免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
边肖:记得要集中注意力。
投资区块链,猛戳:火星财经App下载
来源:PeckShield
导读:PlusToken的部分资金并不直接流入交易所,而是通过ChipMixer这样的工具混淆视听,然后通过OTC渠道卖出。
自从区块链最大的基金项目PlusToken被确认运行以来,其吸收的加密货币资产的流向一直牵动着用户的心,尤其是BTC的资产。PeckShield在上一篇文章《图文追踪 PlusToken 资产转移行踪(二)》中,发现PlusToken的两个主要比特币钱包地址发生了变化,共转移了28500个比特币,主要目的是为了拆散资金。
自北京时间2019年8月20日起,PeckShield数字资产护送系统(AML)在多个运行地址监测到资金的汇聚,91779个原本属于多签地址的BTC被集中到5个单签地址,然后由单签地址转移。
通过对转让的BTC资产,特别是分成0.1-10笔的BTC交易的跟踪分析,PeckShield 安全人员发现部分资金并没有直接流入交易所,而是通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 的渠道卖出。
下文将进一步分析普勒斯多肯BTC公司资产的近期流动情况。
8月23日晚19: 40,
,PeckShield监测到多条PlusToken运行资产的汇聚,均来自《图文追踪 PlusToken 资产转移行踪(一)》中提到的临时BTC的多签地址,截至, 08 月 26 日,所有多签地址上的资产共计91,779个 BTC 都被集中汇聚到5个单签地址中。.
以下是一些交易示例:
图1: BTC资产融合交易A
图2: BTC资产融合交易B
为了让大家更直观的了解这部分资金流,PeckShield数字资产护航系统(AML)做了以下资产聚合路径图:
图3:多标志地址资产聚合图
在过去的十几天里,佩克希尔监控的普鲁斯多肯关键地址的BTC不断被拆分分散,其他地址上的资产也以同样的方式被转移。据不完全统计,过去两周内,约57,751个 BTC 被最终切分成0.1-10 BTC 不等的小额分散转移。
目前大部分被切割成小额的BTC都是临时存放在不同的地址。由于BTC地址的特点,不可能确定这些资产已经流入交易所。但其中也有少部分资产 PeckShield 安全人员发现通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 渠道的方式卖出。
如下,125nvL开头的地址转出一笔交易,是从31odn4开头的PlusToken主钱包地址转出资产产生的。
图4: 125nvL以地址资产转出开始。
之后这个资产又被转让了几次,从37K1qd的地址开始,后来又转让了几个地址:
图示5: 资产分散转移至若干地址
继续追踪发现,被切分成小额的 BTC 与其他 UTXO 一起作为输入进行了清洗,例如如下的交易:
图示6: 切分为小额的资产被清洗
输入输出前后的 BTC 数额相同,输入杂乱无序,但仔细观察输出,会发现有迹可循:
最小的输出在0.001 BTC 左右;有众多相同 BTC 数额的输出,例如0.20122882等;存在大量 BTC 数额翻倍的输出,例如0.20122882,0.40245764等;
图示7: 清洗存在某种特征
这里要简单介绍下比特币混淆器,虽然比特币作为一种加密货币存在良好的匿名性,但是因为其交易全部公开在区块链中,只要定位到源地址,就可以一直追溯该地址上的资金流向,当地址与人物身份产生某种关联时,比特币就不在匿名性的特点了。基于这种需求,慢慢出现了可以帮助用户隐藏交易信息的服务,可以进一步的提高隐私和匿名性,这种工具叫做比特币混淆器。简言之,比特币混淆器就是通过某种方法匹配用户需要混淆的数额,将随机数量的比特币发送到用户地址,直到用户请求发送的总数额到达指定地址。一般混淆器都支持将一笔大额比特币输入混淆成若干小额比特币输出和若干小额比特币输入混淆成大额输出等。
虽然混淆的比特币数额随机,但不同方法也是有迹可循的,例如 ChipMixer,混淆后的比特币数额都在0.001―8.192之间,且存在众多1.024倍数的数额。
此前 PeckShield 安全人员在追踪5月份币安交易所被盗的7,000多 BTC 时,就发现有众多 BTC 最终是通过 ChipMixer 混淆后由黑客转出的,如下是部分币安被盗 BTC 资产混淆后数额统一变为2.048。
图示8: 币安被盗 BTC 通过 ChipMixer 混淆
综合以上的分析,我们认为部分 PlusToken BTC 资产已通过类似 ChipMixer 的工具进行混淆,再通过场外 OTC 渠道的方式卖出。为了逃避资产追踪和交易所的冻结,跑路方不断设障,采用了资产多层转移切分―混淆―场外 OTC 卖出的方式进行洗币。
