В этом руководстве мы расскажем об основных функциях MetaSleuth на примере отслеживания украденных средств в фишинговой транзакции. Вместе мы изучим, как использовать MetaSleuth для анализа транзакций, отслеживания конкретных активов и мониторинга непереведенных средств.
Мы выявили фишинговую транзакцию в сети Ethereum с хешем 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69. Теперь давайте приступим к анализу.
Начало работы
Начните с посещения платформы MetaSleuth по адресу https://metasleuth.io/. Выберите Ethereum в качестве сети и введите транзакцию, которая вас интересует. В нашем случае мы будем использовать следующий хеш транзакции: 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69.
Основные функциональные компоненты
Как только анализ транзакции будет завершен, вы будете перенаправлены на страницу анализа MetaSleuth, где сможете увидеть все переводы активов, которые произошли в рамках этой транзакции. Если целью анализа является адрес, отображаемая информация будет более сложной. Мы рассмотрим анализ адресов в отдельном руководстве.
Помимо центрального графа переводов активов, страница включает в себя ряд других функциональных компонентов. Ниже представлена упрощенная схема; мы рекомендуем изучить их использование в процессе анализа.
Отслеживание средств
Транзакция, на которой мы сосредоточились, включает только один перевод актива: адрес 0xbcd131, принадлежащий жертве, перевел 2586 MATIC на адрес Fake_Phishing180627.
Продолжить отслеживание того, куда направляются украденные токены MATIC, довольно просто. Достаточно выбрать узел адреса Fake_Phishing180627 и нажать кнопку «+» на правой стороне узла.
Эта функция называется Expand outgoing («Расширить исходящие») и позволяет отследить активы, отправленные с этого адреса. В большинстве случаев эта функция предоставляет необходимые данные. Однако для адресов с большим объемом транзакций вам, возможно, потребуется использовать расширенные функции, такие как Advanced Analyze («Расширенный анализ») и Load More («Загрузить еще»), чтобы получить нужные данные.
После нажатия кнопки "+" мы видим многочисленные исходящие переводы Ether с адреса Fake_Phishing180627. Но что насчет MATIC, которые мы хотим отследить?
Фильтрация холста
MetaSleuth не отображает все полученные данные на холсте, чтобы обеспечить чистоту и читаемость общей картины движения средств. Однако MetaSleuth предоставляет различные инструменты, помогающие пользователям находить нужные данные и добавлять их на холст. В данном случае мы можем использовать Token Filter («Фильтр токенов»), чтобы добавить на холст все переводы активов MATIC, обнаруженные MetaSleuth.
После подтверждения мы видим дополнительный перевод MATIC на холсте, идущий от Fake_Phishing180627 к Uniswap V3: MATIC. Это именно те украденные средства, которые мы отслеживаем.
Когда речь идет об активах, отправленных на децентрализованные биржи (DEX), такие как Uniswap, мы фокусируемся не на токенах MATIC, выведенных с адреса Uniswap V3: MATIC, а на активах, полученных Fake_Phishing180627 в результате операции обмена (свопа) на Uniswap.
Итак, какие активы получил Fake_Phishing180627 через этот своп? Давайте изучим эту транзакцию обмена, чтобы выяснить это.
Добавление конкретных данных
Сначала нам нужно определить транзакцию, к которой относится перевод MATIC от Fake_Phishing180627 к Uniswap V3: MATIC. Нажмите на ребро перевода актива на холсте, и в появившемся внизу Edge List («Списке связей») нажмите на Details («Подробности»), чтобы перейти к Transaction List («Списку транзакций»). Найдите хеш транзакции для этого перевода и скопируйте его.
Затем мы можем добавить эту транзакцию на холст с помощью функции Add Address / Tx («Добавить адрес / транзакцию»), расположенной в левом верхнем углу холста. Это позволит нам изучить переводы активов, которые произошли внутри этой транзакции, и лучше понять её содержимое.
После добавления все переводы активов в рамках этой транзакции будут видны на холсте. Становится понятно, что адрес Fake_Phishing180627 обменял MATIC на 0,944 Ether через Uniswap. Эти 0,944 Ether и являются тем активом, который нам нужно отслеживать дальше.
Отслеживание конкретных средств
Среди многочисленных переводов Ether, исходящих от Fake_Phishing180627, какие именно нам нужно отследить?
Нажав на Fake_Phishing180627, вы можете увидеть переводы активов, связанные с этим адресом, на левой панели адресов. Вы могли заметить, что данных здесь больше, чем отображается на холсте (как упоминалось ранее, MetaSleuth делает упор на простоту и читаемость диаграммы потоков средств и по умолчанию не показывает все данные).
Транзакция, в ходе которой Fake_Phishing180627 обменял MATIC на Ether, произошла 2023-06-18 в 14:57:11. Следовательно, в первую очередь нас должны интересовать переводы токенов Ether, которые произошли после этого времени. Чтобы отфильтровать данные, мы можем воспользоваться функцией фильтрации.
В отфильтрованных результатах видно, что примерно через 6 минут после операции обмена 1,4 Ether были переведены с адреса Fake_Phishing180627 на адрес 0x8bae70. Скорее всего, этот перевод и содержит средства, которые мы ищем.
Мы можем отметить их и отобразить на холсте, продолжив отслеживание активов адреса 0x8bae70. Благодаря этому мы сможем увидеть, что средства в конечном итоге оседают на адресе 0x8de345.
Мониторинг непереведенных средств
Чтобы быть в курсе перемещений средств, которые еще не были переведены, мы можем активно отслеживать их. Включив мониторинг, вы будете получать уведомления по электронной почте, как только произойдут соответствующие переводы активов. Чтобы ознакомиться с дополнительными функциями мониторинга, посетите информационную панель мониторинга MetaSleuth по адресу https://metasleuth.io/monitor.
Резюме
Хотя это было лишь краткое исследование, мы надеемся, что MetaSleuth обеспечил вам удобный и простой процесс отслеживания и расследования. В будущем мы выпустим больше обучающих материалов и будем рады вашим предложениям. Присоединяйтесь к нашей группе в Telegram https://t.me/MetaSleuthTeam.
О MetaSleuth
MetaSleuth — это комплексная платформа, разработанная BlockSec для помощи пользователям в эффективном отслеживании и расследовании любой криптоактивности. С помощью MetaSleuth пользователи могут легко отслеживать средства, визуализировать потоки активов, контролировать движение средств в режиме реального времени, сохранять важную информацию и сотрудничать, делясь своими находками с другими. В настоящее время мы поддерживаем 13 различных блокчейнов, включая Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) и другие.
Веб-сайт: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam
