para rastrear a saída dos fundos, expandimos ainda mais o segundo salto da transferência de fundos. No segundo salto da relação de transferência de fundos, descobrimos que o endereço de phishing "Fake_Phishing11227" transferiu os fundos roubados para o Airswap e trocou tokens por meio do Airswap.

Etapa 6: Processar a operação de troca de tokens
Devido à nossa configuração de filtragem de tokens, focamos apenas em DATA e USDC, o que obscureceu o processo de troca de tokens. Para resolver isso, adicionamos ETH à configuração de tokens e incluímos novamente a transação de troca (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). Com essa atualização, temos agora uma visão completa do processo de troca de tokens. O agente de phishing trocou tokens USDC e DATA por meio do AirSwap e obteve 14,58 ETH. Neste ponto (2022-02-27 22:30), focar apenas em USDC e DATA não seria mais significativo. Precisamos rastrear o caminho do ETH adquirido para descobrir endereços de phishing adicionais.


Etapa 7: Filtrar ainda mais com intervalo de tempo
Portanto, continuamos com a Análise Avançada do endereço de phishing "Fake_Phishing11227". Da mesma forma, focamos apenas nos fundos de saída e no intervalo de tempo entre 27 de fevereiro de 2023 e 28 de fevereiro de 2023. Prosseguimos clicando no botão "Analisar" para dar continuidade à análise.

Etapa 8: Encerrar a investigação ao encontrar destinatários de interesse
Obtivemos os destinos dos fundos de "Fake_Phishing11227" dentro do intervalo de tempo especificado. Parece que há inúmeros endereços receptores envolvidos, indicando um processo de distribuição dos fundos obtidos ilegalmente.
Entre todos os destinatários, os endereços "offtherip.eth", "Fake_Phishing76579" e "Fake_Phishing7064" receberam a maior parte dos fundos distribuídos, totalizando 10,36 ETH, 8,36 ETH e 1,85 ETH, respectivamente.
Com base nessa proporção de distribuição, consideramos offtherip.eth como a entidade mais suspeita nesta investigação e a destacamos para atenção.

Ao obter o endereço incomum "offtherip.eth", etapas adicionais podem exigir o uso de técnicas não relacionadas à blockchain, como análise de engenharia social. No entanto, nesta análise focada em transferências de fundos on-chain, o metasleuth.io forneceu uma grande quantidade de assistência técnica conveniente, permitindo que toda a análise fosse concluída em menos de 10 minutos.
Conclusão
- Vítima: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
- Período: 2023-02-27 22:00
- Ativos Perdidos: 1.842 USDC, 519.351 DATA
- Rede: Ethereum
- Destino dos Fundos:
- Primeiro Salto: Fake_Phishing 11227
- Segundo Salto:
- offtherip.eth
- Fake_Phishing76579
- Fake_Phishing7064
- Tempo de Análise consumido: <10 min
Use o metasleuth.io para tornar a análise fácil e a tecnologia acessível.
Sobre o MetaSleuth
O MetaSleuth é uma plataforma abrangente desenvolvida pela BlockSec para auxiliar os usuários a rastrear e investigar efetivamente todas as atividades cripto. Com o MetaSleuth, os usuários podem rastrear fundos facilmente, visualizar fluxos de fundos, monitorar movimentações de fundos em tempo real, salvar informações importantes e colaborar compartilhando suas descobertas com outras pessoas. Atualmente, oferecemos suporte a 13 blockchains diferentes, incluindo Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) e mais.
Website: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam



