Back to Blog

Как отслеживать исходящие средства с адреса с помощью MetaSleuth

MetaSleuth
December 13, 2023
5 min read

В этом руководстве мы опишем функционал отслеживания средств в MetaSleuth. Во время расследования нам обычно требуется отследить исходящие средства с определенного адреса. MetaSleuth облегчает этот процесс, поддерживая отслеживание потока средств в одном направлении.

Руководство по MetaSleuth: используйте расширенный анализ MetaSleuth для легкого отслеживания средств

Ниже мы покажем реальный пример отслеживания жертвы фишинга, чтобы продемонстрировать этот функционал. Отслеживаемый адрес — ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).

Что такое отслеживание средств и зачем нужен Metasleuth

С момента создания MetaSleuth стремится предоставить аналитикам более удобные возможности визуального анализа. Углубившись в среду ончейн-исследователей и сообщество Web3, мы обнаружили, что одной из самых распространенных задач является отслеживание исходящих средств с конкретного адреса в определенном временном диапазоне.

Например, это включает в себя отслеживание украденных средств с адреса жертвы для их возврата, мониторинг целей «умных денег» (smart money) для более эффективных инвестиций и отслеживание подозрительных транзакций для целей борьбы с отмыванием денег (AML).

Однако движение средств по этим активным адресам может быть чрезвычайно сложным: оно включает множество токенов, разнообразные цели и охватывает длительные периоды. Такая ситуация создает трудности для ончейн-исследователей, которым приходится тратить время на извлечение релевантной информации для своего анализа.

Чтобы решить эту проблему, MetaSleuth предложил самое легкое, с лучшим пользовательским опытом и самое быстрое решение из всех вспомогательных инструментов.

Детали дела

  • Предыстория: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) понес огромные убытки в результате фишинговой аферы. Разъяренному ончейн-исследователю поручено выяснить, куда направляются украденные средства, и раскрыть скрытые фишинговые группы.

  • Вспомогательные инструменты: функция расширенного анализа на Metasleuth.io

  • Известные данные

    Жертва: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

    Время: примерно 25.02.2023–27.02.2023

    Потерянные активы: неизвестный токен, неизвестная сумма

    Сеть: Ethereum

Шаг 1: Выберите адрес

Посетите MetaSleuth, выберите соответствующую блокчейн-сеть (по умолчанию Ethereum) и введите исходный адрес средств, то есть ryanwould.eth. Metasleuth разрешит соответствующий адрес на основе имени ENS. Затем справа от поля поиска воспользуйтесь основной функцией Metasleuth — Advanced Analyze (Расширенный анализ).

Точка входа Metasleuth.io
Точка входа Metasleuth.io

Шаг 2: Выберите направление

После входа в панель настроек «Расширенного анализа» мы можем выбрать направление движения средств и временной диапазон. В этой задаче мы фокусируемся только на оттоке средств (out) и периоде времени, когда произошел фишинг (25.02.2023 -> 28.02.2023). Завершив настройки конфигурации, мы нажимаем «apply» (применить) и клавишу Enter, чтобы перейти к холсту (canvas).

Настройка расширенного анализа
Настройка расширенного анализа

Шаг 3: Создание первого графика движения средств

Отлично! Metasleuth.io быстро создает визуальный график всех исходящих потоков средств в период с 25 февраля 2023 года по 28 февраля 2023 года. Благодаря этой функции мы экономим много времени на сортировке данных.

Более того, используя метку адреса, поддерживаемую MetaSleuth, мы можем легко определить, что за этот короткий промежуток времени было обнаружено только два необычных движения средств, и оба они были направлены на адрес «Fake_Phishing11227». Эти аномальные транзакции включали 1 842 USDC и 519 351 токенов DATA, как показано на графике.

Первоначальный поток средств
Первоначальный поток средств

Шаг 4: Фильтрация интересующих токенов

Для лучшего отображения мы открываем элемент настройки токенов, удаляем другие токены по умолчанию, оставляя только украденные токены (USDC, DATA), а затем подтверждаем изменения.

Фильтр токенов
Фильтр токенов

Шаг 5: Расширение потока средств для интересующего адреса

Поток средств становится предельно лаконичным и понятным. Чтобы отследить исход средств, мы дополнительно расширили второй переход передачи средств. На втором этапе взаимосвязи переводов мы обнаружили, что фишинговый адрес «Fake_Phishing11227» перевел украденные средства в Airswap и обменял токены через него.

Отфильтрованный поток средств
Отфильтрованный поток средств

Шаг 6: Обработка операции обмена токенов

Из-за настройки фильтрации токенов мы сфокусировались только на DATA и USDC, что скрыло процесс обмена токенов. Чтобы это исправить, мы добавили ETH в конфигурацию токенов и снова добавили транзакцию обмена (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). Благодаря этому обновлению у нас теперь есть полная картина процесса обмена. Фишинговый субъект обменял токены USDC и DATA через AirSwap и получил 14,58 ETH. На этом этапе (27.02.2023 22:30) фокусироваться только на USDC и DATA больше нет смысла. Нам нужно отследить путь полученного ETH, чтобы обнаружить дополнительные фишинговые адреса.

Добавление транзакции
Добавление транзакции
Полный поток средств
Полный поток средств

Шаг 7: Дальнейшая фильтрация по временному диапазону

Поэтому мы продолжили расширенный анализ фишингового адреса «Fake_Phishing11227». Аналогично, мы фокусируемся только на исходящих средствах и временном диапазоне с 27 февраля 2023 года по 28 февраля 2023 года. Мы продолжаем, нажимая кнопку «Analyze» (Анализировать), чтобы продолжить анализ.

Кнопка дальнейшего анализа
Кнопка дальнейшего анализа

Шаг 8: Завершение расследования при обнаружении интересующих получателей

Мы получили пункты назначения средств с адреса «Fake_Phishing11227» в указанном временном диапазоне. Похоже, задействовано множество адресов получателей, что указывает на процесс распределения незаконно полученных средств.

Среди всех получателей адреса «offtherip.eth», «Fake_Phishing76579» и «Fake_Phishing7064» получили большую часть распределенных средств, что составляет 10,36 ETH, 8,36 ETH и 1,85 ETH соответственно.

Основываясь на этом коэффициенте распределения, мы считаем offtherip.eth наиболее подозрительным лицом в этом расследовании и привлекаем к нему внимание.

Итоговый результат отслеживания
Итоговый результат отслеживания

После получения необычного адреса «offtherip.eth» дальнейшие шаги могут потребовать использования неблокчейн-методов, таких как анализ методами социальной инженерии. Однако в этом анализе, сфокусированном на ончейн-переводах средств, metasleuth.io предоставил множество удобных технических инструментов, позволив завершить весь анализ менее чем за 10 минут.

Заключение

  • Жертва: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
  • Время: 27.02.2023 22:00
  • Потерянные активы: 1 842 USDC, 519 351 DATA
  • Сеть: Ethereum
  • Цель средств:
  • Первый переход: Fake_Phishing 11227
  • Второй переход:
  • offtherip.eth
  • Fake_Phishing76579
  • Fake_Phishing7064
  • Затраченное время на анализ: <10 мин

Используйте metasleuth.io, чтобы сделать анализ простым, а технологии доступными.

О MetaSleuth

MetaSleuth — это комплексная платформа, разработанная BlockSec для помощи пользователям в эффективном отслеживании и расследовании любой криптоактивности. С помощью MetaSleuth пользователи могут легко отслеживать средства, визуализировать потоки средств, отслеживать движения средств в режиме реального времени, сохранять важную информацию и сотрудничать, делясь нашими результатами с другими. В настоящее время мы поддерживаем 13 различных блокчейнов, включая Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) и другие.

Веб-сайт: https://metasleuth.io/

Twitter: @MetaSleuth

Telegram: https://t.me/MetaSleuthTeam

Sign up for the latest updates
Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

Инструменты криптокомплаенса: практическое руководство по интеграции Web3 и TradFi

В 2024 году регуляторы наложили штрафы на сумму $4,2 млрд. Для Web3 и TradFi выбор правильного стека комплаенса стал обязательным условием выживания.

Отчет FATF о стейблкоинах: переход к соблюдению комплаенса на вторичном рынке
Knowledge

Отчет FATF о стейблкоинах: переход к соблюдению комплаенса на вторичном рынке

BlockSec анализирует отчет FATF о стейблкоинах и некастодиальных кошельках, объясняя фокус на P2P-торговле. Разбор рекомендаций и методов ончейн-мониторинга для усиления комплаенса эмитентов и VASP.

Отчет о преступлениях в сфере криптовалют за 2025 год: ключевые тренды и ончейн-данные
Security Insights

Отчет о преступлениях в сфере криптовалют за 2025 год: ключевые тренды и ончейн-данные

Этот 67-страничный отчет, основанный на анализе данных и блокчейн-доказательствах, раскрывает картину криптопреступности 2025 года, включая основные кейсы, структуру, особенности и актуальные тренды этой сферы.

Go Deeper with MetaSleuth Investigation

Extend your crypto compliance capabilities with Blocksec's MetaSleuth Investigation, the first platform for tracing funds, mapping transaction networks and revealing hidden on-chain relationships.

Move from detection to resolution faster with clear visual insights and evidence-ready workflows across the digital assets ecosystem.

MetaSleuth Investigation