自 8 月 12 日以來,PeckShield 數字資產護航系統 (AML) 監測到 PlusToken 兩個主要 BTC 錢包地址出現異動,共計 2.85 萬個 BTC 發生轉移。

原文標題:《圖文追蹤 PlusToken 資產轉移行蹤(二):共計 2.85 萬個 BTC 出現異動,其中一筆神奇交易留有彩蛋!》

6 月 29 日,區塊鏈第一大資金盤項目 PlusToken 被用戶反饋無法提幣,隨後六名創始團隊人員在瓦努阿圖因爲涉嫌互聯網詐騙被捕。PeckShield 在上一篇《圖文追蹤 PlusToken 資產轉移行蹤(一)》中初步跟蹤統計 BTC 部分有 1,203 個流入交易所中。

自北京時間 2019 年 08 月 12 日以來,PeckShield 數字資產護航系統 (AML) 監測到 PlusToken 兩個主要 BTC 錢包地址出現異動,共 2.85 萬個 BTC 被轉移。其中 33FKcwFh 開頭的一個主要錢包地址轉移 22,922 個 BTC 至四個新地址中,數額分別爲 4,922、5,000、6,000、7,000 不等,這部分資金暫時還未進一步轉移,目前尚不確定已流入交易所。

與此同時,PeckShield 發現監控中的另一個 1M1Tfsvb 開頭的中轉地址通過多次分散、小額轉出的方式共轉移 5,575 個 BTC,尚不確定是否流入交易所。而 ETH、EOS、XRP 等其他幣種資產尚未有異常動向。

下文就 BTC 資產流向做進一步展開分析,文末有一個彩蛋,大家不要錯過!經 PeckShield 確認,PlusToken 已知的三個 BTC 資產匯聚地址:

PlusToken 詐騙團伙被捕後又有 2.85 萬 BTC 異動,還留下了彩蛋圖示 1: BTC 資產匯聚信息

5,527 個 BTC 被多次分散中轉

8 月 12 日晚 19 點 27 分,PeckShield 監測到 14BWH6Gm 開頭匯聚地址的一箇中轉地址 (1M1Tfsvb 開頭) 資產發生頻繁轉移。爲了讓大家更加直觀的瞭解這部分資金流向,PeckShield 數字資產護航系統 (AML) 製作瞭如下資產轉移路徑圖:

PlusToken 詐騙團伙被捕後又有 2.85 萬 BTC 異動,還留下了彩蛋圖示 2: 1M1Tfsvb 開頭地址資產轉移圖

其資產轉移分爲兩個階段:

1)大額資產經過多次中轉,最終由 39fXUWCy 開頭地址分散轉出,新地址 BTC 數目在 1,000 左右。

PlusToken 詐騙團伙被捕後又有 2.85 萬 BTC 異動,還留下了彩蛋圖示 3: 1M1Tfsvb 開頭地址資金分散轉出

2)新地址上的 BTC 再次分散,並最終於 08 月 14 日 23 點至 24 點 以 50—200 BTC 不等轉入多個地址。由於 BTC 地址的特性,目前無法確定這部分資金已流入交易所。

PlusToken 詐騙團伙被捕後又有 2.85 萬 BTC 異動,還留下了彩蛋圖示 4: 資金以 50-200 BTC 不等轉入多個地址

22,922 個 BTC 發生轉移

與此同時, PeckShield 安全人員發現 PlusToken 另一個錢包匯聚地址 33FKcwFh 開頭的地址中資產於 08 月 13 日發生異動,並通過 14gKbB4A 開頭地址於 08 月 14 日 11 點 54 分轉移到四個地址中,每個地址暫存 4,922,5,000,6,000,7,000 BTC 不等,這部分資金暫時還未進一步轉移。

PlusToken 詐騙團伙被捕後又有 2.85 萬 BTC 異動,還留下了彩蛋圖示 5: 33FKcwFh 開頭地址資產發生異動

彩蛋

在 PeckShield 安全人員跟進分析 PlusToken 資產轉移的過程中,發現一筆有趣的交易,該交易發生於 08 月 15 日凌晨 00 時 08 分。

PlusToken 詐騙團伙被捕後又有 2.85 萬 BTC 異動,還留下了彩蛋圖示 6: 一筆有趣的交易

如上圖所示,交易發起方是 18888888 開頭的地址,而接收方都是 PlusToken 主要的資金匯聚地址,轉入 BTC 數額非常小,同時交易備註顯示 「Sorry,we have run」

PeckShield 分析認爲此交易在鏈上標記 PlusToken 資金匯聚地址,其目的主要有兩點:

  • 通過向這些地址發送極少量的 BTC,進而將這些地址「粉塵化」(參考文獻 1),由於 BTC 每筆交易都是包含多筆 UTXO,之後便可追蹤使用這部分資產的交易。
  • 當以上 UTXO 交易被一起使用時,這四個 PlusToken 資金匯聚地址就被證明具有關聯性,且不可篡改。

參考文獻:

1 BINANCE-ACADEMY. 什麼是粉塵攻擊
https://www.binance.vision/zh/security/what-is-a-dusting-attack

來源鏈接:mp.weixin.qq.com