Dans ce tutoriel, nous décrirons la fonctionnalité de suivi des fonds de MetaSleuth. Lors de l'enquête, nous souhaitons généralement suivre les fonds sortants d'une adresse. MetaSleuth facilite ce processus en soutenant le suivi du flux de fonds dans une direction.
Dans ce qui suit, nous montrons un exemple réel de suivi de la victime de phishing pour démontrer cette fonctionnalité. L'adresse suivie est ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).
Dès le début, MetaSleuth a visé à fournir aux analystes des capacités d'analyse visuelle plus pratiques. Après s'être immergés dans le groupe de détectives de la chaîne et la communauté Web3, nous avons découvert que l'une des tâches les plus courantes est de suivre les fonds sortants d'une adresse spécifique dans un délai défini.
Par exemple, cela implique de suivre les fonds volés à l'adresse d'une victime pour récupérer les fonds, surveiller les cibles de l'argent intelligent pour de meilleurs investissements, et suivre les transactions suspectes à des fins de lutte contre le blanchiment d'argent (AML).
Cependant, le flux de fonds de ces adresses actives peut être extrêmement complexe, impliquant plusieurs tokens, des cibles diverses et s'étendant sur de longues périodes. Cette situation pose des problèmes pour les détectives de la chaîne qui doivent passer du temps à extraire les informations pertinentes pour leur analyse.
Pour résoudre ce problème, MetaSleuth a fourni le plan de solution le plus léger / la meilleure expérience utilisateur / le plus rapide parmi tous les outils d'assistance.
Lors de l'enquête sur un cas de phishing, les informations que nous avons sont les suivantes.
ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) a subi des pertes considérables dans le phishing. Et un détective de la chaîne furieux est chargé de découvrir où vont les fonds volés et de démasquer des groupes de phishing cachés.
Indices Connus
Victime : ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Temps : autour de 2023.02.25-2023.02.27
Actifs Perdus : token inconnu, montant inconnu
Réseau : Ethereum
Visitez metasleuth.io, sélectionnez le réseau blockchain correspondant (par défaut, Ethereum), et entrez l'adresse d'origine des fonds, c'est-à-dire ryanwould.eth.
Metasleuth résoudra l'adresse correspondante basée sur le nom ENS. Ensuite, sur le côté droit de la boîte de recherche, utilisez la fonction principale de Metasleuth, Advanced Analyze.
Après être entré dans le panneau des paramètres d'analyse avancée, nous pouvons choisir la direction des fonds et la plage de temps. Dans cette tâche, nous nous concentrons uniquement sur la sortie des fonds (out) et la période pendant laquelle la pêche a eu lieu (2023-02-25->2023-02-28). Après avoir complété les paramètres de configuration, nous cliquons sur appliquer et appuyons sur Entrée pour entrer sur le canevas.
Super ! Metasleuth.io génère rapidement un graphique visuel de tous les flux de fonds sortants entre le 25 février 2023 et le 28 février 2023. Grâce à cette fonction, nous économisons beaucoup de temps de tri des données.
De plus, en utilisant l'étiquette d'adresse maintenue par MetaSleuth, nous pouvons identifier rapidement que dans ce bref laps de temps, seuls deux flux de fonds inhabituels ont été détectés, tous deux dirigés vers l'adresse "Fake_Phishing11227". Ces transactions anormales impliquaient 1 842 USDC et 519 351 tokens DATA, comme représenté dans le graphique.
Pour une meilleure présentation, nous ouvrons l'élément de configuration des tokens, retirons les autres tokens par défaut, ne laissant que les tokens volés (USDC, DATA), puis confirmons nos changements.
Le flux de fonds devient extrêmement concis et clair. Pour tracer la sortie des fonds, nous avons étendu encore le deuxième saut du transfert de fonds. Dans le deuxième saut de la relation de transfert de fonds, nous avons constaté que l'adresse de phishing "Fake_Phishing11227" avait transféré les fonds volés vers Airswap et échangé des tokens via Airswap.
En raison de notre configuration de filtrage des tokens, nous nous sommes concentrés uniquement sur DATA et USDC, ce qui a obscurci le processus d'échange de tokens. Pour y remédier, nous avons ajouté ETH à la configuration des tokens et ajouté à nouveau la transaction d'échange (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). Avec cette mise à jour, nous avons maintenant une vue complète du processus d'échange de tokens. L'auteur du phishing a échangé des tokens USDC et DATA via AirSwap et obtenu 14,58 ETH. À ce stade (2022-02-27 22:30), se concentrer uniquement sur USDC et DATA ne serait plus significatif. Nous devons tracer le chemin de l'ETH acquis pour découvrir des adresses de phishing supplémentaires.
Par conséquent, nous avons continué avec l'analyse avancée de l'adresse de phishing "Fake_Phishing11227". De même, nous nous concentrons uniquement sur les fonds sortants, et la plage de temps entre le 27 février 2023 et le 28 février 2023. Nous procédons en cliquant sur le bouton "Analyser" pour procéder à l'analyse.
Nous avons obtenu les destinations des fonds de "Fake_Phishing11227" dans la plage de temps spécifiée. Il semble qu'il y ait de nombreuses adresses de réception impliquées, indiquant un processus de distribution des fonds illicitement obtenus.
Parmi tous les destinataires, les adresses "offtherip.eth", "Fake_Phishing76579", et "Fake_Phishing7064" ont reçu la majorité des fonds distribués, s'élevant respectivement à 10,36 ETH, 8,36 ETH et 1,85 ETH.
Basé sur ce ratio de distribution, nous considérons offtherip.eth comme l'entité la plus suspecte dans cette enquête et attirons l'attention.
Avec l'obtention de l'adresse inhabituelle "offtherip.eth", des étapes supplémentaires peuvent nécessiter l'utilisation de techniques non blockchain, telles que l'analyse de l'ingénierie sociale. Cependant, dans cette analyse axée sur les transferts de fonds en chaîne, metasleuth.io a fourni une pléthore d'assistance technique pratique, permettant à toute l'analyse d'être terminée en moins de 10 minutes.
Dans ce tutoriel, nous montrons un exemple d'utilisation de MetaSleuth pour suivre le flux de fonds d'une victime de phishing. Le résumé de l'analyse est le suivant.
Victime : ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Temps : 2023-02-27 22:00
Actifs Perdus : 1 842 USDC, 519 351 DATA
Réseau : Ethereum
Cibles des Fonds:
Premier Saut : Fake_Phishing 11227
Deuxième Saut:
offtherip.eth
Fake_Phishing76579
Fake_Phishing7064
Temps Consommé pour l'Analyse : <10 min
Dans ce tutoriel, nous vous guiderons à travers les fonctionnalités de base de MetaSleuth en retraçant les fonds volés lors d'une transaction de phishing. Ensemble, nous explorerons comment utiliser MetaSleuth pour analyser les transactions, suivre les fonds spécifiques et surveiller les fonds non transférés.
Nous avons identifié une transaction de phishing sur le réseau Ethereum avec le hash 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69. Maintenant, plongeons dans notre analyse.
Pour commencer, rendez-vous sur https://metasleuth.io/. Choisissez Ethereum comme réseau et entrez la transaction que vous souhaitez analyser. Appuyez sur Entrée. Attendez maintenant les données renvoyées par MetaSleuth.
Une fois l'analyse de la transaction terminée, vous serez dirigé vers la page d'analyse de MetaSleuth, où vous pourrez voir tous les transferts d'actifs qui ont eu lieu dans la transaction. Si la cible de l'analyse est une adresse, les informations affichées seront plus complexes. Nous aborderons l'analyse des adresses dans un tutoriel séparé.
En plus du graphique central de transfert d'actifs, la page comprend divers autres composants fonctionnels. Voici un schéma simplifié, et vous êtes encouragé à explorer leur usage spécifique pendant le processus d'analyse.
La transaction sur laquelle nous nous concentrons implique un seul transfert d'actifs : l'adresse 0xbcd131, qui est la victime, a transféré 2586 MATIC à Fake_Phishing180627.
Pour continuer à suivre la destination des tokens MATIC volés, c'est simple. Sélectionnez simplement le nœud de l'adresse Fake_Phishing180627 et cliquez sur le bouton "+" à droite du nœud.
Cette fonctionnalité s'appelle Expand outgoing et vous permet de tracer les actifs envoyés depuis cette adresse. Dans la plupart des cas, cette fonctionnalité fournit les données souhaitées. Cependant, pour les adresses avec un volume de transactions élevé, vous devrez peut-être utiliser des fonctionnalités avancées telles que Advanced Analyze et Load More pour obtenir les données requises.
Après avoir cliqué sur le bouton "+", nous pouvons voir de nombreux transferts d'Ether sortants depuis Fake_Phishing180627. Mais qu'en est-il du MATIC que nous souhaitons suivre ?
MetaSleuth n'affiche pas toutes les données qu'il récupère sur la toile pour garantir une représentation propre et lisible du flux de fonds global. Cependant, MetaSleuth propose divers outils pour aider les utilisateurs à localiser les données souhaitées et à les ajouter à la toile. Dans ce cas, nous pouvons utiliser le Token Filter pour ajouter tous les transferts d'actifs MATIC obtenus par MetaSleuth à la toile.
Après confirmation, nous pouvons voir un transfert MATIC supplémentaire sur la toile, provenant de Fake_Phishing180627 et allant vers Uniswap V3: MATIC. C'est exactement les fonds volés que nous suivons.
Lorsqu'il s'agit d'actifs envoyés à des échanges décentralisés (DEX) comme Uniswap, notre attention ne se porte pas sur les tokens MATIC transférés depuis l'adresse Uniswap V3: MATIC, mais plutôt sur les actifs obtenus par Fake_Phishing180627 lors de l'action de swap sur Uniswap.
Alors, quels actifs Fake_Phishing180627 a-t-il reçus à travers ce swap ? Investigons cette transaction de swap pour le découvrir.
Tout d'abord, nous devons déterminer la transaction à laquelle appartient le transfert MATIC de Fake_Phishing180627 à Uniswap V3: MATIC. Cliquez sur le bord de transfert d'actifs sur la toile, et dans la Edge List qui apparaît en dessous, cliquez sur Details pour accéder à la Transaction List. Trouvez le hash de transaction pour ce transfert et copiez-le.
Ensuite, nous pouvons ajouter cette transaction à la toile en utilisant la fonctionnalité Add Address / Tx située dans le coin supérieur gauche de la toile. Cela nous permettra d'explorer les transferts d'actifs qui ont eu lieu dans cette transaction et de mieux comprendre son contenu.
Après l'avoir ajoutée, tous les transferts d'actifs dans cette transaction seront visibles sur la toile. Il devient clair que Fake_Phishing180627 a échangé du MATIC contre 0,944 Ether via Uniswap. Cet Ether de 0,944 est l'actif que nous devons suivre davantage.
Parmi les différents transferts d'Ether provenant de Fake_Phishing180627, lesquels devons-nous suivre ?
En cliquant sur Fake_Phishing180627, vous pouvez observer les transferts d'actifs associés à cette adresse dans le panneau d'adresse à gauche. Vous avez peut-être remarqué que plus de données sont disponibles ici que ce qui est affiché sur la toile (comme mentionné précédemment, MetaSleuth privilégie la simplicité et la lisibilité dans le diagramme de flux de fonds et ne montre pas toutes les données par défaut).
La transaction où Fake_Phishing180627 a échangé du MATIC contre de l'Ether a eu lieu le 18-06-2023 à 14:57:11. Par conséquent, notre attention principale devrait se concentrer sur les transferts de tokens Ether qui ont eu lieu après cette heure spécifique. Pour filtrer les données, nous pouvons utiliser la fonction de filtre.
Dans les résultats filtrés, il est évident qu'environ 6 minutes après l'action d'échange, 1,4 Ether a été transféré de l'adresse Fake_Phishing180627 à l'adresse 0x8bae70. Ce transfert contient probablement les fonds que nous cherchons à tracer.
Nous pouvons les marquer et les afficher sur la toile, en continuant à suivre les actifs de 0x8bae70. Ce faisant, nous pouvons observer que les fonds finissent par s'installer dans l'adresse 0x8de345.
Pour rester informé des fonds qui n'ont pas encore été transférés, nous pouvons les surveiller activement. En activant la surveillance, vous recevrez des notifications par e-mail chaque fois que des transferts d'actifs pertinents se produiront. Pour explorer des fonctionnalités de surveillance supplémentaires, veuillez visiter le tableau de bord MetaSleuth Monitor à : https://metasleuth.io/monitor.
Bien que ce fût une exploration brève, nous espérons que MetaSleuth vous a offert une expérience de suivi et d'investigation pratique et fluide. Nous publierons plus de matériel pédagogique à l'avenir et accueillons vos suggestions. Rejoignez notre groupe Telegram à https://t.me/MetaSleuthTeam.
.
