In diesem Tutorial werden wir Sie durch die grundlegenden Funktionen von MetaSleuth führen, indem wir die gestohlenen Gelder in einer Phishing-Transaktion nachverfolgen. Gemeinsam werden wir erkunden, wie man MetaSleuth nutzt, um Transaktionen zu analysieren, bestimmte Gelder zu verfolgen und nicht übertragene Gelder zu überwachen.
Wir haben eine Phishing-Transaktion im Ethereum-Netzwerk mit dem Hash 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69 identifiziert. Lassen Sie uns nun in unsere Analyse eintauchen.
Um zu beginnen, navigieren Sie zu https://metasleuth.io/. Wählen Sie Ethereum als Netzwerk und geben Sie die Transaktion ein, die Sie analysieren möchten. Drücken Sie Enter. Jetzt warten Sie auf die von MetaSleuth zurückgegebenen Daten.
Sobald die Transaktionsanalyse abgeschlossen ist, werden Sie zur MetaSleuth-Analyse-Seite weitergeleitet, wo Sie alle Vermögensübertragungen sehen können, die in der Transaktion stattgefunden haben. Wenn das Analysedatum eine Adresse ist, werden die angezeigten Informationen komplexer sein. Wir werden die Adressanalyse in einem separaten Tutorial behandeln.
Zusätzlich zum zentralen Vermögenstransferdiagramm enthält die Seite verschiedene andere funktionale Komponenten. Hier ist ein vereinfachtes Diagramm, und Sie werden ermutigt, deren spezifische Nutzung während des Analyseprozesses zu erkunden.
Die Transaktion, auf die wir uns konzentrieren, umfasst nur eine Vermögensübertragung: Adresse 0xbcd131, die das Opfer ist, übertrug 2586 MATIC an Fake_Phishing180627.
Um die Destination der gestohlenen MATIC-Token weiter zu verfolgen, ist es einfach. Wählen Sie einfach den Fake_Phishing180627-Adressknoten aus und klicken Sie auf die "+"-Schaltfläche auf der rechten Seite des Knotens.
Diese Funktion wird Ausgehende erweitern genannt und ermöglicht es Ihnen, die von dieser Adresse gesendeten Vermögenswerte zu verfolgen. In den meisten Fällen liefert diese Funktion die gewünschten Daten. Bei Adressen mit hohem Transaktionsvolumen müssen Sie möglicherweise erweiterte Funktionen wie Erweiterte Analyse und Mehr laden nutzen, um die erforderlichen Daten zu erhalten.
Nach dem Klicken der "+"-Schaltfläche können wir zahlreiche ausgehende Ether-Überweisungen von Fake_Phishing180627 sehen. Aber wo bleiben die MATIC, die wir verfolgen wollen?
MetaSleuth zeigt nicht alle abgerufenen Daten auf der Leinwand an, um eine saubere und lesbare Darstellung des gesamten Geldflusses zu gewährleisten. MetaSleuth bietet jedoch verschiedene Werkzeuge, um den Benutzern zu helfen, die gewünschten Daten zu identifizieren und zur Leinwand hinzuzufügen. In diesem Fall können wir den Token-Filter nutzen, um alle von MetaSleuth erhaltenen MATIC-Vermögensübertragungen zur Leinwand hinzuzufügen.
Nach der Bestätigung sehen wir eine zusätzliche MATIC-Übertragung auf der Leinwand, die von Fake_Phishing180627 stammt und zu Uniswap V3: MATIC geht. Dies sind genau die gestohlenen Gelder, die wir verfolgen.
Bei Vermögenswerten, die an dezentrale Börsen (DEX) wie Uniswap gesendet werden, liegt unser Fokus nicht auf den MATIC-Token, die aus der Adresse Uniswap V3: MATIC transferiert wurden, sondern auf den Vermögenswerten, die Fake_Phishing180627 durch die Swap-Aktion auf Uniswap erhalten hat.
Welche Vermögenswerte hat Fake_Phishing180627 durch diesen Swap erhalten? Lassen Sie uns diese Swap-Transaktion untersuchen, um das herauszufinden.
Zunächst müssen wir die Transaktion ermitteln, zu der der MATIC-Transfer von Fake_Phishing180627 an Uniswap V3: MATIC gehört. Klicken Sie auf den Vermögenstransfer-Pfeil auf der Leinwand, und in der darüber erscheinenden Kantenliste klicken Sie auf Details, um auf die Transaktionsliste zuzugreifen. Finden Sie den Transaktions-Hash für diesen Transfer und kopieren Sie ihn.
Dann können wir diese Transaktion mithilfe der Add Address / Tx-Funktionalität in der oberen linken Ecke der Leinwand zur Leinwand hinzufügen. Dies ermöglicht es uns, die Vermögensübertragungen zu erkunden, die innerhalb dieser Transaktion stattgefunden haben, und ein klareres Verständnis ihres Inhalts zu gewinnen.
Nach dem Hinzufügen werden alle Vermögensübertragungen innerhalb dieser Transaktion auf der Leinwand sichtbar. Es wird klar, dass Fake_Phishing180627 MATIC für 0,944 Ether über Uniswap eingetauscht hat. Diese 0,944 Ether sind der Vermögenswert, den wir weiter verfolgen müssen.
Unter den verschiedenen Ether-Übertragungen, die von Fake_Phishing180627 ausgehen, welche sollten wir verfolgen?
Indem Sie auf Fake_Phishing180627 klicken, können Sie die mit dieser Adresse verbundenen Vermögensübertragungen im linken Adressfenster beobachten. Sie haben vielleicht bemerkt, dass hier mehr Daten verfügbar sind als auf der Leinwand angezeigt wird (wie bereits erwähnt, betont MetaSleuth Einfachheit und Lesbarkeit im Geldflussdiagramm und zeigt nicht alle Daten standardmäßig an).
Die Transaktion, bei der Fake_Phishing180627 MATIC gegen Ether eingetauscht hat, fand am 18.06.2023 um 14:57:11 Uhr statt. Daher sollten wir unser Hauptaugenmerk auf Ether-Token-Transfers legen, die nach dieser spezifischen Zeit aufgetreten sind. Um die Daten zu filtern, können wir die Filterfunktion nutzen.
In den gefilterten Ergebnissen ist erkennbar, dass etwa 6 Minuten nach der Swap-Aktion 1,4 Ether von der Adresse Fake_Phishing180627 an die Adresse 0x8bae70 übertragen wurden. Dieser Transfer enthält wahrscheinlich die Gelder, die wir suchen.
Wir können sie markieren und auf der Leinwand anzeigen, indem wir weiterhin die Vermögenswerte von 0x8bae70 verfolgen. Auf diese Weise können wir beobachten, dass die Gelder schließlich in der Adresse 0x8de345 landen.
Um über die nicht übertragenen Gelder informiert zu bleiben, können wir sie aktiv überwachen. Durch die Aktivierung der Überwachung erhalten Sie E-Mail-Benachrichtigungen, wann immer relevante Vermögensübertragungen erfolgen. Um weitere Überwachungsfunktionen zu erkunden, besuchen Sie bitte das MetaSleuth-Monitor-Dashboard unter: https://metasleuth.io/monitor.
Obwohl dies eine kurze Exploration war, hoffen wir, dass MetaSleuth Ihnen eine bequeme und reibungslose Tracking- und Untersuchungserfahrung geboten hat. Wir werden in Zukunft mehr Unterrichtsmaterialien veröffentlichen und freuen uns auf Ihre Vorschläge. Treten Sie unserer Telegram-Gruppe bei unter https://t.me/MetaSleuthTeam.
.
In diesem Tutorial beschreiben wir die Funktionalität des Fonds-Tracking von MetaSleuth. Während der Untersuchung möchten wir normalerweise die ausgehenden Gelder von einer Adresse verfolgen. MetaSleuth erleichtert diesen Prozess, indem es die Verfolgung des Geldflusses aus einer Richtung unterstützt.
Im Folgenden zeigen wir ein reales Beispiel, wie man das Phishing-Opfer verfolgt, um diese Funktion zu demonstrieren. Die verfolgte Adresse ist ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).
Seit seiner Gründung wollte MetaSleuth Analytikern bequemere visuelle Analysemöglichkeiten bieten. Nach dem Eintauchen in die On-Chain-Ermittlergruppe und die Web3-Community entdeckten wir, dass eine der häufigsten Aufgaben darin besteht, ausgehende Gelder von einer bestimmten Adresse innerhalb eines definierten Zeitraums zu verfolgen.
Dies beinhaltet beispielsweise die Verfolgung gestohlener Gelder von der Adresse eines Opfers, um die Gelder wiederzugewinnen, die Überwachung der Ziele von "Smart Money" für bessere Investitionen und die Verfolgung verdächtiger Transaktionen zu Zwecken der Geldwäscheprävention (AML).
Der Geldfluss von diesen aktiven Adressen kann jedoch äußerst komplex sein und umfasst mehrere Token, unterschiedliche Ziele und lange Zeiträume. Diese Situation bereitet On-Chain-Ermittlern Probleme, die Zeit aufwenden müssen, um relevante Informationen für ihre Analyse zu extrahieren.
Um dieses Problem zu lösen, hat MetaSleuth das leichteste/beste Benutzererlebnis/schnellste Lösungsprogramm unter allen Hilfstools bereitgestellt.
Bei der Untersuchung eines Phishing-Falls haben wir folgende Informationen.
_ryanwould.eth (_xc6D330E5B7Deb31824B837Aa77771178bD8e6713) hat erhebliche Verluste durch Phishing erlitten. Und ein verärgerter On-Chain-Ermittler wurde damit beauftragt herauszufinden, wohin die gestohlenen Gelder fließen und versteckte Phishing-Gruppen aufzudecken.
Bekannte Hinweise
Opfer: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Zeit: etwa 2023.02.25-2023.02.27
Verlustwerte: unbekannter Token, unbekannter Betrag
Netzwerk: Ethereum
Besuchen Sie metasleuth.io, wählen Sie das entsprechende Blockchain-Netzwerk aus (der Standard ist Ethereum), und geben Sie die Ursprungsadresse der Gelder ein, also ryanwould.eth.
Metasleuth wird die entsprechende Adresse basierend auf dem ENS-Namen auflösen. Dann, auf der rechten Seite des Suchfelds, verwenden Sie Metasleuths Kernfunktion, Erweiterte Analyse.
Nachdem Sie das Panel für die erweiterten Analyse-Einstellungen betreten haben, können wir die Richtung der Gelder und den Zeitbereich auswählen. In dieser Aufgabe konzentrieren wir uns nur auf den Abfluss von Geldern (out) und den Zeitraum, in dem das Phishing auftrat (2023-02-25->2023-02-28). Nachdem die Konfigurationseinstellungen abgeschlossen sind, klicken wir auf Anwenden und drücken die Eingabetaste, um die Leinwand zu betreten.
Das ist großartig! Metasleuth.io generiert schnell ein visuelles Diagramm aller ausgehenden Geldflüsse zwischen dem 25. Februar 2023 und dem 28. Februar 2023. Dank dieser Funktion sparen wir eine Menge Zeit beim Durchsieben der Daten.
Außerdem können wir durch die von MetaSleuth gepflegten Adressetiketten leicht erkennen, dass innerhalb dieses kurzen Zeitrahmens nur zwei ungewöhnliche Geldflüsse festgestellt wurden, die beide an die Adresse "Fake_Phishing11227" gerichtet waren. Diese anomalischen Transaktionen umfassten 1.842 USDC und 519.351 DATA-Token, wie im Diagramm dargestellt.
Für eine bessere Anzeige öffnen wir das Token-Konfigurationselement, entfernen andere Standard-Token und lassen nur die gestohlenen Token (USDC, DATA) übrig, und bestätigen dann unsere Änderungen.
Der Geldfluss wird extrem prägnant und klar. Um den Abfluss der Gelder nachzuvollziehen, erweiterten wir den zweiten Hop der Geldübertragung weiter. Im zweiten Hop der Beziehung zur Geldüberweisung stellten wir fest, dass die Phishing-Adresse "Fake_Phishing11227" die gestohlenen Gelder an Airswap übertrug und Token über Airswap austauschte.
Aufgrund unserer Token-Filter-Konfiguration konzentrierten wir uns nur auf DATA und USDC, was den Prozess des Token-Austauschs verschleierte. Um dies zu beheben, fügten wir ETH zur Token-Konfiguration hinzu und fügten die Swap-Transaktion (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162) erneut hinzu. Mit diesem Update haben wir nun einen vollständigen Überblick über den Token-Austausch-Prozess. Der Phishing-Akteur tauschte USDC und DATA-Token über AirSwap aus und erhielt 14,58 ETH. Auf dieser Stufe (2022-02-27 22:30) wäre es nicht mehr sinnvoll, sich allein auf USDC und DATA zu konzentrieren. Wir müssen den Weg der erworbenen ETH verfolgen, um weitere Phishing-Adressen aufzudecken.
Deshalb fuhren wir mit der erweiterten Analyse der Phishing-Adresse "Fake_Phishing11227" fort. Ebenso konzentrieren wir uns nur auf die ausgehenden Gelder und den Zeitraum zwischen dem 27. Februar 2023 und dem 28. Februar 2023. Wir fahren fort, indem wir auf die Schaltfläche "Analysieren" klicken, um die Analyse fortzusetzen.
Wir haben die Ziele des Geldflusses von "Fake_Phishing11227" innerhalb des angegebenen Zeitraums ermittelt. Es scheint, dass zahlreiche Empfangsadressen beteiligt sind, was auf einen Prozess der Verteilung der unrechtmäßig erlangten Gelder hindeutet.
Unter allen Empfängern erhielten die Adressen "offtherip.eth", "Fake_Phishing76579" und "Fake_Phishing7064" den Großteil der verteilten Gelder, in Höhe von 10,36 ETH, 8,36 ETH bzw. 1,85 ETH.
Basierend auf diesem Verteilungsverhältnis betrachten wir offtherip.eth als die verdächtigste Entität in dieser Untersuchung und ziehen Aufmerksamkeit auf sich.
Mit der Ermittlung der ungewöhnlichen Adresse "offtherip.eth" erfordern weitere Schritte möglicherweise die Nutzung nicht-blockchainbasierter Techniken, wie etwa einer sozialtechnischen Analyse. In dieser Analyse, die sich auf On-Chain-Geldüberweisungen konzentriert, hat metasleuth.io eine Vielzahl von praktischen technischen Hilfen bereitgestellt, wodurch die gesamte Analyse in weniger als 10 Minuten abgeschlossen werden konnte.
In diesem Tutorial zeigen wir ein Beispiel dafür, wie man MetaSleuth verwendet, um den Geldfluss eines Phishing-Opfers zu verfolgen. Die Zusammenfassung der Analyse lautet wie folgt.
Opfer: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Zeit: 2023-02-27 22:00
Verlustwerte: 1.842 USDC, 519.351 DATA
Netzwerk: Ethereum
Gelder Ziel:
Erster Hop: Fake_Phishing 11227
Zweiter Hop:
offtherip.eth
Fake_Phishing76579
Fake_Phishing7064
Analyse-Zeitaufwand: <10 min
