自 8 月 12 日以来,PeckShield 数字资产护航系统 (AML) 监测到 PlusToken 两个主要 BTC 钱包地址出现异动,共计 2.85 万个 BTC 发生转移。

原文标题:《图文追踪 PlusToken 资产转移行踪(二):共计 2.85 万个 BTC 出现异动,其中一笔神奇交易留有彩蛋!》

6 月 29 日,区块链第一大资金盘项目 PlusToken 被用户反馈无法提币,随后六名创始团队人员在瓦努阿图因为涉嫌互联网诈骗被捕。PeckShield 在上一篇《图文追踪 PlusToken 资产转移行踪(一)》中初步跟踪统计 BTC 部分有 1,203 个流入交易所中。

自北京时间 2019 年 08 月 12 日以来,PeckShield 数字资产护航系统 (AML) 监测到 PlusToken 两个主要 BTC 钱包地址出现异动,共 2.85 万个 BTC 被转移。其中 33FKcwFh 开头的一个主要钱包地址转移 22,922 个 BTC 至四个新地址中,数额分别为 4,922、5,000、6,000、7,000 不等,这部分资金暂时还未进一步转移,目前尚不确定已流入交易所。

与此同时,PeckShield 发现监控中的另一个 1M1Tfsvb 开头的中转地址通过多次分散、小额转出的方式共转移 5,575 个 BTC,尚不确定是否流入交易所。而 ETH、EOS、XRP 等其他币种资产尚未有异常动向。

下文就 BTC 资产流向做进一步展开分析,文末有一个彩蛋,大家不要错过!经 PeckShield 确认,PlusToken 已知的三个 BTC 资产汇聚地址:

PlusToken 诈骗团伙被捕后又有 2.85 万 BTC 异动,还留下了彩蛋图示 1: BTC 资产汇聚信息

5,527 个 BTC 被多次分散中转

8 月 12 日晚 19 点 27 分,PeckShield 监测到 14BWH6Gm 开头汇聚地址的一个中转地址 (1M1Tfsvb 开头) 资产发生频繁转移。为了让大家更加直观的了解这部分资金流向,PeckShield 数字资产护航系统 (AML) 制作了如下资产转移路径图:

PlusToken 诈骗团伙被捕后又有 2.85 万 BTC 异动,还留下了彩蛋图示 2: 1M1Tfsvb 开头地址资产转移图

其资产转移分为两个阶段:

1)大额资产经过多次中转,最终由 39fXUWCy 开头地址分散转出,新地址 BTC 数目在 1,000 左右。

PlusToken 诈骗团伙被捕后又有 2.85 万 BTC 异动,还留下了彩蛋图示 3: 1M1Tfsvb 开头地址资金分散转出

2)新地址上的 BTC 再次分散,并最终于 08 月 14 日 23 点至 24 点 以 50—200 BTC 不等转入多个地址。由于 BTC 地址的特性,目前无法确定这部分资金已流入交易所。

PlusToken 诈骗团伙被捕后又有 2.85 万 BTC 异动,还留下了彩蛋图示 4: 资金以 50-200 BTC 不等转入多个地址

22,922 个 BTC 发生转移

与此同时, PeckShield 安全人员发现 PlusToken 另一个钱包汇聚地址 33FKcwFh 开头的地址中资产于 08 月 13 日发生异动,并通过 14gKbB4A 开头地址于 08 月 14 日 11 点 54 分转移到四个地址中,每个地址暂存 4,922,5,000,6,000,7,000 BTC 不等,这部分资金暂时还未进一步转移。

PlusToken 诈骗团伙被捕后又有 2.85 万 BTC 异动,还留下了彩蛋图示 5: 33FKcwFh 开头地址资产发生异动

彩蛋

在 PeckShield 安全人员跟进分析 PlusToken 资产转移的过程中,发现一笔有趣的交易,该交易发生于 08 月 15 日凌晨 00 时 08 分。

PlusToken 诈骗团伙被捕后又有 2.85 万 BTC 异动,还留下了彩蛋图示 6: 一笔有趣的交易

如上图所示,交易发起方是 18888888 开头的地址,而接收方都是 PlusToken 主要的资金汇聚地址,转入 BTC 数额非常小,同时交易备注显示 「Sorry,we have run」

PeckShield 分析认为此交易在链上标记 PlusToken 资金汇聚地址,其目的主要有两点:

  • 通过向这些地址发送极少量的 BTC,进而将这些地址「粉尘化」(参考文献 1),由于 BTC 每笔交易都是包含多笔 UTXO,之后便可追踪使用这部分资产的交易。
  • 当以上 UTXO 交易被一起使用时,这四个 PlusToken 资金汇聚地址就被证明具有关联性,且不可篡改。

参考文献:

[1] BINANCE-ACADEMY. 什么是粉尘攻击
https://www.binance.vision/zh/security/what-is-a-dusting-attack

来源链接:mp.weixin.qq.com