区块链取证：归因技术与开源情报的作用

somaxbt.eth
发布于 3天前
阅读 39

本文深入探讨了区块链取证中的归因技术以及开源情报（OSINT）的关键作用。文章详细介绍了通过交易模式、基础设施、跨链行为和行为模式进行钱包归因的方法，并强调了OSINT在连接区块链地址与现实世界实体方面的重要性，包括利用社交媒体、域名记录、开发者仓库等多种信息源来识别和追踪恶意行为者。文章旨在帮助调查人员更好地利用链上数据和外部信息，从而更有效地打击加密货币领域的欺诈和非法活动。

![](https://img.learnblockchain.cn/2025/09/10/84895785_image.png)

区块链取证：溯源技术和 OSINT 的作用

SomaXBT

### **目录**

**1\. 介绍**

**2\. 区块链调查中的钱包溯源**

- 基于交易的溯源

- 基础设施/交互溯源

- 跨链溯源

- 行为溯源

**3\. OSINT 在区块链取证中的作用**

- 什么是 OSINT？

- 为什么 OSINT 在区块链取证中至关重要

- 区块链调查员的 OSINT 来源

- 在区块链取证中使用 OSINT 的挑战

- 调查员的最佳实践

**4\. 结论**

## **1\. 介绍**

追踪链上被盗资金通常是调查的第一步，但它很少能讲述完整的故事。黑客和欺诈者将资产转移到多个区块链上，这使得资金流变得复杂，但并非不可能追踪。通过追踪这些交易，调查人员可以构建资金流动的地图，但溯源才是真正将这些数据转化为情报的关键。溯源意味着将钱包和活动集群与运营它们的实体联系起来。

OSINT（开源情报）增加了另一个关键层面。区块链分析显示被盗资金如何流动，而 OSINT 提供外部环境，有时可以通过链接的沟通渠道、开发活动、重复使用的域名或连接的社交媒体资料来识别这些钱包背后的身份。调查员依赖于诸如交易所记录、公共报告和泄露数据等溯源，并将它们与 OSINT 工具和技术相结合，以将钱包与真实世界的参与者联系起来。

在本文中，我们将探讨区块链取证中的溯源技术、调查人员使用的关键来源，以及加强调查的 OSINT 工具和方法。我们还将重点介绍希望提高技能的分析师的资源，并提供案例研究，展示溯源和 OSINT 如何将原始区块链数据转化为可操作的情报。

## **2\. 区块链调查中的钱包溯源**

溯源是将区块链地址与运营它们的实体或个人联系起来的过程。在实践中，这意味着不仅仅是追踪被盗资金，还要揭示揭示共同所有权或控制权的联系。黑客经常将资产分散到数十甚至数百个钱包中，希望将其活动碎片化，但溯源技术允许调查人员将这些碎片重新组合成有意义的集群。

溯源是通过分析技术和情报来源的组合来实现的。一些方法侧重于交易模式和钱包如何交互，另一些方法依赖于基础设施重用、跨链行为或外部情报，如交易所记录和 OSINT。在实践中，调查人员结合多种方法来构建更强的溯源案例。

![](https://img.learnblockchain.cn/2025/09/10/KBoLdSmtqDwqdLcDzvk8r.png)

考虑到这个基础，我们可以详细了解主要类别，首先是 **基于交易的聚类**，这是区块链取证中最广泛使用的技术之一。

### -基于交易的溯源

钱包溯源最常见和最有效的方法之一是 **基于交易的聚类**。这种方法通过检查钱包如何提供资金、发送和整合资产来将钱包分组在一起。即使犯罪分子将盗窃资金分散在数十个地址上，交易流通常也会留下清晰的关系，调查人员可以用来识别共同所有权。

**常见的输入和输出模式 -**

基于交易的聚类中的一项关键技术是分析钱包如何通过其输入和输出进行交互。当攻击者通过中心化交易所转移资金，以及当他们故意避免使用交易所时，这种方法以两种不同的方式工作。

- 多个地址将资金发送到**同一个充值钱包**（CEX，经纪人或洗钱服务）。

- 多个钱包从**同一批提款**中接收资金。

- 来自不同黑客攻击的被盗资金**整合到一个以前使用过的钱包中**。

- 资产拆分到多个钱包，然后**在一个目的地重新组合**（交易所，OTC 交易台，经纪人）。

- 网络钓鱼诈骗中的收款地址，**汇总了数百个受害者的流入**。

> **示例：** **[Inferno Drainer 合约](https://intel.arkm.com/explorer/address/0x000037bB05B2CeF17c6469f4BcDb198826Ce0000)** (_0x000037bB05B2CeF17c6469f4BcDb198826Ce0000_) 说明了常见的输入和输出模式如何实现溯源。来自多个网络钓鱼活动的受害者钱包都将盗窃资产输送到该合约中，然后该合约将资金转发到攻击者控制的收款钱包。通过观察流入的汇聚和输出的重新分配，调查人员能够将单独的诈骗活动与相同的恶意基础设施联系起来。

![](https://img.learnblockchain.cn/2025/09/10/qXJ8AHn4-HjwIGZ1SYbR2.png)

**Gas 费或资金钱包溯源 -**

攻击者通常依赖于单个钱包来分配少量的原生 Token (ETH, BNB, TRX 等)，这些 Token 可以实现交易。追踪这些 feeder 钱包允许调查人员发现攻击者控制的地址集群。

- 多个钱包在短时间内充值**相同的 Gas 量**。

- feeder 钱包使用**先前黑客攻击中被盗的资金**来资助新的行动。

- 通过 **Tornado Cash 提款**或 **即时兑换服务**（如 ChangeNOW、Exch 等）提供的 Gas。

- **私人桥接资金**，其中直接链接被隐藏，需要**手动时间关联**来匹配存款和取款。

- 资金模式暴露了整个**子钱包**集群，否则这些子钱包看起来不相关。

> **示例：WazirX 黑客攻击中的 Gas 费溯源**
>
> 在 **[2024 年 7 月 18 日的 WazirX 黑客攻击](https://x.com/zachxbt/status/1813896342894465091)** 期间，通过 Gas 费分析加强了溯源。调查人员将活动追溯到一个测试钱包，_0x6eedf92fb92dd68a270c3205e96dccc527728066_，该钱包在 **2024 年 7 月 10 日** 处于活跃状态，比主要事件早八天。该钱包从 **Tornado Cash 收到了六个单独的 0.1 ETH 充值**，这些充值用于资助涉及攻击者多重签名中的 SHIB Token 的测试交易。

**Peel Chain 和拆分流 -**

通过将钱包映射为节点，将交易映射为边，调查人员可以可视化隐藏的关系。图结构通常会暴露从原始交易中不明显的集群和洗钱路线。

- 钱包反复与同一个收款人或经纪人互动。

- 多个洗钱路径汇聚到一个端点。

- 星形模式显示单个融资钱包供应许多子钱包。

- 长的线性链突出了 peel 样式的洗钱。

- 漏洞利用合约或 drainer 服务周围的密集集群。

> **[示例：](https://x.com/somaxbt/status/1894613344826294462)** 在清洗来自 **Bybit 黑客攻击** 的资金期间，出现了一个清晰的 peel chain 溯源案例。被盗资产通过以太坊上的整合地址 (0xd6a1643c40cc3dbe6e27c9281e8dfb135e30491f) 输送，然后再转移到比特币中。此洗钱路径中使用的一个 BTC 地址
>
> (bc1qt2wghg5xd346m06hmvrw0mnjwtfeeksagsmslp) 稍后与另一个 BTC 地址 (bc1qd5j8sd04hf4qem0x0ytl56w909nse4pgv9yt82) 相关联，该地址已与 **2023 年的 AlphaPo/Coinspaid 黑客攻击** 相关联。这种重叠揭示了相同的洗钱基础设施如何在多个备受瞩目的事件中重复使用，使调查人员能够将 Bybit 黑客攻击与过去的漏洞联系起来。

![](https://img.learnblockchain.cn/2025/09/10/BhJ99FxT82J-90xRLARap.jpeg)

**交易图分析 -**

通过将钱包映射为节点，将交易映射为边，调查人员可以可视化隐藏的关系。图结构通常会暴露从原始交易中不明显的集群和洗钱路线。

- 钱包反复与同一个收款人或经纪人互动。

- 多个洗钱路径汇聚到一个端点。

- 星形模式显示单个融资钱包供应许多子钱包。

- 长的线性链突出了 peel 样式的洗钱。

- 漏洞利用合约或 drainer 服务周围的密集集群。

基于交易的溯源仍然是区块链取证中最可靠的方法之一。通过分析输入、输出、feeder 钱包、peel chain 和交易图，调查人员可以发现攻击者试图隐藏的关系。即使黑客轮换地址或分割资金，资金的流动方式也会留下模式，这些模式可以聚类成一个连贯的画面，将分散的钱包变成可归属的网络。

### **- 基础设施/交互溯源**

黑客和诈骗运营者经常在多个活动中重复使用相同的基础设施。与侧重于资金流动的基于交易的聚类不同，**基础设施溯源着眼于攻击者依赖的技术组件**，如智能合约、漏洞利用代码、批准机制和交互模式。即使钱包本身发生变化，基础设施通常保持不变，留下可靠的溯源标记。

**Drainer 和漏洞利用合约 -**

- 网络钓鱼行动通常依赖于 **智能合约 drainer** (例如，Inferno Drainer, Monkey Drainer)。

- 数千个受害者钱包可能会批准同一合约，使其成为一个自然的溯源锚点。

- 即使运营者循环使用新的收款钱包，一致使用一个 drainer 合约也会将活动联系在一起。

**恶意批准和交互 -**

- 受害者被诱骗批准恶意消费方（ERC-20 批准、NFT 批准）会产生可重复的模式。

- 对同一恶意合约的数十甚至数百个批准表明单个活动或运营者。

- 通过映射与同一消费方或合约函数交互的所有钱包，可以进行溯源。

**漏洞利用代码重用 -**

- 黑客经常在多次攻击中重复使用相同的漏洞利用合约或 payload。

- 当相同的漏洞利用字节码出现在不同的事件中时，强烈表明是同一组或共享的工具包。

- 链接这些漏洞利用部署有助于跨黑客攻击聚类钱包，否则这些钱包看起来是不相关的。

**部署钱包和合约资金 -**

- 许多恶意合约由同一个开发者钱包部署和资助。

- 通过追踪部署地址，调查人员可以将多个恶意合约归因于同一个参与者或组织，即使是在不同的活动中。

> **注意：** 基础设施和交互溯源通常与智能合约开发和审计重叠，这可能非常技术性。本节进行了简化，以便没有编码背景的调查人员更容易理解。目标不是解释合约字节码，而是强调重复使用相同的恶意合约、批准或漏洞利用基础设施如何创造溯源机会。

### **- 跨链溯源**

黑客很少将盗窃资金保留在单个区块链上。为了增加复杂性并降低被扣押的风险，他们通常使用桥、兑换服务和稳定币在多个链之间转移资产。这个过程被称为 **bridge hopping**，创造了溯源机会，因为同一个参与者通常重复使用首选的跨链路线。通过分析资产如何在生态系统之间移动，调查人员可以将跨链钱包联系起来，并将它们归因于同一运营者。

跨链溯源着重于识别 **资金如何离开一个链，它们如何在下一个链上出现，以及哪些地址或服务始终充当连接点**。

**桥接和稳定币洗钱 -**

- 被盗的 ETH 通常转换为 **USDT 或 USDC**，然后桥接到 Tron 或 BNB Chain 等流动性高的链。

- 稳定币是洗钱的首选媒介，因为它们很容易离岸。

- 调查人员可以通过观察哪些地址在黑客攻击后重复**接收桥接稳定币**来连接钱包。

**重复使用特定桥 -**

- 组织经常在事件中重复使用相同的桥 (例如，Allbridge, Multichain, THORChain, Wormhole)。

- 即使钱包地址发生变化，一致的基础设施选择也会形成溯源指纹。

- 监控桥的流入和流出有助于调查人员将 **源链钱包与目标链接收者** 匹配。

**包装资产和合成 Token -**

- 洗钱者通常依赖于 **包装资产** (wETH, wBTC, 桥接 USDC)。

- 通过追踪这些包装器，分析师可以跟踪被盗资产，即使它们移动到不同的生态系统中。

- 当包装资产重复落在相同的目标钱包或交易所中时，就会出现模式。

**在 OTC 经纪人和兑现点汇聚 -**

- 多个黑客攻击经常在 **相同的 OTC 经纪人地址** 汇聚，尤其是在 **Tron USDT** 上，这是一个受欢迎的端点。

- 在这些链下流动性提供商处重复汇聚表明共享所有权或团体级别的洗钱。

- 将新的流入链接到这些端点可以将新的黑客攻击归因于已知的参与者。

**在私有或半私有桥中进行时间相关性 -**

- 面向隐私的桥（例如，匿名兑换或半私有协议）掩盖了直接链接。

- 调查人员使用 **基于时间的分析**：将一个链上的存款时间戳与另一个链上在紧密时间窗口内发生的提款进行匹配。

- 虽然它本身不是确定性的，但当与行为或基础设施证据结合使用时，此方法会加强溯源。

**示例：Lazarus Group 和王义聪**

![](https://img.learnblockchain.cn/2025/09/10/8shbaKKB8aWCFTx0C-J47.jpeg)

跨链溯源的一个有力例子来自 **Lazarus Group**，该组织在 OTC 交易员 **王义聪** 的帮助下清洗被盗资金。正如 **ZachXBT (2024 年 10 月)** 首次记录的那样，来自 **Alex Labs 漏洞利用 (2024 年 5 月)** 和 **Irys 网络钓鱼攻击 (2024 年 7 月)** 的资金通过以太坊和 Tron 使用隐私协议和 bridge hopping 进行清洗。

- **以太坊分层：** 来自两次黑客攻击的资金都存入了隐私协议合约，然后提取到新的钱包中。这使追踪变得碎片化，但保留了调查人员可以对齐的时间和金额模式。

- **Bridge Hopping：** 2024 年 8 月 13 日，来自两次事件的混合 ETH 被桥接到一个与王义聪相关的 Tron 地址。匹配跨链的存款和提款暴露了跨链移动。

- **Tron 洗钱：** 列入黑名单的以太坊钱包后来将数十万个 USDT 转移到王义聪已知的 Tron 钱包中，将这一活动与他的 OTC 运营联系起来。

通过应用 **交易匹配、时间相关性和多链分析**，调查人员连接了以太坊和 Tron 上超过 **$1700 万** 的被盗资金。

来源：[调查](https://x.com/zachxbt/status/1849071080180240751) 最初由 [ZachXBT](https://x.com/zachxbt) 报道

**主要结论：** 跨链溯源表明，即使犯罪分子隐藏在 bridge hopping 后面，资金流动也很少是随机的。一致的桥选择、稳定币目的地以及在 OTC 经纪人处重复汇聚创造了调查人员可以跨生态系统跟踪的指纹。

**跨链溯源在很大程度上依赖于分析 bridge hopping**，即通过兑换、稳定币和包装 Token 跟踪资产如何在链之间移动。在使用此方法溯源任何钱包之前，调查人员必须仔细分析桥交易，因为即使在时间和交易匹配中出现小错误，也可能将整个案例重定向到错误的参与者。映射桥流量的精确性至关重要，因为跨链失误可能会产生虚假连接并破坏溯源。

> **调查人员注意事项：** 跨链溯源可能具有挑战性，因为隐私桥和合成 Token 会掩盖直接连接。在某些情况下，不可能在第一次跳跃时将资金与某个组联系起来。但随着资金的进一步移动，其他链上 **重用桥、汇聚点和稳定币接收者** 的模式通常会揭示运营者。这使得跨生态系统的长期监控成为溯源的关键部分。

### - 行为溯源

攻击者可以轮换钱包、跨链桥接和分散资金，但他们通常会留下 **行为指纹**，这些指纹在事件中持续存在。这些重复出现的模式就像数字签名。正如个人有独特的笔迹或例程一样，黑客在如何转移资金、他们使用什么工具以及何时进行交易方面也有一致的偏好。通过分析这些行为和交易习惯，调查人员可以聚类钱包并将新活动与已知组联系起来，即使没有直接的基础设施或 CEX 数据。

**时间习惯 -**

- **一致的小时数：** 在同一天的时段内执行的交易通常反映了攻击者的时区。

- **操作节奏：** 一些组织总是深夜 (当地时间) 转移资金，以避免交易所监控。

- **批量活动：** 洗钱行动可能以突发形式发生 - 例如，每 10 分钟进行一系列转移，从而揭示自动化。

**稳定币和资产偏好 -**

- 许多参与者始终将被盗资产转换为 **USDT**，尤其是在 Tron 上，因为它的流动性和 OTC 访问。

- 一些人更喜欢 **DAI 或 USDC**，具体取决于他们的退出市场。

- 通过跟踪一致的稳定币选择，调查人员可以聚类看似无关的黑客攻击。

**协议和路线选择 -**

- 攻击者会在 **DEX 和桥** 方面养成习惯。

- 示例：始终通过 **Uniswap v3** 进行兑换，然后通过 Multichain 进行桥接。

- 一些组织由于其深厚的流动性而更喜欢 **Curve 池** 用于大型稳定币兑换。

- 重复依赖同一路线会建立强大的溯源指纹。

**固定面额和交易风格 -**

- 像 Tornado Cash 这样的隐私混合器鼓励以设定的面额 (1 ETH, 10 ETH, 100 ETH) 进行提款。

- 一些参与者总是使用 **相同的面额** (例如，10 ETH)，从而创建一种模式。

- Peel chain 通常逐步移动几乎相同的金额，这是另一种行为表现。

**兑现一致性 -**

- 不同的黑客攻击经常 **在同一 OTC 经纪人或洗钱端点汇聚**。

- 例如，来自多个活动的资金最终可能会落在 **同一个 Tron USDT 经纪人钱包** 上，从而将它们联系在一起。

行为溯源强调，虽然可以更换钱包，但习惯更难隐藏。时间模式、稳定币偏好和重复的洗钱路线通常充当将操作联系在一起的指纹。尽管如此，应始终与其他溯源方法交叉检查这些信号，以避免虚假连接，确保行为线索加强调查而不是误导调查。

## **OSINT 在区块链取证中的作用**

### **- 什么是 OSINT？**

**开源情报 (OSINT)** 是一种从公开可用来源收集、分析和解释信息的实践。与机密或专有情报不同，OSINT 依赖于任何人都可以访问的数据，只要他们知道在哪里查找以及如何连接点。

![](https://img.learnblockchain.cn/2025/09/10/PWJWrxAmFjJLYnzr4W09v.png)

在区块链取证的背景下，OSINT 包括从社交媒体帖子、在线论坛和域名记录到泄露的数据库、GitHub 存储库或新闻报道的所有内容。这些来源通常包含信息片段——在 Telegram 频道、嵌入存款地址的网络钓鱼域名或与 GitHub 提交相关的开发者活动中共享的钱包地址——当与链上数据交叉引用时，会提供关键的溯源线索。

OSINT 的核心是将开放数据转化为可操作的情报。对于区块链调查人员来说，这意味着弥合假名钱包地址和现实世界参与者之间的差距，帮助发现诈骗、跟踪非法资金和识别威胁网络。

### **- 为什么 OSINT 在区块链取证中至关重要**

单独的区块链取证可以映射资金在地址、交易所和协议之间的流动，但它往往无法揭示这些交易背后的人员或组织。之所以存在这种局限性，是因为区块链在 **设计上就是假名的**——钱包地址充当标识符，但它们与现实世界的身份没有任何内在联系。这就是 OSINT 变得不可或缺的地方。

OSINT 非常重要，因为它提供了缺失的背景信息。威胁参与者经常有意或通过操作失误在开放来源中留下数字足迹。诈骗者可能会在 Twitter 上发布存款地址以推广 Token 预售，注册嵌入其钱包的网络钓鱼域名，或者在 Telegram 和 GitHub 上重复使用相同的用户名。可以收集、验证这些痕迹并将其连接到链上证据，使调查人员能够从区块链上 **发生了什么** 转向 **谁制造了它**。

除了溯源之外，OSINT 还增强了取证结果的 **可信度和影响力**。一份仅显示钱包流动的报告可能说明了技术技能，但一份通过 OSINT 截图 (帖子、域名记录、交易所公告) 丰富的报告提供了一个引人注目的故事，监管机构、记者或执法部门可以据此采取行动。简而言之，OSINT 将区块链取证转变为一项全面的调查学科，弥合了假名账本和现实世界责任之间的差距。

### **- 区块链调查人员的 OSINT 来源**

开源情报 (OSINT) 的威力仅取决于调查人员可以识别、访问和解释的来源。在区块链取证中，不同类型的开放数据扮演着不同的角色——有些提供直接的钱包线索，而另一些提供支持背景信息，从而加强溯源。以下是调查人员依赖的最重要的 OSINT 来源的细分。

![](https://img.learnblockchain.cn/2025/09/10/aQCcklB6r3scTaIs5F9-a.png)

**社交媒体和消息传递平台 -**

社交网络和消息传递应用程序是溯源线索最丰富的来源之一。威胁参与者经常在这里暴露自己，无论是出于必要还是粗心大意。对于调查人员来说，这些平台通常提供可以追溯到链上活动的第一个面包屑。

- **Twitter/X** – 通常用于 Token 预售推广、NFT 宣传和诈骗活动。调查人员经常发现直接发布在帖子或回复中的钱包地址。即使删除后，存档的帖子和截图仍然可以成为宝贵的证据。

- **Telegram & Discord** – 虽然这些平台被广泛用于管理合法的加密社区，但它们也是诈骗团伙的主要中心。许多 **钱包消耗者积极在 Telegram 上推广他们的服务**，分享工作证明截图、服务价格，甚至客户评价。预售地址、网络钓鱼链接和洗钱说明也经常在群聊中发布。

- **Reddit、TikTok、YouTube** – 诈骗者经常运行跨平台促销活动，将存款地址嵌入视频叠加层或描述框中以吸引受害者。

- **AI 驱动的搜索工具** – 像 **Perplexity** 或其他 AI 驱动的引擎这样的平台可用于快速浮出跨公开可用数据提及的钱包地址、用户名或诈骗活动。虽然这些永远不应取代手动验证，但它们可以加速发现可能遗漏的来源。

**实用技巧**：

- 在将帖子与链上数据交叉引用之前，务必存档帖子并收集元数据 (用户名、日期/时间、群组/频道链接)。

- 将可疑的钱包地址粘贴到 **社交媒体搜索栏** 或 AI 搜索工具中，以检查过去的提及。有时你会发现与同一钱包相关的 Telegram 群组促销、Reddit 帖子或诈骗报告。

- 请记住，单个社交提及或 AI 浮出水面的点击不足以进行强溯源。将这些用作 **进一步调查的线索**——你作为调查人员的技能在于通过多个佐证数据点证明联系。

**域名和基础设施记录 -**

Web 基础设施是区块链调查的另一个关键 OSINT 层。网络钓鱼活动、诈骗网站和恶意基础设施通常会揭示可以直接与非法活动相关的钱包地址或运营详细信息。

- **[WHOIS](https://who.is/) 记录** – 即使部分被编辑，域名注册日期、托管提供商和重复使用的电子邮件地址也可以确定多个诈骗站点之间的模式。调查人员经常发现同一运营者从单个托管帐户运行数十个域名。

- **DNS 和 SSL 证书** – DNS 历史记录和 SSL 指纹可以将域名链接在一起。威胁参与者经常在多个诈骗站点上回收 SSL 证书，当多个虚假空投或消耗站点共享同一证书时，这会成为一个强大的溯源信号。

- **网络钓鱼网站** – 许多诈骗会将钱包地址直接嵌入到他们的 HTML 或 JavaScript 中，允许调查人员直接从网站转向链上跟踪。即使网站很快被删除，该地址仍然保留在链上。

- **工具和监控** – 公共 OSINT 工具使这项工作变得更加容易。像 **urlscan.io、RiskIQ、SecurityTrails 和 DomainTools** 这样的平台允许调查人员快速映射基础设施连接。还有 **Telegram 频道和机器人** 专门用于监控域名更改。例如，**Site Sentry** 在网络钓鱼站点或诈骗前端更新或切换基础设施时向调查人员发出警告，从而提供新的模仿诈骗的早期警告。

**实用技巧**：

- 始终使用域名存档工具 (例如，Wayback Machine, urlscan.io) 在删除站点之前捕获快照。

- 使用监控机器人跟踪基础设施更改——前端更新通常表示活跃的诈骗活动。

- 认真对待模仿诈骗：模仿交易所、钱包或项目的虚假域名是将受害者诱骗到消耗计划中的最常见方式之一。

**开发者存储库和社区论坛 -**

技术社区可能会无意中泄露有价值的面包屑，帮助调查人员将链上活动归因。许多诈骗项目始于开发者或推广者在开放存储库、论坛或博客中留下痕迹。

- **GitHub** – 开发者可能会无意中将 **测试钱包、API 密钥或标识符** 提交到代码存储库中。在 rug pull 或恶意智能合约中，分析链接到项目的 GitHub 存储库可以揭示真正的作者或连接的帐户。调查人员还发现诈骗者在多个欺诈项目中重复使用相同的 GitHub Handle。

- **检查威胁参与者存储库** – 查看与 **民族国家组织或网络犯罪参与者** (例如 DPRK IT 工作人员) 相关的已确认存储库可以揭示更广泛的网络。
  - 这些存储库可能会显示重复的编码风格、重复使用的基础设施或与合作伙伴帐户的链接。

- 在某些情况下，**同一参与者跨不同的存储库和平台管理多个身份**，一旦比较代码提交、用户名或电子邮件地址，这一点就会变得清晰。

- 此方法对于识别受制裁的组织何时在新别名下悄悄运营特别有用。
- **Bitcointalk 和加密论坛** – 这些论坛仍然活跃在加密地下，托管项目公告、预售促销和诈骗指控。帖子通常包含可以在链上交叉引用的钱包地址、合约部署或交易哈希。许多早期的 rug pull 在这里留下了他们的第一个足迹。

- **Medium & Substack** – 欺诈项目经常发布嵌入钱包地址的“官方”指南和操作方法帖子。这些博客充当用于征求资金的地址的公共记录，并且可以稍后与链上的诈骗活动进行匹配。

- **其他开发/社区空间** – 即使是像 GitLab、Notion 或 Telegram 链接的开发者中心这样的小平台也可能会泄露运营详细信息。文档文件有时会暴露合约部署者钱包或基础设施关系。

**实用技巧**：始终使用区块链活动 **交叉验证** 你在这些空间中找到的任何钱包或域名引用。GitHub 提交或论坛帖子可能会指向一个地址，但只有交易分析才能证明它是否被积极用于欺诈。与已知参与者 (如 DPRK IT 工作人员) 关联的存储库特别有价值，但它们需要仔细的模式识别和关联以避免误报。

**泄露的数据库和暗网市场 -**

虽然使用起来更加敏感，但当小心且合乎道德地处理时，**泄露的数据和暗网论坛** 可以提供高价值的溯源线索。这些来源通常包含标识符——电子邮件、用户名或钱包地址——这些标识符将假名区块链活动与现实世界的参与者联系起来。

- **凭据转储** – 来自数据泄露的暴露的电子邮件密码对有时可以链接到 **中心化交易所帐户** 或稍后被威胁参与者滥用的加密服务。例如，在 Binance 帐户上重复使用的泄露的 Gmail 地址可能会出现在区块链提款模式中。

- **暗网论坛和市场** – 欺诈者经常宣传 **被盗帐户、SIM 卡交换、恶意软件日志或“加密兑现服务”**。这些论坛中发布的钱包地址通常与链上看到的洗钱流程重叠。监控这些空间有助于调查人员了解攻击者的基础设施和兑现方法。

- **Paste 站点** – 像 **Pastebin、Ghostbin 或 AnonFiles** 这样的公共粘贴平台偶尔会托管钱包列表、诈骗工具包或域名基础设施的转储。这些通常与网络钓鱼活动或出售的“交钥匙”诈骗操作有关。

- **泄露的数据源** – 一些平台以可搜索的格式聚合泄露或泄露的数据，使调查人员可以访问可以透视到区块链调查中的标识符：
  - **Have I Been Pwned (HIBP)** – 免费服务，用于检查电子邮件是否出现在泄露中。

- **Dehashed** – 付费 OSINT 工具，用于查询泄露的数据集中的电子邮件、用户名、IP 和域名。

- **Intelligence X** – 索引泄露数据、暗网站点和粘贴转储的搜索引擎。

- **BreachForums / 后继市场** – 用于交易泄露数据和加密帐户的已知中心。(⚠️ 调查人员必须在此处格外小心。)

**实用技巧**：

- 访问暗网资源时，始终使用 **严格的 OPSEC** (隔离的机器、VPN、匿名化) 进行操作。

- 将泄露的数据视为 **相关点，而不是结论**。在溯源之前，应使用链上证据验证重复使用的电子邮件或Handle。

- 尽可能使用合法和道德的渠道——例如，HIBP 或 Dehashed 提供合规的访问，而无需与犯罪分子直接互动。

**交易所公告和公共报告 -**

加密货币交易所和行业安全组织会定期发布调查人员可以利用的有价值的情报。这些来源通常包含 **预先验证的数据点**——例如已确认的被黑客攻击的钱包或冻结的资金——这些数据点可以在与链上分析分层时加强溯源。

- **CEX 公告** – 像 **Binance, Coinbase, Kraken 和 OKX** 这样的主要交易所经常在冻结与黑客攻击或诈骗相关的资金时发出警报。这些公告有时会列出特定的钱包地址或交易哈希。例如，Binance 在扣押或冻结与 Lazarus Group 漏洞利用相关的资产时已多次发布更新。

- **安全公司和社区项目** – **TRM Labs、Elliptic、SlowMist 和 PeckShield** 等行业参与者定期发布包含标记的钱包、洗钱类型和事件分析的报告。像 **ZachXBT** 这样的独立调查人员也分享了非常详细的诈骗和黑客攻击细目分类，这些细目分类通常成为更广泛的取证调查的起点。

- **公共数据库和报告平台** – 众包和半正式数据库，如 **Chainabuse、ScamSniffer、CoinHolmes 和 SEAL-ISAC** 聚合了社区报告的诈骗、标记的地址和事件报告。这些存储库充当新兴威胁的早期预警系统，并且可以为调查提供关键点。

**实用技巧**：

- 将所有外部标签视为 **丰富，而不是证明**。虽然交易所公告通常是可靠的，但第三方报告可能包含错误或过时的信息。

- 在将标记的地址包括在调查报告中之前，务必针对 **区块链交易活动** 交叉验证它们。

- 使用这些报告来节省时间：与其重新发明轮子，不如建立在已确认的情报之上，并将调查扩展到新的方向。

**视觉、行为和元数据痕迹 -**

一些最微妙但通常最强大的 OSINT 来自于分析 **人类行为**。即使是老练的参与者也经常重复使用可以在跨平台和钱包活动中连接的数字模式。

- **重复使用的Handle和头像** – 许多参与者跨 Telegram、Discord、Twitter、GitHub 甚至暗网论坛回收相同的用户名、显示名称或个人资料图片。识别这些重叠可以是将多个身份链接到单个运营者。

- **活动时间** – 帖子、消息或提交的时间戳通常与钱包交易活动一致。这可以表明威胁参与者的 **可能时区或工作时间**，当与其他溯源线索 (例如，DPRK 活动模式) 结合使用时，这尤其有价值。

- **语言和风格** – 诸如重复的拼写错误、首选的表情符号、口头禅或模因使用等写作模式可以帮助聚类声称是单独身份的帐户。当诈骗者操纵多个角色时，语言分析 (文体测量学) 特别有用。

- **来自文件和图像的元数据** – 有时，参与者共享的图像、PDF 或文档会保留隐藏的 **EXIF 数据、时间戳或软件标签**。这些详细信息可以揭示创建工具、时区甚至设备指纹。

**实用技巧**：

- 将行为和元数据痕迹视为 **支持性证据**，而不是结论性证据。重复使用的Handle或匹配的发布时间可能表明存在链接，但溯源需要与链上流动或更强的 OSINT 相结合。

- 当与区块链证据 (如匹配的钱包活动模式) 分层时，这些微妙的痕迹在构建 **强大的溯源案例** 中变得强大。

**媒体和新闻来源 -**

传统的 OSINT 仍然是对区块链调查的关键补充。虽然大多数溯源在线发生，但 **新闻报道、法律记录和学术研究** 通常提供权威的数据点，从而加强调查人员的案例。
- **新闻报道** - 报道重大黑客攻击、诈骗或交易所漏洞的记者经常会提供受害者、交易所或监管机构分享的钱包地址。例如，**路透社** 或 **Coindesk** 等媒体经常发布与 Lazarus Group 攻击或大规模 rug pull 相关的官方地址。这些可以作为深入取证分析的支点。

- **法庭文件与制裁名单** - 法律文件、起诉书和制裁通知（例如，**OFAC、Europol、DOJ、联合国报告**）有时会披露嫌疑人先前未知的钱包地址、别名或使用的基础设施。这些来源具有高度可信度，对于合规驱动型调查中的归因非常有价值。

- **学术论文与研究** - 大学和区块链研究小组偶尔会发布关于洗钱方法、暗网钱包或混合技术的数据集。这些研究提供了结构化的情报，调查人员可以将其纳入案例工作或用于验证趋势。

**实用技巧**：

- 对这些材料使用 **结构化存档**。特别是法庭文件和制裁数据，应存储和索引以供长期使用，因为它们通常会成为未来案例中的参考点。

- 将媒体报道视为 **次要确认**，在归因之前，始终使用区块链交易数据交叉验证已发布的地址和声明。

**公共黑名单和威胁情报源 -**

区块链调查员另一个重要的 OSINT 来源是不断增长的 **公共黑名单、威胁情报源和众包报告平台** 生态系统。这些服务聚合了与诈骗、网络钓鱼活动、黑客攻击和受制裁实体相关的钱包地址，通常会近乎实时地更新。它们对于 **早期预警和信息丰富化** 尤为重要，可以帮助调查人员快速转向链上分析。

- **社区平台** - **Chainabuse、ScamSniffer 和 CryptoScamDB** 等服务允许用户提交和分享可疑地址的报告。这些平台从受害者和独立调查员那里众包情报，从而可以快速了解新兴的诈骗。

- **行业威胁情报源** - **MistTrack、Crystal、TRM Labs、SlowMist 和 CipherTrace** 等专业的情报提供商维护着与黑客攻击、洗钱、暗网市场或勒索软件相关的标记钱包的结构化情报源。这些通常会集成到交易所和调查员的合规工作流程中。

- **制裁和政府名单** - **OFAC SDN 名单、Europol 通知和联合国制裁更新** 等官方数据集经常包含与 **国家APT、网络犯罪组织和洗钱网络** 相关的钱包地址。这些地址是置信度最高的归因信号之一。

- **交易所共享情报源** - 一些中心化交易所（例如，**Binance、Coinbase**）偶尔会发布他们在黑客攻击后冻结的钱包地址。这些地址会迅速反映在威胁情报源中，并成为追踪洗钱流程的有效支点。

**实用技巧**：

- 黑名单和情报源是 **极好的起点**，但它们并非万无一失。误报、过时的标签和错误的归因很常见。

- 始终将它们视为 **线索，而不是结论**，在使用到调查报告中之前，每个标记的地址都应通过区块链交易分析进行独立验证。

- 结合多个情报源可以增加覆盖范围，但也会增加噪音；过滤和验证是调查员技能的关键部分。

**稳定币发行方黑名单（Tether 和 Circle） -**

稳定币发行方提供了一个独特的 OSINT 层，因为与去中心化协议不同，他们保留对其代币的中心化控制权。**Tether (USDT)** 和 **Circle (USDC)** 都会主动冻结从事非法活动的钱包，从而为调查员创建有价值的归因点。

- **Tether (USDT)** – Tether 经常将与 **黑客攻击、诈骗、勒索软件、暗网市场和受制裁实体** 相关的钱包列入黑名单。一旦冻结，这些钱包将无法再转移 USDT，但其链上历史记录仍然可见，从而为调查员提供已确认的非法集群以进行映射。

- **Circle (USDC)** – Circle 的运营方式类似，与监管机构、合规团队和执法部门密切合作，以冻结与犯罪活动或违反制裁行为相关的钱包。这些冻结通常在链上公开可见，并且通常会反映在合规威胁情报源中。

- **调查价值** - 当发行方将地址列入黑名单时，它会提供一个 **外部验证信号**，表明非法活动已在合规或监管级别得到确认。调查员可以从这些冻结的钱包入手，追踪相关的洗钱网络、相关地址和跨链转移。

**实用技巧**：

- 实时监控发行方黑名单，新的冻结通常与 **正在进行的调查或新兴威胁** 相关。

- 将它们视为 **高置信度的信息丰富化点**，但请记住，发行方的冻结仅确认了冻结钱包的非法使用，而不是其更广泛集群中的每个地址。

- 将发行方数据与情报源和链上追踪相结合，以揭露更广泛的洗钱生态系统。

OSINT 是区块链取证中最强大的盟友之一，但它需要谨慎处理。区块链本身为你提供 **事实**，即不可变的交易记录。OSINT 提供了 **背景**，即人类、技术和行为方面的信号，这些信号将这些事实转化为可操作的情报。当它们结合在一起时，调查员可以将工作从追踪币种扩展到理解非法活动背后的参与者、网络和动机。

然而，OSINT 很少能单独得出结论。未经证实，单次泄露的凭据、Telegram 帖子或黑名单标签都不应定义归因。调查的优势在于 **三角测量**：针对区块链证据交叉验证多个 OSINT 来源，直到连接变得不可否认。

### \- 在区块链取证中使用 OSINT 的挑战

虽然 OSINT 是区块链调查中不可估量的工具，但它也带来了一些调查员必须认识和管理的重大挑战。如果处理不当，这些局限性可能会导致薄弱的结论、错误的归因甚至是受到损害的调查。

![](https://img.learnblockchain.cn/2025/09/10/uQq320P98C3URPz3CL6Sd.png)

- **数据过载** - 可用信息的庞大数量既是优势也是劣势。社交媒体聊天、域名记录、泄露的数据集和威胁情报源会产生大量信号。其中许多是不相关的、过时的或具有误导性的。调查员必须花费大量精力从有用的情报中过滤噪音，通常需要经验、结构化的工作流程和自动化工具才能保持效率。

- **误报和错误信息** - 公共黑名单、社区驱动的报告平台和论坛帖子经常包含不准确之处。一些钱包可能会被错误地标记为恶意的，而另一些钱包可能在多年前已用于非法活动，但现在已处于休眠状态。将此类条目视为确凿的证据会带来严重错误归因的风险。OSINT 应该指导调查，而不是在没有证实链上数据的情况下，决定最终归因。

- **匿名与欺骗** - 威胁行为者擅长隐藏其身份。他们使用 VPN、一次性设备、虚假身份和分离的帐户来误导调查员。在某些情况下，他们会故意植入虚假的 OSINT 踪迹（例如欺骗性域名或虚假的社交媒体Handle）以混淆归因。识别欺骗需要经验、批判性分析以及跨多个独立来源的验证。

- **临时数据** - 调查员依赖的许多开源数据都是临时的。推文被删除，Telegram 群组消失，域名过期，GitHub 存储库被删除。如果未通过屏幕截图、存档或监控工具立即捕获证据，则可能会永久丢失，从而削弱未来的归因工作。

- **法律和道德界限** - 并非所有 OSINT 来源都同样安全或合法使用。处理泄露的数据、暗网论坛或凭据转储需要严格的 OPSEC 和对法律约束的清晰理解。调查员必须在情报的价值与违反隐私、服务条款或合规框架的风险之间取得平衡。遵守道德界限可确保可信度并保护调查的完整性。

- **归因差距** - 也许最根本的局限性是 OSINT 本身无法提供钱包所有权的证明。充其量，它可以建立间接联系，将 Twitter 帐户、GitHub 存储库或域名链接到钱包地址。如果没有通过区块链分析进行验证，OSINT 只能暗示，而不能确认对资金的控制权。强大的归因需要 **链上取证 + OSINT + 佐证信号** 相结合。

### \- 调查员的最佳实践

为了克服在区块链取证中使用 OSINT 的挑战，调查员需要采用严谨的方法、良好的验证习惯和安全的操作实践。目标不仅仅是收集情报，而是将其转化为 **可靠的、可辩护的和可操作的证据**。

![](https://img.learnblockchain.cn/2025/09/10/SQuRlp0b91tQAsfCmFew1.png)

- **与链上证据相关联** - 当 OSINT 信号与区块链数据配对时，它们是最有力的。始终确认出现在开源中的钱包地址、域名或用户名是否与正在调查的资金或活动具有可衡量的联系。

- **积极存档** - 由于开源数据是临时的，捕获所有内容：帖子的屏幕截图、Telegram 消息、域名查找、GitHub 提交和站点快照。将你的证据组织成带有时间戳的存档，以供将来参考或法律使用。

- **跨来源交叉验证** - 单个线索很少能证明归因。强大的案例是通过三角测量多个独立的信号来建立的：例如，在网络钓鱼网站上找到的钱包、在 Telegram 群组中提到的钱包，以及后来被 Tether 冻结的钱包。重叠越多，置信度越高。

- **注意误报** - 将黑名单条目和众包报告视为线索，而不是结论。在报告中引用所有标签之前，通过独立分析对其进行验证。

- **维护 OPSEC** - 在使用暗网论坛、泄露的数据或威胁行为者社区时，请使用隔离的工作环境、VPN 和右匿名化工具保护自己。受到损害的 OPSEC 可能会危及调查员和调查本身。

- **利用监控工具** - 在可能的情况下进行自动化。**urlscan.io、Site Sentry、Telegram 警报机器人和黑名单监视器** 等工具可以在域名更改、新的网络钓鱼工具包出现或钱包添加到制裁名单时通知你。尽早意识到通常至关重要。

- **像对手一样思考** - 许多诈骗之所以成功，是因为参与者走了捷径。他们重复使用用户名、回收代码或按可预测的计划运行。以对抗性思维方式进行分析的调查员通常会首先发现这些错误。

- **与社区合作** - 没有一个调查员可以单独涵盖整个威胁情况。**SEAL-ISAC、Chainabuse 和独立调查员群体** 等网络提供共享的情报和同行验证。合作可以加强个人调查。

- **记录方法** - 扎实的调查不仅关乎发现，还关乎展示 **如何** 达到这些发现。清楚地记录来源、支点和验证步骤可以确保在将结果呈现给交易所、监管机构或更广泛的社区时，具有可信度。

OSINT 是区块链取证的有力补充，它提供了从追踪交易到归因参与者所需的背景信息。虽然它面临着误报、欺骗和法律界限等挑战，但交叉验证、存档、OPSEC 和协作等规范做法有助于确保准确性。负责任地使用 OSINT 可以将原始链上数据转化为可操作的情报，从而使调查更有效、更可信。

## 结论

归因和 OSINT 是区块链取证的双重支柱。链上分析显示资金的动向，但归因揭示了谁控制着钱包，而 OSINT 添加了外部背景，将假名地址转化为有意义的情报。它们共同使调查员能够将分散的交易、重复使用的基础设施和人类行为联系起来，形成有凝聚力的案例，从而揭露黑客攻击、诈骗和洗钱活动背后的参与者。

本文介绍了从交易集群和基础设施重用到跨链分析和行为指纹识别的归因实用技术，并展示了 OSINT 来源和工具如何加强这些发现。结合使用这些方法，可以将原始区块链数据转化为可操作的见解，从而支持执法、保护用户并追究不良行为者的责任。

对于新的调查员来说，最重要的一课是：你无法在一天之内学会这些技能。区块链取证需要耐心、纪律和实践。每个案例都不同，每次调查都会教会一些新的东西。错误、死胡同和误报是过程的一部分，但只要持之以恒，任何人都可以成长为一名有能力的调查员。

致未来的调查员：记录你的工作，跨来源进行验证，与受信任的社区分享，并且永不停止改进你的方法。本文只是一个起点，旨在展示调查的工作方式。其余的来自经验、实践和学习意愿。随着时间的推移、纪律和协作，你可以成为推动该领域向前发展的成功调查员之一。

> **“ 在区块链取证中，工具会引导你 - 但只有坚持、实践和好奇心才能将你变成调查员。 ”**

## **由 ETH Rangers 计划的赠款支持**

![](https://img.learnblockchain.cn/2025/09/10/9vaWJEBdBG_4WpNQCW1KO.png)

**免责声明**：“本文仅供教育和信息参考之用。它不构成财务、法律或网络安全建议。虽然已尽一切努力确保准确性，但加密货币威胁形势发展迅速，并且所提供的信息可能无法反映最新的发展。读者应进行独立研究，并在根据本内容做出决策之前咨询合格的专业人士。”*

“提及特定公司、平台或个人均基于公开可用的信息，除非经过独立确认，否则并不意味着存在不当行为。本文的目的是提高人们的意识，并鼓励用户安全和生态系统安全的最佳实践。”*

>- 原文链接： [mirror.xyz/somaxbt.eth/S...](https://mirror.xyz/somaxbt.eth/SVzdnvF3j4gQtNRvAyqvXWvT9_5HGNZKxrefNrqgmBE)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

区块链取证：溯源技术和 OSINT 的作用

SomaXBT

1. 介绍

2. 区块链调查中的钱包溯源

考虑到这个基础，我们可以详细了解主要类别，首先是 基于交易的聚类，这是区块链取证中最广泛使用的技术之一。

-基于交易的溯源

钱包溯源最常见和最有效的方法之一是 基于交易的聚类。这种方法通过检查钱包如何提供资金、发送和整合资产来将钱包分组在一起。即使犯罪分子将盗窃资金分散在数十个地址上，交易流通常也会留下清晰的关系，调查人员可以用来识别共同所有权。

常见的输入和输出模式 -

多个地址将资金发送到同一个充值钱包（CEX，经纪人或洗钱服务）。
多个钱包从同一批提款中接收资金。
来自不同黑客攻击的被盗资金整合到一个以前使用过的钱包中。
资产拆分到多个钱包，然后在一个目的地重新组合（交易所，OTC 交易台，经纪人）。
网络钓鱼诈骗中的收款地址，汇总了数百个受害者的流入。

示例： Inferno Drainer 合约 (0x000037bB05B2CeF17c6469f4BcDb198826Ce0000) 说明了常见的输入和输出模式如何实现溯源。来自多个网络钓鱼活动的受害者钱包都将盗窃资产输送到该合约中，然后该合约将资金转发到攻击者控制的收款钱包。通过观察流入的汇聚和输出的重新分配，调查人员能够将单独的诈骗活动与相同的恶意基础设施联系起来。

Gas 费或资金钱包溯源 -

多个钱包在短时间内充值相同的 Gas 量。
feeder 钱包使用先前黑客攻击中被盗的资金来资助新的行动。
通过 Tornado Cash 提款或 即时兑换服务（如 ChangeNOW、Exch 等）提供的 Gas。
私人桥接资金，其中直接链接被隐藏，需要手动时间关联来匹配存款和取款。
资金模式暴露了整个子钱包集群，否则这些子钱包看起来不相关。

示例：WazirX 黑客攻击中的 Gas 费溯源

在 2024 年 7 月 18 日的 WazirX 黑客攻击 期间，通过 Gas 费分析加强了溯源。调查人员将活动追溯到一个测试钱包，0x6eedf92fb92dd68a270c3205e96dccc527728066，该钱包在 2024 年 7 月 10 日 处于活跃状态，比主要事件早八天。该钱包从 Tornado Cash 收到了六个单独的 0.1 ETH 充值，这些充值用于资助涉及攻击者多重签名中的 SHIB Token 的测试交易。

Peel Chain 和拆分流 -

通过将钱包映射为节点，将交易映射为边，调查人员可以可视化隐藏的关系。图结构通常会暴露从原始交易中不明显的集群和洗钱路线。

钱包反复与同一个收款人或经纪人互动。
多个洗钱路径汇聚到一个端点。
星形模式显示单个融资钱包供应许多子钱包。
长的线性链突出了 peel 样式的洗钱。
漏洞利用合约或 drainer 服务周围的密集集群。

示例： 在清洗来自 Bybit 黑客攻击 的资金期间，出现了一个清晰的 peel chain 溯源案例。被盗资产通过以太坊上的整合地址 (0xd6a1643c40cc3dbe6e27c9281e8dfb135e30491f) 输送，然后再转移到比特币中。此洗钱路径中使用的一个 BTC 地址

(bc1qt2wghg5xd346m06hmvrw0mnjwtfeeksagsmslp) 稍后与另一个 BTC 地址 (bc1qd5j8sd04hf4qem0x0ytl56w909nse4pgv9yt82) 相关联，该地址已与 2023 年的 AlphaPo/Coinspaid 黑客攻击 相关联。这种重叠揭示了相同的洗钱基础设施如何在多个备受瞩目的事件中重复使用，使调查人员能够将 Bybit 黑客攻击与过去的漏洞联系起来。

交易图分析 -

通过将钱包映射为节点，将交易映射为边，调查人员可以可视化隐藏的关系。图结构通常会暴露从原始交易中不明显的集群和洗钱路线。

钱包反复与同一个收款人或经纪人互动。
多个洗钱路径汇聚到一个端点。
星形模式显示单个融资钱包供应许多子钱包。
长的线性链突出了 peel 样式的洗钱。
漏洞利用合约或 drainer 服务周围的密集集群。

- 基础设施/交互溯源

黑客和诈骗运营者经常在多个活动中重复使用相同的基础设施。与侧重于资金流动的基于交易的聚类不同，基础设施溯源着眼于攻击者依赖的技术组件，如智能合约、漏洞利用代码、批准机制和交互模式。即使钱包本身发生变化，基础设施通常保持不变，留下可靠的溯源标记。

Drainer 和漏洞利用合约 -

网络钓鱼行动通常依赖于 智能合约 drainer (例如，Inferno Drainer, Monkey Drainer)。
数千个受害者钱包可能会批准同一合约，使其成为一个自然的溯源锚点。
即使运营者循环使用新的收款钱包，一致使用一个 drainer 合约也会将活动联系在一起。

恶意批准和交互 -

受害者被诱骗批准恶意消费方（ERC-20 批准、NFT 批准）会产生可重复的模式。
对同一恶意合约的数十甚至数百个批准表明单个活动或运营者。
通过映射与同一消费方或合约函数交互的所有钱包，可以进行溯源。

漏洞利用代码重用 -

黑客经常在多次攻击中重复使用相同的漏洞利用合约或 payload。
当相同的漏洞利用字节码出现在不同的事件中时，强烈表明是同一组或共享的工具包。
链接这些漏洞利用部署有助于跨黑客攻击聚类钱包，否则这些钱包看起来是不相关的。

部署钱包和合约资金 -

许多恶意合约由同一个开发者钱包部署和资助。
通过追踪部署地址，调查人员可以将多个恶意合约归因于同一个参与者或组织，即使是在不同的活动中。

注意： 基础设施和交互溯源通常与智能合约开发和审计重叠，这可能非常技术性。本节进行了简化，以便没有编码背景的调查人员更容易理解。目标不是解释合约字节码，而是强调重复使用相同的恶意合约、批准或漏洞利用基础设施如何创造溯源机会。

- 跨链溯源

黑客很少将盗窃资金保留在单个区块链上。为了增加复杂性并降低被扣押的风险，他们通常使用桥、兑换服务和稳定币在多个链之间转移资产。这个过程被称为 bridge hopping，创造了溯源机会，因为同一个参与者通常重复使用首选的跨链路线。通过分析资产如何在生态系统之间移动，调查人员可以将跨链钱包联系起来，并将它们归因于同一运营者。

跨链溯源着重于识别 资金如何离开一个链，它们如何在下一个链上出现，以及哪些地址或服务始终充当连接点。

桥接和稳定币洗钱 -

被盗的 ETH 通常转换为 USDT 或 USDC，然后桥接到 Tron 或 BNB Chain 等流动性高的链。
稳定币是洗钱的首选媒介，因为它们很容易离岸。
调查人员可以通过观察哪些地址在黑客攻击后重复接收桥接稳定币来连接钱包。

重复使用特定桥 -

组织经常在事件中重复使用相同的桥 (例如，Allbridge, Multichain, THORChain, Wormhole)。
即使钱包地址发生变化，一致的基础设施选择也会形成溯源指纹。
监控桥的流入和流出有助于调查人员将 源链钱包与目标链接收者 匹配。

包装资产和合成 Token -

洗钱者通常依赖于 包装资产 (wETH, wBTC, 桥接 USDC)。
通过追踪这些包装器，分析师可以跟踪被盗资产，即使它们移动到不同的生态系统中。
当包装资产重复落在相同的目标钱包或交易所中时，就会出现模式。

在 OTC 经纪人和兑现点汇聚 -

多个黑客攻击经常在 相同的 OTC 经纪人地址 汇聚，尤其是在 Tron USDT 上，这是一个受欢迎的端点。
在这些链下流动性提供商处重复汇聚表明共享所有权或团体级别的洗钱。
将新的流入链接到这些端点可以将新的黑客攻击归因于已知的参与者。

在私有或半私有桥中进行时间相关性 -

面向隐私的桥（例如，匿名兑换或半私有协议）掩盖了直接链接。
调查人员使用 基于时间的分析：将一个链上的存款时间戳与另一个链上在紧密时间窗口内发生的提款进行匹配。
虽然它本身不是确定性的，但当与行为或基础设施证据结合使用时，此方法会加强溯源。

示例：Lazarus Group 和王义聪

跨链溯源的一个有力例子来自 Lazarus Group，该组织在 OTC 交易员 王义聪 的帮助下清洗被盗资金。正如 ZachXBT (2024 年 10 月) 首次记录的那样，来自 Alex Labs 漏洞利用 (2024 年 5 月) 和 Irys 网络钓鱼攻击 (2024 年 7 月) 的资金通过以太坊和 Tron 使用隐私协议和 bridge hopping 进行清洗。

以太坊分层： 来自两次黑客攻击的资金都存入了隐私协议合约，然后提取到新的钱包中。这使追踪变得碎片化，但保留了调查人员可以对齐的时间和金额模式。
Bridge Hopping： 2024 年 8 月 13 日，来自两次事件的混合 ETH 被桥接到一个与王义聪相关的 Tron 地址。匹配跨链的存款和提款暴露了跨链移动。
Tron 洗钱： 列入黑名单的以太坊钱包后来将数十万个 USDT 转移到王义聪已知的 Tron 钱包中，将这一活动与他的 OTC 运营联系起来。

通过应用 交易匹配、时间相关性和多链分析，调查人员连接了以太坊和 Tron 上超过 $1700 万 的被盗资金。

来源：调查最初由 ZachXBT 报道

主要结论： 跨链溯源表明，即使犯罪分子隐藏在 bridge hopping 后面，资金流动也很少是随机的。一致的桥选择、稳定币目的地以及在 OTC 经纪人处重复汇聚创造了调查人员可以跨生态系统跟踪的指纹。

跨链溯源在很大程度上依赖于分析 bridge hopping，即通过兑换、稳定币和包装 Token 跟踪资产如何在链之间移动。在使用此方法溯源任何钱包之前，调查人员必须仔细分析桥交易，因为即使在时间和交易匹配中出现小错误，也可能将整个案例重定向到错误的参与者。映射桥流量的精确性至关重要，因为跨链失误可能会产生虚假连接并破坏溯源。

调查人员注意事项： 跨链溯源可能具有挑战性，因为隐私桥和合成 Token 会掩盖直接连接。在某些情况下，不可能在第一次跳跃时将资金与某个组联系起来。但随着资金的进一步移动，其他链上 重用桥、汇聚点和稳定币接收者 的模式通常会揭示运营者。这使得跨生态系统的长期监控成为溯源的关键部分。

- 行为溯源

攻击者可以轮换钱包、跨链桥接和分散资金，但他们通常会留下 行为指纹，这些指纹在事件中持续存在。这些重复出现的模式就像数字签名。正如个人有独特的笔迹或例程一样，黑客在如何转移资金、他们使用什么工具以及何时进行交易方面也有一致的偏好。通过分析这些行为和交易习惯，调查人员可以聚类钱包并将新活动与已知组联系起来，即使没有直接的基础设施或 CEX 数据。

时间习惯 -

一致的小时数： 在同一天的时段内执行的交易通常反映了攻击者的时区。
操作节奏： 一些组织总是深夜 (当地时间) 转移资金，以避免交易所监控。
批量活动： 洗钱行动可能以突发形式发生 - 例如，每 10 分钟进行一系列转移，从而揭示自动化。

稳定币和资产偏好 -

许多参与者始终将被盗资产转换为 USDT，尤其是在 Tron 上，因为它的流动性和 OTC 访问。
一些人更喜欢 DAI 或 USDC，具体取决于他们的退出市场。
通过跟踪一致的稳定币选择，调查人员可以聚类看似无关的黑客攻击。

协议和路线选择 -

攻击者会在 DEX 和桥 方面养成习惯。
示例：始终通过 Uniswap v3 进行兑换，然后通过 Multichain 进行桥接。
一些组织由于其深厚的流动性而更喜欢 Curve 池 用于大型稳定币兑换。
重复依赖同一路线会建立强大的溯源指纹。

固定面额和交易风格 -

像 Tornado Cash 这样的隐私混合器鼓励以设定的面额 (1 ETH, 10 ETH, 100 ETH) 进行提款。
一些参与者总是使用 相同的面额 (例如，10 ETH)，从而创建一种模式。
Peel chain 通常逐步移动几乎相同的金额，这是另一种行为表现。

兑现一致性 -

不同的黑客攻击经常 在同一 OTC 经纪人或洗钱端点汇聚。
例如，来自多个活动的资金最终可能会落在 同一个 Tron USDT 经纪人钱包 上，从而将它们联系在一起。

OSINT 在区块链取证中的作用

- 什么是 OSINT？

开源情报 (OSINT) 是一种从公开可用来源收集、分析和解释信息的实践。与机密或专有情报不同，OSINT 依赖于任何人都可以访问的数据，只要他们知道在哪里查找以及如何连接点。

- 为什么 OSINT 在区块链取证中至关重要

单独的区块链取证可以映射资金在地址、交易所和协议之间的流动，但它往往无法揭示这些交易背后的人员或组织。之所以存在这种局限性，是因为区块链在 设计上就是假名的——钱包地址充当标识符，但它们与现实世界的身份没有任何内在联系。这就是 OSINT 变得不可或缺的地方。

除了溯源之外，OSINT 还增强了取证结果的 可信度和影响力。一份仅显示钱包流动的报告可能说明了技术技能，但一份通过 OSINT 截图 (帖子、域名记录、交易所公告) 丰富的报告提供了一个引人注目的故事，监管机构、记者或执法部门可以据此采取行动。简而言之，OSINT 将区块链取证转变为一项全面的调查学科，弥合了假名账本和现实世界责任之间的差距。

- 区块链调查人员的 OSINT 来源

社交媒体和消息传递平台 -

Twitter/X – 通常用于 Token 预售推广、NFT 宣传和诈骗活动。调查人员经常发现直接发布在帖子或回复中的钱包地址。即使删除后，存档的帖子和截图仍然可以成为宝贵的证据。
Telegram & Discord – 虽然这些平台被广泛用于管理合法的加密社区，但它们也是诈骗团伙的主要中心。许多 钱包消耗者积极在 Telegram 上推广他们的服务，分享工作证明截图、服务价格，甚至客户评价。预售地址、网络钓鱼链接和洗钱说明也经常在群聊中发布。
Reddit、TikTok、YouTube – 诈骗者经常运行跨平台促销活动，将存款地址嵌入视频叠加层或描述框中以吸引受害者。
AI 驱动的搜索工具 – 像 Perplexity 或其他 AI 驱动的引擎这样的平台可用于快速浮出跨公开可用数据提及的钱包地址、用户名或诈骗活动。虽然这些永远不应取代手动验证，但它们可以加速发现可能遗漏的来源。

实用技巧：

在将帖子与链上数据交叉引用之前，务必存档帖子并收集元数据 (用户名、日期/时间、群组/频道链接)。
将可疑的钱包地址粘贴到 社交媒体搜索栏 或 AI 搜索工具中，以检查过去的提及。有时你会发现与同一钱包相关的 Telegram 群组促销、Reddit 帖子或诈骗报告。
请记住，单个社交提及或 AI 浮出水面的点击不足以进行强溯源。将这些用作 进一步调查的线索——你作为调查人员的技能在于通过多个佐证数据点证明联系。

域名和基础设施记录 -

WHOIS 记录 – 即使部分被编辑，域名注册日期、托管提供商和重复使用的电子邮件地址也可以确定多个诈骗站点之间的模式。调查人员经常发现同一运营者从单个托管帐户运行数十个域名。
DNS 和 SSL 证书 – DNS 历史记录和 SSL 指纹可以将域名链接在一起。威胁参与者经常在多个诈骗站点上回收 SSL 证书，当多个虚假空投或消耗站点共享同一证书时，这会成为一个强大的溯源信号。
网络钓鱼网站 – 许多诈骗会将钱包地址直接嵌入到他们的 HTML 或 JavaScript 中，允许调查人员直接从网站转向链上跟踪。即使网站很快被删除，该地址仍然保留在链上。
工具和监控 – 公共 OSINT 工具使这项工作变得更加容易。像 urlscan.io、RiskIQ、SecurityTrails 和 DomainTools 这样的平台允许调查人员快速映射基础设施连接。还有 Telegram 频道和机器人 专门用于监控域名更改。例如，Site Sentry 在网络钓鱼站点或诈骗前端更新或切换基础设施时向调查人员发出警告，从而提供新的模仿诈骗的早期警告。

实用技巧：

始终使用域名存档工具 (例如，Wayback Machine, urlscan.io) 在删除站点之前捕获快照。
使用监控机器人跟踪基础设施更改——前端更新通常表示活跃的诈骗活动。
认真对待模仿诈骗：模仿交易所、钱包或项目的虚假域名是将受害者诱骗到消耗计划中的最常见方式之一。

开发者存储库和社区论坛 -

GitHub – 开发者可能会无意中将 测试钱包、API 密钥或标识符 提交到代码存储库中。在 rug pull 或恶意智能合约中，分析链接到项目的 GitHub 存储库可以揭示真正的作者或连接的帐户。调查人员还发现诈骗者在多个欺诈项目中重复使用相同的 GitHub Handle。
检查威胁参与者存储库 – 查看与 民族国家组织或网络犯罪参与者 (例如 DPRK IT 工作人员) 相关的已确认存储库可以揭示更广泛的网络。
- 这些存储库可能会显示重复的编码风格、重复使用的基础设施或与合作伙伴帐户的链接。
- 在某些情况下，同一参与者跨不同的存储库和平台管理多个身份，一旦比较代码提交、用户名或电子邮件地址，这一点就会变得清晰。
- 此方法对于识别受制裁的组织何时在新别名下悄悄运营特别有用。
Bitcointalk 和加密论坛 – 这些论坛仍然活跃在加密地下，托管项目公告、预售促销和诈骗指控。帖子通常包含可以在链上交叉引用的钱包地址、合约部署或交易哈希。许多早期的 rug pull 在这里留下了他们的第一个足迹。
Medium & Substack – 欺诈项目经常发布嵌入钱包地址的“官方”指南和操作方法帖子。这些博客充当用于征求资金的地址的公共记录，并且可以稍后与链上的诈骗活动进行匹配。
其他开发/社区空间 – 即使是像 GitLab、Notion 或 Telegram 链接的开发者中心这样的小平台也可能会泄露运营详细信息。文档文件有时会暴露合约部署者钱包或基础设施关系。

实用技巧：始终使用区块链活动 交叉验证 你在这些空间中找到的任何钱包或域名引用。GitHub 提交或论坛帖子可能会指向一个地址，但只有交易分析才能证明它是否被积极用于欺诈。与已知参与者 (如 DPRK IT 工作人员) 关联的存储库特别有价值，但它们需要仔细的模式识别和关联以避免误报。

泄露的数据库和暗网市场 -

虽然使用起来更加敏感，但当小心且合乎道德地处理时，泄露的数据和暗网论坛 可以提供高价值的溯源线索。这些来源通常包含标识符——电子邮件、用户名或钱包地址——这些标识符将假名区块链活动与现实世界的参与者联系起来。

凭据转储 – 来自数据泄露的暴露的电子邮件密码对有时可以链接到 中心化交易所帐户 或稍后被威胁参与者滥用的加密服务。例如，在 Binance 帐户上重复使用的泄露的 Gmail 地址可能会出现在区块链提款模式中。
暗网论坛和市场 – 欺诈者经常宣传 被盗帐户、SIM 卡交换、恶意软件日志或“加密兑现服务”。这些论坛中发布的钱包地址通常与链上看到的洗钱流程重叠。监控这些空间有助于调查人员了解攻击者的基础设施和兑现方法。
Paste 站点 – 像 Pastebin、Ghostbin 或 AnonFiles 这样的公共粘贴平台偶尔会托管钱包列表、诈骗工具包或域名基础设施的转储。这些通常与网络钓鱼活动或出售的“交钥匙”诈骗操作有关。
泄露的数据源 – 一些平台以可搜索的格式聚合泄露或泄露的数据，使调查人员可以访问可以透视到区块链调查中的标识符：
- Have I Been Pwned (HIBP) – 免费服务，用于检查电子邮件是否出现在泄露中。
- Dehashed – 付费 OSINT 工具，用于查询泄露的数据集中的电子邮件、用户名、IP 和域名。
- Intelligence X – 索引泄露数据、暗网站点和粘贴转储的搜索引擎。
- BreachForums / 后继市场 – 用于交易泄露数据和加密帐户的已知中心。(⚠️ 调查人员必须在此处格外小心。)

实用技巧：

访问暗网资源时，始终使用 严格的 OPSEC (隔离的机器、VPN、匿名化) 进行操作。
将泄露的数据视为 相关点，而不是结论。在溯源之前，应使用链上证据验证重复使用的电子邮件或Handle。
尽可能使用合法和道德的渠道——例如，HIBP 或 Dehashed 提供合规的访问，而无需与犯罪分子直接互动。

交易所公告和公共报告 -

加密货币交易所和行业安全组织会定期发布调查人员可以利用的有价值的情报。这些来源通常包含 预先验证的数据点——例如已确认的被黑客攻击的钱包或冻结的资金——这些数据点可以在与链上分析分层时加强溯源。

CEX 公告 – 像 Binance, Coinbase, Kraken 和 OKX 这样的主要交易所经常在冻结与黑客攻击或诈骗相关的资金时发出警报。这些公告有时会列出特定的钱包地址或交易哈希。例如，Binance 在扣押或冻结与 Lazarus Group 漏洞利用相关的资产时已多次发布更新。
安全公司和社区项目 – TRM Labs、Elliptic、SlowMist 和 PeckShield 等行业参与者定期发布包含标记的钱包、洗钱类型和事件分析的报告。像 ZachXBT 这样的独立调查人员也分享了非常详细的诈骗和黑客攻击细目分类，这些细目分类通常成为更广泛的取证调查的起点。
公共数据库和报告平台 – 众包和半正式数据库，如 Chainabuse、ScamSniffer、CoinHolmes 和 SEAL-ISAC 聚合了社区报告的诈骗、标记的地址和事件报告。这些存储库充当新兴威胁的早期预警系统，并且可以为调查提供关键点。

实用技巧：

将所有外部标签视为 丰富，而不是证明。虽然交易所公告通常是可靠的，但第三方报告可能包含错误或过时的信息。
在将标记的地址包括在调查报告中之前，务必针对 区块链交易活动 交叉验证它们。
使用这些报告来节省时间：与其重新发明轮子，不如建立在已确认的情报之上，并将调查扩展到新的方向。

视觉、行为和元数据痕迹 -

一些最微妙但通常最强大的 OSINT 来自于分析 人类行为。即使是老练的参与者也经常重复使用可以在跨平台和钱包活动中连接的数字模式。

重复使用的Handle和头像 – 许多参与者跨 Telegram、Discord、Twitter、GitHub 甚至暗网论坛回收相同的用户名、显示名称或个人资料图片。识别这些重叠可以是将多个身份链接到单个运营者。
活动时间 – 帖子、消息或提交的时间戳通常与钱包交易活动一致。这可以表明威胁参与者的 可能时区或工作时间，当与其他溯源线索 (例如，DPRK 活动模式) 结合使用时，这尤其有价值。
语言和风格 – 诸如重复的拼写错误、首选的表情符号、口头禅或模因使用等写作模式可以帮助聚类声称是单独身份的帐户。当诈骗者操纵多个角色时，语言分析 (文体测量学) 特别有用。
来自文件和图像的元数据 – 有时，参与者共享的图像、PDF 或文档会保留隐藏的 EXIF 数据、时间戳或软件标签。这些详细信息可以揭示创建工具、时区甚至设备指纹。

实用技巧：

将行为和元数据痕迹视为 支持性证据，而不是结论性证据。重复使用的Handle或匹配的发布时间可能表明存在链接，但溯源需要与链上流动或更强的 OSINT 相结合。
当与区块链证据 (如匹配的钱包活动模式) 分层时，这些微妙的痕迹在构建 强大的溯源案例 中变得强大。

媒体和新闻来源 -

传统的 OSINT 仍然是对区块链调查的关键补充。虽然大多数溯源在线发生，但 新闻报道、法律记录和学术研究 通常提供权威的数据点，从而加强调查人员的案例。

新闻报道 - 报道重大黑客攻击、诈骗或交易所漏洞的记者经常会提供受害者、交易所或监管机构分享的钱包地址。例如，路透社 或 Coindesk 等媒体经常发布与 Lazarus Group 攻击或大规模 rug pull 相关的官方地址。这些可以作为深入取证分析的支点。
法庭文件与制裁名单 - 法律文件、起诉书和制裁通知（例如，OFAC、Europol、DOJ、联合国报告）有时会披露嫌疑人先前未知的钱包地址、别名或使用的基础设施。这些来源具有高度可信度，对于合规驱动型调查中的归因非常有价值。
学术论文与研究 - 大学和区块链研究小组偶尔会发布关于洗钱方法、暗网钱包或混合技术的数据集。这些研究提供了结构化的情报，调查人员可以将其纳入案例工作或用于验证趋势。

实用技巧：

对这些材料使用 结构化存档。特别是法庭文件和制裁数据，应存储和索引以供长期使用，因为它们通常会成为未来案例中的参考点。
将媒体报道视为 次要确认，在归因之前，始终使用区块链交易数据交叉验证已发布的地址和声明。

公共黑名单和威胁情报源 -

区块链调查员另一个重要的 OSINT 来源是不断增长的 公共黑名单、威胁情报源和众包报告平台 生态系统。这些服务聚合了与诈骗、网络钓鱼活动、黑客攻击和受制裁实体相关的钱包地址，通常会近乎实时地更新。它们对于 早期预警和信息丰富化 尤为重要，可以帮助调查人员快速转向链上分析。

社区平台 - Chainabuse、ScamSniffer 和 CryptoScamDB 等服务允许用户提交和分享可疑地址的报告。这些平台从受害者和独立调查员那里众包情报，从而可以快速了解新兴的诈骗。
行业威胁情报源 - MistTrack、Crystal、TRM Labs、SlowMist 和 CipherTrace 等专业的情报提供商维护着与黑客攻击、洗钱、暗网市场或勒索软件相关的标记钱包的结构化情报源。这些通常会集成到交易所和调查员的合规工作流程中。
制裁和政府名单 - OFAC SDN 名单、Europol 通知和联合国制裁更新 等官方数据集经常包含与 国家APT、网络犯罪组织和洗钱网络 相关的钱包地址。这些地址是置信度最高的归因信号之一。
交易所共享情报源 - 一些中心化交易所（例如，Binance、Coinbase）偶尔会发布他们在黑客攻击后冻结的钱包地址。这些地址会迅速反映在威胁情报源中，并成为追踪洗钱流程的有效支点。

实用技巧：

黑名单和情报源是 极好的起点，但它们并非万无一失。误报、过时的标签和错误的归因很常见。
始终将它们视为 线索，而不是结论，在使用到调查报告中之前，每个标记的地址都应通过区块链交易分析进行独立验证。
结合多个情报源可以增加覆盖范围，但也会增加噪音；过滤和验证是调查员技能的关键部分。

稳定币发行方黑名单（Tether 和 Circle） -

稳定币发行方提供了一个独特的 OSINT 层，因为与去中心化协议不同，他们保留对其代币的中心化控制权。Tether (USDT) 和 Circle (USDC) 都会主动冻结从事非法活动的钱包，从而为调查员创建有价值的归因点。

Tether (USDT) – Tether 经常将与 黑客攻击、诈骗、勒索软件、暗网市场和受制裁实体 相关的钱包列入黑名单。一旦冻结，这些钱包将无法再转移 USDT，但其链上历史记录仍然可见，从而为调查员提供已确认的非法集群以进行映射。
Circle (USDC) – Circle 的运营方式类似，与监管机构、合规团队和执法部门密切合作，以冻结与犯罪活动或违反制裁行为相关的钱包。这些冻结通常在链上公开可见，并且通常会反映在合规威胁情报源中。
调查价值 - 当发行方将地址列入黑名单时，它会提供一个 外部验证信号，表明非法活动已在合规或监管级别得到确认。调查员可以从这些冻结的钱包入手，追踪相关的洗钱网络、相关地址和跨链转移。

实用技巧：

实时监控发行方黑名单，新的冻结通常与 正在进行的调查或新兴威胁 相关。
将它们视为 高置信度的信息丰富化点，但请记住，发行方的冻结仅确认了冻结钱包的非法使用，而不是其更广泛集群中的每个地址。
将发行方数据与情报源和链上追踪相结合，以揭露更广泛的洗钱生态系统。

OSINT 是区块链取证中最强大的盟友之一，但它需要谨慎处理。区块链本身为你提供事实，即不可变的交易记录。OSINT 提供了背景，即人类、技术和行为方面的信号，这些信号将这些事实转化为可操作的情报。当它们结合在一起时，调查员可以将工作从追踪币种扩展到理解非法活动背后的参与者、网络和动机。

然而，OSINT 很少能单独得出结论。未经证实，单次泄露的凭据、Telegram 帖子或黑名单标签都不应定义归因。调查的优势在于 三角测量：针对区块链证据交叉验证多个 OSINT 来源，直到连接变得不可否认。

- 在区块链取证中使用 OSINT 的挑战

数据过载 - 可用信息的庞大数量既是优势也是劣势。社交媒体聊天、域名记录、泄露的数据集和威胁情报源会产生大量信号。其中许多是不相关的、过时的或具有误导性的。调查员必须花费大量精力从有用的情报中过滤噪音，通常需要经验、结构化的工作流程和自动化工具才能保持效率。
误报和错误信息 - 公共黑名单、社区驱动的报告平台和论坛帖子经常包含不准确之处。一些钱包可能会被错误地标记为恶意的，而另一些钱包可能在多年前已用于非法活动，但现在已处于休眠状态。将此类条目视为确凿的证据会带来严重错误归因的风险。OSINT 应该指导调查，而不是在没有证实链上数据的情况下，决定最终归因。
匿名与欺骗 - 威胁行为者擅长隐藏其身份。他们使用 VPN、一次性设备、虚假身份和分离的帐户来误导调查员。在某些情况下，他们会故意植入虚假的 OSINT 踪迹（例如欺骗性域名或虚假的社交媒体Handle）以混淆归因。识别欺骗需要经验、批判性分析以及跨多个独立来源的验证。
临时数据 - 调查员依赖的许多开源数据都是临时的。推文被删除，Telegram 群组消失，域名过期，GitHub 存储库被删除。如果未通过屏幕截图、存档或监控工具立即捕获证据，则可能会永久丢失，从而削弱未来的归因工作。
法律和道德界限 - 并非所有 OSINT 来源都同样安全或合法使用。处理泄露的数据、暗网论坛或凭据转储需要严格的 OPSEC 和对法律约束的清晰理解。调查员必须在情报的价值与违反隐私、服务条款或合规框架的风险之间取得平衡。遵守道德界限可确保可信度并保护调查的完整性。
归因差距 - 也许最根本的局限性是 OSINT 本身无法提供钱包所有权的证明。充其量，它可以建立间接联系，将 Twitter 帐户、GitHub 存储库或域名链接到钱包地址。如果没有通过区块链分析进行验证，OSINT 只能暗示，而不能确认对资金的控制权。强大的归因需要 链上取证 + OSINT + 佐证信号 相结合。

- 调查员的最佳实践

为了克服在区块链取证中使用 OSINT 的挑战，调查员需要采用严谨的方法、良好的验证习惯和安全的操作实践。目标不仅仅是收集情报，而是将其转化为 可靠的、可辩护的和可操作的证据。

与链上证据相关联 - 当 OSINT 信号与区块链数据配对时，它们是最有力的。始终确认出现在开源中的钱包地址、域名或用户名是否与正在调查的资金或活动具有可衡量的联系。
积极存档 - 由于开源数据是临时的，捕获所有内容：帖子的屏幕截图、Telegram 消息、域名查找、GitHub 提交和站点快照。将你的证据组织成带有时间戳的存档，以供将来参考或法律使用。
跨来源交叉验证 - 单个线索很少能证明归因。强大的案例是通过三角测量多个独立的信号来建立的：例如，在网络钓鱼网站上找到的钱包、在 Telegram 群组中提到的钱包，以及后来被 Tether 冻结的钱包。重叠越多，置信度越高。
注意误报 - 将黑名单条目和众包报告视为线索，而不是结论。在报告中引用所有标签之前，通过独立分析对其进行验证。
维护 OPSEC - 在使用暗网论坛、泄露的数据或威胁行为者社区时，请使用隔离的工作环境、VPN 和右匿名化工具保护自己。受到损害的 OPSEC 可能会危及调查员和调查本身。
利用监控工具 - 在可能的情况下进行自动化。urlscan.io、Site Sentry、Telegram 警报机器人和黑名单监视器 等工具可以在域名更改、新的网络钓鱼工具包出现或钱包添加到制裁名单时通知你。尽早意识到通常至关重要。
像对手一样思考 - 许多诈骗之所以成功，是因为参与者走了捷径。他们重复使用用户名、回收代码或按可预测的计划运行。以对抗性思维方式进行分析的调查员通常会首先发现这些错误。
与社区合作 - 没有一个调查员可以单独涵盖整个威胁情况。SEAL-ISAC、Chainabuse 和独立调查员群体 等网络提供共享的情报和同行验证。合作可以加强个人调查。
记录方法 - 扎实的调查不仅关乎发现，还关乎展示如何达到这些发现。清楚地记录来源、支点和验证步骤可以确保在将结果呈现给交易所、监管机构或更广泛的社区时，具有可信度。

结论

“ 在区块链取证中，工具会引导你 - 但只有坚持、实践和好奇心才能将你变成调查员。 ”

由 ETH Rangers 计划的赠款支持

免责声明：“本文仅供教育和信息参考之用。它不构成财务、法律或网络安全建议。虽然已尽一切努力确保准确性，但加密货币威胁形势发展迅速，并且所提供的信息可能无法反映最新的发展。读者应进行独立研究，并在根据本内容做出决策之前咨询合格的专业人士。”*

原文链接： mirror.xyz/somaxbt.eth/S...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

区块链取证：归因技术与开源情报的作用

目录

1. 介绍

2. 区块链调查中的钱包溯源

-基于交易的溯源

- 基础设施/交互溯源

- 跨链溯源

- 行为溯源

OSINT 在区块链取证中的作用

- 什么是 OSINT？

- 为什么 OSINT 在区块链取证中至关重要

- 区块链调查人员的 OSINT 来源

- 在区块链取证中使用 OSINT 的挑战

- 调查员的最佳实践

结论

由 ETH Rangers 计划的赠款支持

0 条评论

文章目录