区块链取证:追踪被盗资金实用指南
- somaxbt.eth
- 发布于 2025-07-16 20:52
- 阅读 88
本文是一篇关于区块链取证的实用指南,详细介绍了如何追踪被盗资金。文章从理解威胁形势开始,深入探讨了区块链取证的调查方法、面临的挑战以及分析被盗资金和洗钱方法,为区块链调查人员提供了全面的技术和方法指导,旨在提升他们追踪和防范加密货币犯罪的能力。
区块链取证:追踪被盗资金的实用指南
SomaXBT
目录
1. 介绍
2. 了解威胁态势
3. 什么是区块链取证
4. 调查方法
-
识别链上漏洞利用和盗窃
-
确定范围
-
数据收集与丰富
-
交易追踪
-
链上分析
-
协作与验证
-
建立用户画像和报告
5. 区块链取证中的挑战
6. 被盗资金分析和洗钱方法
-
盗窃后的目标
-
洗钱技术
7. 结论
1. 介绍
加密货币的快速崛起带来了突破性的创新和全球金融机遇,但也带来了数字安全方面前所未有的挑战。自 2016 年以来,加密生态系统中的恶意活动激增,平均每年通过黑客攻击、诈骗和协议漏洞盗窃超过 13 亿美元的数字资产。
这些事件的范围从智能合约漏洞和跨链桥攻击到钓鱼活动、钱包窃取器和复杂的洗钱操作。使这些犯罪特别难以打击的是加密货币本身的全球性。虽然区块链交易本质上是透明且可追溯的,但跨境司法管辖障碍常常阻碍执法。攻击者经常利用各国之间的监管差距,以比当局反应更快的速度跨链并将资金转移到不受监管的平台。由于没有统一的全球标准,许多调查停滞不前,即使链上证据是无可争辩的。
本指南全面介绍了区块链取证和调查技术,将核心原则与高级分析方法相结合。 专为有抱负的和积极的调查人员设计,它提供了一个结构化的、实用的框架,用于分析被盗资金、了解攻击者行为以及使用在链上追踪资金所需的工具。
要成为一名成功的区块链调查员,必须首先了解技术本身的基本要素,区块链如何工作,它们与传统金融的区别,以及为什么它们的透明度在金融犯罪的背景下既是优势又是漏洞。本报告的结构旨在引导读者从这些基本原理进入推动现代加密货币调查的现实方法。
2. 了解威胁态势
加密货币不仅吸引创新,还吸引攻击者。随着数十亿美元通过去中心化协议和开放式金融系统流动,日益复杂的威胁参与者的注意力也随之而来。最初孤立的钓鱼诈骗已经演变成一个复杂的生态系统,包括智能合约漏洞利用、跨链桥攻击、钱包窃取器,即服务洗钱运营,以及国家支持的网络犯罪。
这些威胁涵盖了广泛的范围:
-
通过闪电贷或逻辑缺陷利用的协议级漏洞
-
通过绕过验证机制耗尽流动性的跨链桥攻击
-
部署自动钱包窃取器和诈骗代币合约以针对毫无戒心的用户
-
利用对合法平台的信任的钓鱼活动和前端破坏
-
与民族国家相关的攻击,例如与 DPRK 相关的攻击,以及最近发生的 Gonjeshke Darande (Predatory Sparrow) 组织,该组织利用伊朗交易所 Nobitex 作为区域目标的金融中断的一部分
如果你想更全面地探索这些威胁,从诈骗策略和洗钱剧本到现实世界的攻击分解,这些资源提供了宝贵的见解:
3. 什么是区块链取证
区块链取证是分析链上活动以追踪数字资产流动、检测非法行为以及揭示涉及加密货币的金融犯罪中使用的方式的过程。它结合了技术分析、行为聚类和调查技术,以跟踪资金如何在钱包、协议和链之间流动,通常是实时且具有完全的交易透明度。
与依赖私人银行记录或机构访问权限的传统金融调查不同,区块链取证在开放、不可变和去中心化的账本上运行。调查人员可以监控钱包交互,解码智能合约活动,检测洗钱策略,并且在某些情况下,可以使用开源情报 (OSINT) 将钱包行为归因于现实世界中的参与者。
例如,在 2016 年孟加拉国银行抢劫案中(普遍认为是朝鲜民主主义人民共和国所为),调查依赖于内部银行记录、SWIFT 日志和政府合作,限制了谁可以追踪资金。相比之下,最近的 Bybit 交易所黑客攻击可以通过任何合格的调查员使用公共链上数据和取证工具在全球范围内进行分析,而无需机构访问权限。
区块链取证的主要特征
-
透明度: 公共区块链在分布式账本上记录每笔交易,从而可以完全了解代币转账、交换、合约交互和跨链桥活动。调查人员可以使用开放数据逐步重建整个资金流。
-
假名性: 虽然地址是公开的,但它们与真实身份无关。区块链取证侧重于根据行为对钱包进行聚类,识别重复模式,并与外部数据(例如,交易所日志、社交媒体或泄露的信息)相关联,以揭示其背后的实体。
-
不可变性: 区块链上的交易无法更改或删除。这使得区块链取证基于证据且可审核,允许调查人员重新审视旧案件、验证声明并建立历史资金流,而无需担心数据操纵。
-
全球可访问性: 链上数据不受边界或机构的限制。无论你是协议开发人员、交易所分析师还是独立调查员,你都可以访问相同的数据集,从而使调查去中心化,并且比传统金融更民主。
区块链取证的常见应用
-
追踪被盗资金: 在黑客攻击或漏洞利用之后,取证用于跟踪攻击者如何转移资产,从漏洞利用交易到代币交换、跨链桥、混合或关闭。这有助于识别洗钱路线和潜在的追回机会。
-
检测洗钱模式: 攻击者通常会尝试使用混合器(例如,Tornado Cash、Railgun)、跨钱包的微拆分或跨链桥资金来隐藏其踪迹。取证有助于检测这些方法并揭示交易轨迹中的隐藏链接。
-
监控诈骗代币和跑路: 调查人员使用链上数据来跟踪诈骗代币、突然的流动性撤回、协调的钱包行为和重复的滥用模式。这对于识别模因币、NFT 或空投领域中的恶意行为者至关重要。
-
支持合规性和反洗钱: 交易所、DeFi 协议和调查人员使用取证工具来履行合规义务、检测高风险用户以及提交可疑活动报告。钱包筛选和交易监控有助于防止非法资金流入受监管的平台。
-
协助协议团队和执法机构: 区块链取证通过可操作的见解、资金冻结警报、证据记录和技术归因来支持内部协议团队和外部执法机构,从而促成追回、制裁或法律行动。
迷你词汇表:区块链取证中的关键术语
有关区块链调查术语的更详细词汇表,请参阅
学习资源\ \ 浏览我们的学习资源国家指南,以随时了解你当地市场的最新加密资产监管。获得实践经验…\ \ www.elliptic.co
4. 调查方法
调查加密货币犯罪需要有条不紊且结构良好的方法,因为区块链网络的去中心化和假名性质会使追踪非法活动变得既复杂又耗时。以下是一个分步方法,旨在指导你完成取证过程的每个阶段,从识别事件和追踪被盗资金到聚类钱包和建立归因。
1. 识别链上漏洞利用和盗窃 -
识别潜在的漏洞利用或盗窃是任何区块链调查中的第一个关键步骤。虽然公共区块链上的每笔交易都是可见的,但恶意活动通常与合法流量混合在一起,因此模式识别是一项至关重要的技能。
经验丰富的调查人员会培养区分正常运营行为与可疑或恶意活动的能力。对于初学者来说,可以通过学习常见的泄露迹象、了解协议行为以及密切关注真实案例研究来培养这项技能。
链上盗窃是什么样的?
加密货币盗窃并不总是以闪烁的红色警报来宣告。相反,它通常以微妙的交易行为开始,并迅速升级。一些早期的危险信号包括:
-
来自已知交易所、协议或多重签名金库钱包的突然的大量流出
-
涉及治理代币、质押资产或非流动性 LP 代币的不寻常的代币交换
-
批准可疑合约,然后立即进行代币转账
-
将资金转移到模糊链或已知洗钱区域的跨链桥活动
-
长期休眠的钱包突然变得活跃的与角色不符的行为
-
短时间内在数十个或数百个钱包中快速分配资金
这些模式通常表明钱包或合约已遭到破坏,后门已被利用,或者诈骗已达到执行阶段。
漏洞利用发现的常见来源 -
在官方确认浮出水面之前,许多区块链漏洞利用首先通过社区警报、不寻常的链上活动或监控工具检测到。了解事件通常在哪里出现以及如何验证它们可以帮助调查人员快速准确地做出响应。
1. 威胁监控和链上审计公司
- 在快速发展的加密生态系统中,专业公司在检测和响应漏洞利用方面发挥着关键作用。这些组织将链上监视、行为分析和安全审计相结合,以实时识别主要协议、跨链桥和交易所钱包中的可疑活动。
该领域的关键参与者
-
PeckShield – 以实时事件警报和漏洞利用监控而闻名
-
CertiK – 提供 Skynet 监视并发布漏洞利用仪表板
-
SlowMist – 提供反洗钱、交易跟踪和事件报告
-
Cyvers – 针对 DeFi 协议的实时交易异常检测
-
Hexagate – 专注于链上检测和抢先交易保护
-
BlockSec – 专门从事 DeFi 安全审计和攻击模拟
-
OpenZeppelin – 高级审计公司经常发布复杂协议失败的事后分析
这些公司通常会在漏洞利用发生后几分钟内检测并标记恶意行为,使其成为调查人员的宝贵来源。许多公司运营公共 Twitter/X 帐户或 Telegram 频道,他们在其中共享经过验证的事件警报、受损地址和早期漏洞指标。
✅ 提示:关注多家公司以获得更广泛的覆盖范围。每家公司都专注于不同的链、合约类型或检测方法
2. 独立调查员
除了安全公司之外,越来越多的独立区块链调查员已成为检测和揭露链上漏洞利用、欺诈和市场操纵的重要力量。这些个人通常在没有机构支持的情况下工作,但通过深入的链上分析和及时的公开披露做出了重大贡献。
他们的调查导致了交易所打击、影响者问责制以及以前未被注意到的黑客之间的联系。
值得关注的独立调查员:
-
@zachxbt – 以追踪被盗资金和揭露参与欺诈的加密货币影响者而闻名
-
@spreekaway – 协议漏洞利用和攻击者钱包的实时更新
-
@tayvano_ – 专门从事钱包安全、钓鱼工具包和代币批准窃取器
-
@Iamdeadlyz – 跟踪链上诈骗、空投利用和协议漏洞
-
@jconorgrogan – 分享基于钱包的研究和与现实世界参与者相关的宏观见解
-
@WazzCrypto – 以与模因币相关的漏洞利用监控和诈骗追踪而闻名
-
@_iphelix – 对洗钱路径和恶意合约进行基础设施级别的调查
-
@FatManTerra – 在 Terra 崩溃期间声名鹊起;后来提供了围绕 FTX 的关键见解,帮助塑造了早期的公众监督
这些人经常悄悄地合作或公开分享他们的研究,从而帮助提高公众意识和整个生态系统的后端归因工作。虽然这里只列出了几个,但更广泛的社区包括许多其他熟练的调查员,他们在幕后贡献了宝贵的见解。
✅ 提示:关注这些人对于发现早期威胁、行为模式以及可能不会出现在工具或公司报告中的归因线索特别有用。
独立调查员充当公共数据和可操作见解之间的桥梁,通常推动行业更快地响应和问责。
3. 区块链浏览器
这些是基础工具,允许你手动搜索和检查钱包活动、交易流程、合约交互和代币移动。
-
Etherscan / Solscan / BscScan / SnowTrace 用于跟踪实时交易、验证合约、监控内部转移以及识别批准或跨链桥事件。
-
Phalcon / Tenderly 用于解码复杂的智能合约交互或理解涉及代理升级、重入等的漏洞利用。
✅ 提示:除了表面转移之外,始终检查代币批准历史记录和内部交易。
4. 链上监控和归因工具
这些工具提供可视化、聚类和警报,帮助发现不寻常的流程或将钱包重新连接到已知威胁。
-
Arkham Intelligence: 显示跨实体的实时余额、警报和钱包关系。
-
Breadcrumbs / MetaSleuth / DeBank: 提供跟踪、地址聚类、标记和可导出的交易路径。
-
MistTrack / Crystal Intelligence / Elliptic: 提供归因、风险评分和调查仪表板的高级取证平台。通常由专业人士和合规团队使用。
例子:
在 2025 年 2 月 21 日,加密货币交易所 Bybit 遭受了一起灾难性的安全漏洞,涉及其以太坊冷钱包之一。该漏洞导致超过 14.6 亿美元的 ETH 被盗,使其成为有史以来与交易所相关的加密货币盗窃案之一。
与早期的猜测相反,这不是私钥泄露。相反,攻击者通过欺骗的 Safe UI 通过屏蔽交易执行了复杂的智能合约逻辑操作。据 Bybit 首席执行官 Ben Zhou 称,所有钱包签名者都看到了一个合法的界面,显示了正确的交易详细信息,并且 URL 来自 @safe。但是,他们签署的实际消息修改了钱包本身的智能合约逻辑。一旦逻辑被更改,攻击者就获得了对冷钱包的完全控制权,并立即耗尽了其 ETH 余额。
独立调查员 ZachXBT 是最早通过 Telegram 向社区发出警报的人之一,从而促使生态系统中的安全团队和跟踪专业人员立即做出响应。
Twitter 嵌入
·
Bybit ETH 多重签名冷钱包大约 1 小时前转移到我们的热钱包。此特定交易似乎是 musked,所有签名者都看到了 musked UI,该 UI 显示了正确的地址,并且 URL 来自 @safe。但是签名消息是更改 显示更多
复制链接
开始进行区块链调查不需要立即掌握每种工具或技术,但它确实需要纪律、好奇心和一致性。通过设置实时警报、构建你自己的威胁钱包数据库、使用多种工具进行交叉验证以及利用值得信赖的调查员社区,你将快速获得信心和准确性。
请记住:没有人能一夜之间成为专家。你遵循的每个案例、你分析的每笔交易以及你探索的每种工具都会建立你的直觉并提高你的技能。记录你的工作,及时了解威胁趋势,并不断向该领域的其他人学习。
这是一个坚持不懈就会得到回报的领域,即使是很小的发现也能为保护更广泛的加密货币生态系统做出贡献。
2. 确定范围 -
每个有效的调查都从明确定义的范围开始。这包括了解事件的性质,无论是涉及智能合约漏洞利用、钱包窃取器、洗钱操作、钓鱼诈骗还是中心化交易所漏洞,并评估调查是否具有战略相关性和经济可行性。
💡 “区块链取证调查不仅仅是技术技能,还需要大量的时间、协调和法律意识。追回永远无法保证,而且并非每个事件都值得全力追查。”
此处的关键步骤是进行成本效益分析。例如,花费价值 100,000 美元的时间、工具或法律支持来追回 10,000 美元的被盗资产可能并不实际。在处理因地区而异的缓慢或分散的执法渠道时尤其如此。
还要考虑事件的规模。在像 Bybit 黑客攻击这样的大型事件中,超过 10 亿美元被盗,并且数百个钱包同时转移资金,单个调查员无法单独跟踪整个操作。在这种情况下,至关重要的是:
-
将重点缩小到关键钱包或高价值交易的子集,
-
优先考虑早期移动或已知的场外交易,
-
在可行的情况下与社区或安全团队合作。
此外,评估可用于所涉及的区块链的工具和基础设施。一些生态系统(例如,以太坊、Solana)拥有成熟的浏览器、仪表板和调查工具。其他生态系统(尤其是较新的或小众的链)缺乏有效的可视化平台、索引 API 甚至可靠的浏览器。在这些情况下,调查变得更加手动和耗时,需要直接解析原始交易和日志。
开始之前要问的问题:
-
发生了什么类型的犯罪?(漏洞利用、钓鱼、洗钱等)
-
估计的经济损失是多少?
-
资产是否可以在链上追踪?
-
需要什么工具或法律途径?
-
此调查与潜在的追回是否成比例?
通过周到地定义范围,你可以确保你的努力集中、可扩展并与现实世界的结果保持一致。
调查员心态:自力更生:
虽然协作工具和开源情报可能很有用,但永远不要完全依赖他人来解决案件。大多数成功的调查都是通过注意到其他人错过的一个小细节来侦破的,例如重复使用的地址、机器人模式、跨链桥交互。在关键时刻,你需要找到自己的前进道路。
“没有人会向你提供完整的情报。进步来自毅力、创造力和建立你自己的线索。一旦你贡献了有意义的发现,其他人可能会提供帮助,但一切都始于你。”
3. 数据收集与丰富 -
一旦明确定义了范围,下一步的关键步骤是收集和丰富数据,这将构成你调查的基础。有效的区块链取证严重依赖于来自链上和链下平台的准确、组织良好的信息。
要收集什么:
所需的特定数据点将根据事件的类型而有所不同,但通常包括:
-
钱包地址:攻击者、受害者、中介、资助者
-
交易哈希:初始漏洞利用、交换或跨链桥转移
-
智能合约地址:恶意合约、路由器、跨链桥
-
代币详细信息:资产类型、数量、交易路径
-
时间戳:用于对关键事件进行排序
-
事件日志:用于内部合约交互或闪电贷
-
跨链桥数据:源链和目标链、资产类型
-
交易所存款地址:用于场外交易分析
-
已知标签和标记:来自开源情报或分析工具
在开始跟踪之前,必须验证和构建此原始数据。此阶段的错误(例如,不正确的钱包地址或被忽略的内部交易)可能会危及整个调查。
跟踪前的丰富:
在分析资金流之前,重要的是用上下文丰富数据。提出以下关键问题:
-
攻击者的钱包是新创建的还是从另一个漏洞利用中重复使用的?
-
交易模式是否与已知的洗钱行为相似?
-
此合约是否被混淆或从以前的恶意部署中复制?
-
是否正在使用自动窃取器、混合器或跨链桥等工具?
数据收集并不过于复杂,通常不需要昂贵的软件。在大多数情况下,调查人员可以从使用公共区块链浏览器(例如,Etherscan、Solscan)等免费工具开始,以收集相关的交易数据、钱包地址和合约交互。为了丰富你的调查,你还可以研究历史事件,利用以前归属的钱包地址,并参考社区共享的免费数据集。适当的归属和历史背景可以显着提高你发现的准确性和深度。
例如,Bybit 案例中要收集什么数据
要开始调查此事件,以下数据点至关重要:
-
受害者地址:(在本例中为 Bybit)0x1Db92e2EeBC8E0c075a02BeA49a2935BcD2dFCF4
-
攻击者钱包:0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2
-
交易哈希: 这些是与事件相关的所有交易。你可以通过在你首选的区块链浏览器上标记受害者和攻击者钱包来识别它们。
你可以手动复制并粘贴到工作表中以保持井然有序,或者可以将它们提取到如下的电子表格中:
在 Bybit 案例中,可用于丰富或归因的链上数据有限,因为攻击最初不涉及合约级别的利用或复杂的洗钱机制。相反,攻击者通过利用 Safe(Gnosis Safe)前端界面执行了社会工程攻击,向签名者呈现了一个被操纵的交易界面。
所有交易签名者都认为他们正在批准合法转移,但实际上,他们不知情地签署了一项交易,该交易将冷钱包的控制权交给了攻击者。因此,被盗资金直接从 Bybit 的多重签名钱包转移到攻击者的钱包,没有任何中间合约交互或可能留下可追溯线索的典型漏洞利用模式。
注意:从一开始就维护所有发现的结构化记录。保留钱包地址、时间戳、代币流动和已知标签的日志可确保你不会丢失关键线索,并允许在呈现证据或撰写报告时进行清晰的可视化。
4. 交易追踪 -
交易追踪是指追踪被盗或可疑加密资产在区块链上的移动的过程。它涉及分析攻击者在初始入侵后如何转移、拆分、交换、跨链桥或洗钱资金。此步骤对于发现洗钱技术、将其他钱包归因于攻击者以及识别可能进行干预的潜在场外交易至关重要。
一旦初始数据收集完成并且相关钱包被贴上标签,调查人员在开始实际跟踪过程之前应考虑以下关键点:
开始交易跟踪之前的主要考虑因素-
-
注意立即的资产交换:- 设置实时钱包警报:** 使用像 Arkham、MistTrack 或 Etherscan 这样的工具,针对已知的攻击者钱包设置警报。这些通知允许调查人员在资金移动时立即做出反应——无论金额多么小。
-
监控向中心化交易所(CEXs)的小额提款: 攻击者经常尝试通过使用虚假或被盗身份将小额、分散的金额发送到中心化交易所来套现。这些模式是微妙但一致的,应该被标记出来以供进一步审查。
-
尽早考虑跨链转移: 许多洗钱活动涉及在链之间桥接资金。准备好在不同的浏览器(例如 Solscan、Tronscan、BscScan)之间切换,并使用多链分析平台来保持可见性。
-
关注行为模式: 分析交易时间和金额可以揭示攻击者的日常行为或地理线索(例如时区、睡眠周期)。这些模式可以帮助预测未来的行动和转移。
-
从以往的事件中学习: 研究过去的黑客攻击和追踪行动可以帮助识别重复出现的战术和基础设施。许多攻击者在不同的事件中重复使用洗钱方法或钱包。
案例研究:Bybit 黑客事件——盗窃后的资金转移
在 2025 年 2 月 21 日,Bybit 遭受了一次重大漏洞,导致以下资产被盗:
-
401,000 ETH
-
90,300 stETH
-
15,000 cmETH
-
8,000 mETH
攻击者盗窃后的行动
在漏洞发生后不久,攻击者将 被盗的 stETH 和 mETH 转移到一个新创建的钱包,并用 1 ETH 作为 gas 费用。从这个钱包中,这些代币通过 ParaSwap 和 BreederDodo 等 去中心化协议进行兑换,这使得攻击者能够绕过中心化平台,并降低被列入黑名单或干预的风险。
还试图 转移和清洗 15,000 cmETH,但 Mantle 的 8 小时提款延迟起到了关键的保障作用,阻止了攻击者提取被盗资金。
有关采取的缓解措施的完整详细信息,请参阅 Mantle 团队的官方更新。
Twitter 嵌入
·
mETH 协议关于 Bybit 安全事件的更新 
在 2025 年 2 月 21 日,我们得知 Bybit 发生了一起安全事件,导致 mETH 和 cmETH 从交易所被未经授权地提取。攻击者执行了多笔交易,将资产从展示更多
复制链接
在最初的兑换之后,攻击者开始将 401,000 ETH 分成 40 笔独立的交易,每笔交易转移 10,000 ETH,以启动洗钱过程。这是一种经典的混淆技术,通常用于分割大量持有,减缓调查人员的速度,并增加攻击者成功洗钱的机会。
这些交易的完整列表记录在下面的表格中:
sheets.fileverse.io sheets.fileverse.io
主要收获
-
去中心化兑换: 在盗窃发生后立即被用于转移非原生代币,并避免发行方的冻结操作。
-
协议级别的保护措施: 像 Mantle 的提款延迟一样,在阻止 cmETH 的盗窃执行中发挥了决定性作用。
-
通过批量拆分进行的 ETH 混淆: 被用于分割和隐藏被盗资金的来源。
-
实时监控和早期钱包标记: 使调查人员能够追踪转移并迅速做出反应。
此案例说明了协议级别的防御,加上实时交易追踪,如何显著降低攻击者的成功率——即使是在高价值、大规模的盗窃案中。
5. 链上分析 -
链上分析指的是对区块链活动进行结构化检查,目的是更深入地了解可疑或非法交易中涉及的钱包的行为、基础设施和关系。与基本的交易跟踪(侧重于追踪被盗资产的流动)不同,链上分析提供了更广泛、更具背景的攻击者策略视图。它可以帮助调查人员识别模式、检测钱包集群、将行为归因于已知实体,并揭示跨多个链和服务的洗钱方法。
这种分析层在复杂案例中至关重要,在这些案例中,攻击者分割资金、使用隐私工具或试图通过分层交易来掩盖所有权。
链上分析的目标
-
识别钱包集群: 根据行为启发式、交易时间和共享资金模式,将可能由同一实体控制的地址分组。
-
绘制洗钱基础设施图: 了解攻击者对特定工具(如 DEX、跨链桥和混合器)的使用,并随着时间的推移追踪洗钱策略。
-
检测行为特征: 通过分析交易频率、首选工具、gas 设置或操作时间(例如,一致的活动窗口)来分析攻击者的行为。
-
揭示其他关联地址: 发现以前未知的、与已知攻击者控制的地址交互或模仿其行为的钱包。
-
支持归因和升级: 提供证据以帮助归因,允许升级到中心化交易所、协议或相关机构,以进行潜在的资产追回或阻止。
何时应用链上分析
在以下情况下,链上分析变得尤其有价值:
-
当被盗资产分散在多个钱包中,导致直接跟踪变得困难时
-
当攻击者使用混合器、DEX 或跨链桥来混淆资金流动时
-
当行为模式或钱包活动表明使用了自动化或先前的基础设施时
-
当调查人员需要将钱包归因于已知行为者、过去的黑客攻击或被标记的实体时
-
当准备提交给交易所、协议或执法部门的报告需要进行背景分析时
-
当试图揭示在初始跟踪期间未立即显示的隐藏关系或钱包集群时
-
当资金跨链转移,并且跟踪需要在多个区块链生态系统之间切换时
-
当调查涉及潜在的社会工程、网络钓鱼活动或钱包重复使用时
链上分析中的常用技术
无
链上分析中常用的工具
无
著名的加密货币调查员 ZachXBT 分享了他常用于链上和 OSINT 调查的工具列表。他的工具包突出了将区块链分析与开源情报相结合以追踪资金、揭示身份和验证连接的重要性。以下是他的推荐工具的截图:
无
链上分析案例:Bybit 黑客攻击与过去的多次攻击有关
在 2025 年 Bybit 黑客攻击期间,有效的链上分析出现了一个有力的演示。在追踪被盗资金的洗钱活动时,ZachXBT 公开披露,攻击者在链上与之前的多次交易所漏洞有关——包括 Poloniex、Phemex 和 BingX。在所有四起事件中,都使用 类似的洗钱模式、资金流 和 钱包基础设施 识别出了同一实体。
Twitter 嵌入
·
Lazarus 集团刚刚在链上将 Bybit 黑客攻击与 Phemex 黑客攻击直接联系起来,混合了这两起事件的初始盗窃地址中的资金。
重叠地址: 0x33d057af74779925c4b2e720a820387cb89f8f65
2025 年 2 月 22 日的 Bybit 黑客交易:展示更多
复制链接
在我自己的调查中,我还发现了与 AlphaPo/Coinspaid 黑客攻击 (2023) 的链上联系。 在该案例中,攻击者整合了小批量的比特币,将资金桥接到以太坊,将其兑换成 USDT,然后使用 Bridgers(.)xyz 将资产转移到其他链——Bybit 洗钱过程中也反映了这种模式。
无
这个例子说明了链上分析不仅揭示了洗钱策略,还将看似孤立的事件联系起来。它揭示了 重复的行为者,并强调了 不同黑客攻击、时间线和生态系统中洗钱基础设施的重用。
这些重叠并非巧合。包括 ZachXBT 在内的多名区块链调查员将这些事件归因于 Lazarus 集团,这是一个 与 DPRK 相关的民族国家 APT,原因是有大量的链上证据、重复出现的行为模式和基础设施重用。Bybit 黑客攻击进一步证实了这一归因。
Bybit 黑客攻击中使用的洗钱方法
在最初的盗窃和代币兑换之后,攻击者开始将大部分被盗资产从以太坊转移出去。大部分被盗的 ETH 使用 eXch 和 THORChain 等服务桥接到比特币,这与之前 与朝鲜有关的攻击 中看到的洗钱模式非常相似。
一旦资产转换为比特币,攻击者就会使用混合工具来混淆踪迹。已经有数十万美元的 BTC 通过以下方式清洗:
-
Cryptomixer – 一种 中心化的比特币混合器,它汇集用户存款并用新的输入重新分配它们。自 2016 年以来一直在运营,它逃避了执法部门的审查,使其成为经验丰富的洗钱运营商中值得信赖的工具。
-
Wasabi Wallet – 一种 非托管的隐私钱包,它利用 CoinJoin 交易 来匿名化比特币转移。与中心化混合器不同,它使用协调器来促进该过程,而无需托管用户资金。
这种方法——桥接到比特币,然后进行分层混合——代表了一种 经过深思熟虑的高级别洗钱策略,与通常归因于 Lazarus 集团 的策略一致。
为了支持调查并鼓励全球合作,Bybit 推出了一个专门的网站,提供结构化数据、钱包详细信息和实时更新——这是一项不常见但有价值的举措,旨在应对重大的加密货币犯罪。
调查员洞察:链上分析的实践应用
链上分析是调查员发现更大图景的地方。它涉及剖析洗钱模式,识别基础设施的重复使用,并将起初看起来无关的事件联系起来。熟练的调查员将其发现组织到钱包集群、工具和行为特征的私人库中,这些库成为未来案例中宝贵的资源。
虽然一些发现会被公开,以暴露威胁行为者并提醒社区,但大部分更深入的分析仍然是私密的,以保护调查方法并防止泄露给对手。
对于新的调查员来说,这是一个机会。通过持续的实践、好奇心和访问过去黑客攻击的公开数据,任何人都可以培养进行有效链上分析的技能,并为打击加密货币犯罪做出贡献。
6. 协作与验证 -
在区块链调查中,协作与验证 对于提高调查结果的准确性和影响至关重要。无论调查员多么有经验,孤立地工作都可能导致错过模式、盲点或未经证实的假设。
与 可信的同行网络 分享调查结果(例如钱包连接、洗钱模式或实体归因)可以进行交叉验证、获得新的视角,有时还可以获得关键的新线索。这种协作并不总是意味着公开;通常,它发生在 私人调查员小组、Telegram 圈子 或 SEAL-ISAC 等平台中,专业人士在那里安静但有效地进行协调。
同时,验证你的结论 与得出结论同样重要。在标记钱包或将事件归因于已知团体之前:
-
在多个工具中重新检查行为模式。
-
用威胁情报来源或以前的案例证实你的调查结果。
-
咨询可能见过类似指标的其他调查员。
许多成功的归因——比如将 Bybit 黑客攻击与过去的攻击联系起来——只有通过多方确认和共享知识才能获得可信度。
🔍 提示: 始终记录你的推理和证据。良好的验证不仅关乎正确,还在于能够证明你为什么正确。
协作和验证不仅可以加强调查结果,还可以保护你的信誉,减少误报,并使你的工作对交易所、协议和更广泛的社区具有可操作性。
7. 建立个人资料和报告 -
一旦链上调查完成并且关键调查结果得到验证,最后一步就是 建立威胁资料,并将你的结论记录在一份清晰的、可操作的报告中。此阶段将原始区块链数据转换为可供交易所、协议、安全团队或执法部门使用的情报。
建立个人资料涉及总结攻击者的行为、方法和可能的身份指标。一份好的威胁资料包括:
-
通过行为、时间或 gas 使用情况连接的 钱包集群
-
使用的基础设施,例如 DEX、桥、混合器和合约
-
洗钱技术(例如,批量拆分、跨链路由、使用隐私工具)
-
归因证据,例如与过去黑客攻击的相似之处或与已知威胁团体的联系
-
与先前观察到的威胁行为者行为相匹配的 战术、技术和程序 (TTP)
目标是清晰地描绘出攻击者如何运作——而不仅仅是他们在一次事件中所做的事情。
报告
报告的目的是让你的调查 可理解并可操作。根据你的受众,你的报告可能会与以下对象分享:
-
交易所或协议,以请求冻结、列入黑名单或内部监控
-
安全研究人员或调查同行,用于协作和持续跟踪
-
公众,当目的是提高认识或揭露威胁行为时
-
执法部门或合规团队,附有结构化证据和时间表
一份强有力的报告应包括:
-
事件的简洁摘要
-
包含关键交易的事件时间表
-
可视化效果(钱包流程图、交易图或地址图)
-
支持数据(钱包地址、TX 哈希、标签、屏幕截图)
-
清晰的建议或结论
🧠 提示: 使用结构化格式,避免猜测,并始终区分已确认的事实和假设。这可以保护你的信誉,并帮助其他人根据你的调查结果采取行动。
结论:将方法转化为影响
此方法概述了用于跟踪被盗资产、揭示洗钱模式和归因于基于区块链的犯罪的 核心调查过程。从定义清晰的范围到建立详细的威胁配置文件,每个阶段都在将原始链上数据转化为可操作情报方面发挥着关键作用。
有效的区块链调查不仅在于跟踪交易 - 还在于理解行为- 威胁行为者不断演变的策略:威胁行为者不断调整他们的洗钱技术。这包括转移到受监控较少的链,部署自定义的洗钱合约,或使用“洗钱即服务”工具。调查人员必须保持持续学习和监控,以领先于这些威胁。
6. 被盗资金和洗钱方法分析
数字资产的盗窃已成为加密货币生态系统中一个持续且不断演变的威胁。从大规模的交易所黑客攻击到高度定向的社会工程攻击,每年被盗加密货币的价值高达数十亿美元。然而,盗窃本身只是犯罪的一个阶段。随之而来的——这些非法资金的洗钱——同样至关重要,而且更为复杂。
本节探讨了被盗的加密资产是如何被清洗、混淆并最终转化为可用价值的。它详细检查了攻击者使用的常见洗钱技术、支持这些活动的基础设施,以及用于将非法资金转化为稳定币、法定货币或隐私保护资产的各种策略。
- 盗窃后的目标
一旦攻击者成功窃取了数字资产——无论是通过智能合约漏洞、私钥泄露、网络钓鱼活动或其他方式——重点立即转移到保持对被盗资金的访问,同时最大限度地减少可追溯性和风险暴露。盗窃后的阶段通常经过高度计算,利用自动化、跨链基础设施和对调查盲点的了解。
以下是威胁行为者在加密货币盗窃后的关键几个小时和几天内追求的关键目标:
1. 混淆资金来源
攻击者通常在盗窃前后使用隐私工具来混淆漏洞利用中使用的资金来源以及被盗资产的后续转移。这包括通过 混币器 (例如,Tornado Cash) 或 非托管交换 (例如,ChangeNOW,eXch) 预先加载操作钱包,然后通过多个钱包分层交易以隐藏来源点。
在某些情况下,被盗资产会立即跨链桥接或交换,使得实时跟踪极其困难。这一步对于避免归因和扰乱调查时间线至关重要。
2. 打破取证联系
区块链取证在很大程度上依赖于追踪交易流和钱包关联。老练的行为者会故意引入噪声——使用 剥离链、代币洗牌、DEXes 或 包装资产——来使分析复杂化。目的是切断或混淆来源 (被黑合约或受害者钱包) 和攻击者真实出口之间的直接路径。
3. 避免立即检测和冻结
备受瞩目的漏洞利用通常会迅速引起交易所、执法部门和链上分析师的关注。因此,攻击者的目标是在任何实体能够通过 冻结请求 做出响应之前,迅速将资金分散 到多个钱包和链上。他们通常依赖于:
-
时区不匹配 (在交易所离线时执行攻击)
-
高速桥接 (特别是到不受监管的司法管辖区)
-
使用 自动化机器人 在几分钟内执行复杂的洗钱流程
将波动资产转换为稳定价值
许多被盗代币,尤其是在 DeFi 漏洞利用中,流动性不足或波动剧烈。攻击者经常将这些资产兑换为 稳定币 (USDT、USDC、DAI) 或流动性强的蓝筹代币,如 ETH 或 BTC。这有两个目的:
-
降低价格波动风险
-
使未来的洗钱和出口更容易
4. 监控调查人员和社区的反应
老练的攻击者经常 监控 Arkham 警报、Etherscan 评论、X (Twitter) 和 Telegram 频道,以寻找其地址或流程已被标记的迹象。在某些情况下,他们会根据公共情报在中途调整策略。
这是许多调查人员选择不立即公开披露其调查结果的关键原因之一。相反,他们可能会扣留信息,直到披露变得必要——无论是为了支持受害者恢复工作,还是为了促使交易所和执法部门采取行动——从而最大限度地减少过早警告攻击者的机会。
- 洗钱技术
在最初的盗窃之后,加密货币犯罪分子必须将被盗资产转化为可用资金,同时最大限度地降低被发现或追回的风险。鉴于区块链数据的公共性质,清洗被盗加密货币需要有意识地使用 多层混淆策略 和基础设施,这些策略和基础设施利用了技术、司法管辖区和程序上的盲点。
本节概述了当今攻击者使用的最常见的洗钱技术。
1. 链跳跃 (跨链洗钱)
链跳跃 指的是为了 打破取证可追溯性、分割交易路径和绕过监控工具或合规框架而有意识地跨多个区块链网络转移资产。这种策略被机会主义黑客和国家支持的行为者在漏洞利用发生后立即广泛使用。
攻击者通常从 以太坊 等高监控网络开始,这些网络受到区块链分析公司和执法机构的密切监控。从那里,他们迅速将资产 桥接到监管较少或监控较少的链,例如 BNB 链、Tron、Avalanche 或 Polygon,在这些链上,透明度工具和钱包归属更受限制。
表格:用于链跳跃和跨链洗钱服务的常用工具
为什么有效:
-
允许在具有不同监控深度的生态系统之间无缝移动
-
大多数工具缺乏原生合规性或交易归属
-
使攻击者能够利用低流动性或监管较少的链 (例如,BNB、Tron)
-
提供代币格式 (包装资产、稳定币等) 的混合以掩盖流动
这种方法经常与 混币器、NFT 洗钱 和 微额支付策略 结合使用,创建多链交易网络,使调查人员感到沮丧并延误执法响应。
例如,在 2025 年 Bybit 黑客攻击中,攻击者使用 Thorchain 和 eXch 将大部分被盗资金从以太坊桥接到比特币,使其更难追踪并绕过 KYC 限制。
2. 混合服务
混合服务,也称为 滚筒,是一种旨在混淆加密货币交易的链上来源和目的地的工具。它们通过汇总来自多个用户的加密货币存款、将它们汇集在一起,并以随机和假名的方式将资金重新分配到新的钱包地址来实现这一点。这打破了发送者和接收者之间的直接联系,使得在链上追踪资金流变得更加困难。
混合器可以是基于智能合约的(去中心化和链上)或托管的(由中心化实体运营)。虽然最初开发是为了增强金融隐私,但这些服务经常被参与勒索软件、DeFi 漏洞利用、网络钓鱼计划和暗网市场活动的恶意行为者滥用。
混合服务如何运作
-
存款:用户将加密货币存入混合器。
-
聚合:混合器将来自多个用户的资金汇集到一个共享的流动性池中。
-
延迟和分配:经过一段时间的延迟后,用户将等量的加密货币提取到一个新的、无关的地址。
-
结果:源钱包和目标钱包之间的线索被打破,隐藏了资产的来源。
例如: 在最近的 Bybit 黑客攻击中,在通过 Thorchain 和 eXch 将被盗资金桥接到比特币后,攻击者开始使用各种比特币混合服务,通过 CoinJoin 交易 混合资产。相比之下,在 WazirX 黑客攻击期间,攻击者在漏洞利用后不久 将整个被盗金额存入 Tornado Cash 以混淆线索。
3. 剥离链 (微额洗钱)
剥离链 是一种洗钱技术,其中被盗的加密资产 以小额增量分散在一系列交易和钱包中,通常通过自动化脚本。攻击者不会在单笔交易中转移全部金额——这更容易标记和跟踪——而是 “剥离”被盗资金的小部分,将它们通过中间钱包的长链发送,以缓慢地将最终目的地与来源区分开来。
剥离链如何运作
-
初始钱包:攻击者在漏洞利用后在一个钱包中持有大量余额。
-
增量转移:少量金额 (例如,0.1 BTC 或 10 ETH) 以逐步方式发送到新地址。
-
多跳:每笔交易都为新钱包提供资金,然后该钱包剥离较小的金额到下一个钱包,依此类推。
-
退出节点:最终,资金到达用于交换、混合或退出已清理资金的目标钱包。
目的和有效性
-
避免检测:自动化 AML 系统或实时监控工具不太可能标记小额转账。
-
增加复杂性:长链的交易通过膨胀交易图来使取证跟踪复杂化。
-
时间延迟移动:剥离链可以在几天或几周内运行,使其更难以实时检测洗钱。
4. 通过 P2P 和 OTC 经纪商进行退出
一旦被盗的加密资产通过 混币器、剥离链 或 跨链交换 得到充分混淆,大多数攻击者的最终目标是 退出为法定货币或稳定资产。此过程称为 退出,通常通过 点对点 (P2P) 平台 或 场外交易 (OTC) 经纪商 进行,以避免检测并绕过中心化交易所 (CEX) 合规控制。
它是如何运作的
-
点对点平台:攻击者使用 Binance P2P、LocalBitcoins 或 HodlHodl 等服务直接向买家出售加密货币,以换取法定货币 (银行转账、移动支付、礼品卡)。这些平台通常监督最少,或允许通过一次性身份进行交易。
-
OTC 经纪商:这些是 私人中介 或专门将大量加密货币转换为法定货币的小型公司,通常以收取百分比费用为代价。一些 OTC 柜台在 Telegram、微信 或 WhatsApp 上非正式运营,并且可能提供故意忽略 KYC/AML 协议的服务。
为什么攻击者更喜欢这些方法
-
绕过 KYC:与受监管的交易所不同,许多 P2P 和 OTC 选项不需要验证身份,或者允许通过 购买的 KYC 账户 进行访问。
-
谨慎交易:OTC 交易通常在平台外进行,并且留下的数字足迹有限。
-
高流动性:经纪商可以吸收大量交易量,而不会触发交易所警报或导致价格下滑。
5. 通过不受监管的交易所进行洗钱
攻击者使用的最常见和最有效的洗钱技术之一是使用 不受监管或监管宽松的加密货币交易所,特别是那些在执法薄弱或监督有限的司法管辖区运营的交易所。这些平台允许威胁行为者 交换、提取或将被盗加密货币兑换为法定货币或稳定币,而不会触发合规警报。
著名示例
-
Huione:据报道与柬埔寨实体有关联的广泛使用的支付平台和交易所网络。它经常与 杀猪盘、欺诈团伙和地下银行运营有关。Huione 的生态系统在 Telegram 和微信等消息平台上传播,提供伪装成电子商务或金融代理的法定货币兑换和洗钱服务。
-
Xinbi:据报道,一种鲜为人知的加密货币交易所被用于清洗来自网络钓鱼诈骗和链上攻击的被盗资产。Xinbi 的 KYC 标准薄弱,使其对需要无审查兑现的参与者具有吸引力。
-
Grantex:一种总部位于俄罗斯的交易所服务,已用于暗网交易和非法资金流动。Grantex 以在不强制执行 KYC 的情况下处理大批量交换而闻名,经常被勒索软件运营商和受制裁地区的参与者使用。
为什么攻击者使用它们
-
无 KYC / AML 执行:这些平台通常允许匿名交易或接受虚假文件。
-
高风险承受能力:他们不会将全球区块链分析提供商标记的钱包列入黑名单。
-
跨境法定货币访问:许多平台通过非正式货币代理或 P2P 转移支持以当地货币提款的选项。
-
低监管监督:由于在加密货币执法有限的司法管辖区运营,他们面临的国际压力很小。
这些交易所通常代表洗钱行动的最后阶段,在这种阶段,先前被混淆的资金要么被转换为法定货币并提取,要么进一步转移到以隐私为中心的资产,例如 门罗币 (XMR) 或 Zcash (ZEC)。在这一点上,追踪变得极其困难,因为许多这些平台在主要监管框架之外运营,不与执法部门或分析提供商合作,并且经常通过非正式金融网络进行链下结算。一旦资金通过这些渠道退出透明的区块链环境,调查人员将面临归因、资产追回或及时干预的重大障碍。
7. 结论
随着加密货币生态系统在规模和复杂性上不断增长,其中运营的非法行为者的复杂性也在不断增长。清洗被盗资金不再是一个简单的过程——它是一个 战略性的多阶段行动,结合了增强隐私的工具、去中心化基础设施和跨司法管辖区的盲点以逃避检测。
本文探讨了攻击者如何从 盗窃转移到混淆再到退出,使用一系列洗钱技术,例如 链跳跃、混合服务、剥离链 和 不受监管的交易所。它还强调了支持性基础设施——桥梁、DEX、隐私币和 OTC 经纪商——使攻击者能够分割、隐藏,并最终将被盗加密货币转换为可用价值。
通过理解这些技术和所涉及的工具,调查人员和合规团队可以更好地预测非法资金的流动,并识别可能进行干预的瓶颈。然而,挑战仍然艰巨。攻击者不仅在技术上很熟练——他们也很积极,密切关注区块链情报领域,并实时调整它们的洗钱策略。
有效的对策需要的不仅仅是技术能力——它们需要 跨链可见性、及时情报共享 以及 分析师、交易所和执法部门之间的协调努力。教育也起着至关重要的作用:随着越来越多的调查人员、开发人员和安全专业人员意识到这些洗钱方法,生态系统将更有能力抵御未来的滥用。
最终,破坏加密货币洗钱不仅关乎追踪被盗资金——还关乎 维护为去中心化创新提供支持的金融层的完整性。通过继续记录、分析和揭露这些方法,我们可以缩小犯罪活动与问责制之间的差距,并为所有人构建一个更安全、更透明的加密货币生态系统。
由 ETH Rangers 计划的赠款支持
免责声明:“本文章仅供教育和信息参考之用。它不构成金融、法律或网络安全建议。虽然已尽一切努力确保准确性,但加密货币威胁的格局发展迅速,并且提供的信息可能无法反映最新的发展。读者应在根据本内容做出决策之前进行独立研究并咨询合格的专业人士。
提及特定公司、平台或个人均基于公开信息,除非另有独立证实,否则并不意味着存在不当行为。本文的目标是提高人们的意识,并鼓励用户安全和生态系统安全的最佳实践。”
- 原文链接: mirror.xyz/somaxbt.eth/E...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
