如何追踪交易所被盗资金

在区块链行业，地址溯源是一个比较敏感的话题。 虽然在反洗钱、丢币事件、追踪黑客等方面，我们可以通过追踪地址和链上转账等方式获取更多信息，但由于区块链本身的匿名/加密属性，加上各种反追踪和匿名性随着技术的发展，地址追踪似乎成了一件“苦差事”。 本次我们将以追踪最近从Upbit交易所被盗的以太坊资金为例，也谈谈以太坊上的地址追踪方法和工具。

总的来说，我们可以将地址追踪拆分为以下四个步骤：

一、大额转账指引

2.关注小资金流向

3、分析交易所充提地址

4. 持续监控地址

1、大额转账

我们收到一个交易所/地址被盗的资金后，通常会先得到一个可疑的地址，也就是黑客转出被盗资金的地址。 这时候我们可以先关注这个地址的大额转账趋势，从而判断黑客盗取资金后的第一个动作。

具体方法是通过区块链浏览器输入一个可疑地址，查询该地址的交易，从交易结果列表中找出大额资金流向，根据新的流向打开每一层地址，并在-逐层深度查询，可以得到大笔资金的流程图。

这是从 Upbit 交易所被盗的以太坊资金流的示例：

从交易所流出的被盗以太币地址为0x5e032243d507c743b061ef021e2ec7fcc6d3ab89，而流入的黑客地址为0xa09871aeadf4994ca12f5c0b6056bbd1d343c029。 按照下图步骤获取黑客的第一步：

1、打开Tokenview区块浏览器，输入黑客地址0xa09871aeadf4994ca12f5c0b6056bbd1d343c029，点击“搜索”

2.点击搜索结果中的地址，打开该地址的交易详情页

截至本文截稿，可以看到该地址已经进行了114笔交易。 我们可以先查看这个地址的前两笔交易。

第一笔交易来自上述以0x5e03开头的Upbit交易所地址，表明黑客的地址是链上生成的新地址，转账金额为342,000 ETH。

接下来观察后续交易中的转出交易。 对于从第一笔转出交易开始的后续转出交易，其转出地址将是第一层去中心化地址。

反过来，观察到111,000 ETH从0xa098转移到地址0x9a207194cbed9f229694fdf5a28caab59157920d，

转出111010 ETH到地址0x3408edca2d47ddaa783a3563d991b8ddebcd973b，

转出120280.16 ETH到地址0xc7d64e6509333a3b68f6fc09d7d19404bfdd229a；

至此，该地址的大部分以太坊已经转出，我们可以重点监控以上三个地址，分析后续的资金流向，从而获取进一步的资金流向：

另外，对于转账过程中余额较大的地址，大家也需要持续关注。 在第四部分“地址持续监控”中，我们会讲到具体使用的工具和方法。

2、关注小资金流向

拿到大额流向图后，我们还需要梳理涉及到的小额资金。 通常小额资金经过多层转移后usdt交易记录可以追踪吗，会通过各种渠道找到交易所的入口。 针对这种情况，我们需要对地址和交易记录进行多层梳理。

1、多层转移，穿透力小

还是以Upbit黑客地址为例，说明一下第一种进入交易所的方式。 哈希为0x8237dc359f2af9d23759cfa7c692da3e12a21cdc45e3d8a8e28190d29974bf2a的交易在黑客地址转入第9层时转入荷兰交易所60cek，转账金额为123.99 ETH。 具体的交易转账情况如下图所示。 方法是之前跟踪大额交易时，通过交易详情页面找到转出地址0xf4678169b1eb0c141fd99942ac02191145fefe3f，然后点击该地址查看交易详情页面，继续点击转出的转出地址-out 该地址的交易，依次重复这一步，可以得到如下9层转账图：

最后一笔进入60cek的交易明细如下：

截至12月10日15:00，黑客已通过多层转账、小额渗透的方式向交易所地址转账2000余枚ETH。 涉及的交易所有60cek、Binance、Cryptonator、Bitmax、MXC、Bilaxy、Bitfinex、Bit-Z、ZB等。当然，我们有充分的理由相信，黑客仍然只是在测试交易所的门槛usdt交易记录可以追踪吗，这可能是之所以黑客至今没有给大型交易所充值。

2.调用兑换充值接口

这种接入交易所的方式并不常用，但不排除这种可能性。 下面以Upbit为例，简单了解一下这种运行模式。

首先创建一个智能合约，例如0x9d5b674163336c0945c28990a4ff364541282777；

二、在合约中调用交易所的充值API；

第三，调用智能合约将资金转入交易所。

具体实现方法需要通过开发者代码实现，本文不做详细介绍。

3.调用智能合约进行资金分散

除了以上两种方式，黑客还可以将币转移到不同的智能合约中，然后调用智能合约的转移来瓜分战利品。 这种方法有一个缺点，就是不容易识别出这些币在谁的口袋里，但同时，被盗物品的地址会作为新的一层线索，追踪黑客的行踪。 具体方法同上，同样需要通过开发者的代码来实现，本文不再赘述。

3.分析交易所充提地址

首先我们要了解什么是交易所充提地址。

交易所充值地址是个人充值到交易所的钱包地址。 因为交易所有KYC认证，如果资金通过个人地址进入交易所，那么我们可以从交易所的KYC信息中获取具体的用户信息。 提币地址是指个人从交易所提币的地址。

以Upbit事件为例，黑客地址经过9层转账后，向币安转入了少量19.6 ETH。

我们可以从 Tokenview 区块浏览器查询这笔交易的详情：

哈希-0xd16223c470823219c73e7e357826fed73bc6514d03328039f877c4ba8cdc623d

如果币安有相关的 KYC 记录，我们可以确定详细的用户档案。 当然，这种想法往往过于直接。 黑客既然选择转账到交易所账户，必然会考虑到自己信息的匿名性，他的KYC信息极有可能不真实。

4. 持续监控地址

一般来说，黑客短期内不会将被盗资金转移到交易所。 从盗取资金到彻底抛售，整个过程可能会持续半年甚至更长时间。 这也给我们的监控带来了很多困难。 这时候，如果你能订阅一个地址的余额变化，第一时间获取相关信息，那么监控就会变得容易很多。 这里主要介绍Tokenview开发的【地址监控】功能。

打开微信搜索，关注“Tokenvew区块链浏览器”，点击菜单栏中的“数据监控”，然后点击“地址监控”，在后续页面输入需要监控的地址，选择门槛。 监控成功后，一旦地址余额变动符合监控范围，公众号将发送余额变动通知。

我们可以通过这个工具获取任意地址的余额变化，不仅是以太坊，Omni链上的比特币和USDT也可以。

当然，地址溯源的方法不仅限于上述几点，能够攻破交易所的黑客必然会使用各种反溯源的手段来对付，包括使用去中心化交易所套现、使用混合币等/blenders等技术手段阻碍溯源等。不断变化的地址背后，也折射出区块链本身的监管和监管问题。

如何在保证用户权益和隐私的前提下合理有效地管理区块链网络； 是否在某些场景下保留超级权限，以应对黑客或类似事件； 如何平衡不可能三角关系？ 这些都是行业需要解决的问题。