图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

“Sorry,we have run.”

pow'er北京峰会

06月29日,区块链第一大资金盘项目 PlusToken 被用户反馈无法提币,随后六名创始团队人员在瓦努阿图因为涉嫌互联网诈骗被捕。PeckShield 在上一篇《图文追踪PlusToken资产转移行踪(一)》中初步跟踪统计 BTC 部分有1,203个流入交易所中。

自北京时间2019年08月12日以来,PeckShield 数字资产护航系统 (AML) 监测到 PlusToken 两个主要 BTC 钱包地址出现异动,共2.85万个 BTC 被转移。其中 33FKcwFh 开头的一个主要钱包地址转移22,922个 BTC 至四个新地址中,数额分别为4,922、5,000、6,000、7,000不等,这部分资金暂时还未进一步转移,目前尚不确定已流入交易所。

与此同时,PeckShield 发现监控中的另一个 1M1Tfsvb 开头的中转地址通过多次分散、小额转出的方式共转移5,575个BTC尚不确定是否流入交易所。而 ETH、EOS、XRP 等其他币种资产尚未有异常动向。

下文就 BTC 资产流向做进一步展开分析,文末有一个彩蛋,大家不要错过!

经 PeckShield 确认,PlusToken 已知的三个 BTC 资产汇聚地址:

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示1: BTC 资产汇聚信息

 

5,527个 BTC 被多次分散中转

 

08月12日晚19点27分,PeckShield 监测到 14BWH6Gm 开头汇聚地址的一个中转地址(1M1Tfsvb 开头)资产发生频繁转移。为了让大家更加直观的了解这部分资金流向,PeckShield 数字资产护航系统 (AML) 制作了如下资产转移路径图:

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示2: 1M1Tfsvb 开头地址资产转移图

其资产转移分为两个阶段:

1)大额资产经过多次中转,最终由 39fXUWCy 开头地址分散转出,新地址 BTC 数目在1,000左右。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示3: 1M1Tfsvb 开头地址资金分散转出

2)新地址上的 BTC 再次分散,并最终于 08月14日23点至24点 以50—200 BTC 不等转入多个地址。由于 BTC 地址的特性,目前无法确定这部分资金已流入交易所。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示 4: 资金以50-200 BTC 不等转入多个地址

 

22,922个 BTC 发生转移

 

与此同时, PeckShield 安全人员发现 PlusToken 另一个钱包汇聚地址 33FKcwFh 开头的地址中资产于08月13日发生异动,并通过 14gKbB4A 开头地址于08月14日11点54分转移到四个地址中,每个地址暂存4,922,5,000,6,000,7,000 BTC 不等,这部分资金暂时还未进一步转移。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示 5: 33FKcwFh 开头地址资产发生异动

 

彩蛋

 

在 PeckShield 安全人员跟进分析 PlusToken 资产转移的过程中,发现一笔有趣的交易,该交易发生于08月15日凌晨00时08分。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示 6: 一笔有趣的交易

如上图所示交易发起方是 18888888 开头的地址,而接收方都是 PlusToken 主要的资金汇聚地址,转入 BTC 数额非常小,同时交易备注显示“Sorry,we have run”。

PeckShield 分析认为此交易在链上标记 PlusToken 资金汇聚地址,其目的主要有两点:

  • 通过向这些地址发送极少量的 BTC,进而将这些地址“粉尘化”(参考文献1),由于 BTC 每笔交易都是包含多笔 UTXO之后便可追踪使用这部分资产的交易。
  • 当以上 UTXO 交易被一起使用时,这四个 PlusToken 资金汇聚地址就被证明具有关联性,且不可篡改。

PeckShield 数字资产护航系统(AML)基于各大公链生态数据的全面挖掘和剖析,积累了海量高风险黑名单库,能够从庞大的链上数据库中精准提炼出黑客的行踪,并联合全球各大交易所、社区治理单位等合作伙伴,对黑客洗钱行踪展开全链、全时段、反伪装等步步追踪和实时封堵。

 

参考文献:

[1] BINANCE-ACADEMY.什么是粉尘攻击.https://www.binance.vision/zh/security/what-is-a-dusting-attack

转载声明:本文 由CoinON抓取收录,观点仅代表作者本人,不代表CoinON资讯立场,CoinON不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。若以此作为投资依据,请自行承担全部责任。

声明:图文来源于网络,如有侵权请联系删除

风险提示:投资有风险,入市需谨慎。本资讯不作为投资理财建议。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2019年8月16日 下午5:49
下一篇 2019年8月16日 下午5:49

相关推荐

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

星期五 2019-08-16 17:49:50

pow'er北京峰会

06月29日,区块链第一大资金盘项目 PlusToken 被用户反馈无法提币,随后六名创始团队人员在瓦努阿图因为涉嫌互联网诈骗被捕。PeckShield 在上一篇《图文追踪PlusToken资产转移行踪(一)》中初步跟踪统计 BTC 部分有1,203个流入交易所中。

自北京时间2019年08月12日以来,PeckShield 数字资产护航系统 (AML) 监测到 PlusToken 两个主要 BTC 钱包地址出现异动,共2.85万个 BTC 被转移。其中 33FKcwFh 开头的一个主要钱包地址转移22,922个 BTC 至四个新地址中,数额分别为4,922、5,000、6,000、7,000不等,这部分资金暂时还未进一步转移,目前尚不确定已流入交易所。

与此同时,PeckShield 发现监控中的另一个 1M1Tfsvb 开头的中转地址通过多次分散、小额转出的方式共转移5,575个BTC尚不确定是否流入交易所。而 ETH、EOS、XRP 等其他币种资产尚未有异常动向。

下文就 BTC 资产流向做进一步展开分析,文末有一个彩蛋,大家不要错过!

经 PeckShield 确认,PlusToken 已知的三个 BTC 资产汇聚地址:

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示1: BTC 资产汇聚信息

 

5,527个 BTC 被多次分散中转

 

08月12日晚19点27分,PeckShield 监测到 14BWH6Gm 开头汇聚地址的一个中转地址(1M1Tfsvb 开头)资产发生频繁转移。为了让大家更加直观的了解这部分资金流向,PeckShield 数字资产护航系统 (AML) 制作了如下资产转移路径图:

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示2: 1M1Tfsvb 开头地址资产转移图

其资产转移分为两个阶段:

1)大额资产经过多次中转,最终由 39fXUWCy 开头地址分散转出,新地址 BTC 数目在1,000左右。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示3: 1M1Tfsvb 开头地址资金分散转出

2)新地址上的 BTC 再次分散,并最终于 08月14日23点至24点 以50—200 BTC 不等转入多个地址。由于 BTC 地址的特性,目前无法确定这部分资金已流入交易所。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示 4: 资金以50-200 BTC 不等转入多个地址

 

22,922个 BTC 发生转移

 

与此同时, PeckShield 安全人员发现 PlusToken 另一个钱包汇聚地址 33FKcwFh 开头的地址中资产于08月13日发生异动,并通过 14gKbB4A 开头地址于08月14日11点54分转移到四个地址中,每个地址暂存4,922,5,000,6,000,7,000 BTC 不等,这部分资金暂时还未进一步转移。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示 5: 33FKcwFh 开头地址资产发生异动

 

彩蛋

 

在 PeckShield 安全人员跟进分析 PlusToken 资产转移的过程中,发现一笔有趣的交易,该交易发生于08月15日凌晨00时08分。

图文追踪PlusToken跑路资金,2.85万个BTC出现异动,其中一笔神奇交易留有彩蛋

图示 6: 一笔有趣的交易

如上图所示交易发起方是 18888888 开头的地址,而接收方都是 PlusToken 主要的资金汇聚地址,转入 BTC 数额非常小,同时交易备注显示“Sorry,we have run”。

PeckShield 分析认为此交易在链上标记 PlusToken 资金汇聚地址,其目的主要有两点:

  • 通过向这些地址发送极少量的 BTC,进而将这些地址“粉尘化”(参考文献1),由于 BTC 每笔交易都是包含多笔 UTXO之后便可追踪使用这部分资产的交易。
  • 当以上 UTXO 交易被一起使用时,这四个 PlusToken 资金汇聚地址就被证明具有关联性,且不可篡改。

PeckShield 数字资产护航系统(AML)基于各大公链生态数据的全面挖掘和剖析,积累了海量高风险黑名单库,能够从庞大的链上数据库中精准提炼出黑客的行踪,并联合全球各大交易所、社区治理单位等合作伙伴,对黑客洗钱行踪展开全链、全时段、反伪装等步步追踪和实时封堵。

 

参考文献:

[1] BINANCE-ACADEMY.什么是粉尘攻击.https://www.binance.vision/zh/security/what-is-a-dusting-attack