在本教程中,我們將介紹 MetaSleuth 的資金追蹤功能。在調查過程中,我們通常需要追蹤從某個地址流出的資金。MetaSleuth 通過支持單方向資金流追蹤,為這一過程提供了極大的便利。
MetaSleuth 教程:利用 MetaSleuth 的高級分析功能進行輕量級資金追蹤
接下來,我們將通過追蹤網絡釣魚受害者的真實案例來演示此功能。所追蹤的地址為 ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)。
什麼是資金追蹤,為什麼選擇 MetaSleuth
自誕生以來,MetaSleuth 旨在為分析師提供更便捷的可視化分析功能。在深入鏈上調查人員與 Web3 社群後,我們發現最常見的任務之一是:在特定時間範圍內追蹤來自特定地址的資金流出。
例如,這涉及到追蹤受害者地址中被盜的資金以試圖追回、監控聰明錢(smart money)的目標以進行更好的投資,以及出於反洗錢(AML)目的追蹤可疑交易。
然而,這些活躍地址的資金流向可能極其複雜,涉及多種代幣、多樣化的目標,且跨越很長的時間跨度。這種情況為必須花費大量時間提取相關分析資訊的鏈上調查人員帶來了困擾。
為了解決這個問題,MetaSleuth 在所有的輔助工具中提供了最輕量、體驗最佳、速度最快的解決方案。
案例詳情
-
背景:ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) 在網絡釣魚詐騙中遭受了巨大損失。憤怒的鏈上調查人員奉命找出被盜資金的去向,並揭開隱藏的釣魚組織。
-
輔助工具:Metasleuth.io 中的高級分析功能
-
已知線索
受害者:ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
時間:約 2023.02.25 - 2023.02.27
損失資產:未知代幣,未知金額
網絡:Ethereum
第一步:選擇地址
訪問 MetaSleuth,選擇相應的區塊鏈網絡(默認為 Ethereum),並輸入資金的起點地址,即 ryanwould.eth。
Metasleuth 將根據 ENS 名稱解析出相應地址。然後,在搜索框右側,使用 Metasleuth 的核心功能 Advanced Analyze(高級分析)。
第二步:選擇方向
進入「高級分析設置」面板後,我們可以選擇資金方向和時間範圍。在本任務中,我們僅關注資金流入流出中的流出(out),以及釣魚發生期間的時間段(2023-02-25 -> 2023-02-28)。完成配置設置後,點擊「應用」並按 Enter 鍵進入畫布。
第三步:生成首個資金流向圖
太棒了!Metasleuth.io 快速生成了 2023 年 2 月 25 日至 2023 年 2 月 28 日之間所有流出資金的可視化圖表。多虧了此功能,我們節省了大量的資料篩選時間。
此外,利用 MetaSleuth 維護的地址標籤,我們可以輕鬆識別出:在這一短暫時間內,僅檢測到兩筆異常資金流,且均指向「Fake_Phishing11227」地址。如圖所示,這些異常交易涉及 1,842 枚 USDC 和 519,351 枚 DATA 代幣。
第四步:篩選感興趣的代幣
為了達到更好的顯示效果,我們打開代幣配置項,移除其他默認代幣,僅保留被盜代幣(USDC、DATA),隨後確認更改。
第五步:擴展感興趣地址的資金流
資金流向變得異常簡潔清晰。為了追蹤資金流向,我們進一步擴展了資金轉帳的第二跳(second hop)。在第二跳的資金關係中,我們發現釣魚地址「Fake_Phishing11227」將被盜資金轉移到了 Airswap,並通過 Airswap 進行了代幣兌換。
第六步:處理代幣兌換操作
由於我們的代幣篩選配置,我們最初只關注 DATA 和 USDC,這導致代幣兌換的過程被遮蔽了。為了彌補這一點,我們將 ETH 加入了代幣配置,並再次手動添加了兌換交易 (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162)。通過此更新,我們現在可以完整查看代幣兌換過程。釣魚者通過 AirSwap 兌換 USDC 和 DATA 代幣,獲得了 14.58 ETH。在此階段(2022-02-27 22:30),僅關注 USDC 和 DATA 已不再有意義。我們需要追蹤所獲 ETH 的路徑,以揭示更多的釣魚地址。
第七步:按時間範圍進行進一步篩選
因此,我們繼續對釣魚地址「Fake_Phishing11227」進行高級分析。同樣,我們只關注資金流出,時間範圍設定在 2023 年 2 月 27 日至 2023 年 2 月 28 日之間。點擊「Analyze」(分析)按鈕繼續分析。
第八步:找到感興趣的接收者並結束調查
我們已經獲得了「Fake_Phishing11227」在指定時間範圍內的資金去向。似乎涉及大量的接收地址,這表明資金正在被分散處理。
在所有接收者中,地址「offtherip.eth」、「Fake_Phishing76579」和「Fake_Phishing7064」接收了大部分被分散的資金,分別達到 10.36 ETH、8.36 ETH 和 1.85 ETH。
基於此分配比例,我們認為 offtherip.eth 是本次調查中最可疑的實體,並將其作為重點關注對象。
在獲得了異常地址「offtherip.eth」後,進一步步驟可能需要運用非區塊鏈技術,例如社交工程分析。然而,在本次專注於鏈上資金轉帳的分析中,metasleuth.io 提供了大量便捷的技術輔助,使整個分析過程在不到 10 分鐘內即可完成。
結論
- 受害者:ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
- 時間:2023-02-27 22:00
- 損失資產:1,842 USDC, 519,351 DATA
- 網絡:Ethereum
- 資金目標:
- 第一跳:Fake_Phishing 11227
- 第二跳:
- offtherip.eth
- Fake_Phishing76579
- Fake_Phishing7064
- 分析耗時:< 10 分鐘
使用 metasleuth.io 讓分析變得簡單,讓技術變得平民化。
關於 MetaSleuth
MetaSleuth 是由 BlockSec 開發的一個綜合性平台,旨在幫助用戶有效追蹤和調查所有加密貨幣活動。通過 MetaSleuth,用戶可以輕鬆追蹤資金、可視化資金流向、監控實時資金變動、保存重要資訊,並通過分享發現與他人協作。目前,我們支持 13 種不同的區塊鏈,包括比特幣(BTC)、以太坊(ETH)、波場(TRX)、Polygon(MATIC)等。
Twitter:@MetaSleuth
Telegram:https://t.me/MetaSleuthTeam
