虚拟币案件总结

没钱买服务器无法存储图片 processon流程图地址源文件

基础概念

主流公链和币种

  • Bitcoin(BTC)
  • Ethereum(ETH)
  • TRON(TRX)
  • BNB Chain(BNB)
  • USDT
  • etc…

追踪的核心概念

  • 钱包

    • 热钱包:长期在线,私钥存储在网络设备中,用于频繁操作,如手机钱包(imToken)、浏览器插件钱包(MetaMask)等
    • 冷钱包:离线存储私钥,如 Ledger、Trezor 等硬件钱包,用于大额资产存储、长期存储

  • 区块链地址

    • 充币地址:用户向交易所充值时使用的地址,一般为交易所控制的地址,可以关联用户 例如:A---->OKX
    • 热钱包地址:交易所用于日常收发的活跃地址,高频使用,与多地址交互。例如:带有交易所标签的地址
    • 冷钱包地址:大额资产长期存储地址,交易次数少但金额大。在散进整出中比较多 如果工具没工具可借助浏览器去tronscan搜索地址进去detail看是否进入跨链
    • 普通地址:个人控制的钱包地址,无明显标签
    • 合约地址:部署的智能合约地址,不能直接发起交易,这并不代表一个人或钱包,而是指一个部署在链上的智能合约。合约可以接收资产、分发资金、进行逻辑判断,比如实现质押、借贷或交易功能。例如:带有swap标签
    • 多签地址:需多个私钥联合签名,常用于团队或机构托管资产
    • 黑洞地址:丢了私钥,或是无法确定私钥的地址,常用于销毁或表面伪销毁资产,如全 0 地址(0x0000000000000000000000000000000000000000)。

  • 常见链上地址detail名词

    • 区块高度block:区块在链中的位置,可用于判断交易先后顺序
    • 交易哈希(Hash):每笔交易的唯一标识符(ID),用于追踪每一笔链上转账或合约调用。这就像是交易的身份证编号,只要你有哈希,就可以在区块链浏览器中查询到这笔交易的详细信息
    • Gas:理解交易的“费用”也很重要,每次转账、交互都会消耗链上的 Gas(燃料),这不仅是区块打包的激励机制,也能帮助我们判断交易的时间、优先级,甚至分析出是由哪个地址或平台提供的费用(Gas 来源)
    • 混币:使用 Mixer 服务或协议(如 Tornado Cash、Wasabi)来混淆交易来源与目的,提升隐私性
    • 兑换:DEX 上的 Swap 操作,如 Uniswap、PancakeSwap,资产可能在兑换过程中变换形式。
    • 跨链:在两条链之间进行交换,需结合跨链桥合约识别发送与接收;常用于清洗和资产分散。 借助于标签thorchain等等
    • Event Logs(事件日志):合约执行过程中的关键操作,可用来识别 Token 转账、兑换、存取等行为。

  • 平台类型

    • 中心化平台(CEX):用户需将资产充值至平台账户,由平台托管私钥,可协助冻结资产,提供法币出入口,但其地址归属明确、具备身份绑定,如 Binance、OKX 等。
    • 去中心化平台(DEX):运行在链上,用户自持私钥,交易由合约完成,发生在用户钱包之间,几乎没有身份验证环节,攻击者常用来兑换资产,无法冻结但一般可追踪路径,如 Uniswap、Curve 等。
    • 跨链桥(Bridge):实现跨链转移资产,攻击者常用于逃避追踪或将资产跨链洗钱。如 THORChain、Wormhole 等。
    • 嵌套平台:第三方服务使用大型 CEX 地址托管资产,实际托管平台为 Binance 等,路径需二次解析,常用于掩盖归属。

  • UTXO 与找零

    • 在比特币网络中,每笔交易的资金来源和去向,都基于一种 UTXO(未花费交易输出,Unspent Transaction Output)模型。可以将它理解为“零钱”的系统 —— 你不能直接修改账户余额,而是必须“花掉”一整张钞票,然后收回找零。这种模型不同于以太坊等采用“账户余额制”的链。
      假设你要支付 0.6 BTC,而你的钱包中有一个面额为 1 BTC 的 UTXO。你无法只从这 1 BTC 中“切出”0.6 BTC 来支付,你必须将整个 1 BTC 用作输入:其中的 0.6 BTC 被送给收款方;剩下的 0.4 BTC(扣除交易费后)会退还给你自己,但并不是退回你原来的地址,而是退到你钱包中新生成的一个地址,这个地址就是找零地址(Change Address)。通常,钱包会为每笔交易自动生成一个新的找零地址,以增强隐私,避免地址重用。但在某些钱包设置中,也可能将找零发送至你的钱包中现有的地址。
      这套机制的核心逻辑是:一笔 UTXO 必须被完整消费,而未被“花掉”的部分通过找零机制重新变为新的 UTXO,留待下次使用。这种不断“吃掉旧 UTXO、产出新 UTXO”的过程,是比特币和类似区块链(如 Litecoin、Dogecoin)系统中账户运转的基础。相比之下,以太坊等采用“账户模型”的链中,用户的地址可以部分支出余额,每笔交易直接修改账户状态,而不涉及“拆钞票”式的找零与 UTXO 重组。
      由于每笔交易必须完整花费输入 UTXO 并生成新的输出,因此 UTXO 模型天然会产生多个输出地址,其中之一是收款地址,另一个则是找零地址(Change Address)。从链上数据角度看,这两个地址在交易中地位平等,并不会明确标记哪一个是找零、哪一个是实际收款。这给链上分析带来一定难度。

      • 往上找就是通过spent_transaction_hash找到上一笔的交易hash,往下找就是通过交易hash取对应看谁的spent_transaction_hash为这个交易hash的

区块链浏览器

资金流动模式

剥离链

  • 例如地址 A 将资金转到地址 B 和 C,而转移到地址 B 的数额多数情况下是极小的,转移到地址 C 的数额占大部分,地址 C 又将资金转到 D(小额)和 E(大额)

多跳转移

  • 攻击者常通过快速、多跳的方式转移资金,每个地址仅使用一次并迅速转出,且大多不参与任何链上 dApp 交互。这种中转结构通过制造路径长度与嵌套行为,有效干扰行为模型识别和风控策略响应,尤其在攻击发生后的几分钟内密集操作,以抢在监控系统反应前完成路径“切断”。

跨链桥

  • 为规避某条链的监控与追踪,攻击者会通过跨链桥将资产跳转到另一条公链,再重新开始转移路径。常用桥协议包括 THORChain、LayerZero、Across 等,目标链则多为工具覆盖较弱的网络(如 TRON)。跨链行为常在攻击发生后的短时间内执行,跳转路径会伴随资产代币变化、路径中断、目标地址重建等操作,进一步提高追踪门槛。

一对多分发

  • 例如一笔价值 10 万 USDT 的交易,可能被切分为 50 笔约 2000 USDT 的转账,每个地址再进一步拆分、转出,形成复杂的“扇形转账结构”,目的是迷惑分析者、制造“路径混淆”、稀释原始资金来源、延迟调查反应时间,同时避免被一次性冻结全部资产

混币器

  • 混币器是攻击者用于打断链上资金路径的典型工具。其原理是将资金注入混合池后,与其他用户资产统一处理,使输出资金与原始来源无法一一对应。常用协议包括 Tornado Cash、Wasabi 等。混币器操作往往伴随高度标准化行为,例如统一的注入额度、特定的等待时间、同步提现行为等,如果发现地址有类似特征,可以初步判断其资金清洗意图。混币器通常通过统一入口、延迟输出、金额拆分等手段,使得“资金进”与“资金出”之间缺乏对应关系,形成视觉上的路径断点。尤其在匿名币种(如 XMR)或混币协议配合使用时,追踪难度急剧上升。

P2P/OTC

  • 攻击者在通过混币器、跨链桥或碎片化转账等手段模糊非法资产来源后,还会选择利用 P2P 平台、场外交易(OTC)中介或境外无 KYC 交易所完成“脱链”操作,将加密资产兑换为法币或隐私币。例如,Huione Guarantee(汇旺担保)作为一个以东南亚地区为中心的担保交易平台,被频繁用于资产“脱链”过程。这一过程通常依赖链下交易与身份伪装手段,进一步割裂链上资金与真实身份之间的联系。

P2P(点对点)平台是一种允许用户直接交易加密货币与法币的市场,典型如 Paxful、Bitquick、LocalBitcoins(已停止运营)等,攻击者可在此类平台上与其他用户直接撮合交易,接收银行转账、支付宝 / 微信支付、PayPal 甚至礼品卡作为对价,通过租赁身份账户或假实名资料规避风控。这类链下支付通常缺乏透明的身份验证机制,一旦交易完成,追踪难度大大增加。

OTC(Over-The-Counter)交易则指通过中介经纪人进行的大额链下加密货币买卖,常活跃于 Telegram、Discord 等社交平台。这些 OTC 服务商往往不审查资产来源,也不要求交易双方实名登记,为攻击者提供“匿名、高效、无监管”的出金通道。部分 OTC 中介还配有洗钱网络、支付账户资源甚至自有灰色平台,可提供“一站式兑现”服务。

若未能立即完成脱链,非法资产还可能进一步流入位于监管宽松地区的小型交易所,如某些加勒比、非洲或东欧背景的平台,利用其弱 KYC / AML 政策完成后续兑换流程。最终资金往往通过第三方支付、地下钱庄、电商账户等方式转为现金或数字人民币,或转为 Monero、Zcash 等隐私币种长期隐藏,严重干扰链上溯源与执法行动。

多对一归集

  • 资金盘或平台跑路事件中,攻击者往往会在短时间内将用户资产统一归集至一个或少数“核心钱包”,再由这些地址统一跨链、混币或提现。此类行为常发生在项目前期崩盘迹象出现时,属于紧急转移行为,路径上会出现明显的归集高峰

高级分析

跨链桥追踪

隐私工具分析

  • 隐私币(Privacy Coins)协作式混币协议(CoinJoin)中心化混币器(Centralized Mixers)智能合约混币器(Smart Contract Mixers)
    这些工具通常通过技术机制实现资产“去向不可见”:用户将资金发送至一个“池子”,该池子中有来自其他用户的资产,然后用户再从这个池子中提出“等值”但非同一笔的资金,从而打破交易之间的直接链路,转账记录之间缺乏链上逻辑连接,从而形成分析断点。不过,混币器并非真正的“终点站”。通过一系列技术和分析方法,我们仍可以逐步拆解其运作特征,建立“可能路径”,为后续追踪和归属创造条件。
  • 混币入口地址识别:如 Tornado Cash 合约地址公开可查,看到资产进入这些地址,即可初步判断参与混币或利用 MistTrack 识别已知混币合约;
  • 固定金额特征:部分 Mixer 仅支持固定金额(如 Tornado Cash 的 0.1 / 1 / 10 / 100 ETH),交易金额本身可作为线索;
  • 分析提现目标行为:虽然混币器能打乱直接路径,但提现后的新地址行为仍可分析(例如使用全新钱包发起单笔交易,随后长期不动、提现后资金迅速流入 CEX、使用同一 DEX 或 Bridge 等),可通过行为模式反推是否属于同一主体;
  • 时间关联分析:多个地址同一时间向混币器充值 / 提现,可能属于同一团伙,可结合时间、路径和受益方建立地址聚类。

首先,观察链上混币行为时,可以重点识别金额切割模式。例如,Tornado Cash 支持用户以固定额度(如 0.1、1、10、100 ETH)存入混池,攻击者往往会按照这些标准额度切分资金,再通过新地址批量提取。这种金额对齐行为在全链上都是高度异常的,可以作为可疑路径聚焦的一个核心线索。

其次是时间序列分析。虽然混币器打乱了资产与地址的直接映射,但大部分攻击者在控制时间成本的前提下,仍会在攻击后的短时间内将资产洗出。因此,针对目标混池中特定时间窗口的入池-出池行为分析,同时建立行为图谱,看是否存在明显的时间耦合关系,是建立地址行为链条的重要手段。

进一步说,一些攻击者为了提高洗钱的隐匿性,会采取多跳混币或组合式隐匿路径 —— 先将资金分散后进入多个混池(甚至跨链混池),随后再提取,并利用多个新钱包地址重新组合资金。这种“分层式清洗”策略,虽然看似彻底,但在行为链路上会留下关键痕迹,如:

  • 提币地址在提币后短时间内再次聚合资金;
  • 某些地址之间出现短期爆发转账、重复 Gas 使用模式;
  • 大量新创建地址集中与某一旧地址交互,形成异常密集路径。

NFT追踪

  • NFT 通常基于 ERC721 或 ERC1155 协议标准发行,具备唯一 Token ID 和唯一归属地址

    • 没接触过

地址行为画像

  • 活跃行为特征识别
  • 地址聚类判断
  • 风险行为画像
  • 地址标签与链下身份

实战分析

阶段

  • 嫌疑人招供地址
  • TG桌面文件取证地址
  • 渗透获取后台地址

方向

  • gas费溯源

    • 链上交易会产生手续费,通过递归的方法找出第一笔从交易所打出的hash

      • 当获取的地址数量超过3个时,建议一起做gas溯源并记录好穿透路径中每个地址,会有意想不到的收获。
        一般穿透层级为5层但是也有可能5层未出结果10 20 100都有可能

  • 归集地址

    • 提现到交易所

      • 一般穿透7-15 也有可能更少或更多
        在穿透过程中会遇到各种洗钱模式(在上方有描述)
        学会看浏览器界面知识

链下

  • 对于分析后的结果通过GOV邮箱或者ga授权的个人邮箱向交易所发起调证 反馈时间较长材料麻烦只会返回境内人员,根据返回结果进行kyc p2p c2c 银行卡分析

  • 线下抓捕注意用冷钱包转移U

    • 变现(已知)

      • 公安部一所
      • 科技公司
      • 其他