圖文追蹤PlusToken資產轉移行蹤:BTC部分有1,203個流入交易所
PeckShield在對 PlusToken 的 BTC 主錢包地址進行分析後,PeckShield 發現目前共還有 72,708個 BTC 暫存在20多個主要地址中,存在進一步流入交易所洗錢的可能;其中已知有540個 BTC 流入 Bittrex 交易所,663個 BTC 流入火幣交易所,可能被成功洗錢。
BTC篇
6月29日,PlusToken 被用戶反饋無法提幣,項目方也被媒體曝跑路。該項目被稱為「幣圈第一資金盤」,涉及資金達到200多億人民幣,用戶超300餘萬人,故而影響範圍非常廣且危害巨大。
鑒於此,區塊鏈安全公司 PeckShield (派盾)介入了對 PlusToken 資金的追蹤調查,開始對 PlusToken 錢包涉及的若干關鍵地址進行鎖定監控追蹤。
在詳細說明 PlusToken 鏈上資金流向前,PeckShield 安全人員整理了 PlusToken 支持的部分主流幣錢包地址和當前的餘額:
14BWH 開頭的地址是 PlusToken 在 BTC 上一個主要錢包地址。
PeckShield 安全人員發現該地址活躍於2019年03月14日至05月26日。在此期間,共有95,228個 BTC 流向該地址之後被全部轉移清空。
PeckShield 數字資產護航系統(AML)通過對這一地址進行鎖定追蹤,繪製了如下資金流向圖:
可以看出,該地址的資金被匯總轉入了多個地址當中,其中部分為疑似提幣地址;部分為暫時轉移停留地址;還有少數流向了交易所。下面就 BTC 資產轉移中出現這幾類地址做重點闡述:
一、疑似提幣地址
3LnMRYgaq8HDsFJXvPmSNA8xTvsdYHkGqp
1B67M6ABnwJ6nrbWx7RyAEqZiu8qwUZgeV
16eR17ubpWLkMXVJazwiSeKZdQwKQNSYSC
3AsbtnHUqBDhg4d4FNkhgYn54NSabe71fg?
從交易行為看,第一個 3LnMR 開頭的地址符合用戶的提幣特徵,轉入的 BTC 來源於 PlusToken 主錢包地址,每次轉出包含多個收款人,且收款的 BTC 數目基本在1個以下。
第二個 1B67M 地址接收的 BTC 主要來源於 PlusToken 主錢包,其大多是 100—1000 BTC 不等的整數數額,之後該地址把 BTC 多次轉往 3LnMR 和 3Asbt 開頭的兩個地址。
16eR1 和 3Asbt 開頭的兩個地址,跟 3LnMR 開頭的地址相似。這四個地址有個共性,基本是從餘額較大的地址,分多筆向小散地址分散資金,分散後的資金也較為小額。而且這些轉賬行為均發生在6月29日停止充提功能之前,初步判斷疑似為用戶的提幣地址。
二、資金轉移停留地址
1CeaW7RwjgenBMX2LgToSBrXj5rH1RBoeh
14YQzrmjrZDuEuc92nibGazcgvgTEtj8WG
.....(剩餘20多個地址)
我們發現,在這些臨時的資金轉移地址中,有兩個較特殊的地址,這些地址的資金大多被切分為每筆 100 BTC 轉往新地址,多個新地址再把轉入的 BTC 匯聚到另一個新地址中,直至該地址上的 BTC 數額幾百到上千。
這些地址也都有個共性,會不規律的向若干新地址轉移相同額度的資金,目的只是分散、匯總以逃離資產追蹤鎖定。不過,這類地址上的分散資金大多為臨時停留地址,很可能有進一步流入交易所洗錢的可能。
三、轉往交易所地址
1C7Ar9WFrSuzSf4mDZL453PeJpTZmjxytz
3D9heyWDwj7tmpD2mt1uhcC7UBS4wvzwSD
34xjaE3xL8SN27omqbp1JzgKmvg4fBpErj
據 PeckShield 安全人員統計,14BWH 開頭的 PlusToken 錢包地址所屬的二級地址 1C7Ar 開頭的地址共轉往 Bittrex 交易所 540 BTC,而另外兩個所屬二級地址 3D9he 和 34xja 開頭的地址共計轉往火幣交易所 663 個 BTC。
這類地址已經關聯到了交易所,一般情況為洗錢行為,但由於這些交易都發生在6月29日被曝跑路之前,因此很難判定,但流入交易所的這部分資金存在很大可能已被洗錢成功。
概述
在對 PlusToken 的 BTC 主錢包地址進行分析後,PeckShield 發現目前共還有 72,708個 BTC 暫存在20多個主要地址中,存在進一步流入交易所洗錢的可能;其中已知有540個 BTC 流入 Bittrex 交易所,663個 BTC 流入火幣交易所,可能已經被成功洗錢;也有一部分資金可能在 PlusToken 跑路前已被用戶正常提幣提走。
值得一提的是, PeckShield 安全人員分析發現,目前暫存 BTC 的那20多個主要地址都是3開頭的 P2SH 地址,而 P2SH 地址常用於多重簽名。分析可能原因是,這部分地址掌握在 PlusToken 核心團伙的手裡,需要多個人同時提供私鑰才能使用,這意味著這部分資金存在的不可控因素較多,比如團隊糾紛等,與此同時追蹤起來成本也相對較高。
PeckShield 數字資產護航系統(AML)基於各大公鏈生態數據的全面挖掘和剖析,積累了海量高風險黑名單庫,能夠從龐大的鏈上資料庫中精準提煉出黑客的行蹤,並聯合全球各大交易所、社區治理單位等合作夥伴,對黑客洗錢行蹤展開全鏈、全時段、反偽裝等步步追蹤和實時封堵。
(作者:PeckShield,內容來自鏈得得內容開放平台「得得號」;本文僅代表作者觀點,不代表鏈得得官方立場)
※內華達州州長再簽區塊鏈相關法案,將為金融產品、服務提供暫時性法律豁免
※2019區塊鏈全球生態大會盛大開幕
TAG:鏈得得APP |