令牌视图 | 如何追踪交易所被盗资金

在区块链行业，地址溯源是一个比较敏感的话题。 虽然在反洗钱、丢币事件和跟踪黑客中，我们可以通过跟踪地址和链上转账的方式获取大量信息，但是由于区块链本身的匿名/加密属性，加上各种反跟踪和匿名技术 随着互联网的发展，地址追踪似乎成了一件“苦差事”。

本次我们将以追踪从Upbit交易所被盗的以太坊资金为例，谈谈以太坊上的地址追踪方法和工具。

总的来说，我们可以将地址追踪拆分为以下四个步骤：

大额转账

我们收到一个交易所/地址被盗的资金后，通常会先得到一个可疑的地址，也就是黑客转出被盗资金的地址。 这时候我们可以先关注这个地址的大额转账趋势usdt交易记录可以追踪吗，从而判断黑客盗取资金后的第一个动作。

以Upbit交易所被盗以太币资金流向为例：被盗以太币从交易所流出的地址是0x5e032开头的地址，而流入的黑客地址是0xa0987开头的地址。 按照下图步骤获取黑客的第一步：

1、打开Tokenview区块浏览器，输入黑客地址，点击“搜索”

2.点击搜索结果中的地址，打开该地址的交易详情页

截至本文截稿，可以看到该地址已经进行了114笔交易。 我们可以先查看这个地址的前两笔交易。

第一笔交易来自上述以0x5e03开头的Upbit交易所地址，表明黑客的地址是链上生成的新地址，转账金额为342,000 ETH。 接下来观察后续交易中的转出交易。 对于从第一笔转出交易开始的后续转出交易，其转出地址将是第一层去中心化地址。

我们可以追踪到：黑客从0xa098开头的地址向0x9a20开头的地址转了111000个ETH，向0x3408开头的地址转了111010个ETH，向0xc7d6开头的地址转了120280.16个ETH。

至此，该地址的大部分以太坊已经转出，我们可以重点监控以上三个地址，分析后续的资金流向，从而获取进一步的资金流向：

另外，对于转账过程中余额较大的地址，大家也需要持续关注。 在第四部分“地址持续监控”中，我们会讲到具体使用的工具和方法。

关注小额资金流动

还是以Upbit黑客地址为例，说明一下第一种进入交易所的方式。 0x8237开头的交易在黑客地址转移到第9层时转移到了荷兰交易所60cek。 他的转账金额是 123.99 ETH。 在交易详情页面，找到转账地址，查看交易详情页面，在地址处继续点击转账交易的转账地址，依次重复此步骤，可以得到如下9层转账图：

最后一笔进入60cek的交易明细如下：

截至12月10日15:00，黑客已通过多层转账、小额渗透的方式向交易所地址转账2000余枚ETH。 涉及的交易所有60cek、Binance、Cryptonator、Bitmax、MXC、Bilaxy、Bitfinex、Bit-Z、ZB等。

当然，我们完全有理由相信，黑客仍然只是在测试交易所的门槛usdt交易记录可以追踪吗，这可能是黑客至今没有给大型交易所充值的原因。 这种接入交易所的方式并不常用，但不排除这种可能性。

致电交易所充值

下面以Upbit为例，简单了解一下这种运行模式。 首先，创建智能合约； 第二，在合约中调用交易所的充值API； 第三，调用智能合约将资金转入交易所。 具体实现方法需要通过开发者代码实现，本文不做详细介绍。

调用智能合约拆分资金

除了以上两种方式，黑客还可以将币转移到不同的智能合约中，然后调用智能合约的转移来瓜分战利品。 这种方法有一个缺点，就是不容易识别出这些币在谁的口袋里，但同时，被盗物品的地址会作为新的一层线索，追踪黑客的行踪。 具体方法同上，同样需要通过开发者的代码来实现，本文不再赘述。

分析交易所充提地址

首先我们要了解什么是交易所充提地址。

交易所充值地址是个人充值到交易所的钱包地址。 因为交易所有KYC认证，如果资金通过个人地址进入交易所，那么我们可以从交易所的KYC信息中获取具体的用户信息。 提币地址是指个人从交易所提币的地址。

以Upbit事件为例，黑客地址经过9层转账后，向币安转入了少量19.6 ETH。

我们可以从 Tokenview 区块浏览器查询这笔交易的详情：

如果币安有相关的 KYC 记录，我们可以确定详细的用户档案。 当然，这种想法往往过于直接。 黑客既然选择转账到交易所账户，必然会考虑到自己信息的匿名性，他的KYC信息极有可能不真实。

持续监控地址

一般来说，黑客短期内不会将被盗资金转移到交易所。 从盗取资金到彻底抛售，整个过程可能会持续半年甚至更长时间。 这也给我们的监控带来了很多困难。 这时候，如果你能订阅一个地址的余额变化，第一时间获取相关信息，那么监控就会变得容易很多。

这里主要介绍Tokenview开发的【地址监控】功能。 打开微信搜索，关注“Tokenvew区块链浏览器”，点击菜单栏中的“数据监控”，然后点击“地址监控”，在后续页面输入需要监控的地址，选择门槛。 监控成功后，一旦地址余额变动符合监控范围，公众号将发送余额变动通知。

我们可以通过这个工具获取任意地址的余额变化，不仅是以太坊，Omni链上的比特币和USDT也可以。

当然，地址溯源的方法不仅限于上述几点，能够攻破交易所的黑客必然会使用各种反溯源的手段来对付，包括使用去中心化交易所套现、使用混合币等/blenders等技术手段阻碍溯源等。不断变化的地址背后，也折射出区块链本身的监管和监管问题。

如何在保证用户权益和隐私的前提下合理有效地管理区块链网络； 是否在某些场景下保留超级权限，以应对黑客或类似事件； 如何平衡不可能三角关系？ 这些都是行业需要解决的问题。