加密追踪：从一次交易开始

高级分析：轻量级资金追踪

在本教程中，我们将描述MetaSleuth的资金追踪功能。在调查过程中，我们通常希望追踪一个地址的外出资金。MetaSleuth通过支持从一个方向追踪资金流动来简化这一过程。

下面，我们展示一个追踪网络钓鱼受害者的真实案例以展示该功能。被追踪的地址是_ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)_。

什么是资金追踪以及为何选择MetaSleuth

自成立以来，MetaSleuth的目标是为分析师提供更方便的可视化分析能力。在专注于链上侦查组和Web3社区后，我们发现最常见的任务之一是追踪指定地址在定义时间范围内的外出资金。

例如，这涉及追踪受害者地址中的被盗资金以便追回资金、监控聪明资金的目标以便更好地投资，以及为了反洗钱（AML）目的追踪可疑交易。

然而，这些活跃地址的资金流动可能极为复杂，涉及多种代币、不同目标，并跨越较长时间。这种情况确实给链上侦探带来了麻烦，他们必须花时间提取分析所需的相关信息。

为解决这一问题，MetaSleuth在所有辅助工具中提供了最轻量化/用户体验最佳/最快速的解决方案。

追踪细节

在调查网络钓鱼案件时，我们拥有以下信息。

• ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) 在网络钓鱼中遭受了重大损失。一位愤怒的链上侦探被赋予了寻找被盗资金去向并揭露隐藏的网络钓鱼团伙的任务。

• 已知线索

  • 受害者：ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

  • 时间：大约在2023.02.25-2023.02.27

  • 损失资产：未知代币，未知金额

  • 网络：以太坊

第一步：选择地址

访问metasleuth.io，选择相应的区块链网络（默认是以太坊），并输入资金的来源地址，即ryanwould.eth。

MetaSleuth将基于ENS名称解析相应地址。然后，在搜索框的右侧，使用MetaSleuth的核心功能，高级分析。

第二步：选择方向

进入高级分析设置面板后，我们可以选择资金的方向和时间范围。在这个任务中，我们只关注资金的流出（出）和网络钓鱼发生的时间段（2023-02-25->2023-02-28）。完成配置设置后，我们点击应用并按下Enter进入画布。

第三步：生成第一张资金流动图

太好了！Metasleuth.io快速生成了2023年2月25日至2023年2月28日期间所有外出资金流动的可视化图表。多亏了这个功能，我们节省了大量的数据筛选时间。

此外，利用MetaSleuth维护的地址标签，我们可以轻松识别出在这段简短的时间内，只有两个不寻常的资金流动被检测到，均指向地址 "Fake_Phishing11227"。这些异常交易涉及1,842 USDC和519,351 DATA代币，如图所示。

第四步：筛选感兴趣的代币

为了更好地显示，我们打开代币配置项，移除其他默认代币，仅保留被盗代币（USDC, DATA），然后确认我们的更改。

第五步：扩展感兴趣地址的资金流动

资金流动变得非常简洁明了。为追踪资金流出，我们进一步扩展了资金转帐的第二跳。在资金转帐关系的第二跳中，我们发现网络钓鱼地址 "Fake_Phishing11227" 将被盗资金转移到了Airswap并通过Airswap进行了代币交换。

第六步：处理代币交换操作

由于我们的代币筛选配置，我们只关注DATA和USDC，这遮蔽了代币交换过程。为了解决这个问题，我们在代币配置中加入了ETH并重新添加了交换交易(0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162)。随着这一更新，我们现在对代币交换过程有了一个完整的视图。网络钓鱼行为者通过AirSwap交换了USDC和DATA代币并获得了14.58 ETH。此阶段（2022-02-27 22:30），单纯关注USDC和DATA再无意义。我们需要追踪获得的ETH路径以揭示更多的网络钓鱼地址。

第七步：进一步使用时间范围筛选

因此，我们继续对网络钓鱼地址 "Fake_Phishing11227" 进行高级分析。同样，我们只关注外出资金，并选择时间范围在2023年2月27日至2023年2月28日之间。我们继续点击“分析”按钮以进行分析。

第八步：在发现感兴趣接收者时停止调查

在指定时间范围内，我们已经获取了从 "Fake_Phishing11227" 发出的资金目标。似乎有许多接收地址参与其中，表示分配非法获取的资金过程。

在所有接收者中，地址_"offtherip.eth"_, "Fake_Phishing76579", 和 "Fake_Phishing7064" 接收了大部分分配资金，分别是10.36 ETH, 8.36 ETH, 和1.85 ETH。

基于这样的分配比例，我们认为_offtherip.eth_ 是此次调查中最为可疑的实体，需要引起关注。

取得了该异常地址 "offtherip.eth" 后，后续步骤可能需要使用非区块链技术，例如社交工程分析。然而，在此次针对链上资金转移的分析中，metasleuth.io 提供了多种便利的技术协助，让整个分析过程在不到十分钟内就完成。

结论

在本教程中，我们展示了如何使用MetaSleuth追踪网络钓鱼受害者的资金流动。分析总结如下。

• 受害者: ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

• 时间: 2023-02-27 22:00

• 损失资产: 1,842 USDC, 519,351 DATA

• 网络: 以太坊

• 资金目标：

  • 第一跳: Fake_Phishing 11227

  • 第二跳:

    • offtherip.eth

    • Fake_Phishing76579

    • Fake_Phishing7064

• 分析耗时: <10分钟

在本教程中，我们将通过追踪网络钓鱼交易中的被盗资金，指导您使用MetaSleuth的基本功能。我们将一起探索如何使用MetaSleuth分析交易、追踪特定资金及监控未转出资金。

我们已在以太坊网络上识别出一笔交易哈希为0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69的网络钓鱼交易。现在，让我们深入分析。

输入目标，按“Enter”

首先，导航至 https://metasleuth.io/。选择以太坊作为网络，并输入您希望分析的交易。按回车键。现在，等待MetaSleuth返回的数据。

主要功能组件

一旦交易分析完成，您将被引导到MetaSleuth分析页面，您可以看到交易中发生的所有资产转移情况。如果分析目标是一个地址，所显示的信息将会更加复杂。我们将在单独的教程中介绍地址分析。

除了中心的资产转移图外，该页面还包括其他各种功能组件。以下是一个简化的图示，鼓励您在分析过程中探索它们的具体用法。

追踪资金

我们关注的交易涉及只有一笔资产转移：地址0xbcd131，即受害者，转移了2586个MATIC到Fake_Phishing180627。

要继续追踪被盗MATIC代币的去向，操作简单。只需选择Fake_Phishing180627地址节点，点击节点右侧的 "+" 按钮。

此功能被称之为 展开输出，允许您追踪从这个地址发送的资产。在多数情况下，该功能提供了所需数据。然而，对于交易量较大的地址，您可能需要利用高级功能，如 高级分析 和 载入更多 来获得所需数据。

在点击 "+" 按钮后，我们可以看到 Fake_Phishing180627 发出的多笔以太转账。那么我们想要追踪的 MATIC 呢？

过滤画布

MetaSleuth不在画布上显示其获取的所有数据，以确保整体资金流动的表示干净且清晰。然而，MetaSleuth提供了多种工具，帮助用户找到所需数据并将其添加到画布上。在本例中，我们可以利用 代币过滤器，将MetaSleuth获取的所有MATIC资产转移添加到画布中。

确认后，我们可以在画布上看到另外一笔由Fake_Phishing180627发出的MATIC转移到Uniswap V3: MATIC。这正是我们追踪的被盗资金。

当涉及到发送到去中心化交易所（DEX）如Uniswap的资产时，我们的关注点不在于从地址Uniswap V3: MATIC转出的MATIC代币，而是在于Fake_Phishing180627通过Uniswap的交换操作获得的资产。

那么Fake_Phishing180627通过此次交换获得了哪些资产？让我们来调查这笔交换交易以找出答案。

添加特定数据

首先，我们需要确定MATIC从Fake_Phishing180627转移到Uniswap V3: MATIC所属的交易。点击画布上的资产转移边缘，并在下面显示的 边缘列表 中点击 详细信息 以访问 交易列表。找到该转移的交易哈希并复制它。

然后，我们可以使用画布左上角的 添加地址/交易 功能将此交易添加到画布中。这将允许我们探索该交易中发生的资产转移，并更清晰地了解其内容。

添加后，这笔交易中的所有资产转移将在画布上可见。很明显，Fake_Phishing180627通过Uniswap将MATIC换成了0.944个以太币。这0.944个以太币是我们需要进一步追踪的资产。

追踪特定资金

在Fake_Phishing180627发出的各种以太转账中，我们应该追踪哪些交易？

点击Fake_Phishing180627，您可以在左侧地址面板中观察与此地址相关的资产转移。您可能已经注意到，这里可用的数据比画布上显示的更多（如前所述，MetaSleuth注重资金流动图的简洁性和可读性，默认并不显示所有数据）。

Fake_Phishing180627 进行 MATIC 换以太交易的时间为 2023-06-18 14:57:11。因此，我们的主要关注点应该是此特定时间之后发生的以太币转账。为了过滤数据，我们可以使用过滤功能。

在过滤结果中，很明显，在交换操作大约6分钟后，1.4个以太从Fake_Phishing180627地址转移到了0x8bae70。这笔转账很可能包含我们要追踪的资金。

我们可以在画布上标记并显示它们，继续追踪0x8bae70的资产。通过这样做，我们可以观察到资金最终在地址0x8de345中定居。

监控未转移资金

为确保您了解尚未转移的资金，我们可以主动监控它们。启用监控后，您将在相关资产转移发生时收到电子邮件通知。要探索更多的监控功能，请访问MetaSleuth监控仪表板：https://metasleuth.io/monitor。

总结

虽然这只是一次简短的探索，但我们希望MetaSleuth为您提供了便捷并流畅的追踪和调查体验。我们将在未来发布更多的教学材料，并欢迎您的建议。加入我们的Telegram群组：https://t.me/MetaSleuthTeam。