編輯:Lisa@慢霧AML 團隊

校對:Zero@慢霧AML 團隊

前段時間,我們發布了一篇Bitfinex 被黑案件細節分析的文章,引起了劇烈的討論。文中提到了一種洗幣方式——剝離鏈(Peel Chain)技術,藉此事件寫一些與鏈上追踪相關的文章給大家學習。

什麼是Peel Chain

剝離鏈(Peel Chain)——是指一種通過一系列冗長的小額交易來清洗大量加密貨幣的技術。這種洗幣方式通常從一個“臟”地址開始,該地址可能與非法活動有關,例如地址A 將資金轉到地址B 和C,而轉移到地址B 的數額多數情況下是極小的,轉移到地址C 的數額佔大部分,地址C 又將資金轉到D(小額)和E(大額),依次類推,直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額,要么以Peel Chain 的方式繼續轉移,要么轉到交易/暗網平台,要么停留在地址,要么通過混幣平台轉出。

案例分析

2016 年8 月3 日,知名加密貨幣交易所Bitfinex 發公告稱,黑客入侵了其係統並盜走約119,755 枚比特幣。事發當時價值約6000 萬美元,按今天的價格計算,被盜總額約為45 億美元。據慢霧AML 旗下反洗錢追踪系統MistTrack 分析,黑客最初將被盜資產分散存儲在2072 個錢包地址中,經MistTrack 標記如下圖。

從2017 年1 月開始,黑客開始密集轉移資產。我們對2072 個地址進行分析後,發現黑客將大部分地址上的資金都進行了轉移,而轉移方式正是我們今天要說的剝離鏈(Peel Chain)。

以黑客地址19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM 為例:

據MistTrack 反洗錢追踪系統顯示,約30.668 BTC 從Bitfinex 交易平台轉到黑客地址(19X...BDM),再通過兩次直線轉移將BTC 轉移到地址(3CA...AcW)。

再來看地址(3CA...AcW)的資金流向:

首先,地址(3CA...AcW)將30.6675 BTC 分為小額2.27 BTC 和大額28.39 BTC 分別轉到地址1 和地址2;接著,地址1 將2.27 BTC 分為小額0.16 BTC 和大額2.11 BTC 分別轉到地址3 和地址4;地址3 再以同樣的方式將0.16 BTC 分別轉到地址5 和地址6,其他地址同理。

為了更直觀的展示,我們截取了資金流向的一部分,讓大家更理解這種洗幣方法。

從上圖可以看到,資金被轉移到兩個地址,接著兩個地址分別又轉到另兩個地址,數額越來越小,出現的地址也越來越多,隻至最後有部分資金通過wasabi 混幣轉出或轉到Hydra Market 暗網市場。當然,這還只是一小部分的資金流向,但我們不難看出,為了躲避追踪,黑客非常有“耐心”。

我們再以另一個黑客地址1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE 為例,更多地了解Peel Chain 手法的特徵。

據區塊鏈瀏覽器顯示,該黑客地址盜走了271.22 BTC。我們接著以大額轉移地址為目標進行追踪:

……

雖然中間省略了部分轉移情況,但我們還是能清楚地看出Peel Chain 手法的特徵:

一般從一個單一的“臟”地址開始;通常不斷拆分到兩個地址;以大額和小額進行拆分;資金停留或混幣或進入交易所/暗網平台。

總結

剝離鏈(Peel Chain)技術常常被黑客使用,一方面是因為每次單獨轉移的金額很小,幾乎不會引發交易平台的風控提醒,另一方面是由於這種洗幣鏈路極度冗長和複雜,會使他們盜取的資產變得極難追踪。

對於一些複雜冗長的剝離鏈(Peel Chain),黑客通常使用計算機程序自動化該過程。儘管如此,我們仍可以使用腳本及追踪工具來追踪此類事件。憑藉支持多幣種、數量超10 萬的惡意地址庫,慢霧AML 旗下反洗錢追踪系統MistTrack 將幫助加密貨幣交易平台、用戶個人等追踪溯源,實時監控拉黑黑客地址並聯動各大交易平台凍結資金,為資金安全更好地保駕護航。

相關鏈接:

https://en.bitcoin.it/wiki/Privacy

https://aml.slowmist.com/mistTrack.html