为了让读者可以透过区块链工具和追踪技术,稍微看懂并了解链上发生的状况,本文以Bybit骇客攻击事件作为例子,解析初学者也可以使用的工具与操作流程。
Bybit成史上最大的加密货币窃案
2025年年初,全球知名交易所Bybit遭遇骇客攻击,损失超过13亿美元的加密货币,成为史上最大的加密货币窃案。
骇客利用交易所系统漏洞,窃取大量用户资产,并透过复杂的洗钱手法,试图隐藏资金流向,逃避追踪。
2025年2月21日,Bybit交易所发布公告,承认其平台遭到骇客攻击,导致大量用户资产被盗。骇客利用Bybit内部Safe钱包开发人员的电脑控制权,并植入恶意代码,诱导交易所签署恶意交易,将资金转移至骇客控制的地址,并将被盗资金转移至多个钱包洗白。
虚拟货币金流调查公司Chainvestigate执行长陈采履回忆,在Bybit事件发生后,他们团队便迅速锁定骇客地址,并追踪到资金先分流至数个非托管地址,以及一部分stETH透过DeFi兑换成以太币后再次分流。
编按:以上为2月26日采访时,陈采履针对案件当时状况进行分析。
有趣的是,在追踪过程中,他们发现许多与骇客地址无关的交易。在众多笔和钱包相关的转帐之中,有许多一般用户也转了一点钱进去相关的受害钱包,就是为了留言「凑热闹」。甚至有人声称是白帽骇客,只要提供丰厚奖金就愿意提供协助。
「因为区块网路很有趣的是,可以签名或者留讯息,所以我们当时查到的金流,其实大部分都不是骇客转出去的纪录,反而看到一堆人转进来,」陈采履表示,「他们主要的目的就是花个Gas fee留言说:『欸能不能把这些钱分点给我啊』,然后看交易所或是骇客能不能看到,毕竟过去也有类似的例子,而且最后真的有拿到钱。」
陈采履指出,过去这类的骇客攻击事件,骇客通常会将大量资金分散到多个地址,增加追踪难度。而在后续追踪中,他们也确实观察到骇客将以太币(ETH)分成多笔1万颗进行交易。陈采履表示,「通常会这么做是为了后续进入混币器做准备。」
骇客之所以将资金分成小块,是为了更有效的运用混币器的服务,因为大多数混币器需要将复数使用者的资金进行混合,如果一次输入大笔资金,再一次输出那就丧失了混币的隐私性。
不过,这次骇客在采用混币器前,先是透过没有进行KYC认证的「即时兑币商」(Instant Swap Vendor),将部分以太币兑换成比特币,再进行后续洗钱。
币流追踪怎么看?
为了让读者可以透过区块链工具和追踪技术,稍微看懂并了解链上发生的状况,本文以Bybit骇客攻击事件作为例子,解析初学者也可以使用的工具与操作流程。
步骤一:追踪黑客地址
既然想要知道当天链上发生了什么事,首先最重要、也最容易下手的,就是先找到「钱包地址」。
2月21日事件发生当天,链上数据追踪平台Arkham就在社交平台X上发送警告,表示有14亿美元的以太币(ETH)从Bybit交易所中流出,并在推文的下方附上了一串钱包地址0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2。 (通常0x开头的一连串乱码就是地址)
这是最简单、最快找到突破口的方式,但当然也可以从别的来源,或是从链上工具的可疑交易等等去挖。
步骤二:丢进区块链工具中
将找到的钱包地址丢进Etherscan、OKLink、Arkham等链上工具,就可以看到这个钱包地址的所有交易记录,包括交易时间、金额、以及发送方和接收方的地址。
由于这起事件已经过了好一阵子,所以可以看到这个钱包地址已经被标记了「Hack」,在Arkham上什至被标记为「Bybit骇客」。
Arkham右下角的清单会显示钱包所有资金的流入流出,为了更快找出相关的资金,可以点选表格上方「来自」旁的三条横线,并输入「Bybit」筛选钱包的资金来源。
之后就可以看到,从Bybit交易所一共有401,346颗以太币(ETH)、90,375颗stETH转入骇客钱包。
stETH指的是「Lido Staked Ether」,是一种加密货币代币,代表在Lido Finance平台上质押的以太币(ETH)。当用户透过Lido质押他们的ETH时,他们会收到等量的stETH作为回报。
随后,从资金流出栏中(或是点选线图中的红线),筛选代币后,可以看到骇客将资金分成多笔10,000颗以太币(ETH)的交易,并分批转移至40个非托管钱包之中。除此之外,共有90,376颗stETH被转移至非托管钱包(0xa4b)中。
如果使用OKLink,同样也可以看到这个以太坊的钱包首次交易时间是2025年02月21日,钱包收到最大笔的交易是401,346颗以太币,且有多笔10,000颗以太币( ETH)的转移纪录。
步骤三:往上下游继续追
如果还想要找到更多线索,接下来就只能循线往前或往后找。因为链上资产最终都还是要换成法币,只要往上下游找,最终就可以找到中心化交易所的地址。不过这段通常就是最复杂、也最麻烦的部分。
例如点进stETH被转移进去的非托管钱包(0xa4b),可以看到骇客透过DODO Exchange、Uniswap、ParaSwap等去中心化交易所,将stETH兑换成以太币。但之后骇客又继续将这些以太币分散到多个钱包中,让原本一大笔的被盗资金,如今被分散到快要50个不同的去中心化钱包之中。
假设往下流追查,虽然链上的终点基本上会是一间可以出金的中心化交易所,但在这之前,骇客势必会想要尽快将这笔不法金流「变得复杂」。不管是透过混币器、跨链转移或是透过不用KYC验证的去中心化交易所,将这些资金兑换成其他加密货币,骇客会竭尽所能地让「原本骇来的这笔资金」不断变形,到最后越来越难证明「追到的这笔钱就是当初骇来的那笔钱」。
如果选择往上流追查,虽然也可以找到中心化交易所入金的纪录,进而追查到「有KYC的人」。但是如果起点是中心化交易所的话,大多时候的金流起点是被害人,比较难有有效的调查切入点。
只要这中间的过程拉得越远、交易越复杂,那么其中的涉及的钱包究竟是参与其中不知情的第三人、被骇客利用的人头户白手套或是骇客本人创建的钱包,也就越难确定。
常见迷思:币流追踪并非万能
在加密货币的世界里,能够读懂区块链上的交易记录,理解资金的基本流向(即「看懂币流」),正逐渐成为一项基础技能,如同在传统金融领域理解银行帐户的收支明细一般。
近年来,随着加密货币市场的蓬勃发展,区块链技术及其应用受到广泛关注,「币流追踪」这个词汇也逐渐走入大众视野。很多人受到新闻报导的影响,对透过区块链追踪犯罪资金、找回被盗资产抱着高度期待,甚至跃跃欲试想要当「链上侦探」抓出犯人。
然而,当涉及到更深层次的分析与追踪,例如厘清复杂的资金网络、识别匿名交易背后的真实意图,甚至在犯罪调查中追踪赃款的去向,「币流追查」便跃升至一个截然不同的专业领域。这不再仅仅是资讯的解读,更需要高度的专业知识、经验、以及特定的工具与技术。
迷思一:币流追踪并非无所不能
事实上,虽然币流追踪可以看到币上的金流移动,但若涉及到洗钱、诈骗等案件,链上数据也只是执法人员调查过程中的一部分,作为一种辅助手段,更重要的是结合其他侦查方法,例如调阅监视器、通联记录等,才能更全面地了解案情,确认嫌犯与诈骗集团的关联。
蔡孟凌强调,币流追踪的重点不仅在于追踪资金,更重要的是如何解释这些数据所代表的意义,这需要具备法律、犯罪侦查等相关背景知识。
迷思二:人人都可上手
另外,当币流追踪上升到案件等级时,更属复杂的专业领域,常常会需要使用专业的付费工具、知识和方法论,并不是像想像中一般,大家都可以在家做币流追踪就可以自救。许多人可能对于链上智慧合约等概念还不熟悉,容易做出错误的判断,甚至导致追踪方向错误。
陈采履分享,以前曾经有当事人来找他帮忙,并且自己已经事先做好链上调查,「他很自信地跟我说『这就是那个犯罪集团的钱包,我很确定钱都在这』,结果你猜那是什么?」陈采履停顿了一下,「结果那是稳定币USDT的智慧合约,而且重点是他不知道那是什么。」
蔡孟凌也认为,若没有相关的经验与背景,单纯从链上数据顺流而下,反而很容易越追越偏,追到与案件无关的人,或是被犯罪集团利用但实际上不知情的受害者。
区块链犯罪调查是一个复杂的系统工程,需要结合链上与链下的调查手段,并仰赖法律、技术等多方面的专业知识。随着犯罪手法的不断演进,即使是相关专业人士,也需要持续学习,才能有效地打击利用加密货币进行的犯罪行为,保护民众的财产安全。
本文链接地址:https://www.wwsww.cn/btbjiaoxue/31930.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
