В этом руководстве мы расскажем об основных функциях MetaSleuth на примере отслеживания украденных средств в фишинговой транзакции. Вместе мы изучим, как использовать MetaSleuth для анализа транзакций, отслеживания конкретных активов и мониторинга средств, которые еще не были переведены.
MetaSleuth Tutorial - Use MetaSleuth to track the stolen funds in a phishing transaction
Мы обнаружили фишинговую транзакцию в сети Ethereum с хешем 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69. Теперь приступим к анализу.
Начало работы
Начните с посещения платформы MetaSleuth по адресу https://metasleuth.io/. Выберите Ethereum в качестве сети и введите интересующую вас транзакцию. В нашем случае мы будем использовать следующий хеш транзакции: 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69.
Основные функциональные компоненты
Как только анализ транзакции будет завершен, вы попадете на страницу анализа MetaSleuth, где сможете увидеть все переводы активов, произошедшие в рамках данной транзакции. Если объектом анализа является адрес, отображаемая информация будет более сложной. Мы рассмотрим анализ адресов в отдельном руководстве.
Помимо центрального графа перевода активов, на странице присутствуют и другие функциональные компоненты. Ниже представлена упрощенная схема; мы рекомендуем изучить их специфическое использование в процессе анализа.
Отслеживание средств
Транзакция, на которой мы фокусируемся, включает только один перевод активов: адрес 0xbcd131, принадлежащий жертве, перевел 2586 MATIC на адрес Fake_Phishing180627.
Продолжить отслеживание направления украденных токенов MATIC довольно просто. Достаточно выбрать узел адреса Fake_Phishing180627 и нажать кнопку «+» с правой стороны узла.
Эта функция называется Expand outgoing (Развернуть исходящие) и позволяет проследить за активами, отправленными с этого адреса. В большинстве случаев эта функция предоставляет необходимые данные. Однако для адресов с большим объемом транзакций вам может потребоваться использовать расширенные инструменты, такие как Advanced Analyze (Расширенный анализ) и Load More (Загрузить еще), чтобы получить нужную информацию.
После нажатия кнопки "+" мы видим множество исходящих переводов Ether с адреса Fake_Phishing180627. Но что насчет MATIC, которые мы хотим отследить?
Фильтрация холста
MetaSleuth не отображает все полученные данные на холсте, чтобы обеспечить чистоту и читаемость общего потока средств. Однако MetaSleuth предоставляет различные инструменты, помогающие пользователям находить нужные данные и добавлять их на холст. В данном случае мы можем использовать Token Filter (Фильтр токенов), чтобы добавить все переводы активов MATIC, полученные MetaSleuth, на холст.
После подтверждения мы видим дополнительный перевод MATIC на холсте, инициированный Fake_Phishing180627 и направленный в Uniswap V3: MATIC. Это именно те украденные средства, которые мы отслеживаем.
Когда речь идет об активах, отправленных на децентрализованные биржи (DEX), такие как Uniswap, нас интересуют не столько токены MATIC, переведенные с адреса Uniswap V3: MATIC, сколько активы, полученные Fake_Phishing180627 в результате обмена (свопа) на Uniswap.
Итак, какие активы получил Fake_Phishing180627 в ходе этого обмена? Давайте изучим транзакцию свопа, чтобы выяснить это.
Добавление конкретных данных
Сначала нам нужно определить транзакцию, к которой относится перевод MATIC от Fake_Phishing180627 в Uniswap V3: MATIC. Кликните по ребру перевода активов на холсте, а затем в появившемся списке Edge List (Список ребер) нажмите Details (Подробности), чтобы перейти к Transaction List (Списку транзакций). Найдите хеш транзакции для этого перевода и скопируйте его.
Затем мы можем добавить эту транзакцию на холст с помощью функции Add Address / Tx (Добавить адрес/транзакцию), расположенной в левом верхнем углу холста. Это позволит нам изучить переводы активов, произошедшие внутри этой транзакции, и лучше понять её содержимое.
После добавления все переводы активов внутри этой транзакции станут видны на холсте. Становится ясно, что Fake_Phishing180627 обменял MATIC на 0,944 Ether через Uniswap. Эти 0,944 Ether — это активы, которые нам нужно отслеживать дальше.
Отслеживание конкретных средств
Среди различных переводов Ether, исходящих от Fake_Phishing180627, какие именно нам нужно отследить?
Кликнув по Fake_Phishing180627, вы можете просмотреть переводы активов, связанные с этим адресом, в левой панели адреса. Возможно, вы заметили, что здесь доступно больше данных, чем отображается на холсте (как упоминалось ранее, MetaSleuth делает упор на простоту и читаемость диаграммы потока средств, поэтому по умолчанию показывает не все данные).
Транзакция, в ходе которой Fake_Phishing180627 обменял MATIC на Ether, произошла 18.06.2023 в 14:57:11. Следовательно, наш основной фокус должен быть направлен на переводы токенов Ether, которые произошли после этого времени. Чтобы отфильтровать данные, мы можем воспользоваться функцией фильтрации.
Среди отфильтрованных результатов видно, что примерно через 6 минут после свопа 1,4 Ether были переведены с адреса Fake_Phishing180627 на адрес 0x8bae70. Этот перевод, вероятно, содержит средства, которые мы пытаемся найти.
Мы можем отметить их и отобразить на холсте, продолжая отслеживать активы 0x8bae70. Благодаря этому мы можем увидеть, что средства в конечном итоге оседают на адресе 0x8de345.
Мониторинг средств, которые еще не были переведены
Чтобы быть в курсе средств, которые еще не были переведены, мы можем активно их отслеживать. Включив мониторинг, вы будете получать уведомления по электронной почте о любых соответствующих переводах активов. Чтобы ознакомиться с дополнительными функциями мониторинга, посетите информационную панель MetaSleuth Monitor по адресу https://metasleuth.io/monitor.
Итог
Хотя это было краткое исследование, мы надеемся, что MetaSleuth предоставил вам удобный и эффективный опыт отслеживания и расследования. В будущем мы будем выпускать больше обучающих материалов и будем рады вашим предложениям. Присоединяйтесь к нашей группе в Telegram: https://t.me/MetaSleuthTeam.
О MetaSleuth
MetaSleuth — это комплексная платформа, разработанная BlockSec для помощи пользователям в эффективном отслеживании и расследовании любой криптоактивности. С MetaSleuth пользователи могут легко отслеживать средства, визуализировать денежные потоки, отслеживать перемещение средств в режиме реального времени, сохранять важную информацию и сотрудничать, делясь результатами своих исследований с другими. В настоящее время мы поддерживаем 13 различных блокчейнов, включая Bitcoin (BTC), Ethereum (ETH), Tron (TRX), Polygon (MATIC) и другие.
Веб-сайт: https://metasleuth.io/
Twitter: @MetaSleuth
Telegram: https://t.me/MetaSleuthTeam
