技术贴:如何追踪暗网上的比特币交易?

澳门十大网赌网址:2020-08-03 澳门十大正规网站: 8256 次
人们对加密货币似乎有一个普遍的误解,感觉它终于可以 摆脱法律的监控 了。是的,这也是加密货币创立者的伟大追求,但……这只是个理想。
事实上,使用数字加密货币交易,不仅容易识别某些站点之间的关系,而且洋葱站点(暗网)还会留下许多 “数字指纹”,尤其是比特币。

下面大家就再一次通过开源情报调查的方式来举例说明(更多开源情报方式,请阅读文章末尾“相关阅读”部分):

在这个案例研究中,你将能看到:
  • 如何识别洋葱站点之间的联系(暗网);

  • 如何识别两个比特币地址之间的关系;

  • 如何跟踪地址到注册交易所。

 

下面这张图,有助于你更直观地了解它们之间的关系:

  暗网服务 —— 众多中的两个  

本案例研究的只是众多中的两个主题是:
  • 银行网站 BancoPanama,一个“离岸金融”巴拿马银行网站,支撑比特币匿名交易;

  •  

  • Dark Web UnlockDevices,一个通过比特币支付解锁手机的服务,也是匿名支付。

  •  

     

本案例的研究重点不是要确定这些网站是否是欺诈网站;而是要识别它们之间的关系,以表明它们是同一个人所有的,并追踪其区块链指纹到注册的加密货币交易所

 用于暗网洋葱站点的分析工具 

在本案例研究中,大家将使用四个工具,它们是:
  • Fresh Onions(洋葱网站搜索)

  • Wallet Explorer(数字货币钱包)

  • Blockchain Explorer(区块链查询)

  • Tor Browser(洋葱头浏览器)

 
这其中最重要的两个工具是 Fresh Onions 和 Wallet Explorer。
Fresh Onions 是暗网站点搜寻器。它基本能告诉你洋葱站点上可能看不到的任何隐藏信息,对于识别大家正在寻找的任何“数字指纹”来说非常有用。
Wallet Explorer也是个很有用的东西,因为它可以识别特定钱包拥有的所有比特币地址。在处理加密货币时,一个钱包可能拥有多个地址。
Blockchain Explorer 和 Tor 浏览器应该是你已经非常熟悉的平台了。你需要Tor来打开任何洋葱链接。

 识别暗网服务的“指纹”  

这两个暗网洋葱站点之间的关系可以使用 Fresh Onion 进行识别。

大家正在寻找的相关详细信息是“ SSH指纹”;从本质上讲,它是站点携带的唯一标记。使用 Fresh Onions,你就可以看到所有其他拥有相同指纹的站点。

这表明大家之前确定的两个洋葱站点之间存在SSH关系。
现在来看一下区块链上的证据。

 如何在交易中使用区块链取证 

对暗网进行任何分析的第一步是定位加密货币地址。
这可能是多种货币,但在大多数情况下,比特币是加密货币世界的统治者,幸运的是,它有一个非常公开的区块链。
仅从一个比特币地址就可以知道很多事,例如:
  • 发生了多少笔交易;

  • 钱来自哪里,有多少钱;

  • 汇款到哪里以及汇了多少钱;

  • 交易历史的时间表;

  • 该钱包中的其他相关比特币地址。

 
其中最后一个是 Wallet Explorer 能够解决的问题。

有了这个工具,你可以识别同一钱包拥有的任何其他比特币地址。

那么本案例中提到的两个网站之间有什么关系?
当你通过该网站的“购买”部分访问其比特币地址时,可以确定两个主要地址:
  1. 以 XZ4jo结尾的 “BancoPanama” 站点的地址;

  2. 以 KUrE结尾的 “Dark Web UnlockDevices” 站点的地址。

 
这两个站点之间的关系是:它们来自同一钱包,这意味着它们是由同一实体或个人拥有的

我是使用Wallet Explorer找到的。只需通过简单地在搜索功能中输入一个地址,然后显示整个钱包,以识别地址的双重所有权。使用简单的 “CNTRL F” 可以发现两个同时都存在。

现在,让大家看一下每个比特币地址的具体交易。

  跟踪付款到交易所  

在区块链上查看时,支付到这些帐户的交易就是正常交易的外观。

例如,在下面的交易中,你能看到资金从一个比特币地址转移到了以 KUrE 结尾的 Dark Web UnlockDevices 地址:

但是流出交易使用了更多地址:

如上面的屏幕快照所示,同一交易中包含多个地址。
对于此交易,以Ndpe结尾的关键接收方地址可以是以下两种情况之一:
  • A bitcoin mixing service

  • An exchange

 
对于暗网上的许多供应商而言,混合服务或加密可确保匿名性,因为它实际上会扰乱地址和付款信息,这对用户来说而言非常理想,而不是执法部门。
Ndpe是一个唯一地址,其大部分付款都通过比特币地址:
1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s。

在以下屏幕截图中可以看到这一点:

这个以bu1s结尾的比特币地址属于Binance(已注册的加密货币交易所)。

你可以通过一个简单的谷歌搜索来看到这一点,该搜索还揭示了 Binance本身的以下twitter:

 Ndpe 地址的区块链分析 

Ndpe的地址属于钱包000030bc2e。
正如下面的屏幕快照所示,该钱包包含超过120,000个比特币地址,其中许多地址每天都在发生大量交易。

Ndpe可能是交易所的比特币地址,或者它可能是一种使用非常广泛的比特币混合服务,这可以说明为什么其钱包中拥有大量比特币地址,大概是为了从本质上扰乱交易。

该钱包中的每个地址都使用交易所Binance。在上面的屏幕截图中,前五个地址都显示了它们对Binance的最大支出。可以在区块链上看到这一点。

以下是Fnhy向Binance发出的最近一笔交易:

这是sjjd向Binance发出的最近一笔交易:

以下是d6E1向Binance发出的最近一笔交易:

以下是3R3r向Binance发出的最近一笔交易:

以下是hEe9向Binance发出的最近一笔交易:

如你所见,从这两个暗网洋葱站点到区块链上的Ndpe地址之间存在某种关系。
由于大家可以确定这两个暗网洋葱站点是由同一所有者运行的,因此该人很可能正在使用唯一的tumbler或exchange服务。
Ndpe地址、同一钱包中的其他地址、以及Binance的以 bu1s 结尾的地址之间也存在持续的财务关系。

开源调查模式所能及的地方 

到此,使用开源情报方式在暗网通过区块链技术所完成的调查,才仅仅是个开始……接下来的工作,就取决于相关方以及加密货币交易所自己的内部管理了。
例如,在前不久发生的著名的“N间房”性虐案件中,韩国警方就通过向本国多家加密交易所(Upbit、Bithumb、Korbit 和 Coinone等)发出了搜查令,并获取了绝大多数的付费会员的身份信息,详见:数字货币交易:真是不法分子的“天堂”吗?

与高科技犯罪斗智斗勇中,祝你好运。

 

转自:困难群众 LBS

分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图