本手册由慢雾(SlowMist)编写,聚焦区块链生态安全,旨在帮助加密生态参与者掌握链上追踪知识,应对加密资产犯罪,涵盖基础概念、工具使用、资金流动模式、应急处理等多方面内容。
⠀
- 核心概念:介绍主流公链(如比特币、以太坊、波场等),比特币基于 UTXO 模型,以太坊采用账户模型且支持智能合约;详解钱包(热钱包、冷钱包)、区块链地址(充币地址、合约地址等)、交易结构(区块高度、交易哈希、Gas 费用)及平台类型(CEX、DEX、跨链桥),还提及 UTXO 与找零机制等关键原理。
- 常用工具:区块链浏览器是基础工具,不同公链有专属浏览器(如比特币用blockchain.com,以太坊用 etherscan.io),可查询地址余额、交易记录等;专业追踪工具 MistTrack 功能强大,支持 18 条主流公链,提供 AML 风险评分、地址标签、交易图谱等功能,还有 Cielo、TRM 等社区工具辅助追踪。
- 常见模式:包括剥离链(小额多次转账清洗)、一对多分发(拆分资金至多个中转地址)、多跳转移(快速多地址中转)、混币器使用(如 Tornado Cash 混淆资金)、跨链桥跳转(规避单链监控)、多对一归集(资金盘崩盘前统一归集)、P2P/OTC 交易(完成资产 “脱链”)。
- 追踪难点:混币器打断资金路径,跨链桥导致原链与目标链记录断裂,攻击者还常组合多种模式(拆分 + 跨链 + 混币)增加追踪难度。
- 被盗应对:首要止损,紧急阶段转移剩余资产、申请冻结可冻结代币(如 USDT、USDC)、联系交易所;后续避免关联风险,取消可疑授权、更换密码。同时保护现场,保留证据,借助工具初步分析资金路径,联系专业机构(如慢雾)和警方,持续构建攻击者画像。
- 跨链与隐私工具追踪:跨链桥追踪可通过专属浏览器、区块链浏览器解析 Input Data、MistTrack 跨链解析实现;混币器分析从入口地址、固定金额、提现行为、时间关联等维度入手,还列举 Tornado Cash、Wasabi Coinjoin 案例说明追踪方法;NFT 追踪需定位合约地址与 Token ID,关注资产售出后的资金流向。
- 地址行为分析:识别活跃特征(如睡眠唤醒、高频转账),通过输入聚类、行为同步性等判断地址聚类,结合风险行为(快速洗出、惯用混币)画像,交叉链上(CEX 交互)与链下(社交信息)数据关联地址身份,AI 工具(如 MistTrack MCP)提升分析效率。
- 实际案例:Bitfinex 黑客案中,黑客用剥离链转移比特币;波场网络盗币案中,黑客通过 SunSwap 反复兑换 USDT 与 TRX 洗钱,展示不同场景下的追踪思路与方法。
- 冻结与追回:确认资金流入 CEX 后,需由合规主体(警方、律所)提供证据向交易所申请冻结,国际冻结因司法差异难度更高,且冻结后需通过司法程序确定资产返还。
- 结语与免责:强调链上安全是长期工作,手册旨在打破信息不对称,内容仅作参考,不构成法律等建议,使用相关工具需理性判断。同时介绍慢雾公司及其安全解决方案,助力区块链生态安全。
