このチュートリアルでは、フィッシングトランザクションで盗まれた資金を追跡することで、MetaSleuthの基本的な機能をガイドします。一緒に、トランザクションを分析し、特定の資金を追跡し、未転送の資金を監視する方法を探ります。
イーサリアムネットワークでハッシュ 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69 のフィッシングトランザクションを特定しました。では、分析に入りましょう。
まず、https://metasleuth.io/に移動してください。ネットワークとしてEthereumを選択し、分析したいトランザクションを入力してください。Enterを押します。次に、MetaSleuthから返されるデータを待ちます。
トランザクションの分析が完了すると、MetaSleuthの分析ページに誘導され、トランザクションで行われたすべての資産転送を確認できます。分析対象がアドレスの場合は、表示される情報がより複雑になります。アドレス分析については別のチュートリアルで説明します。
中央の資産転送グラフに加えて、さまざまな機能コンポーネントがページに含まれています。以下は簡略化されたダイアグラムであり、分析プロセス中にそれらの具体的な使用法を探ることをお勧めします。
注目しているトランザクションでは、1つの資産転送のみが行われました:被害者であるアドレス 0xbcd131 から Fake_Phishing180627 に2586 MATICが転送されました。
盗まれたMATICトークンの目的地を追跡し続けるのは簡単です。単にFake_Phishing180627のアドレスノードを選択し、ノードの右側にある_「+」_ボタンをクリックしてください。
この機能を_送信先の展開と呼び、このアドレスから送信された資産を追跡することができます。ほとんどの場合、この機能は望むデータを提供しますが、トランザクション量が多いアドレスの場合、高度な分析やさらに読み込む_といった高度な機能を利用して必要なデータを取得する必要があるかもしれません。
_「+」_ボタンをクリックすると、Fake_Phishing180627からの多数のOutgoing Ether転送が確認できます。しかし、追跡したいMATICはどこにあるのでしょうか?
MetaSleuthは、全体の資金フローの明確で読みやすい表現を確保するために、取得したすべてのデータをキャンバス上に表示することはありません。しかし、MetaSleuthは、ユーザーが望ましいデータを見つけてキャンバスに追加するのを支援するためのさまざまなツールを提供しています。この場合、MetaSleuthによって取得されたすべてのMATIC資産転送をキャンバスに追加するために_トークンフィルター_を利用できます。
確認後、Fake_Phishing180627からUniswap V3: MATICに至る追加のMATIC転送がキャンバス上で確認できます。これはまさに追跡している盗まれた資金です。
Uniswapのような分散型取引所(DEX)に送信された資産に関しては、Uniswap V3: MATICアドレスから送信されたMATICトークン自体ではなく、UniswapでのスワップアクションによってFake_Phishing180627が得た資産に焦点を当てます。
では、Fake_Phishing180627がこのスワップを通じて受け取った資産は何でしょうか?このスワップトランザクションを調査してみましょう。
まず、Fake_Phishing180627からUniswap V3: MATICにMATIC転送されたトランザクションを確認する必要があります。キャンバス上の資産転送エッジをクリックし、表示される_エッジリストで詳細をクリックしてトランザクションリスト_にアクセスします。この転送のトランザクションハッシュを見つけてコピーしてください。
次に、キャンバスの左上にある_アドレス/Txを追加_機能を使用してこのトランザクションをキャンバスに追加できます。これにより、このトランザクション内で行われた資産転送を探索し、その内容をより明確に理解できます。
それを追加すると、このトランザクション内のすべての資産転送がキャンバス上に表示されるようになります。Fake_Phishing180627がUniswapを通じてMATICを0.944 Etherにスワップしたことが明らかになります。この0.944 Etherは、さらに追跡する必要のある資産です。
Fake_Phishing180627からのさまざまなEther転送の中で、どれを追跡すべきでしょうか?
Fake_Phishing180627をクリックすると、左側のアドレスパネルでこのアドレスに関連する資産転送を観察できます。キャンバスに表示されるものよりも多くのデータがここにあることに気づくかもしれません(前述のように、MetaSleuthは資金フローのシンプルさと読みやすさを重視し、デフォルトではすべてのデータを表示しません)。
Fake_Phishing180627がMATICをEtherにスワップしたトランザクションは2023年6月18日の14:57:11に行われました。したがって、主にその後のEtherトークン転送に注目する必要があります。データをフィルタリングするには、フィルタ機能を利用することができます。
フィルタリングされた結果では、スワップアクションから約6分後に、Fake_Phishing180627から0x8bae70に1.4 Etherが転送されたことが明らかになっています。この転送は、我々が追跡しようとしている資金が含まれている可能性があります。
それらをキャンバスにマークして表示し、0x8bae70の資産を追跡し続けることで、資金が最終的に0x8de345に落ち着くことが観察できます。
まだ転送されていない資金について知りたい場合は、積極的に監視することができます。監視を有効にすることで、関連する資産転送が発生したときにメール通知を受け取ることができます。その他の監視機能を探索するには、MetaSleuthモニターダッシュボードをご訪問ください: https://metasleuth.io/monitor。
短い探求ではありますが、MetaSleuthがあなたに便利でスムーズな追跡および調査体験を提供することを願っています。今後、さらに多くの教育資料をリリースし、皆様からのご意見を歓迎します。私たちのTelegramグループに参加してください: https://t.me/MetaSleuthTeam。
このチュートリアルでは、MetaSleuthのファンドトラッキング機能を説明します。調査中に、通常はアドレスからの送金を追跡したいと考えます。MetaSleuthは、単一方向の資金フローを追跡することをサポートすることで、このプロセスを簡素化しています。
以下では、この機能をデモンストレーションするために、フィッシング被害者を追跡する実例を示します。追跡されたアドレスは_ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)_です。
MetaSleuthは、誕生以来、アナリストにより便利でビジュアルな分析能力を提供することを目指してきました。オンチェインスルースグループやWeb3コミュニティに没頭した後、最も一般的なタスクの一つは、特定のアドレスからの送金を指定された時間範囲内で追跡することであると分かりました。
例えば、被害者のアドレスから盗まれた資金の追跡、資金の回収、優れた投資のためにスマート資金のターゲットを監視し、マネーロンダリング対策 (AML) 目的のために疑わしい取引を追跡するなどが含まれます。
しかし、これらのアクティブなアドレスからの資金フローは非常に複雑であり、多数のトークン、多様なターゲット、長期間にわたることがあるため、オンチェインスルースが分析に必要な関連情報を抽出するための時間を費やさねばならない状況が続いています。
この問題を解決するために、MetaSleuthはすべてのアシスタントツールの中で最も軽量/最適なユーザー体験/最速のソリューションプランを提供しました。
フィッシングケースを調査する際に手に入る情報は以下の通りです。
ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)がフィッシングで大きな損失を被り、激怒したオンチェインスルースが盗まれた資金がどこへ流れるのかを解明し、隠されたフィッシンググループを発見する使命を受けた。
既知の手掛かり
被害者:ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
時間: 2023.02.25-2023.02.27頃
損失資産: 不明なトークン、不明な量
ネットワーク: Ethereum
metasleuth.ioを訪問し、対応するブロックチェーンネットワークを選択します(デフォルトはEthereum)、そして資金の元のアドレス、つまりryanwould.ethを入力します。
MetasleuthはENS名に基づいて対応するアドレスを解決します。そして、検索ボックスの右側で、Metasleuthのコア機能であるAdvanced Analyzeを使用します。
Advanced Analyze Settingsパネルに入った後、資金の方向と時間範囲を選ぶことができます。このタスクでは、資金の流出(out)と、フィッシングが発生した期間(2023-02-25->2023-02-28)を重視しています。設定の完了後、適用をクリックし、Enterを押してキャンバスに入ります。
素晴らしいです!Metasleuth.ioは、2023年2月25日から2023年2月28日の間のすべての送金フローをすぐに視覚的にグラフ化しました。これのおかげで、大量のデータを慎重に選別する時間が節約されました。
さらに、MetaSleuthが維持しているアドレスラベルを活用することで、この短い期間内に2つの異常な資金フローが検出され、どちらもアドレス"Fake_Phishing11227"に向けていることがすぐに特定できます。これらの異常な取引は1,842 USDCと519,351 DATAトークンを含んでおり、グラフで示されています。
より分かりやすく表示するために、トークン設定項目を開き、他のデフォルトのトークンを削除し、盗まれたトークン(USDC、DATA)のみを残し、変更を確認します。
資金フローは非常に簡潔で明確になりました。資金の流出を追跡するために、資金移動の第2ホップをさらに拡張しました。資金移動関係の第2ホップで、フィッシングアドレス"Fake_Phishing11227"が盗まれた資金をAirswapに転送し、Airswapを介してトークンを交換したことがわかりました。
トークンフィルタリング設定のおかげで、DATAとUSDCのみに集中していたため、トークンスワップのプロセスを見逃していました。これを解決するために、トークン設定にETHを追加し、取引(0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162)を再度追加しました。このアップデートにより、トークンスワッピングプロセスの全体像を把握できるようになりました。フィッシング行為者はUSDCとDATAトークンをAirswapを介して交換し、14.58 ETHを取得しました。この段階(2022-02-27 22:30)では、USDCとDATAのみに集中することはもはや意味がありません。取得したETHの経路を追跡して、追加のフィッシングアドレスを発見する必要があります。
したがって、フィッシングアドレス"Fake_Phishing11227"の高度な分析を続けます。同様に、送金のみを重視し、2023年2月27日と2023年2月28日の期間に焦点を当てます。"Analyze"ボタンをクリックして分析を進めます。
指定された時間範囲で"Fake_Phishing11227"からの資金の行き先を得ました。多くの受取アドレスが関与しているようで、不正に取得された資金を分配するプロセスを示しています。
すべての受取人の中で、アドレス_"offtherip.eth"_, "Fake_Phishing76579", および"Fake_Phishing7064"が分配された資金の大部分を受け取り、それぞれ10.36 ETH、8.36 ETH、1.85 ETHとなっています。
この配布比率に基づいて、この調査で_offtherip.eth_が最も疑わしいエンティティとして注目し、関心を引きます。
異常なアドレス"offtherip.eth"の取得により、さらなるステップでは、ソーシャルエンジニアリング分析などの非ブロックチェーン技術を利用する必要があるかもしれません。しかし、オンチェインファンド転送に焦点を当てたこの分析で、metasleuth.ioは数多くの便利な技術サポートを提供し、全ての分析を10分未満で完了することができました。
このチュートリアルでは、MetaSleuthを使用してフィッシング被害者の資金フローを追跡する例を示しました。分析の要約は次のとおりです。
被害者: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
時間: 2023-02-27 22:00
損失資産: 1,842 USDC, 519,351 DATA
ネットワーク: Ethereum
資金のターゲット:
第1ホップ:"Fake_Phishing11227"
第2ホップ:
"offtherip.eth"
"Fake_Phishing76579"
"Fake_Phishing7064"
分析時間消費: <10分
