# 高級分析：輕量級資金追踪

在本教程中，我們將描述 MetaSleuth 的資金追蹤功能。在調查過程中，我們通常想要追蹤某個地址的**流出**資金。MetaSleuth 通過支持從一個方向追蹤資金流動，促進了這一過程。

**Video/Content:** [MetaSleuth 教程：使用 MetaSleuth 的高級分析進行輕量級資金追蹤](https://www.youtube.com/watch?v=EH7x7BTumIQ)

以下，我們展示了一個追蹤網絡釣魚受害者的真實例子，以演示這一功能。被追蹤的地址是 *ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)*。

### 什麼是資金追蹤以及為何選擇 MetaSleuth

MetaSleuth 自成立以來，一直旨在為分析師提供更便利的可視化分析能力。深入鏈上偵探小組和 Web3 社區後，我們發現其中一個最常見的任務是追蹤特定地址在定義時間範圍內的流出資金。

例如，這涉及追蹤受害者地址的被盜資金以追回資金，監測聰明資金的目標以尋求更好的投資，及追蹤可疑交易以進行反洗錢（AML）目的。

然而，從這些活躍地址的資金流動可能極其複雜，涉及多個代幣、多樣化目標，且時間跨度長。這種情況確實給鏈上偵探帶來麻煩，他們必須花時間提取分析所需的相關信息。

為了解決這一問題，在所有輔助工具中，MetaSleuth 提供了最輕量級的/ 最佳用戶體驗的/ 最快的解決方案計劃。

## 追蹤詳情

調查一宗網絡釣魚案件時，我們掌握的信息如下。

* \_ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) 在網絡釣魚中遭受了巨大損失。一位憤怒的鏈上偵探受委託找出被盜資金的去向，並揭露隱藏的網絡釣魚團伙。
* 已知線索
  * 受害者：*ryanwould.eth* (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
  * 時間：大約在 2023.02.25-2023.02.27
  * 損失資產：未知代幣，未知數量
  * 網絡：以太坊

### 步驟 1：選擇地址

訪問 [metasleuth.io](https://metasleuth.io/)，選擇相應的區塊鏈網絡（默認是以太坊），然後輸入資金的源頭地址，即 ryanwould.eth。

Metasleuth 將根據 ENS 名稱解析相應的地址。然後，在搜索框的右側，使用 Metasleuth 的核心功能，`高級分析`。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-a46c64eef0eae150c740adb4f4ac4b445390412e%2Fimage%20(111).png?alt=media" alt=""><figcaption><p>Metasleuth.io 的進入點</p></figcaption></figure>

### 步驟 2：選擇方向

進入高級分析設置面板後，我們可以選擇資金的方向和時間範圍。在此任務中，我們僅專注於資金的流出（out）和網絡釣魚發生的時間段（2023-02-25->2023-02-28）。完成配置設置後，我們點擊應用並按 Enter 鍵進入畫布。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-7bfc04581daeb650da44a428b86e902cf860a8b5%2Fimage%20(113).png?alt=media" alt=""><figcaption><p>高級分析設置</p></figcaption></figure>

### 步驟 3：生成第一張資金流動圖

太好了！Metasleuth.io 快速生成了 2023 年 2 月 25 日和 2023 年 2 月 28 日之間所有流出資金流的可視化圖表。多虧了這個功能，我們節省了大量數據篩選時間。

此外，利用由 MetaSleuth 維護的地址標籤，我們可以輕鬆識別出在這段短時間內，僅檢測到了兩個不尋常的資金流向，全部指向地址 "Fake\_Phishing11227"。這些異常交易涉及 1,842 USDC 和 519,351 DATA 代幣，如圖所示。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-e306b4375dedf49477618ddcfaba816464119816%2Fimage%20(114).png?alt=media" alt=""><figcaption><p>初始資金流</p></figcaption></figure>

### 步驟 4：過濾感興趣的代幣

為了更好地展示，我們打開代幣配置項目，移除其他默認的代幣，僅留下被盜代幣（USDC、DATA），然後確認我們的更改。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-fcc61c5842c60588e78230fd29fb966e7de4c0cb%2Fimage%20(115).png?alt=media" alt=""><figcaption><p>代幣過濾器</p></figcaption></figure>

### 步驟 5：擴展感興趣地址的資金流動

資金流動變得非常簡潔明了。為了追蹤資金流出，我們進一步擴展了資金轉移的第二跳。在資金轉移關係的第二跳中，我們發現網絡釣魚地址 "Fake\_Phishing11227" 將被盜資金轉移到了 Airswap，並通過 Airswap 交換代幣。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-727cfd45bf5f66ece22a9e14c7f6019bd8cb800e%2Fimage%20(116).png?alt=media" alt=""><figcaption><p>過濾後的資金流</p></figcaption></figure>

### 步驟 6：處理代幣交換操作

由於我們的代幣過濾配置，我們只關注 DATA 和 USDC，這隱藏了代幣交換的過程。為了解決此問題，我們在代幣配置中添加了 ETH，並再次添加了交換交易 (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162)。有了此更新，我們現在對代幣交換過程有了完整的了解。網絡釣魚行為者通過 AirSwap 以 USDC 和 DATA 代幣換取了 14.58 ETH。在此階段（2022-02-27 22:30），僅專注於 USDC 和 DATA 不再有意義。我們需要追踪獲得的 ETH 的路徑，以揭露更多網絡釣魚地址。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-a8936927f15a0e736309abcca006964876721620%2Fimage%20(52).png?alt=media" alt=""><figcaption><p>添加交易</p></figcaption></figure>

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-89bf8ad0777588f6199f77edb77040693f86396e%2Fimage%20(119).png?alt=media" alt=""><figcaption><p>完整的資金流</p></figcaption></figure>

### 步驟 7：進一步按時間範圍過濾

因此，我們繼續對網絡釣魚地址 “Fake\_Phishing11227” 進行高級分析。同樣，我們只關注流出的資金，以及 2023 年 2 月 27 日和 2023 年 2 月 28 日之間的時間範圍。我們繼續點擊“分析”按鈕，以進行分析。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-9c55bfad8a74971f5bd26a985949ff3a21197392%2Fimage%20(120).png?alt=media" alt=""><figcaption><p>進一步分析按鈕</p></figcaption></figure>

### 步驟 8：發現感興趣的接收者時停止調查

在指定的時間範圍內，我們已獲得 “Fake\_Phishing11227” 的資金目的地。看起來有多個接收地址，表明了一個分發非法獲得資金的過程。

在所有接收者中，地址 *"offtherip.eth"*, "Fake\_Phishing76579", 和 "Fake\_Phishing7064" 接收了分配運行的絕大部分資金，分別為 10.36 ETH，8.36 ETH 和 1.85 ETH。

基於此分配比例，我們在該調查中將 *offtherip.eth* 視為最可疑的實體並引起注意。

<figure><img src="https://3860398196-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F7P83kRIJQ1IhFBAQhjQ4%2Fuploads%2Fgit-blob-7bd9632a1482386efe4df72f7761efbf1df32e25%2Fimage%20(121).png?alt=media" alt=""><figcaption><p>最終追蹤結果</p></figcaption></figure>

獲得不尋常的地址 "offtherip.eth" 後，可能需要利用非區塊鏈技術，例如社會工程分析。然而，在這次聚焦鏈上資金轉移的分析中，metasleuth.io 提供了大量便利的技術協助，使得整個分析過程可在不到 10 分鐘內完成。

### 結論

在本教程中，我們展示了如何使用 MetaSleuth 追蹤網絡釣魚受害者的資金流動。分析摘要如下。

* 受害者：*ryanwould.eth* (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)
* 時間：2023-02-27 22:00
* 損失資產：1,842 USDC，519,351 DATA
* 網絡：以太坊
* 資金目標：
  * 第一跳：Fake\_Phishing 11227
  * 第二跳：
    * *offtherip.eth*
    * Fake\_Phishing76579
    * Fake\_Phishing7064
* 分析時間消耗：<10 分鐘