Erweiterte Analyse: Leichtgewichtige Mittelverfolgung
Last updated
Last updated
In diesem Tutorial beschreiben wir die Funktionalität des Fonds-Tracking von MetaSleuth. Während der Untersuchung möchten wir normalerweise die ausgehenden Gelder von einer Adresse verfolgen. MetaSleuth erleichtert diesen Prozess, indem es die Verfolgung des Geldflusses aus einer Richtung unterstützt.
Im Folgenden zeigen wir ein reales Beispiel, wie man das Phishing-Opfer verfolgt, um diese Funktion zu demonstrieren. Die verfolgte Adresse ist ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).
Seit seiner Gründung wollte MetaSleuth Analytikern bequemere visuelle Analysemöglichkeiten bieten. Nach dem Eintauchen in die On-Chain-Ermittlergruppe und die Web3-Community entdeckten wir, dass eine der häufigsten Aufgaben darin besteht, ausgehende Gelder von einer bestimmten Adresse innerhalb eines definierten Zeitraums zu verfolgen.
Dies beinhaltet beispielsweise die Verfolgung gestohlener Gelder von der Adresse eines Opfers, um die Gelder wiederzugewinnen, die Überwachung der Ziele von "Smart Money" für bessere Investitionen und die Verfolgung verdächtiger Transaktionen zu Zwecken der Geldwäscheprävention (AML).
Der Geldfluss von diesen aktiven Adressen kann jedoch äußerst komplex sein und umfasst mehrere Token, unterschiedliche Ziele und lange Zeiträume. Diese Situation bereitet On-Chain-Ermittlern Probleme, die Zeit aufwenden müssen, um relevante Informationen für ihre Analyse zu extrahieren.
Um dieses Problem zu lösen, hat MetaSleuth das leichteste/beste Benutzererlebnis/schnellste Lösungsprogramm unter allen Hilfstools bereitgestellt.
Bei der Untersuchung eines Phishing-Falls haben wir folgende Informationen.
_ryanwould.eth (_xc6D330E5B7Deb31824B837Aa77771178bD8e6713) hat erhebliche Verluste durch Phishing erlitten. Und ein verärgerter On-Chain-Ermittler wurde damit beauftragt herauszufinden, wohin die gestohlenen Gelder fließen und versteckte Phishing-Gruppen aufzudecken.
Bekannte Hinweise
Opfer: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Zeit: etwa 2023.02.25-2023.02.27
Verlustwerte: unbekannter Token, unbekannter Betrag
Netzwerk: Ethereum
Besuchen Sie metasleuth.io, wählen Sie das entsprechende Blockchain-Netzwerk aus (der Standard ist Ethereum), und geben Sie die Ursprungsadresse der Gelder ein, also ryanwould.eth.
Metasleuth wird die entsprechende Adresse basierend auf dem ENS-Namen auflösen. Dann, auf der rechten Seite des Suchfelds, verwenden Sie Metasleuths Kernfunktion, Erweiterte Analyse.
Nachdem Sie das Panel für die erweiterten Analyse-Einstellungen betreten haben, können wir die Richtung der Gelder und den Zeitbereich auswählen. In dieser Aufgabe konzentrieren wir uns nur auf den Abfluss von Geldern (out) und den Zeitraum, in dem das Phishing auftrat (2023-02-25->2023-02-28). Nachdem die Konfigurationseinstellungen abgeschlossen sind, klicken wir auf Anwenden und drücken die Eingabetaste, um die Leinwand zu betreten.
Das ist großartig! Metasleuth.io generiert schnell ein visuelles Diagramm aller ausgehenden Geldflüsse zwischen dem 25. Februar 2023 und dem 28. Februar 2023. Dank dieser Funktion sparen wir eine Menge Zeit beim Durchsieben der Daten.
Außerdem können wir durch die von MetaSleuth gepflegten Adressetiketten leicht erkennen, dass innerhalb dieses kurzen Zeitrahmens nur zwei ungewöhnliche Geldflüsse festgestellt wurden, die beide an die Adresse "Fake_Phishing11227" gerichtet waren. Diese anomalischen Transaktionen umfassten 1.842 USDC und 519.351 DATA-Token, wie im Diagramm dargestellt.
Für eine bessere Anzeige öffnen wir das Token-Konfigurationselement, entfernen andere Standard-Token und lassen nur die gestohlenen Token (USDC, DATA) übrig, und bestätigen dann unsere Änderungen.
Der Geldfluss wird extrem prägnant und klar. Um den Abfluss der Gelder nachzuvollziehen, erweiterten wir den zweiten Hop der Geldübertragung weiter. Im zweiten Hop der Beziehung zur Geldüberweisung stellten wir fest, dass die Phishing-Adresse "Fake_Phishing11227" die gestohlenen Gelder an Airswap übertrug und Token über Airswap austauschte.
Aufgrund unserer Token-Filter-Konfiguration konzentrierten wir uns nur auf DATA und USDC, was den Prozess des Token-Austauschs verschleierte. Um dies zu beheben, fügten wir ETH zur Token-Konfiguration hinzu und fügten die Swap-Transaktion (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162) erneut hinzu. Mit diesem Update haben wir nun einen vollständigen Überblick über den Token-Austausch-Prozess. Der Phishing-Akteur tauschte USDC und DATA-Token über AirSwap aus und erhielt 14,58 ETH. Auf dieser Stufe (2022-02-27 22:30) wäre es nicht mehr sinnvoll, sich allein auf USDC und DATA zu konzentrieren. Wir müssen den Weg der erworbenen ETH verfolgen, um weitere Phishing-Adressen aufzudecken.
Deshalb fuhren wir mit der erweiterten Analyse der Phishing-Adresse "Fake_Phishing11227" fort. Ebenso konzentrieren wir uns nur auf die ausgehenden Gelder und den Zeitraum zwischen dem 27. Februar 2023 und dem 28. Februar 2023. Wir fahren fort, indem wir auf die Schaltfläche "Analysieren" klicken, um die Analyse fortzusetzen.
Wir haben die Ziele des Geldflusses von "Fake_Phishing11227" innerhalb des angegebenen Zeitraums ermittelt. Es scheint, dass zahlreiche Empfangsadressen beteiligt sind, was auf einen Prozess der Verteilung der unrechtmäßig erlangten Gelder hindeutet.
Unter allen Empfängern erhielten die Adressen "offtherip.eth", "Fake_Phishing76579" und "Fake_Phishing7064" den Großteil der verteilten Gelder, in Höhe von 10,36 ETH, 8,36 ETH bzw. 1,85 ETH.
Basierend auf diesem Verteilungsverhältnis betrachten wir offtherip.eth als die verdächtigste Entität in dieser Untersuchung und ziehen Aufmerksamkeit auf sich.
Mit der Ermittlung der ungewöhnlichen Adresse "offtherip.eth" erfordern weitere Schritte möglicherweise die Nutzung nicht-blockchainbasierter Techniken, wie etwa einer sozialtechnischen Analyse. In dieser Analyse, die sich auf On-Chain-Geldüberweisungen konzentriert, hat metasleuth.io eine Vielzahl von praktischen technischen Hilfen bereitgestellt, wodurch die gesamte Analyse in weniger als 10 Minuten abgeschlossen werden konnte.
In diesem Tutorial zeigen wir ein Beispiel dafür, wie man MetaSleuth verwendet, um den Geldfluss eines Phishing-Opfers zu verfolgen. Die Zusammenfassung der Analyse lautet wie folgt.
Opfer: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Zeit: 2023-02-27 22:00
Verlustwerte: 1.842 USDC, 519.351 DATA
Netzwerk: Ethereum
Gelder Ziel:
Erster Hop: Fake_Phishing 11227
Zweiter Hop:
offtherip.eth
Fake_Phishing76579
Fake_Phishing7064
Analyse-Zeitaufwand: <10 min
