В этом учебнике мы опишем функциональность отслеживания средств в MetaSleuth. Во время расследования мы обычно хотим отследить исходящие средства с адреса. MetaSleuth облегчает этот процесс, поддерживая отслеживание потока средств в одном направлении.
Далее мы покажем реальный пример отслеживания жертвы фишинга для демонстрации этой функциональности. Отслеживаемый адрес - ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713).
С момента своего создания MetaSleuth стремился предоставить аналитикам более удобные возможности визуального анализа. Погрузившись в сообщество детективов на блокчейне и Web3, мы обнаружили, что одна из самых распространенных задач - отслеживание исходящих средств с конкретного адреса в определенном временном диапазоне.
Например, это включает отслеживание украденных средств с адреса жертвы для возмещения средств, мониторинг целей "умных" денег для лучших инвестиций и отслеживание подозрительных транзакций в целях борьбы с отмыванием денег (AML).
Однако поток средств с этих активных адресов может быть чрезвычайно сложным, включая множество токенов, разнообразные цели и охватывающий длительные периоды. Эта ситуация действительно создает проблемы для детективов на блокчейне, которым приходится тратить время на извлечение соответствующей информации для своего анализа.
Чтобы решить эту проблему, MetaSleuth предоставил самое легкое/ лучший пользовательский опыт/ самое быстрое план решения среди всех вспомогательных инструментов.
При расследовании фишинг-случая информация, которую мы имеем, следующая.
ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) понес значительные потери в результате фишинга. И решительный детектив на блокчейне был поставлен задачей выяснить, куда идут украденные средства и разоблачить скрытые фишинговые группы.
Известные Улики
Жертва: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Время: около 2023.02.25-2023.02.27
Потерянные Активы: неизвестный токен, неизвестная сумма
Сеть: Ethereum
Посетите metasleuth.io, выберите соответствующую блокчейн-сеть (по умолчанию это Ethereum) и введите исходный адрес средств, то есть ryanwould.eth.
MetaSleuth разрешит соответствующий адрес на основе имени ENS. Затем, на правой стороне поискового окна, используйте основную функцию MetaSleuth, Advanced Analyze.
После входа в панель настроек Advanced Analyze мы можем выбрать направление средств и временной диапазон. В этой задаче мы сосредоточимся только на оттоке средств (out) и периоде времени, в который произошла фишинг-атака (2023-02-25->2023-02-28). После завершения настройки конфигурации нажмите применить и Enter, чтобы перейти на холст.
Отлично! Metasleuth.io быстро генерирует визуальный график всех исходящих потоков средств с 25 февраля 2023 года по 28 февраля 2023 года. Благодаря этой функции мы экономим много времени на просеивание данных.
Кроме того, используя метку адреса, поддерживаемую MetaSleuth, мы можем легко определить, что в течение этого короткого времени было обнаружено только два необычных потока средств, оба направленные на адрес "Fake_Phishing11227". Эти аномальные транзакции включали 1,842 USDC и 519,351 DATA токенов, как показано на графике.
Для лучшего отображения мы открываем пункт конфигурации токенов, удаляем другие токены по умолчанию, оставляя только украденные токены (USDC, DATA), и затем подтверждаем изменения.
Поток средств становится чрезвычайно лаконичным и ясным. Чтобы проследить отток средств, мы расширили вторую ступень передачи средств. Во второй ступени отношения передачи средств мы обнаружили, что фишинговый адрес "Fake_Phishing11227" перевел украденные средства на Airswap и обменял токены через Airswap.
Из-за нашей конфигурации фильтрации токенов мы сосредоточились только на DATA и USDC, что затруднило процесс обмена токенами. Чтобы устранить это, мы добавили ETH в конфигурацию токенов и вновь добавили транзакцию обмена (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162). С этим обновлением у нас теперь есть полное представление о процессе обмена токенами. Фишинговый субъект обменял токены USDC и DATA через AirSwap и получил 14.58 ETH. На этом этапе (27 февраля 2022 года 22:30) сосредоточение только на USDC и DATA больше не имеет смысла. Нам нужно проследить путь полученного ETH, чтобы раскрыть дополнительные фишинговые адреса.
Таким образом, мы продолжили продвинутый анализ фишингового адреса "Fake_Phishing11227". Аналогично, мы сосредотачиваемся только на исходящих средствах и временном диапазоне с 27 февраля 2023 года по 28 февраля 2023 года. Мы продолжаем, нажимая кнопку "Analyze", чтобы продолжить анализ.
Мы получили направления средств от "Fake_Phishing11227" в указанный временной диапазон. Кажется, что в процессе распределения нелегально полученных средств задействовано множество адресов-получателей.
Среди всех получателей адреса "offtherip.eth", "Fake_Phishing76579" и "Fake_Phishing7064" получили большинство распределенных средств, в количестве 10.36 ETH, 8.36 ETH и 1.85 ETH соответственно.
Основываясь на этом распределении, мы считаем offtherip.eth самой подозрительной сущностью в этом расследовании и привлекаем внимание.
С получением необычного адреса "offtherip.eth" дальнейшие шаги могут потребовать использования неблокчейн-техник, таких как анализ социальной инженерии. Однако в этом анализе, сосредоточенном на трансферте средств на блокчейне, metasleuth.io предоставил множество удобных технических средств, позволяя завершить весь анализ менее чем за 10 минут.
В этом учебнике мы показали пример использования MetaSleuth для отслеживания потока средств от жертвы фишинга. Краткое изложение анализа следующее.
Жертва: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
Время: 27 февраля 2023 года, 22:00
Потерянные Активы: 1,842 USDC, 519,351 DATA
Сеть: Ethereum
Цели Средств:
Первый Ход: Fake_Phishing11227
Второй Ход:
offtherip.eth
Fake_Phishing76579
Fake_Phishing7064
Время, затраченное на анализ: <10 мин
В этом уроке мы проведем вас через основные функции MetaSleuth, отслеживая украденные средства в фишинговой транзакции. Вместе мы изучим, как использовать MetaSleuth для анализа транзакций, отслеживания конкретных средств и мониторинга непереданных средств.
Мы выявили фишинговую транзакцию в сети Ethereum с хэшем 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69. Теперь давайте углубимся в наш анализ.
Для начала перейдите на https://metasleuth.io/. Выберите Ethereum как сеть и введите транзакцию, которую вы хотите проанализировать. Нажмите Enter. Теперь ожидайте данных, возвращенных MetaSleuth.
Когда анализ транзакции будет завершен, вы будете перенаправлены на страницу анализа MetaSleuth, где сможете увидеть все передачи активов, которые происходили в транзакции. Если объект анализа - адрес, отображаемая информация будет более сложной. Мы охватим анализ адреса в отдельном уроке.
Помимо центрального графика передачи активов, страница включает в себя различные другие функциональные компоненты. Вот упрощенная диаграмма, и мы призываем вас исследовать их конкретное использование в процессе анализа.
Транзакция, на которую мы обращаем внимание, включает только одну передачу актива: адрес 0xbcd131, жертва, перевела 2586 MATIC на Fake_Phishing180627.
Чтобы продолжить отслеживание назначения украденных токенов MATIC, это просто. Просто выберите узел адреса Fake_Phishing180627 и нажмите на кнопку "+" справа от узла.
Эта функция называется Расширить исходящие и позволяет вам отслеживать активы, отправляемые с этого адреса. В большинстве случаев эта функция предоставляет желаемые данные. Однако для адресов с высоким объемом транзакций вам может понадобиться использовать расширенные функции, такие как Продвинутый анализ и Загрузить больше, чтобы получить необходимые данные.
После нажатия на кнопку "+", мы можем увидеть множество исходящих переводов Eth от Fake_Phishing180627. А что насчет MATIC, который мы хотим отслеживать?
MetaSleuth не отображает все данные, которые она получает, на холсте, чтобы обеспечить чистое и читаемое представление общего потока средств. Однако MetaSleuth предоставляет различные инструменты, которые помогут пользователям найти желаемые данные и добавить их на холст. В этом случае мы можем использовать Фильтр токенов, чтобы добавить на холст все передачи активов MATIC, полученные MetaSleuth.
После подтверждения мы можем увидеть дополнительную передачу MATIC на холсте, начинающуюся от Fake_Phishing180627 и направляющуюся в Uniswap V3: MATIC. Это именно украденные средства, которые мы отслеживаем.
Когда дело касается активов, отправленных на децентрализованные биржи (DEX), вроде Uniswap, наше внимание не на MATIC, переведенных с адреса Uniswap V3: MATIC, а на активах, полученных Fake_Phishing180627 через обмен на Uniswap.
Итак, какие активы Fake_Phishing180627 получил через этот обмен? Давайте изучим эту транзакцию обмена, чтобы выяснить.
Сначала нам нужно определить транзакцию, к которой относится передача MATIC от Fake_Phishing180627 к Uniswap V3: MATIC. Нажмите на край передачи активов на холсте и в появившемся ниже списке Список краев нажмите на Подробнее, чтобы получить доступ к Список транзакций. Найдите хэш транзакции для этой передачи и скопируйте его.
Затем мы можем добавить эту транзакцию на холст, используя функцию Добавить адрес / Транс, расположенную в левом верхнем углу холста. Это позволит нам исследовать передачи активов, которые произошли внутри этой транзакции, и получить более четкое понимание ее содержания.
После добавления все передачи активов внутри этой транзакции будут видны на холсте. Становится ясно, что Fake_Phishing180627 обменял MATIC на 0,944 Ether через Uniswap. Эти 0,944 Ether являются активом, который нам необходимо далее отслеживать.
Среди различных переводов Ether, исходящих от Fake_Phishing180627, какие из них нам следует отслеживать?
Нажав на Fake_Phishing180627, вы можете увидеть передачи активов, связанные с этим адресом, в левой панели адреса. Возможно, вы заметили, что здесь доступно больше данных по сравнению с теми, которые отображены на холсте (как уже упоминалось ранее, MetaSleuth делает упор на простоту и читаемость в диаграмме потока средств и не показывает все данные по умолчанию).
Транзакция, где Fake_Phishing180627 обменял MATIC на Ether, произошла 2023-06-18 в 14:57:11. Таким образом, наше основное внимание должно быть уделено передачам токенов Ether, которые произошли после этого определенного времени. Чтобы отфильтровать данные, мы можем использовать функцию фильтрации.
В рамках отфильтрованных результатов становится очевидным, что примерно через 6 минут после действия обмена 1.4 Ether был переведен с адреса Fake_Phishing180627 на адрес 0x8bae70. Этот перевод вероятно содержит средства, которые мы стремимся отследить.
Мы можем отметить и отобразить их на холсте, продолжая отслеживать активы 0x8bae70. Делая это, мы можем увидеть, что средства в конечном итоге оседают на адресе 0x8de345.
Чтобы быть в курсе средств, которые еще не были переданы, мы можем активно мониторить их. Включив мониторинг, вы получите уведомления по электронной почте всякий раз, когда происходят соответствующие переводы активов. Чтобы изучить дополнительные функции мониторинга, пожалуйста, посетите панель инструментов MetaSleuth Monitor по адресу: https://metasleuth.io/monitor.
Хотя это была краткая экскурсия, мы надеемся, что MetaSleuth предоставил вам удобный и плавный опыт отслеживания и расследования. Мы выпустим больше обучающих материалов в будущем и приветствуем ваши предложения. Присоединяйтесь к нашей группе в Telegram по адресу https://t.me/MetaSleuthTeam.
