06月29日,区块链一大资金盘项目 PlusToken 被用户反馈无法提币,随后六名创始团队人员在瓦努阿图因为涉嫌互联网诈骗被捕。PeckShield 在上一篇《图文追踪PlusToken资产转移行踪(一)》中初步跟踪统计 BTC 部分有1,203个流入交易所中。
自北京时间2019年08月12日以来,PeckShield 数字资产护航系统 (AML) 监测到 PlusToken 两个主要 BTC 钱包地址出现异动,共2.85万个 BTC 被转移。其中 33FKcwFh 开头的一个主要钱包地址转移22,922个 BTC 至四个新地址中,数额分别为4,922、5,000、6,000、7,000不等,这部分资金暂时还未进一步转移,目前尚不确定已流入交易所。
与此同时,PeckShield 发现监控中的另一个 1M1Tfsvb 开头的中转地址通过多次分散、小额转出的方式共转移5,575个BTC尚不确定是否流入交易所。而 ETH、EOS、XRP 等其他币种资产尚未有异常动向。
下文就 BTC 资产流向做进一步展开分析,文末有一个彩蛋,大家不要错过!
经 PeckShield 确认,PlusToken 已知的三个 BTC 资产汇聚地址:
图示1: BTC 资产汇聚信息
5,527个 BTC 被多次分散中转
08月12日晚19点27分,PeckShield 监测到 14BWH6Gm 开头汇聚地址的一个中转地址(1M1Tfsvb 开头)资产发生频繁转移。为了让大家更加直观的了解这部分资金流向,PeckShield 数字资产护航系统 (AML) 制作了如下资产转移路径图:
图示2: 1M1Tfsvb 开头地址资产转移图
其资产转移分为两个阶段:
1)大额资产经过多次中转,最终由 39fXUWCy 开头地址分散转出,新地址 BTC 数目在1,000左右。
图示3: 1M1Tfsvb 开头地址资金分散转出
2)新地址上的 BTC 再次分散,并最终于 08月14日23点至24点 以50—200 BTC 不等转入多个地址。由于 BTC 地址的特性,目前无法确定这部分资金已流入交易所。
图示 4: 资金以50-200 BTC 不等转入多个地址
22,922个 BTC 发生转移
与此同时, PeckShield 安全人员发现 PlusToken 另一个钱包汇聚地址 33FKcwFh 开头的地址中资产于08月13日发生异动并通过 14gKbB4A 开头地址于08月14日11点54分转移到四个地址中,每个地址暂存4,922,5,000,6,000,7,000 BTC 不等,这部分资金暂时还未进一步转移。
图示 5: 33FKcwFh 开头地址资产发生异动
彩蛋
在 PeckShield 安全人员跟进分析 PlusToken 资产转移的过程中,发现一笔有趣的交易,该交易发生于08月15日凌晨00时08分。
图示 6: 一笔有趣的交易
如上图所示交易发起方是 18888888 开头的地址,而接收方都是 PlusToken 主要的资金汇聚地址,转入 BTC 数额非常小,同时交易备注显示“Sorry,we have run”。
PeckShield 分析认为此交易在链上标记 PlusToken 资金汇聚地址,其目的主要有两点:
-
通过向这些地址发送极少量的 BTC,进而将这些地址“粉尘化”(参考文献1),由于 BTC 每笔交易都是包含多笔 UTXO之后便可追踪使用这部分资产的交易。
-
当以上 UTXO 交易被一起使用时,这四个 PlusToken 资金汇聚地址就被证明具有关联性,且不可篡改。
PeckShield 数字资产护航系统(AML)基于各大公链生态数据的全面挖掘和剖析,积累了海量高风险黑名单库,能够从庞大的链上数据库中精准提炼出黑客的行踪,并联合全球各大交易所、社区治理单位等合作伙伴,对黑客洗钱行踪展开全链、全时段、反伪装等步步追踪和实时封堵。
参考文献:
[1] BINANCE-ACADEMY.什么是粉尘攻击.https://www.binance.vision/zh/security/what-is-a-dusting-attack
微信扫一扫 
