鏈上追蹤：洗幣手法科普之 Peel Chain_MIS

前段時間，我們發布了一篇Bitfinex被黑案件細節分析的文章，引起了劇烈的討論。文中提到了一種洗幣方式——剝離鏈技術，借此事件寫一些與鏈上追蹤相關的文章給大家學習。

什么是PeelChain

剝離鏈——是指一種通過一系列冗長的小額交易來清洗大量加密貨幣的技術。這種洗幣方式通常從一個“臟”地址開始，該地址可能與非法活動有關，例如地址A將資金轉到地址B和C，而轉移到地址B的數額多數情況下是極小的，轉移到地址C的數額占大部分，地址C又將資金轉到D和E，依次類推，直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額，要么以PeelChain的方式繼續轉移，要么轉到交易/暗網平臺，要么停留在地址，要么通過混幣平臺轉出。

Avalanche鏈上DeFi協議總鎖倉量為108.7億美元:金色財經報道，據DefiLlama數據顯示，目前Avalanche鏈上DeFi協議總鎖倉量為108.7億美元，24小時減少6.29%。鎖倉資產排名前五分別為AAVE（27.3億美元）、Benqi（15億美元）、TraderJoe（14.4億美元）、Curve（10.5億美元）、multichan（10.5億美元）。[2022/1/18 8:55:47]

案例分析

2016年8月3日，知名加密貨幣交易所Bitfinex發公告稱，黑客入侵了其系統并盜走約119,755枚比特幣。事發當時價值約6000萬美元，按今天的價格計算，被盜總額約為45億美元。據慢霧AML旗下反洗錢追蹤系統?MistTrack分析，黑客最初將被盜資產分散存儲在2072個錢包地址中，經MistTrack標記如下圖。

動態 | 比特幣網絡創新紀錄，一小時內完成了89億美元鏈上交易:據Cryptopotato消息，比特幣網絡在12月4日的一個小時內完成了89億美元的鏈上交易，這是歷史上第一次，標志著區塊鏈的顯著改進。在過去兩年中，比特幣的每日交易量實現了大幅增長，從2017年的2億美元增長到今年年初的五倍多。盡管新記錄似乎不會對當前的價格走勢和整個市場產生任何重大影響，但它清楚地表明了現在每天進行更多交易的網絡表現如何。[2019/12/5]

從2017年1月開始，黑客開始密集轉移資產。我們對2072個地址進行分析后，發現黑客將大部分地址上的資金都進行了轉移，而轉移方式正是我們今天要說的剝離鏈。

分析 | BTC鏈上活躍度延趨勢線回落，日均交易量創近兩月新低:據TokenInsight數據顯示，反映區塊鏈行業整體表現的TI指數北京時間09月01日8時報692.91點，較昨日同期上漲3.12點，漲幅為0.45%。此外，在TokenInsight密切關注的25個細分行業中，24小時內漲幅最高的為其它商務與租賃行業，漲幅為5.63%；24小時內跌幅最高的為治理協議行業，跌幅為3.6%。

據監測顯示，BTC 24h交易額為$111億，活躍地址數較前日下降15.45%，轉賬數較前日上升2.42%。BCtrend分析師Jeffrey認為，BTC鏈上活躍度延趨勢線回落，日均交易量創近兩月新低，短期或將延續盤整。

另據Bituniverse智能AI量化分析，今日行情可開啟EOS/USDT網格交易，區間2.53-4.22USDT，高拋低吸，賺取收益。

注：以上內容僅供參考，不構成投資建議。[2019/9/1]

以黑客地址19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM為例：

動態 | F1冠軍費爾南多阿隆索將整個數字圖書館移動到Kodak區塊鏈上:一級方程式世界冠軍和最近的Les man 24贏家Fernando Alonso將成為首個將他的整個數字圖書館移至區塊鏈的運動員之一。WENN數碼公司和Alonso通過前者開發的柯達圖片版權管理平臺KODAKOne進行合作，該區塊鏈平臺可為Alonso職業或個人圖片以及視頻提供保護，屆時Alonso在全球的粉絲將可以通過該平臺來上傳、注冊和保護私人以及他們的喜歡的F1車手的照片和視頻，某些情況下還會獲得一定獎勵。[2018/7/1]

據MistTrack反洗錢追蹤系統顯示，約30.668BTC從Bitfinex交易平臺轉到黑客地址，再通過兩次直線轉移將BTC轉移到地址。

再來看地址的資金流向：

首先，地址將30.6675BTC分為小額2.27BTC和大額28.39BTC分別轉到地址1和地址2；接著，地址1將2.27BTC分為小額0.16BTC和大額2.11BTC分別轉到地址3和地址4；地址3再以同樣的方式將0.16BTC分別轉到地址5和地址6，其他地址同理。

為了更直觀的展示，我們截取了資金流向的一部分，讓大家更理解這種洗幣方法。

從上圖可以看到，資金被轉移到兩個地址，接著兩個地址分別又轉到另兩個地址，數額越來越小，出現的地址也越來越多，只至最后有部分資金通過wasabi混幣轉出或轉到HydraMarket暗網市場。當然，這還只是一小部分的資金流向，但我們不難看出，為了躲避追蹤，黑客非常有“耐心”。

我們再以另一個黑客地址1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE為例，更多地了解PeelChain手法的特征。

據區塊鏈瀏覽器顯示，該黑客地址盜走了271.22BTC。我們接著以大額轉移地址為目標進行追蹤：

……

雖然中間省略了部分轉移情況，但我們還是能清楚地看出PeelChain手法的特征：

一般從一個單一的“臟”地址開始；

通常不斷拆分到兩個地址；

以大額和小額進行拆分；

資金停留或混幣或進入交易所/暗網平臺。

總結

剝離鏈技術常常被黑客使用，一方面是因為每次單獨轉移的金額很小，幾乎不會引發交易平臺的風控提醒，另一方面是由于這種洗幣鏈路極度冗長和復雜，會使他們盜取的資產變得極難追蹤。

對于一些復雜冗長的剝離鏈，黑客通常使用計算機程序自動化該過程。盡管如此，我們仍可以使用腳本及追蹤工具來追蹤此類事件。憑借支持多幣種、數量超10萬的惡意地址庫，慢霧AML旗下反洗錢追蹤系統MistTrack將幫助加密貨幣交易平臺、用戶個人等追蹤溯源，實時監控拉黑黑客地址并聯動各大交易平臺凍結資金，為資金安全更好地保駕護航。

相關鏈接：

https://en.bitcoin.it/wiki/Privacy

https://aml.slowmist.com/mistTrack.html

Tags：BTC區塊鏈MISIST為什么LBTC幣暴跌區塊鏈MOVEZ幣PROMISETOURISTS幣

歐易okex官網