链上追踪：波场洗钱手法普及

作者：Lisa@慢雾反洗钱团队

今天继续我们的链上跟踪科学系列。

众所周知，在BTC上，可以通过Wasabi钱包混币，在以太坊上，可以通过Tornado.Cash等方式混币，但是在TRON上，似乎没有可以混币的工具。 那么黑客是如何洗钱的呢？ 今天就以一个真实的受害者为例，看看这位黑客是如何在波场上洗钱的。

基础知识

TRON 是一个基于区块链的去中心化平台，旨在通过分布式存储技术构建一个免费的全球数字内容娱乐系统，让数字内容的共享变得简单且具有成本效益。 它由一家名为 Tron Foundation 的新加坡非营利组织于 2017 年 9 月创立，由首席执行官孙宇晨领导。 TRX是TRON上的基本记账单位，也是所有TRC标准代币的天然桥梁代币，贯穿于整个波场生态。 2019年，泰达宣布在波场TRON上发行基于TRC-20协议的USDT，TRC20-USDT由此诞生。

案例分析

找到我们的受害者因为下载了一个非官方的钱包APP导入私钥被盗，损失了5,326,747 USDT，超过530万美元。

黑客地址：

TDs3USWcG5ua4jkGNMGgNZrXrPgw8UMMCt

借助慢雾MistTrack反洗钱追踪系统，我们首先对地址进行了总体特征分析。

从显示结果来看，黑客的交易行为不仅是转账，还有互换。 看来黑客们对swap情有独钟。 同时usdt怎么盗币，根据对黑客交易时间的分析，我们也可以对黑客的活跃时间段做出一些推断。

第一部分

下面对资金进行深入分析：根据慢雾MistTrack反洗钱追踪系统分析usdt怎么盗币，黑客将盗取的USDT转移到6个地址，并使用JustSwap（现已更名为SunSwap）进行兑换。

其中，黑客地址直接用73USDT兑换了684.76TRX。

让我们从六个地址之一的 TGF...TA7 开始。 可以发现，该地址通过JustSwap将总计2,663,373.5 USDT兑换成TRX后，先后6次转入同一地址TUe...F7g。

其他5个地址也是如此，同理，兑换后转入同一个地址，如下图：

第二部分

继续追踪上图中新的六个地址（最左边和最右边）。

先看六个地址之一的TAn...Fe7：黑客只转了75个TRX到地址TJa...5Zq，最后转到地址TQ8...Cv7。 目前，57.4 TRX 保持不变。

剩余的5,064,327.58 TRX转入JustSwap，兑换526,850.6 USDT，转出至地址TJa…5Zq。

然后，地址TJa...5Zq将USDT转入与上述TRX相同的地址TQ8...Cv7。 并且地址 TQ8...Cv7 将 USDT 转移到两个新地址（最终不是 JustSwap）。

对于这两个新地址，我们追查了一层，找到了一个“大地址”（资金量大+交易记录多）。 经过筛选，我们发现多笔交易被转至Binance/Gateio/MEXC/ZB/Huobi/OKX，根据经验和行为分析，该地址与专业洗钱团伙非常相似。

第三部分

在分析了第二部分中的五个地址后，我认为黑客使用相同的方法洗币。 结果，最后一个地址TUe...F7g，黑客稍微改变了方法。

此时黑客并没有像之前那样多次将TRX兑换成USDT并转入同一地址，而是多次兑换成USDT并转入六个不同的地址。

但是，更改不会更改药物。 以其中一个接收地址TRo...2EN为例：该地址将USDT转换为TRX，转换两次转入同一地址TXQ...oZm。 是不是和上面的操作类似？

然后地址TXQ...oZm用TRX换取USDT转入TEC...41q（对，又是JustSwap），最后将USDT转入“大地址”。 这同样适用于其他地址。

至此，黑客将被盗的USDT来回兑换，避免被追踪。 虽然黑客绞尽脑汁，但我们还是可以通过涉及的交易所地址追查到黑客账户的来源，这里不再赘述。

总结

这篇洗币手法文章主要讲解黑客在波场上的一种洗钱手法，也是比较常见的一种手法，就是通过JustSwap（现在的SunSwap）不断来回兑换USDT和TRX来迷惑追踪。 但总有落雁留痕的痕迹。

但是如果你想快速整合数据并可视化结果，你必须使用工具。 MistTrack积累了超过2亿个地址标签，可以识别全球主流交易平台的各种钱包地址，包括数千个地址实体，超过10万条威胁情报数据，超过9000万个恶意地址。 为分析用户、个人等地址行为、追踪溯源提供强有力的技术支持，在反洗钱分析评估中发挥着至关重要的作用。

MistTrack() 近期上线，欢迎免费注册使用。