在本教程中，我們將描述 MetaSleuth 的資金追蹤功能。在調查過程中，我們通常想要追蹤某個地址的流出資金。MetaSleuth 通過支持從一個方向追蹤資金流動，促進了這一過程。

以下，我們展示了一個追蹤網絡釣魚受害者的真實例子，以演示這一功能。被追蹤的地址是 ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)。

什麼是資金追蹤以及為何選擇 MetaSleuth

MetaSleuth 自成立以來，一直旨在為分析師提供更便利的可視化分析能力。深入鏈上偵探小組和 Web3 社區後，我們發現其中一個最常見的任務是追蹤特定地址在定義時間範圍內的流出資金。

例如，這涉及追蹤受害者地址的被盜資金以追回資金，監測聰明資金的目標以尋求更好的投資，及追蹤可疑交易以進行反洗錢（AML）目的。

然而，從這些活躍地址的資金流動可能極其複雜，涉及多個代幣、多樣化目標，且時間跨度長。這種情況確實給鏈上偵探帶來麻煩，他們必須花時間提取分析所需的相關信息。

為了解決這一問題，在所有輔助工具中，MetaSleuth 提供了最輕量級的/ 最佳用戶體驗的/ 最快的解決方案計劃。

追蹤詳情

調查一宗網絡釣魚案件時，我們掌握的信息如下。

• _ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713) 在網絡釣魚中遭受了巨大損失。一位憤怒的鏈上偵探受委託找出被盜資金的去向，並揭露隱藏的網絡釣魚團伙。

• 已知線索

  • 受害者：ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

  • 時間：大約在 2023.02.25-2023.02.27

  • 損失資產：未知代幣，未知數量

  • 網絡：以太坊

步驟 1：選擇地址

訪問 metasleuth.io，選擇相應的區塊鏈網絡（默認是以太坊），然後輸入資金的源頭地址，即 ryanwould.eth。

Metasleuth 將根據 ENS 名稱解析相應的地址。然後，在搜索框的右側，使用 Metasleuth 的核心功能，高級分析。

步驟 2：選擇方向

進入高級分析設置面板後，我們可以選擇資金的方向和時間範圍。在此任務中，我們僅專注於資金的流出（out）和網絡釣魚發生的時間段（2023-02-25->2023-02-28）。完成配置設置後，我們點擊應用並按 Enter 鍵進入畫布。

步驟 3：生成第一張資金流動圖

太好了！Metasleuth.io 快速生成了 2023 年 2 月 25 日和 2023 年 2 月 28 日之間所有流出資金流的可視化圖表。多虧了這個功能，我們節省了大量數據篩選時間。

此外，利用由 MetaSleuth 維護的地址標籤，我們可以輕鬆識別出在這段短時間內，僅檢測到了兩個不尋常的資金流向，全部指向地址 "Fake_Phishing11227"。這些異常交易涉及 1,842 USDC 和 519,351 DATA 代幣，如圖所示。

步驟 4：過濾感興趣的代幣

為了更好地展示，我們打開代幣配置項目，移除其他默認的代幣，僅留下被盜代幣（USDC、DATA），然後確認我們的更改。

步驟 5：擴展感興趣地址的資金流動

資金流動變得非常簡潔明了。為了追蹤資金流出，我們進一步擴展了資金轉移的第二跳。在資金轉移關係的第二跳中，我們發現網絡釣魚地址 "Fake_Phishing11227" 將被盜資金轉移到了 Airswap，並通過 Airswap 交換代幣。

步驟 6：處理代幣交換操作

由於我們的代幣過濾配置，我們只關注 DATA 和 USDC，這隱藏了代幣交換的過程。為了解決此問題，我們在代幣配置中添加了 ETH，並再次添加了交換交易 (0x23f4ed07e2937c3f8f345e44ce489b8f83d2b6fdbf0697f6711ff4c7f2a55162)。有了此更新，我們現在對代幣交換過程有了完整的了解。網絡釣魚行為者通過 AirSwap 以 USDC 和 DATA 代幣換取了 14.58 ETH。在此階段（2022-02-27 22:30），僅專注於 USDC 和 DATA 不再有意義。我們需要追踪獲得的 ETH 的路徑，以揭露更多網絡釣魚地址。

步驟 7：進一步按時間範圍過濾

因此，我們繼續對網絡釣魚地址 “Fake_Phishing11227” 進行高級分析。同樣，我們只關注流出的資金，以及 2023 年 2 月 27 日和 2023 年 2 月 28 日之間的時間範圍。我們繼續點擊“分析”按鈕，以進行分析。

步驟 8：發現感興趣的接收者時停止調查

在指定的時間範圍內，我們已獲得 “Fake_Phishing11227” 的資金目的地。看起來有多個接收地址，表明了一個分發非法獲得資金的過程。

在所有接收者中，地址 "offtherip.eth", "Fake_Phishing76579", 和 "Fake_Phishing7064" 接收了分配運行的絕大部分資金，分別為 10.36 ETH，8.36 ETH 和 1.85 ETH。

基於此分配比例，我們在該調查中將 offtherip.eth 視為最可疑的實體並引起注意。

獲得不尋常的地址 "offtherip.eth" 後，可能需要利用非區塊鏈技術，例如社會工程分析。然而，在這次聚焦鏈上資金轉移的分析中，metasleuth.io 提供了大量便利的技術協助，使得整個分析過程可在不到 10 分鐘內完成。

結論

在本教程中，我們展示了如何使用 MetaSleuth 追蹤網絡釣魚受害者的資金流動。分析摘要如下。

• 受害者：ryanwould.eth (0xc6D330E5B7Deb31824B837Aa77771178bD8e6713)

• 時間：2023-02-27 22:00

• 損失資產：1,842 USDC，519,351 DATA

• 網絡：以太坊

• 資金目標：

  • 第一跳：Fake_Phishing 11227

  • 第二跳：

    • offtherip.eth

    • Fake_Phishing76579

    • Fake_Phishing7064

• 分析時間消耗：<10 分鐘

在本教程中，我們將通過追蹤釣魚交易中的被盜資金來指導您使用 MetaSleuth 的基本功能。我們將共同探索如何使用 MetaSleuth 來分析交易、追蹤特定資金以及監控未轉移的資金。

我們在以太坊網絡上識別了一筆哈希值為 0x2893fcabb8ed99e9c27a0a442783cf943318b1f6268f9a54a557e8d00ec11f69 的釣魚交易。現在，讓我們進行分析。

輸入目標，按“Enter”

主要功能組件

完成交易分析後，您將被定向到 MetaSleuth 分析頁面，在那裡您可以看到交易中發生的所有資產轉移。如果分析目標是一個地址，顯示的信息會更加複雜。我們將在單獨的教程中介紹地址分析。

除了中央資產轉移圖，頁面還包括各種其他功能組件。這是一個簡化的圖示，建議您在分析過程中探索它們的具體用途。

追蹤資金

我們關注的這筆交易涉及到一筆資產轉移：地址 0xbcd131，這是受害者，向 Fake_Phishing180627 合約轉移了 2586 MATIC。

要繼續追蹤被盜的 MATIC 代幣的目的地，非常簡單。只需選擇 Fake_Phishing180627 地址節點，並點擊該節點右側的 "+" 按鈕。

此功能稱為 展開傳出，允許您追蹤從此地址發送的資產。在大多數情況下，此功能提供所需的數據。然而，對於交易量大的地址，您可能需要利用高級功能，如 高級分析 和 加載更多 以獲得所需數據。

在點擊 "+" 按鈕後，我們可以看到 Fake_Phishing180627 進行了大量的以太轉移。但是，我們想要追蹤的 MATIC 呢？

過濾畫布

MetaSleuth 並不會在畫布上顯示它檢索到的所有數據，以確保整體資金流向的表達乾淨且可讀。然而，MetaSleuth 提供了多種工具幫助用戶定位所需的數據並將其添加到畫布中。在這種情況下，我們可以利用 代幣過濾器 將 MetaSleuth 獲取到的所有 MATIC 資產轉移添加到畫布上。

確認後，我們可以在畫布上看到一筆額外的 MATIC 轉移，來自 Fake_Phishing180627，轉移到 Uniswap V3: MATIC。這正是我們正在追蹤的被盜資金。

當資產被送到去中心化交易所（DEX）像 Uniswap，我們的重點不在於 Uniswap V3: MATIC 地址轉出的 MATIC 代幣，而是著眼於 Fake_Phishing180627 通過 Uniswap 上的交換動作獲得的資產。

那麼，Fake_Phishing180627 通過此次交換獲得了哪些資產呢？讓我們來調查這次交換交易以找出答案。

添加特定數據

首先，我們需要確定這次從 Fake_Phishing180627 到 Uniswap V3: MATIC 的 MATIC 轉移所屬的交易。在畫布上點擊資產轉移邊線，然後在下面出現的 邊線列表 中點擊 詳情 進入 交易列表。找到該轉移的交易哈希並複製它。

然後，我們可以使用畫布左上角的 添加地址或交易 功能將該交易添加到畫布中。這將讓我們探索此交易中發生的資產轉移，並更清楚地了解其內容。

添加後，這筆交易內的所有資產轉移將顯示在畫布上。很明顯，Fake_Phishing180627 通過 Uniswap 將 MATIC 交換為 0.944 Ether。這 0.944 Ether 是我們需要進一步追蹤的資產。

追蹤特定資金

在來自 Fake_Phishing180627 的多筆以太轉移中，我們應該追蹤哪些？

點擊 Fake_Phishing180627 後，您可以在左側地址面板中觀察與此地址相關的資產轉移。您可能會注意到，這裡可以獲得比畫布上顯示的更多數據（正如之前提到的，MetaSleuth 強調資金流動圖的簡單和可讀性，不會默認顯示所有數據）。

Fake_Phishing180627 將 MATIC 交換為以太坊的交易發生於 2023-06-18 14:57:11。因此，我們的主要重點應放在此特定時間點之後發生的以太幣轉移上。為了過濾數據，我們可以利用篩選功能。

在篩選結果中，很明顯，交換動作發生約 6 分鐘後，地址 Fake_Phishing180627 向地址 0x8bae70 轉移了 1.4 Ether。此轉移很可能包含我們正在尋找的資金。

我們可以標記並顯示它們在畫布上，繼續追蹤 0x8bae70 的資產。通過這樣做，我們可以觀察到資金最終落在地址 0x8de345。

監控未轉移的資金

總結

。