Расширенный анализ: Легкое отслеживание фондов
Last updated
Last updated
В этом учебнике мы опишем функциональность отслеживания средств в MetaSleuth. Во время расследования мы обычно хотим отследить исходящие средства с адреса. MetaSleuth облегчает этот процесс, поддерживая отслеживание потока средств в одном направлении.
Далее мы покажем реальный пример отслеживания жертвы фишинга для демонстрации этой функциональности. Отслеживаемый адрес - ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).
С момента своего создания MetaSleuth стремился предоставить аналитикам более удобные возможности визуального анализа. Погрузившись в сообщество детективов на блокчейне и Web3, мы обнаружили, что одна из самых распространенных задач - отслеживание исходящих средств с конкретного адреса в определенном временном диапазоне.
Например, это включает отслеживание украденных средств с адреса жертвы для возмещения средств, мониторинг целей "умных" денег для лучших инвестиций и отслеживание подозрительных транзакций в целях борьбы с отмыванием денег (AML).
Однако поток средств с этих активных адресов может быть чрезвычайно сложным, включая множество токенов, разнообразные цели и охватывающий длительные периоды. Эта ситуация действительно создает проблемы для детективов на блокчейне, которым приходится тратить время на извлечение соответствующей информации для своего анализа.
Чтобы решить эту проблему, MetaSleuth предоставил самое легкое/ лучший пользовательский опыт/ самое быстрое план решения среди всех вспомогательных инструментов.
При расследовании фишинг-случая информация, которую мы имеем, следующая.
ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) понес значительные потери в результате фишинга. И решительный детектив на блокчейне был поставлен задачей выяснить, куда идут украденные средства и разоблачить скрытые фишинговые группы.
Известные Улики
Жертва: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Время: около 2023.02.25-2023.02.27
Потерянные Активы: неизвестный токен, неизвестная сумма
Сеть: Ethereum
Посетите metasleuth.io, выберите соответствующую блокчейн-сеть (по умолчанию это Ethereum) и введите исходный адрес средств, то есть ryanwould.eth.
MetaSleuth разрешит соответствующий адрес на основе имени ENS. Затем, на правой стороне поискового окна, используйте основную функцию MetaSleuth, Advanced Analyze.
После входа в панель настроек Advanced Analyze мы можем выбрать направление средств и временной диапазон. В этой задаче мы сосредоточимся только на оттоке средств (out) и периоде времени, в который произошла фишинг-атака (2023-02-25->2023-02-28). После завершения настройки конфигурации нажмите применить и Enter, чтобы перейти на холст.
Отлично! Metasleuth.io быстро генерирует визуальный график всех исходящих потоков средств с 25 февраля 2023 года по 28 февраля 2023 года. Благодаря этой функции мы экономим много времени на просеивание данных.
Кроме того, используя метку адреса, поддерживаемую MetaSleuth, мы можем легко определить, что в течение этого короткого времени было обнаружено только два необычных потока средств, оба направленные на адрес "Fake_Phishing11227". Эти аномальные транзакции включали 1,842 USDC и 519,351 DATA токенов, как показано на графике.
Для лучшего отображения мы открываем пункт конфигурации токенов, удаляем другие токены по умолчанию, оставляя только украденные токены (USDC, DATA), и затем подтверждаем изменения.
Поток средств становится чрезвычайно лаконичным и ясным. Чтобы проследить отток средств, мы расширили вторую ступень передачи средств. Во второй ступени отношения передачи средств мы обнаружили, что фишинговый адрес "Fake_Phishing11227" перевел украденные средства на Airswap и обменял токены через Airswap.
Из-за нашей конфигурации фильтрации токенов мы сосредоточились только на DATA и USDC, что затруднило процесс обмена токенами. Чтобы устранить это, мы добавили ETH в конфигурацию токенов и вновь добавили транзакцию обмена (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). С этим обновлением у нас теперь есть полное представление о процессе обмена токенами. Фишинговый субъект обменял токены USDC и DATA через AirSwap и получил 14.58 ETH. На этом этапе (27 февраля 2022 года 22:30) сосредоточение только на USDC и DATA больше не имеет смысла. Нам нужно проследить путь полученного ETH, чтобы раскрыть дополнительные фишинговые адреса.
Таким образом, мы продолжили продвинутый анализ фишингового адреса "Fake_Phishing11227". Аналогично, мы сосредотачиваемся только на исходящих средствах и временном диапазоне с 27 февраля 2023 года по 28 февраля 2023 года. Мы продолжаем, нажимая кнопку "Analyze", чтобы продолжить анализ.
Мы получили направления средств от "Fake_Phishing11227" в указанный временной диапазон. Кажется, что в процессе распределения нелегально полученных средств задействовано множество адресов-получателей.
Среди всех получателей адреса "offtherip.eth", "Fake_Phishing76579" и "Fake_Phishing7064" получили большинство распределенных средств, в количестве 10.36 ETH, 8.36 ETH и 1.85 ETH соответственно.
Основываясь на этом распределении, мы считаем offtherip.eth самой подозрительной сущностью в этом расследовании и привлекаем внимание.
С получением необычного адреса "offtherip.eth" дальнейшие шаги могут потребовать использования неблокчейн-техник, таких как анализ социальной инженерии. Однако в этом анализе, сосредоточенном на трансферте средств на блокчейне, metasleuth.io предоставил множество удобных технических средств, позволяя завершить весь анализ менее чем за 10 минут.
В этом учебнике мы показали пример использования MetaSleuth для отслеживания потока средств от жертвы фишинга. Краткое изложение анализа следующее.
Жертва: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Время: 27 февраля 2023 года, 22:00
Потерянные Активы: 1,842 USDC, 519,351 DATA
Сеть: Ethereum
Цели Средств:
Первый Ход: Fake_Phishing11227
Второй Ход:
offtherip.eth
Fake_Phishing76579
Fake_Phishing7064
Время, затраченное на анализ: <10 мин
