查看原文
其他

【教程】利用区块链追踪非法交易指南

Brenna Smith 情报分析师 2022-05-19




近年来,比特币等加密货币已被恐怖分子用来开展筹资活动,被专制政府用来颠覆其公民的人权,被GRU特工用来入侵民主党全国委员会以及克林顿竞选团队。

尽管许多人出于合法目的使用虚拟货币,但这项技术对不良分子来说是一个诱人的工具,因为它可以用来帮助规避制裁和金融法规,以及在进行交易时保护自己的身份。

值得庆幸的是,这种不良行为者并不完全是匿名的,原因就在这里。

区块链,一个开源调查员的梦想,减少了加密货币使用方面的匿名性。区块链是一个去中心化的公共账本,包含了某一加密货币的每一笔交易。虽然隐私币和滚轮服务使这一问题变得复杂,但作为一般规则,比特币仍然主导着主流使用,其交易可以被追踪。

在这篇文章中,我希望为OSINT调查员提供一个框架,以追踪区块链上的交易,只要他们有一个他们想要调查的特定地址或交易的日期和金额。

你需要什么和你要做什么:


要跟上这个教程,你唯一需要的工具是一个区块链探索器。我更喜欢Blockchain.com的比特币区块浏览器。

首先,让我们用2018年7月穆勒对12名俄罗斯GRU特工的起诉书来看一个例子。如果你看第22页,你可以看到,大约在2016年2月1日,正好有0.026043个BTC被发送到一个未知地址。这些信息足以让我们找到这个确切的交易,也许可以发现更多关于GRU特工购买的东西和他们购买的地方。


首先,让我们试着找到发生在2016年2月1日的交易。要做到这一点,我们需要拿出我们的区块探索器,将各种区块高度输入到比特币区块探索器。

请记住,自2009年成立以来,已经发生了数以亿计的比特币交易,单个区块可以包含多个交易。因此,找到一个特定的一天的交易,一开始可能是一个猜测的游戏。

在做这种工作时,我通常尝试从高位数字开始。例如,下面是BTC区块链上第100,000个区块的截图。这个区块是在2010年12月29日11:57:43建立的。从那里,我们知道我们可能可以大幅提高区块高度,以达到2016年的交易。


为了节省时间,让我们说我们继续猜测区块的高度,并尝试第400,000次,这让我们到了2016年2月25日。我们现在知道,我们需要稍微降低区块的高度。继续输入不同的区块高度,直到你到达2016年2月1日的第一个区块,也就是396049区块。


操作如下:



现在我们在2016年2月1日的第一个区块上,我们需要查看一整天的所有交易,直到我们找到与0.026043 BTC相匹配的交易。

要做到这一点,请点击396049区块的哈希部分,然后按Ctrl-F查看该区块上的交易是否与0.026043 BTC相匹配。如果没有交易与该金额相匹配,则转到下一个区块并检查该区块的金额。当你这样做的时候,记录哪些交易与0.026043相符,因为可能有多个 "精确 "的比特币发送量。


在你继续搜索相关交易时到达396103区块时不要惊慌。当你滚动点击下一个区块时,你可能注意到两个选项。这只是发生在两个区块在相似的时间产生,产生一个孤儿区块。在这个练习中,只要点击第一个区块的链接就可以继续。没有必要再去研究更多的细节。



继续检查每个区块的金额,直到你到了2016年2月2日的第一个区块。这可能需要一段时间,因为每小时都有许多区块产生。

最终,你会标记出那天的两个区块,其金额大致为0.026043--区块396060和区块396123。正如你在下面的视频中看到的,396123区块有一笔交易,金额正好是0.026043 BTC,而396060区块有一笔交易,金额是0.02604322。 

进一步研究396123区块的交易,在11:13:42,1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR向两个地址发送了两个不同金额的BTC--0.026043BTC到1NZ4MSeYcDKFiPRt8h7VK6XMhShwzhCzCp和4.54325747 BTC到1AK79g9gpvZ8jn2C9MsWQpijMFA5JaTdqP(点击放大以下图片)。



由于1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR向1NZ4MSeYcDKFiPRt8h7VK6XMhShwzhCzCp发送了确切的金额,我认为这个地址比区块396060中的其他交易更可能与俄罗斯黑客有关。


为了验证这是穆勒起诉书中提到的交易,我在1月31日和2月2日重复了这些相同的步骤,以确保没有其他交易导致正好0.026043 BTC的转移。由于没有其他人这样做,我觉得非常有信心,1LQv8aKtQoiY5M5zkaG8RWL7LMwNzVaVqR这个地址是GRU特工在2016年使用的。

现在我们已经走过了使用比特币区块探索器追踪一个比特币地址所需的步骤,让我们看看你们是否可以复制这些步骤,从穆勒的第二份起诉书中找到另一个与GRU特工有关的地址。


基本上,Tinfoil Snowman建议,通过利用谷歌索引,你可以简单地通过谷歌查找你正在寻找的BTC的确切数额,以及YYY-MM-DD格式的日期来寻找交易。通过使用这种替代方法,你可以颠覆上面概述的许多繁琐的过程。下面我添加了一个例子,说明如何使用这一技术与穆勒的第一份起诉书。




本期编辑:BB

文章来源于网络,如有侵权请联系管理员删除

加入知识星球,获取海量珍贵情报资料!听取前沿学术讲座!获得开源工具权限!




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存