[Coinbase] 第1 部分:區塊鏈分析更像是一門藝術而非科學


作者:Heidi Wilder,Coinbase 特別調查組高級助理

1*TOxMuouHSSL3wlpS2iBmqw.jpeg.webp

介紹

比特幣和許多其他加密貨幣通常被稱為假名。每個人都可以查看公共分類賬上的記錄,但不一定知道每個地址或交易的幕後黑手。但是在實踐中假名是什麼樣的呢?如何跟踪加密貨幣?你真的可以揭露區塊鏈上的某個人嗎?讓我們來了解一下。

區塊鏈的公共性質允許一定程度的預測分析,使研究人員能夠將地址和交易與實體,有時是個人聯繫起來。任何人都可以查看區塊鏈,但不同之處在於對這些公共數據的準確解釋,以及與外部收集的其他類型信息的證實。一旦合併,這些數據就可以用於區塊鏈分析。

區塊鏈分析在許多新興領域中被廣泛用於市場情報、趨勢分析和調查。區塊鏈分析的主要目標是歸因——將特定資產和事件與特定實體甚至個人聯繫起來。

然而,歸屬所有權往往是微妙的,因為外部觀察者只能根據證據的可用性和質量等因素來推斷它。證據是指證明地址確實屬於個人或實體的證據。除非你自己擁有地址,否則很難絕對確定地址歸誰所有。這就是為什麼將區塊鏈分析視為一門藝術而不是科學更合適的原因。

讓我們了解區塊鏈分析的基礎知識,並了解為什麼歸因通常比看起來更複雜。

歸因基礎

你能說出這個地址屬於哪個實體嗎:

1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ?

是交易所嗎?這是一個暗網市場嗎?或者可能是一個私人(也稱為非託管)錢包?要回答這個問題,我們需要挖礦一些基本事實。

1. 基本事實證據

尋找真相通常從簡單的谷歌搜索或像BitcoinAbuse.com 這樣的眾包網站開始:

0*SN0HAIP00JBON87U.png.webp

任何人都可以使用BitcoinAbuse.com 等網站匿名報告與可疑活動相關的BTC 地址。可悲的是,此類信息的可靠性可能非常低。根據區塊鏈.com,我們感興趣的地址收到了超過767 個比特幣。錢包Explorer.com 暗示此地址與大型離岸加密貨幣交易所相關聯,商業區塊鏈分析工具證實了這一點。

事實上,商業區塊鏈分析工具將此地址識別為屬於大型離岸加密貨幣交易所。

那麼活動的性質呢?交易所用戶是否涉及勒索軟件?

進一步的研究將此地址連接到一個名為Coinguru.pw 的交易所器:

0*5-GKyT-loWe3kO_O.png.webp

Coinguru 允許用戶在各種加密貨幣之間進行交易所,只提供一個電子郵件地址。

此時你可能會問自己:那麼這個地址屬於誰?

BitcoinAbuse 人群報告的勒索軟件運營商?大型離岸加密貨幣交易所?科因古魯? …上述所有的?

嗯,答案很複雜。

我們擁有Coinguru 使用的1JxXMEbYX6juuEK7QPe6CxGXywQ91ZB5mZ 的第一手證據,Coinguru 是一種在大型離岸加密貨幣交易所運營賬戶的交易所服務。像Coinguru 這樣的交易所經常使用更大的平台基礎設施來降低成本並獲得流動性。我們將這些稱為嵌套服務。這些也迎合了可能不想麻煩在交易所創建自己的帳戶的用戶。事實上,一些不法分子可能會使用這些服務來套現非法資金。

出於標記目的,可以說這是一個交易所擁有的地址。如果調查勒索軟件相關交易的監管機構或執法機構決定詢問詳細信息,加密貨幣交易所會將其轉介給Coinguru,後者最有能力提供有關特定交易的進一步信息。

2. 證據質量和證明標準

證據的質量可能會有所不同,區塊鏈分析也不例外。有時你可能會偶然發現“確鑿證據”,但你更有可能需要花時間來證實不完整、間接、支離破碎或直截了當的誤導性證據。然而,即使是最弱的證據也可以暗示其背後的特定活動或實體。

正如我們已經看到的那樣,BitcoinAbuse 等群眾報告的來源處於可靠性階梯的底部。並不是說它們應該完全打折,但最好直接從源頭收集導致加密貨幣地址歸屬的證據。在交易所服務的情況下,來源將是他們顯示存款地址的網站。

最終歸因來自與服務交互的能力,從而使此類證據獲得最高的置信度得分。但是,這通常是被禁止的,尤其是在調查恐怖資助(TF) 等活動時。在這種情況下,研究轉向開源智能(OSINT) 領域。可以從聚合網站、在線論壇、聊天組、移動通信平台、Tor 網絡上的隱藏域以及第三方供應商以自動方式抓取的信息中學到很多東西。但如果沒有適當的調查工具,即使是最好的證據也無濟於事。

3. 消除錯誤歸因

區塊鏈調查工具包括區塊鏈分析軟件、私有和開源數據庫、搜索引擎等。最好的調查實踐是結合這些工具的組合,包括商用軟件,並使用獨立來源證實證據。然而,有時這些來源可能會提供相互矛盾的信息。

例如,考慮這個地址:1N9SxKeNvFoBFuFKEDU8yFCwPwoeHqgmhu。

想像一下,一名調查員收到了將這個地址與兒童性虐待材料(CSAM) 的銷售聯繫起來的情報。此地址的歸屬將取決於你諮詢的區塊鏈分析工具:有些根本沒有標記,而另一些則將其歸因於商家服務。開源研究證實,這項特定服務允許用戶上傳文件並將其出售為各種加密貨幣。上述地址是為每個用戶生成的,並且都與不同類型的活動相關聯,具體取決於單個用戶購買的內容。

根據打擊CSAM 分發的非營利組織Internet Watch基金(IWF) 的說法,雖然向該商家服務的一些上傳是良性的,但有些被認定為非法。據報導,同樣的商家服務也被用於勒索軟件解密密鑰上傳。那麼,感興趣的地址是否可以同時屬於非法供應商和商家服務?是的。

在區塊鏈分析工具中將此服務歸因的正確方法是獲取與該服務關聯的所有已知地址並相應地標記它們。然後,作為調查個別地址及其相關活動的結果,應根據記錄的調查結果應用特定標籤。將整個服務標記為非法將是一種錯誤歸因。它可能會對依賴區塊鏈分析數據的工具和服務產生負面影響,例如交易監控系統或執法傳票,從而導致誤報警報和錯誤線索增加。

4.未知的未知數

早在2019 年10 月,一篇中型文章就發表了一個華麗的標題——“巨大的以太坊混合器”。一位俄羅斯數據科學家分析了2017 年2 月至9 月之間的ETH 流動,聲稱“……佔以太坊總交易價值的68% [is] 由一個系統控制……資金在一小時內來回,地址不再使用。 ” 研究人員花費了大量精力分析“混合器”的行為、其交易模式以及隨著時間的推移在整個以太坊中的總交易份額。 這篇文章的中心是這張圖:

0*kuuUYo-hxDbKeiK2.png.webp

請注意當時大多數大型交易所是如何存在的:Kraken、Poloniex、Bitfinex 等。你能猜出哪些是缺失的嗎?

希望在這一點上,外部觀察者不可能獲得全貌或聲稱對歸因有100% 的信心,這一點相當明顯。請記住,當涉及到區塊鏈時,除了你控制的地址之外,每個人都是外部觀察者。

請繼續關注第二部分,我們將深入探討區塊鏈分析如何啟發和混淆的示例。

1648503022_447_stat

第1 部分:區塊鏈分析更像是一門藝術而不是科學,最初發表在Medium 上的Coinbase 博客上,人們通過突出和回應這個故事來繼續對話。

>> 在Coinbase 上查看

加入我們的電報

在推特上關注我們

在Facebook 上關注我們

資訊來源:由0x資訊編譯自AZCOINNEWS。版權歸作者Coinbase News所有,未經許可,不得轉載

Total
0
Shares
Related Posts