Analyse avancée : Suivi des fonds léger

Dans ce tutoriel, nous décrirons la fonctionnalité de suivi des fonds de MetaSleuth. Lors de l'enquête, nous souhaitons généralement suivre les fonds sortants d'une adresse. MetaSleuth facilite ce processus en soutenant le suivi du flux de fonds dans une direction.

Dans ce qui suit, nous montrons un exemple réel de suivi de la victime de phishing pour démontrer cette fonctionnalité. L'adresse suivie est ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).

Qu'est-ce que le suivi de fonds et pourquoi MetaSleuth

Dès le début, MetaSleuth a visé à fournir aux analystes des capacités d'analyse visuelle plus pratiques. Après s'être immergés dans le groupe de détectives de la chaîne et la communauté Web3, nous avons découvert que l'une des tâches les plus courantes est de suivre les fonds sortants d'une adresse spécifique dans un délai défini.

Par exemple, cela implique de suivre les fonds volés à l'adresse d'une victime pour récupérer les fonds, surveiller les cibles de l'argent intelligent pour de meilleurs investissements, et suivre les transactions suspectes à des fins de lutte contre le blanchiment d'argent (AML).

Cependant, le flux de fonds de ces adresses actives peut être extrêmement complexe, impliquant plusieurs tokens, des cibles diverses et s'étendant sur de longues périodes. Cette situation pose des problèmes pour les détectives de la chaîne qui doivent passer du temps à extraire les informations pertinentes pour leur analyse.

Pour résoudre ce problème, MetaSleuth a fourni le plan de solution le plus léger / la meilleure expérience utilisateur / le plus rapide parmi tous les outils d'assistance.

Détails du Suivi

Lors de l'enquête sur un cas de phishing, les informations que nous avons sont les suivantes.

• ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) a subi des pertes considérables dans le phishing. Et un détective de la chaîne furieux est chargé de découvrir où vont les fonds volés et de démasquer des groupes de phishing cachés.

• Indices Connus

  • Victime : ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

  • Temps : autour de 2023.02.25-2023.02.27

  • Actifs Perdus : token inconnu, montant inconnu

  • Réseau : Ethereum

Étape 1 : Sélectionner l'adresse

Visitez metasleuth.io, sélectionnez le réseau blockchain correspondant (par défaut, Ethereum), et entrez l'adresse d'origine des fonds, c'est-à-dire ryanwould.eth.

Metasleuth résoudra l'adresse correspondante basée sur le nom ENS. Ensuite, sur le côté droit de la boîte de recherche, utilisez la fonction principale de Metasleuth, Advanced Analyze.

Étape 2 : Sélectionner la direction

Après être entré dans le panneau des paramètres d'analyse avancée, nous pouvons choisir la direction des fonds et la plage de temps. Dans cette tâche, nous nous concentrons uniquement sur la sortie des fonds (out) et la période pendant laquelle la pêche a eu lieu (2023-02-25->2023-02-28). Après avoir complété les paramètres de configuration, nous cliquons sur appliquer et appuyons sur Entrée pour entrer sur le canevas.

Étape 3 : Générer le premier graphique de flux de fonds

Super ! Metasleuth.io génère rapidement un graphique visuel de tous les flux de fonds sortants entre le 25 février 2023 et le 28 février 2023. Grâce à cette fonction, nous économisons beaucoup de temps de tri des données.

De plus, en utilisant l'étiquette d'adresse maintenue par MetaSleuth, nous pouvons identifier rapidement que dans ce bref laps de temps, seuls deux flux de fonds inhabituels ont été détectés, tous deux dirigés vers l'adresse "Fake_Phishing11227". Ces transactions anormales impliquaient 1 842 USDC et 519 351 tokens DATA, comme représenté dans le graphique.

Étape 4 : Filtrer les tokens intéressants

Pour une meilleure présentation, nous ouvrons l'élément de configuration des tokens, retirons les autres tokens par défaut, ne laissant que les tokens volés (USDC, DATA), puis confirmons nos changements.

Étape 5 : Étendre le flux de fonds de l'adresse intéressée

Le flux de fonds devient extrêmement concis et clair. Pour tracer la sortie des fonds, nous avons étendu encore le deuxième saut du transfert de fonds. Dans le deuxième saut de la relation de transfert de fonds, nous avons constaté que l'adresse de phishing "Fake_Phishing11227" avait transféré les fonds volés vers Airswap et échangé des tokens via Airswap.

Étape 6 : Traiter l'opération d'échange de tokens

En raison de notre configuration de filtrage des tokens, nous nous sommes concentrés uniquement sur DATA et USDC, ce qui a obscurci le processus d'échange de tokens. Pour y remédier, nous avons ajouté ETH à la configuration des tokens et ajouté à nouveau la transaction d'échange (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). Avec cette mise à jour, nous avons maintenant une vue complète du processus d'échange de tokens. L'auteur du phishing a échangé des tokens USDC et DATA via AirSwap et obtenu 14,58 ETH. À ce stade (2022-02-27 22:30), se concentrer uniquement sur USDC et DATA ne serait plus significatif. Nous devons tracer le chemin de l'ETH acquis pour découvrir des adresses de phishing supplémentaires.

Étape 7 : Filtrer davantage avec la plage de temps

Par conséquent, nous avons continué avec l'analyse avancée de l'adresse de phishing "Fake_Phishing11227". De même, nous nous concentrons uniquement sur les fonds sortants, et la plage de temps entre le 27 février 2023 et le 28 février 2023. Nous procédons en cliquant sur le bouton "Analyser" pour procéder à l'analyse.

Étape 8 : Arrêter l'enquête en trouvant des destinataires intéressants

Nous avons obtenu les destinations des fonds de "Fake_Phishing11227" dans la plage de temps spécifiée. Il semble qu'il y ait de nombreuses adresses de réception impliquées, indiquant un processus de distribution des fonds illicitement obtenus.

Parmi tous les destinataires, les adresses "offtherip.eth", "Fake_Phishing76579", et "Fake_Phishing7064" ont reçu la majorité des fonds distribués, s'élevant respectivement à 10,36 ETH, 8,36 ETH et 1,85 ETH.

Basé sur ce ratio de distribution, nous considérons offtherip.eth comme l'entité la plus suspecte dans cette enquête et attirons l'attention.

Avec l'obtention de l'adresse inhabituelle "offtherip.eth", des étapes supplémentaires peuvent nécessiter l'utilisation de techniques non blockchain, telles que l'analyse de l'ingénierie sociale. Cependant, dans cette analyse axée sur les transferts de fonds en chaîne, metasleuth.io a fourni une pléthore d'assistance technique pratique, permettant à toute l'analyse d'être terminée en moins de 10 minutes.

Conclusion

Dans ce tutoriel, nous montrons un exemple d'utilisation de MetaSleuth pour suivre le flux de fonds d'une victime de phishing. Le résumé de l'analyse est le suivant.

• Victime : ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

• Temps : 2023-02-27 22:00

• Actifs Perdus : 1 842 USDC, 519 351 DATA

• Réseau : Ethereum

• Cibles des Fonds：

  • Premier Saut : Fake_Phishing 11227

  • Deuxième Saut:

    • offtherip.eth

    • Fake_Phishing76579

    • Fake_Phishing7064

• Temps Consommé pour l'Analyse : <10 min