# 高级分析：轻量级资金追踪

在本教程中，我们将描述MetaSleuth的资金追踪功能。在调查过程中，我们通常希望追踪一个地址的**外出**资金。MetaSleuth通过支持从一个方向追踪资金流动来简化这一过程。

**Video/Content:** [MetaSleuth教程：使用MetaSleuth的高级分析进行轻量级资金追踪](https://www.youtube.com/watch?v=EH7x7BTumIQ)

下面，我们展示一个追踪网络钓鱼受害者的真实案例以展示该功能。被追踪的地址是\_ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)\_。

### 什么是资金追踪以及为何选择MetaSleuth

自成立以来，MetaSleuth的目标是为分析师提供更方便的可视化分析能力。在专注于链上侦查组和Web3社区后，我们发现最常见的任务之一是追踪指定地址在定义时间范围内的外出资金。

例如，这涉及追踪受害者地址中的被盗资金以便追回资金、监控聪明资金的目标以便更好地投资，以及为了反洗钱（AML）目的追踪可疑交易。

然而，这些活跃地址的资金流动可能极为复杂，涉及多种代币、不同目标，并跨越较长时间。这种情况确实给链上侦探带来了麻烦，他们必须花时间提取分析所需的相关信息。

为解决这一问题，MetaSleuth在所有辅助工具中提供了最轻量化/用户体验最佳/最快速的解决方案。

## 追踪细节

在调查网络钓鱼案件时，我们拥有以下信息。

* *ryanwould.eth (*0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) 在网络钓鱼中遭受了重大损失。一位愤怒的链上侦探被赋予了寻找被盗资金去向并揭露隐藏的网络钓鱼团伙的任务。
* 已知线索
  * 受害者：*ryanwould.eth* (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
  * 时间：大约在2023.02.25-2023.02.27
  * 损失资产：未知代币，未知金额
  * 网络：以太坊

### 第一步：选择地址

访问[metasleuth.io](https://metasleuth.io/)，选择相应的区块链网络（默认是以太坊），并输入资金的来源地址，即ryanwould.eth。

MetaSleuth将基于ENS名称解析相应地址。然后，在搜索框的右侧，使用MetaSleuth的核心功能，`高级分析`。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-a46c64eef0eae150c740adb4f4ac4b445390412e%2Fimage%20(111).png?alt=media" alt=""><figcaption><p>Metasleuth.io的入口点</p></figcaption></figure>

### 第二步：选择方向

进入高级分析设置面板后，我们可以选择资金的方向和时间范围。在这个任务中，我们只关注资金的流出（出）和网络钓鱼发生的时间段（2023-02-25->2023-02-28）。完成配置设置后，我们点击应用并按下Enter进入画布。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-7bfc04581daeb650da44a428b86e902cf860a8b5%2Fimage%20(113).png?alt=media" alt=""><figcaption><p>高级分析设置</p></figcaption></figure>

### 第三步：生成第一张资金流动图

太好了！Metasleuth.io快速生成了2023年2月25日至2023年2月28日期间所有外出资金流动的可视化图表。多亏了这个功能，我们节省了大量的数据筛选时间。

此外，利用MetaSleuth维护的地址标签，我们可以轻松识别出在这段简短的时间内，只有两个不寻常的资金流动被检测到，均指向地址 "Fake\_Phishing11227"。这些异常交易涉及1,842 USDC和519,351 DATA代币，如图所示。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-e306b4375dedf49477618ddcfaba816464119816%2Fimage%20(114).png?alt=media" alt=""><figcaption><p>初始资金流动</p></figcaption></figure>

### 第四步：筛选感兴趣的代币

为了更好地显示，我们打开代币配置项，移除其他默认代币，仅保留被盗代币（USDC, DATA），然后确认我们的更改。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-fcc61c5842c60588e78230fd29fb966e7de4c0cb%2Fimage%20(115).png?alt=media" alt=""><figcaption><p>代币筛选</p></figcaption></figure>

### 第五步：扩展感兴趣地址的资金流动

资金流动变得非常简洁明了。为追踪资金流出，我们进一步扩展了资金转帐的第二跳。在资金转帐关系的第二跳中，我们发现网络钓鱼地址 "Fake\_Phishing11227" 将被盗资金转移到了Airswap并通过Airswap进行了代币交换。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-727cfd45bf5f66ece22a9e14c7f6019bd8cb800e%2Fimage%20(116).png?alt=media" alt=""><figcaption><p>筛选后的资金流动</p></figcaption></figure>

### 第六步：处理代币交换操作

由于我们的代币筛选配置，我们只关注DATA和USDC，这遮蔽了代币交换过程。为了解决这个问题，我们在代币配置中加入了ETH并重新添加了交换交易(0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162)。随着这一更新，我们现在对代币交换过程有了一个完整的视图。网络钓鱼行为者通过AirSwap交换了USDC和DATA代币并获得了14.58 ETH。此阶段（2022-02-27 22:30），单纯关注USDC和DATA再无意义。我们需要追踪获得的ETH路径以揭示更多的网络钓鱼地址。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-a8936927f15a0e736309abcca006964876721620%2Fimage%20(52).png?alt=media" alt=""><figcaption><p>添加交易</p></figcaption></figure>

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-89bf8ad0777588f6199f77edb77040693f86396e%2Fimage%20(119).png?alt=media" alt=""><figcaption><p>完整的资金流动</p></figcaption></figure>

### 第七步：进一步使用时间范围筛选

因此，我们继续对网络钓鱼地址 "Fake\_Phishing11227" 进行高级分析。同样，我们只关注外出资金，并选择时间范围在2023年2月27日至2023年2月28日之间。我们继续点击“分析”按钮以进行分析。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-9c55bfad8a74971f5bd26a985949ff3a21197392%2Fimage%20(120).png?alt=media" alt=""><figcaption><p>进一步分析按钮</p></figcaption></figure>

### 第八步：在发现感兴趣接收者时停止调查

在指定时间范围内，我们已经获取了从 "Fake\_Phishing11227" 发出的资金目标。似乎有许多接收地址参与其中，表示分配非法获取的资金过程。

在所有接收者中，地址\_"offtherip.eth"\_, "Fake\_Phishing76579", 和 "Fake\_Phishing7064" 接收了大部分分配资金，分别是10.36 ETH, 8.36 ETH, 和1.85 ETH。

基于这样的分配比例，我们认为\_offtherip.eth\_ 是此次调查中最为可疑的实体，需要引起关注。

<figure><img src="https://374361728-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FAy8B2dZhiumoH6CDak5C%2Fuploads%2Fgit-blob-7bd9632a1482386efe4df72f7761efbf1df32e25%2Fimage%20(121).png?alt=media" alt=""><figcaption><p>最终追踪结果</p></figcaption></figure>

取得了该异常地址 "offtherip.eth" 后，后续步骤可能需要使用非区块链技术，例如社交工程分析。然而，在此次针对链上资金转移的分析中，metasleuth.io 提供了多种便利的技术协助，让整个分析过程在不到十分钟内就完成。

### 结论

在本教程中，我们展示了如何使用MetaSleuth追踪网络钓鱼受害者的资金流动。分析总结如下。

* 受害者: *ryanwould.eth* (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
* 时间: 2023-02-27 22:00
* 损失资产: 1,842 USDC, 519,351 DATA
* 网络: 以太坊
* 资金目标：
  * 第一跳: Fake\_Phishing 11227
  * 第二跳:
    * *offtherip.eth*
    * Fake\_Phishing76579
    * Fake\_Phishing7064
* 分析耗时: <10分钟