NAR:链上追踪:洗币手法科普之 Peel Chain_GENGAR

编辑:Lisa@慢雾AML团队

校对:Zero@慢雾AML团队

前段时间,我们发布了一篇?Bitfinex被黑案件细节分析的文章,引起了剧烈的讨论。文中提到了一种洗币方式——剥离链技术,借此事件写一些与链上追踪相关的文章给大家学习。

什么是PeelChain

剥离链——是指一种通过一系列冗长的小额交易来清洗大量加密货币的技术。这种洗币方式通常从一个“脏”地址开始,该地址可能与非法活动有关,例如地址A将资金转到地址B和C,而转移到地址B的数额多数情况下是极小的,转移到地址C的数额占大部分,地址C又将资金转到D和E,依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以PeelChain的方式继续转移,要么转到交易/暗网平台,要么停留在地址,要么通过混币平台转出。

美国点对点比特币交易量维持在较高水平:金色财经报道,LocalBitcoins和Paxful的数据显示,包括印度(每周340万美元)、墨西哥(每周70万美元)、阿根廷(每周100万美元)在内的几个国家的P2P比特币交易量达到了历史最高点,发展中国家的人们正在大量购买比特币。此外,美国在Paxful和LocalBitcoins上进行的比特币交易的每周交易量也创下了纪录。6月中旬,美国交易者在这两个平台一周内交易了价值超过3000万美元的比特币。在过去7天里,交易量略低于3000万,这表明人们对比特币的兴趣并未减弱。[2020/7/24]

案例分析

动态 | 火币回应支付宝、微信:用户间转账为点对点个人行为:据证券日报报道,《证券日报》记者向火币集团方面求证支付宝、微信要求火币网下架OTC事件。火币相关人士昨日下午向《证券日报》记者表示,“各部门上下找了很多邮件,确实没有收到相关律师函,但怕有遗漏,所以一直都在查询。”

据记者了解,此“误会”或与装有律师函的快递未送到有关。

1. 腾讯财付通相关负责人对记者表示,“腾讯正发函沟通其进行下架处理。”

2. 昨日《证券日报》记者从知情人士手里,独家拿到支付宝发给火币网律师函的电子版本。律师函显示,支付宝方面要求火币网停止使用支付宝从事虚拟货币收款行为;断开连接并删除火币网一切使用支付宝等委托人商标页面等。

火币集团相关负责人对《证券日报》记者回应称,“火币与支付宝、微信支付没有任何形式官方合作,所有用户间的转账行为,均属用户点对点的个人行为。涉及相关支付平台的Logo仅为表达支付的链接方式,并未用于宣传本公司的产品或服务,为行业内通行的做法。我们理解相关方立场,将严格遵照关于商标使用的相关规定,严查使用情况。”[2019/1/29]

2016年8月3日,知名加密货币交易所Bitfinex发公告称,黑客入侵了其系统并盗走约119,755枚比特币。事发当时价值约6000万美元,按今天的价格计算,被盗总额约为45亿美元。据慢雾AML?旗下反追踪系统?MistTrack?分析,黑客最初将被盗资产分散存储在2072个钱包地址中,经MistTrack标记如下图。

Genaro Network 首款点对点存储应用Genaro Eden正式上线:北京时间3月30日晚,由Genaro Network打造的Genaro Eden正式在官网上线,有望成为亚洲第一款落地的去中心化存储应用。Genaro Eden是一个为每个人提供安全、私密、高效、永久在线的去中心化存储空间,同时也是基于Genaro Network的第一个应用。该产品不仅将共享经济理念融入数据存储领域,其简单易上手的特性也可以成为普通人区块链入门级应用。该产品一经发布,已经在海内外社群里引发了热烈关注和反响-更有海外用户称“Super Bullish on Genaro Network. I expect a lot from their mainnet.\"[2018/3/31]

动态 | 比特币链上活跃度企稳 短时算力回升:据Tokenview链上数据监测,近24小时比特币链上转账总额为119.33万BTC,链上转账笔数为31.64万笔,其中单笔转账金额超过100 BTC的大额转账共计589笔,较前日下降20.19%。而新增和活跃地址数较前日则分别下降0.81%和4.4%,但链上指标整体仍位于七日均线以上,市场盘整行情或将延续,主流币种轮动行情或可期待。

在挖矿数据方面,比特币近七日算力均值为108.46 EH/s,近24小时算力均值为109.58?EH/s,全网难度为13.8 T。[2020/1/10]

从2017年1月开始,黑客开始密集转移资产。我们对2072个地址进行分析后,发现黑客将大部分地址上的资金都进行了转移,而转移方式正是我们今天要说的剥离链。

以黑客地址19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM为例:

据MistTrack反追踪系统显示,约30.668BTC从Bitfinex交易平台转到黑客地址,再通过两次直线转移将BTC转移到地址。

再来看地址的资金流向:

首先,地址将30.6675BTC分为小额2.27BTC和大额28.39BTC分别转到地址1和地址2;接着,地址1将2.27BTC分为小额0.16BTC和大额2.11BTC分别转到地址3和地址4;地址3再以同样的方式将0.16BTC分别转到地址5和地址6,其他地址同理。

为了更直观的展示,我们截取了资金流向的一部分,让大家更理解这种洗币方法。

从上图可以看到,资金被转移到两个地址,接着两个地址分别又转到另两个地址,数额越来越小,出现的地址也越来越多,只至最后有部分资金通过wasabi混币转出或转到HydraMarket暗网市场。当然,这还只是一小部分的资金流向,但我们不难看出,为了躲避追踪,黑客非常有“耐心”。

我们再以另一个黑客地址1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE为例,更多地了解PeelChain手法的特征。

据区块链浏览器显示,该黑客地址盗走了271.22BTC。我们接着以大额转移地址为目标进行追踪:

……

虽然中间省略了部分转移情况,但我们还是能清楚地看出PeelChain手法的特征:

一般从一个单一的“脏”地址开始;通常不断拆分到两个地址;以大额和小额进行拆分;资金停留或混币或进入交易所/暗网平台。总结

剥离链技术常常被黑客使用,一方面是因为每次单独转移的金额很小,几乎不会引发交易平台的风控提醒,另一方面是由于这种洗币链路极度冗长和复杂,会使他们盗取的资产变得极难追踪。

对于一些复杂冗长的剥离链,黑客通常使用计算机程序自动化该过程。尽管如此,我们仍可以使用脚本及追踪工具来追踪此类事件。凭借支持多币种、数量超10万的恶意地址库,慢雾AML旗下反追踪系统?MistTrack?将帮助加密货币交易平台、用户个人等追踪溯源,实时监控拉黑黑客地址并联动各大交易平台冻结资金,为资金安全更好地保驾护航。

相关链接:

https://en.bitcoin.it/wiki/Privacy

https://aml.slowmist.com/mistTrack.html

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:0ms0-3:672ms