Erweiterte Analyse: Leichtgewichtige Mittelverfolgung

In diesem Tutorial beschreiben wir die Funktionalität des Fonds-Tracking von MetaSleuth. Während der Untersuchung möchten wir normalerweise die ausgehenden Gelder von einer Adresse verfolgen. MetaSleuth erleichtert diesen Prozess, indem es die Verfolgung des Geldflusses aus einer Richtung unterstützt.

Im Folgenden zeigen wir ein reales Beispiel, wie man das Phishing-Opfer verfolgt, um diese Funktion zu demonstrieren. Die verfolgte Adresse ist ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).

Was ist Fonds-Tracking und warum Metasleuth

Seit seiner Gründung wollte MetaSleuth Analytikern bequemere visuelle Analysemöglichkeiten bieten. Nach dem Eintauchen in die On-Chain-Ermittlergruppe und die Web3-Community entdeckten wir, dass eine der häufigsten Aufgaben darin besteht, ausgehende Gelder von einer bestimmten Adresse innerhalb eines definierten Zeitraums zu verfolgen.

Dies beinhaltet beispielsweise die Verfolgung gestohlener Gelder von der Adresse eines Opfers, um die Gelder wiederzugewinnen, die Überwachung der Ziele von "Smart Money" für bessere Investitionen und die Verfolgung verdächtiger Transaktionen zu Zwecken der Geldwäscheprävention (AML).

Der Geldfluss von diesen aktiven Adressen kann jedoch äußerst komplex sein und umfasst mehrere Token, unterschiedliche Ziele und lange Zeiträume. Diese Situation bereitet On-Chain-Ermittlern Probleme, die Zeit aufwenden müssen, um relevante Informationen für ihre Analyse zu extrahieren.

Um dieses Problem zu lösen, hat MetaSleuth das leichteste/beste Benutzererlebnis/schnellste Lösungsprogramm unter allen Hilfstools bereitgestellt.

Tracking-Details

Bei der Untersuchung eines Phishing-Falls haben wir folgende Informationen.

• ‏_ryanwould.eth (_xc6D330E5B7Deb31824B837Aa77771178bD8e6713) hat erhebliche Verluste durch Phishing erlitten. Und ein verärgerter On-Chain-Ermittler wurde damit beauftragt herauszufinden, wohin die gestohlenen Gelder fließen und versteckte Phishing-Gruppen aufzudecken.

• Bekannte Hinweise

  • Opfer: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

  • Zeit: etwa 2023.02.25-2023.02.27

  • Verlustwerte: unbekannter Token, unbekannter Betrag

  • Netzwerk: Ethereum

Schritt 1: Die Adresse auswählen

Besuchen Sie metasleuth.io, wählen Sie das entsprechende Blockchain-Netzwerk aus (der Standard ist Ethereum), und geben Sie die Ursprungsadresse der Gelder ein, also ryanwould.eth.

Metasleuth wird die entsprechende Adresse basierend auf dem ENS-Namen auflösen. Dann, auf der rechten Seite des Suchfelds, verwenden Sie Metasleuths Kernfunktion, Erweiterte Analyse.

Schritt 2: Die Richtung auswählen

Nachdem Sie das Panel für die erweiterten Analyse-Einstellungen betreten haben, können wir die Richtung der Gelder und den Zeitbereich auswählen. In dieser Aufgabe konzentrieren wir uns nur auf den Abfluss von Geldern (out) und den Zeitraum, in dem das Phishing auftrat (2023-02-25->2023-02-28). Nachdem die Konfigurationseinstellungen abgeschlossen sind, klicken wir auf Anwenden und drücken die Eingabetaste, um die Leinwand zu betreten.

Schritt 3: Das erste Fundflow-Diagramm generieren

Das ist großartig! Metasleuth.io generiert schnell ein visuelles Diagramm aller ausgehenden Geldflüsse zwischen dem 25. Februar 2023 und dem 28. Februar 2023. Dank dieser Funktion sparen wir eine Menge Zeit beim Durchsieben der Daten.

Außerdem können wir durch die von MetaSleuth gepflegten Adressetiketten leicht erkennen, dass innerhalb dieses kurzen Zeitrahmens nur zwei ungewöhnliche Geldflüsse festgestellt wurden, die beide an die Adresse "Fake_Phishing11227" gerichtet waren. Diese anomalischen Transaktionen umfassten 1.842 USDC und 519.351 DATA-Token, wie im Diagramm dargestellt.

Schritt 4: Interessierte Token filtern

Für eine bessere Anzeige öffnen wir das Token-Konfigurationselement, entfernen andere Standard-Token und lassen nur die gestohlenen Token (USDC, DATA) übrig, und bestätigen dann unsere Änderungen.

Schritt 5: Den Geldfluss der interessierten Adresse erweitern

Der Geldfluss wird extrem prägnant und klar. Um den Abfluss der Gelder nachzuvollziehen, erweiterten wir den zweiten Hop der Geldübertragung weiter. Im zweiten Hop der Beziehung zur Geldüberweisung stellten wir fest, dass die Phishing-Adresse "Fake_Phishing11227" die gestohlenen Gelder an Airswap übertrug und Token über Airswap austauschte.

Schritt 6: Die Token-Swap-Operation verarbeiten

Aufgrund unserer Token-Filter-Konfiguration konzentrierten wir uns nur auf DATA und USDC, was den Prozess des Token-Austauschs verschleierte. Um dies zu beheben, fügten wir ETH zur Token-Konfiguration hinzu und fügten die Swap-Transaktion (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162) erneut hinzu. Mit diesem Update haben wir nun einen vollständigen Überblick über den Token-Austausch-Prozess. Der Phishing-Akteur tauschte USDC und DATA-Token über AirSwap aus und erhielt 14,58 ETH. Auf dieser Stufe (2022-02-27 22:30) wäre es nicht mehr sinnvoll, sich allein auf USDC und DATA zu konzentrieren. Wir müssen den Weg der erworbenen ETH verfolgen, um weitere Phishing-Adressen aufzudecken.

Schritt 7: Mit Zeitspanne weiter filtern

Deshalb fuhren wir mit der erweiterten Analyse der Phishing-Adresse "Fake_Phishing11227" fort. Ebenso konzentrieren wir uns nur auf die ausgehenden Gelder und den Zeitraum zwischen dem 27. Februar 2023 und dem 28. Februar 2023. Wir fahren fort, indem wir auf die Schaltfläche "Analysieren" klicken, um die Analyse fortzusetzen.

Schritt 8: Die Untersuchung beenden, wenn interessante Empfänger gefunden werden

Wir haben die Ziele des Geldflusses von "Fake_Phishing11227" innerhalb des angegebenen Zeitraums ermittelt. Es scheint, dass zahlreiche Empfangsadressen beteiligt sind, was auf einen Prozess der Verteilung der unrechtmäßig erlangten Gelder hindeutet.

Unter allen Empfängern erhielten die Adressen "offtherip.eth", "Fake_Phishing76579" und "Fake_Phishing7064" den Großteil der verteilten Gelder, in Höhe von 10,36 ETH, 8,36 ETH bzw. 1,85 ETH.

Basierend auf diesem Verteilungsverhältnis betrachten wir offtherip.eth als die verdächtigste Entität in dieser Untersuchung und ziehen Aufmerksamkeit auf sich.

Mit der Ermittlung der ungewöhnlichen Adresse "offtherip.eth" erfordern weitere Schritte möglicherweise die Nutzung nicht-blockchainbasierter Techniken, wie etwa einer sozialtechnischen Analyse. In dieser Analyse, die sich auf On-Chain-Geldüberweisungen konzentriert, hat metasleuth.io eine Vielzahl von praktischen technischen Hilfen bereitgestellt, wodurch die gesamte Analyse in weniger als 10 Minuten abgeschlossen werden konnte.

Fazit

In diesem Tutorial zeigen wir ein Beispiel dafür, wie man MetaSleuth verwendet, um den Geldfluss eines Phishing-Opfers zu verfolgen. Die Zusammenfassung der Analyse lautet wie folgt.

• Opfer: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

• Zeit: 2023-02-27 22:00

• Verlustwerte: 1.842 USDC, 519.351 DATA

• Netzwerk: Ethereum

• Gelder Ziel:

  • Erster Hop: Fake_Phishing 11227

  • Zweiter Hop:

    • offtherip.eth

    • Fake_Phishing76579

    • Fake_Phishing7064

• Analyse-Zeitaufwand: <10 min