Outline #
基础概念 #
- 主流公链和币种
- [[Bitcoin]]
- [[Ethereum]]
- [[Tron]]
- [[BNB Chain]]
- [[Polygon]]
- [[Solana]]
- [[Avalanche]]
- [[Optimism]]
- [[Arbitrum]]
- [[USDT]]
- [[USDC]]
- 追踪的核心概念
- 钱包
- 热钱包:长期在线,私钥存储在网络设备中,用于频繁操作,如手机钱包(imToken)、浏览器插件钱包(MetaMask)等。
- 冷钱包:离线存储私钥,如 Ledger、Trezor 等硬件钱包,用于大额资产存储、长期存储。
- 区块链地址
- 充币地址:用户向交易所充值时使用的地址,一般为交易所控制的地址,可以关联用户。
- 热钱包地址:交易所用于日常收发的活跃地址,高频使用,与多地址交互。
- 冷钱包地址:大额资产长期存储地址,交易次数少但金额大。
- 普通地址:个人控制的钱包地址,无明显标签。
- 合约地址:部署的智能合约地址,不能直接发起交易,这并不代表一个人或钱包,而是指一个部署在链上的智能合约。合约可以接收资产、分发资金、进行逻辑判断,比如实现质押、借贷或交易功能。
- 多签地址:需多个私钥联合签名,常用于团队或机构托管资产。
- 黑洞地址:丢了私钥,或是无法确定私钥的地址,常用于销毁或表面伪销毁资产,如全 0 地址(0x0000000000000000000000000000000000000000)。
- 交易结构与元素
- 区块高度:区块在链中的位置,可用于判断交易先后顺序。
- 交易哈希(Hash):每笔交易的唯一标识符(ID),用于追踪每一笔链上转账或合约调用。这就像是交易的身份证编号,只要你有哈希,就可以在区块链浏览器中查询到这笔交易的详细信息。
- Gas:理解交易的“费用”也很重要,每次转账、交互都会消耗链上的 Gas(燃料),这不仅是区块打包的激励机制,也能帮助我们判断交易的时间、优先级,甚至分析出是由哪个地址或平台提供的费用(Gas 来源)。
- 混币:使用 Mixer 服务或协议(如 Tornado Cash、Wasabi)来混淆交易来源与目的,提升隐私性。
- 兑换:DEX 上的 Swap 操作,如 Uniswap、PancakeSwap,资产可能在兑换过程中变换形式。
- 跨链:在两条链之间进行交换,需结合跨链桥合约识别发送与接收;常用于清洗和资产分散。
- Input Data:智能合约调用时携带的参数信息,可解码为 Swap 路径、接收人等关键线索,常通过浏览器查看。
- Event Logs(事件日志):合约执行过程中的关键操作,可用来识别 Token 转账、兑换、存 取等行为。
- 平台类型
- 中心化平台(CEX):用户需将资产充值至平台账户,由平台托管私钥,可协助冻结资产,提 供法币出入口,但其地址归属明确、具备身份绑定,如 Binance、OKX 等。
- 去中心化平台(DEX):运行在链上,用户自持私钥,交易由合约完成,发生在用户钱包之间 ,几乎没有身份验证环节,攻击者常用来兑换资产,无法冻结但一般可追踪路径,如 Uniswap、Curve 等。
- 跨链桥(Bridge):实现跨链转移资产,攻击者常用于逃避追踪或将资产跨链洗钱。如 THORChain、Wormhole 等。
- 嵌套平台:第三方服务使用大型 CEX 地址托管资产,实际托管平台为 Binance 等,路径需 二次解析,常用于掩盖归属。
- UTXO 与找零:在比特币网络中,每笔交易的资金来源和去向,都基于一种 UTXO(未花费交易输出,Unspent Transaction Output)模型。
- 区块链浏览器 |Bitcoin|https://www.blockchain.com/explorer https://mempool.space| |Ethereum|https://etherscan.io| |TRON|https://tronscan.org| |BNB Chain|https://bscscan.com| |Polygon|https://polygonscan.com| |Solana|https://solscan.io/| |Avalanche|https://snowtrace.io/| |Optimism|https://optimistic.etherscan.io| |Arbitrum|https://arbiscan.io| |聚合浏览器|https://www.oklink.com/|
- 钱包
追踪工具 #
MistTrack #
在众多 工具中,由慢雾(SlowMist) 自主研发的链上分析与反洗钱追踪工具 MistTrack 是我们最常使用也 最为推荐的。如果说区块链浏览器是链上数据的“放大镜”,那 MistTrack 更像是一个“链上情报分 析台” —— 它不仅能总结数据,更能帮你解读数据。
社区工具 #
知名加密货币调查员 ZachXBT 曾公开分享了其在链上分析与开源情报(OSINT)调查中的常用工 具: ● Cielo - 钱包追踪(EVM、Bitcoin、Solana、TRON 等) ● TRM - 为地址 / 交易创建图表 ● MetaSuites - Chrome 扩展程序,可在区块浏览器上添加额外数据 ● OSINT Industries - 邮箱 / 用户名 / 电话查询 ● LeakPeek - 数据库查询 ● Snusbase - 数据库查询 ● Intelx - 数据库查询 ● Spur - IP 查询 ● Cavalier (Hudson Rock) - 信息窃取者(Infostealer)查询 ● Impersonator - Chrome 扩展程序,用于伪造 dApp 登录 ● MetaSleuth - 类似于 TRM,但面向普通用户 ● Arkham - 多链区块浏览器,提供实体标签、创建图表和告警功能 Obsidian - 创建流程图 / 图表 ● Wayback Machine - 存档网页 ● Archive Today - 存档网页 ● Etherscan / Solscan - EVM / Solana 区块浏览器 ● Blockchair - Bitcoin 区块浏览器 ● Range - CCTP 跨链桥浏览器 ● Pulsy - 跨链桥浏览器聚合器 ● Socketscan - EVM 跨链桥浏览器 ● Dune - 查询区块链数据的分析平台 ● Mugetsu - X / Twitter 用户名历史记录和 meme 币查询 ● TelegramDB Search Bot - 基础 Telegram OSINT 查询 ● Discord[.]ID - 基础 Discord 账户信息查询 ● CryptoTaxCalculator - 追踪地址的 PNL(盈亏,Profit and Loss )
常见的资金流动模式 #
- 剥离链(Peel Chain)
- 一对多分发
- 多跳转移
- 混币器使用:常用协议包括 Tornado Cash、Wasabi 等
- 跨链桥跳转
- 多对一归集
- P2P / OTC
- OTC(Over-The-Counter)
被盗了怎么办 #
[[区块链黑暗森林自救手册]] “被黑是迟早的” [[Radiant Capital]]
- 止损优先
- 保护现场
- 进行初步分析
- 联系专业机构
- 尽早报案与法律协助
- 持续跟进与画像构建
- 可申请冻结的 Token
跨链桥追踪分析 #
主流的跨链桥类型 #
去中心化验证类 特点:不依赖中心化实体,验证对方链的状态通常使用轻客户端(Light Client)或零知识证 明;安全性与目标链保持一致,抗攻击能力强。 ● 代表项目:LayerZero、zkBridge ● 风险:复杂度高,验证成本较大,对性能要求高。
中继器 / 观察者类 ● 特点:一组第三方节点观察链上事件并中继数据到目标链;比完全去中心化轻量,但存在 信任假设。 ● 代表项目:Wormhole、deBridge、Axelar ● 风险:安全性依赖中继节点的数量和诚实度,存在少数节点作恶的可能。
多签 / 托管类 ● 特点:用户将资产锁定在源链智能合约中,由一组多签地址或托管方确认后,在目标链铸 造代表资产;结构较简单、部署灵活。 ● 代表项目:Multichain、Binance Bridge ● 风险:明显的信任问题,多签密钥一旦泄露将导致全部资产被盗,过去多起跨链桥被黑事 件(如 Ronin、Harmony)都属于此类。
流动性池类 ● 特点:不锁定真实资产,而是依赖双边链上准备金池进行兑换,类似 DEX 的 AMM 模型;跨 链行为本质是“兑换”,而非真正资产搬运。 ● 代表项目:Hop Protocol、THORChain ● 风险:依赖流动性规模,容易因池子枯竭造成滑点或无法兑换;AMM 价格波动可能引发套 利或损失。
原生跨链 ● 特点:由底层区块链官方或核心开发团队直接维护,常见于 L1 与其 L2 / 侧链之间;安全性 与协议层绑定,通常最可靠。 ● 代表项目:Arbitrum Bridge、Polygon PoS Bridge、Near Rainbow Bridge ● 风险:技术问题或升级失败会导致桥暂时无法使用;通常较慢,不适用于高频交易。
Bridge 分析 #
在加密资产追踪中,“跨链”已成为资金清洗的标准动作之一,但跨链桥并非完全“黑箱”。我们仍可 以基于以下几个方式进行追踪:
方式一 跨链桥浏览器
| Solana | Wormhole | https://wormholescan.io |
| Solana | Mayan | https://explorer.mayan.finance |
| EVM | Symbiosis | https://explorer.symbiosis.finance/tra nsactions |
| EVM | Synapse | https://explorer.synapseprotocol.com |
| EVM / BTC | Chainflip | https://scan.chainflip.io/ |
| EVM | Socket | https://www.socketscan.io/ |
| EVM / TRON | Bridgers / SwftSwap | https://explorer.bridgers.xyz/ https://explorer.allchainbridge.com/ |
| EVM | Rango | https://explorer.rango.exchange |
| MultiChain | THORChain | https://viewblock.io/thorchain/ |
| EVM | PolyNetwork | https://explorer.poly.network |
| EVM | Wanchain | https://www.wanscan.org |
| EVM / Solana | LI.FI | https://scan.li.fi |
| EVM / Solana | deBridge | https://app.debridge.finance/explorer |
| EVM | Stargate | https://layerzeroscan.com |
| EVM | Layerswap | https://layerswap.io/explorer |
| Circle CCTP Bridge | https://usdc.range.org/usdc | |
| CowSwap | https://explorer.cow.fi |
方式二 区块链浏览器查看解析