PlusToken资产转移行踪部分比特币被混淆处理后,从OTC渠道卖出

Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册

bitget最新消息:

导读:PlusToken 有一部分资金没有直接流入交易所,而是通过类似ChipMixer的工具进行混淆,再通过场外 OTC 的渠道卖出。

区块链第一大资金盘项目 PlusToken 自从被证实跑路后,其吸纳的加密货币资产流向就一直牵动着广大用户的心,尤其是 BTC 部分的资产。PeckShield 在上一篇《图文追踪 PlusToken 资产转移行踪(二)》中,发现 PlusToken 两个主要比特币钱包地址出现异动,共计2.85万个比特币发生转移,主要目的是将资金打散。

自北京时间 2019 年 08 月 20 日以来,PeckShield 数字资产护航系统 (AML) 监测到众多跑路地址上的资金发生汇聚,91,779个原属于多签地址的 BTC 被集中汇聚到5个单签地址中,再由单签地址进行转移。

通过跟进分析被转移的 BTC 资产,特别是被切分为0.1—10 数额不等的 BTC 交易,PeckShield 安全人员发现部分资金并没有直接流入交易所,而是通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 的渠道卖出。

下文会对 PlusToken BTC 资产最近的流向做进一步展开分析。

原属于多签地址上的 比特币集中汇聚

08 月 23 日晚 19 点 40 分,PeckShield 监测到众多 PlusToken 跑路资产发生汇聚,资金来源都是《图文追踪 PlusToken 资产转移行踪(一)》中提到暂存 BTC 的多签地址,截至 08 月 26 日,所有多签地址上的资产共计91,779个 BTC 都被集中汇聚到5个单签地址中。

以下是部分交易示例:

图示1: BTC 资产汇聚交易 a

图示2: BTC 资产汇聚交易 b

为了让大家更加直观的了解这部分资金流向,PeckShield 数字资产护航系统 (AML) 制作了如下资产汇聚路径图:

图示3: 多签地址资产汇聚图

比特币资产转移分析

在过去的十多天里,PeckShield 监控中的 PlusToken 关键地址中的 BTC 被不断切分、分散,其他地址上的资产也被用同样的方式进行转移。据不完全统计,过去两周内,约57,751个 BTC 被最终切分成0.1-10 BTC 不等的小额分散转移。

目前大多数被切分成小额的 BTC 还暂存在不同地址中,由于 BTC 地址的特性,无法确定这部分资产已流入交易所。但其中也有少部分资产 PeckShield 安全人员发现通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 渠道的方式卖出。

如下,125nvL 开头的地址转出一笔交易,该地址是由 31odn4 开头的 PlusToken 主要钱包地址转移资产生成的。

图示4: 125nvL 开头的地址资产转出

之后这笔资产经过多次转移由 37K1qd 开头的地址切分分散转移至若干地址:

图示5: 资产分散转移至若干地址

继续追踪发现,被切分成小额的 BTC 与其他 UTXO 一起作为输入进行了清洗,例如如下的交易:

图示6: 切分为小额的资产被清洗

输入输出前后的 BTC 数额相同,输入杂乱无序,但仔细观察输出,会发现有迹可循:

最小的输出在0.001 BTC 左右;有众多相同 BTC 数额的输出,例如0.20122882等;存在大量 BTC 数额翻倍的输出,例如0.20122882,0.40245764等;

图示7: 清洗存在某种特征

这里要简单介绍下比特币混淆器,虽然比特币作为一种加密货币存在良好的匿名性,但是因为其交易全部公开在区块链中,只要定位到源地址,就可以一直追溯该地址上的资金流向,当地址与人物身份产生某种关联时,比特币就不在匿名性的特点了。基于这种需求,慢慢出现了可以帮助用户隐藏交易信息的服务,可以进一步的提高隐私和匿名性,这种工具叫做比特币混淆器。

简言之,比特币混淆器就是通过某种方法匹配用户需要混淆的数额,将随机数量的比特币发送到用户地址,直到用户请求发送的总数额到达指定地址。一般混淆器都支持将一笔大额比特币输入混淆成若干小额比特币输出和若干小额比特币输入混淆成大额输出等。

虽然混淆的比特币数额随机,但不同方法也是有迹可循的,例如 ChipMixer,混淆后的比特币数额都在0.001—8.192之间,且存在众多1.024倍数的数额。

此前 PeckShield 安全人员在追踪5月份币安交易所被盗的7,000多 BTC 时,就发现有众多 BTC 最终是通过 ChipMixer 混淆后由黑客转出的,如下是部分币安被盗 BTC 资产混淆后数额统一变为2.048。

图示8: 币安被盗 BTC 通过 ChipMixer 混淆

综合以上的分析,我们认为部分 PlusToken BTC 资产已通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 渠道的方式卖出。为了逃避资产追踪和交易所的冻结,跑路方不断设障,采用了资产多层转移切分—混淆—场外 OTC 卖出的方式进行洗币。