有很多人在问,其实以前总结过一篇,之前的文章是这篇,现在更新篇有关比特币最新的工具、流程和手法技巧等:
OSINT--加密货币溯源方法
一般是先使用区块链浏览器等现成的 OSINT 工具对加密货币地址进行基础部分的信息收集。通过分析交易历史并可视化地址之间的联系,调查人员可以收集有关资金流动的宝贵信息。有了基础信息后,转向分析交易模式和扩大连接地址网络。在此阶段经常能找到各种可疑行为,例如资金通过多个地址或连接到已知犯罪实体。再深入研究特定地址时,发现一些更有价值的东西。通过利用Arkham Intelligence(https://www.arkhamintelligence.com/)和Open Sanctions(https://www.osintteam.com/navigating-the-crypto-jungle/opensanctions.org)等平台,可以发现与非法活动的关联,并确定进一步探索的关键点。真实案例分析过程:
案例是对比特币地址 12bZ39 进行标准尽职调查。为方便写,我通过前六个字符来指每个地址。第一步是通过 Google 搜索地址。如果没有相关信息出现,下一步是在Arkham Intelligence等加密地址研究工具上检查该地址。我更喜欢 Arkham 的全面数据和直观的界面,但还有其他一些有价值的 OSINT 资源。Check Bitcoin Address https://checkbitcoinaddress.com/
Bitcoin Who's Who https://www.bitcoinwhoswho.com/
Bitcoin Abuse https://www.bitcoinabuse.com/
Breadcrumbs https://www.breadcrumbs.app/
Wardgraph https://www.osintteam.com/navigating-the-crypto-jungle/wardgraph.com
Crypt Scam https://cryptscam.com/
在没有找到初步线索后,我们使用区块链调查和可视化工具,例如Breadcrumbs和Wardgraph。这些工具可视化与地址 12bZ39 相关的交易,该地址似乎从五个不同的来源接收资金。参见下图,每条蓝线代表 12bZ39 和不同钱包之间的财务关系(发送和/或接收资金)。在调查第一个来源后,我们确定了与之交互的五个钱包。其中一个钱包通过谷歌搜索很容易识别,它属于 Gate.io,这是一家以交易量巨大而闻名的全球顶级加密货币交易所。而且不幸的是,没有关于其他四个地址的更多信息。在交易网中,三个钱包(194mDx、1topuj 和 1ADHVr)似乎将资金转移到 12bZ39。仔细检查发现,这些资金来自一个地址(1ADHVr),其他两个仅充当中介。下图显示了从 1ADHVr 流向 12bZ39 的资金流向。这种模式说明控制了多个地址的单个实体使用这些钱包作为转移点,使资金流变得复杂,并可能掩盖任何调查者的来源。这种分层交易经常出现在洗钱活动中,也说明需要进行表面数据的深入挖掘。直接和间接交易:如果钱包收到转账,然后转发准确金额,则它很可能充当了转帐实体。在这些情况下,发送者和接收者的地址通常属于同一个人。
明显的复杂性:观察到的交易复杂性是混淆财务线索的典型表现。
分析不合逻辑的资金转移:不符合逻辑的交易表明存在操纵或非法活动。
交易历史分析:
以下是一个转移实体的示例。一个钱包在 9 月 23 日收到 0.2244 比特币,三天后发出 0.2338 比特币。请注意,这两个金额之间存在微小差异,这是表明了交易费用。如果使用 Breadcrumbs,可以点击钱包查看其交易历史的基本详情。更多详细信息可进一步在区块链浏览器(例如Blockchair.com )上查看。通过扩大我们的分析范围,将距离主钱包两三层的金融互动纳入分析,新的活动和联系就可能会浮现出来。这种扩展的网络可视化可以揭示了多个链接地址之间的可疑金融行为。点一个标有锁图标的地址,比如 1KctQE。快速搜索功能会在OpenSanctions.org网站上显示一个列表。Open Sanctions 汇总了来自各种来源的可靠数据,以告知用户有关受到国际制裁的个人和实体的信息。根据美国财政部外国资产控制办公室 (OFAC) 的说法,该页面显示了钱包所有者的身份通知,该所有者被归类为参与非法毒品活动的“特别指定国民”(SDN)。SDN 名单包括受到美国政府制裁的个人和实体的名称。在 Open Sanctions 网站上,单击任何超链接实体都会打开一个页面,其中包含与该实体相关的详细数据。对于此地址,单击钱包持有者的姓名会显示有关该个人的其他信息。关于公开制裁的通知还会列出需要进一步调查的几个关键点,包括网站、护照详细信息以及与个人相关的多个加密货币钱包。例如,公开制裁条目表明钱包所有者拥有多家外国公司的资产,为调查提供了额外的途径。就这篇文章的范围来说,没有必要深入研究此人的背景。我们的主要兴趣在于验证我们最初感兴趣的钱包是否能关联到公认的犯罪实体人员信息。通过检查其他地址,我们发现与不良行为者有类似的关联,强调了这些可疑实体之间的相互关联性。我们对全面结果进行总结分析,证明是存在以目的为洗钱或隐瞒资金的交易模式,涉及与已知不良行为者相关的地址。这些证据足以证明原始地址 12bZ39 的恶意存在和对应的行为。由于区块链交易的复杂性,对加密货币地址的调查会很复杂,但凭借正确的工具和对区块链技术的基本了解,即使是该领域的新手也可以发现与这些数字资产相关的活动。就按照本文流程来做,是可以进行有效的加密货币调查。
