区块链技术在金融犯罪侦查中扮演双重角色:既是挑战也是机遇。本文将带你深入这一革新性技术的核心,探寻其在资金流追踪中的独特价值。
▾正文
在传统的涉案资金分析过程中,金融机构和监管机构扮演着核心角色,确保资金流动在合法授权的情况下可进行追溯。此外,银行和金融服务商在处理交易时还承担着监督和报告可疑资金活动的责任,从而使犯罪活动能够被及时揭露。
尽管区块链技术具有去中心化的特性,并在全球范围内提供了安全且不可篡改的数据传输和存储能力,但多数情况下,该技术并未设立一个法定意义上的中心化监管实体。在进行转账时,交易的广播和网络中达成的共识验证是完成交易的必要环节。正是由于这种去中心化的特点,为区块链技术带来了监管上的盲点。
在加密货币领域中,账户之间的转账并不依赖于个人的身份信息,而是基于匿名或半匿名的钱包地址。这为犯罪分子利用匿名性转移非法所得、隐匿资金流向提供了可能,从而在传统的流水调查时很难发现收款人的真实身份。
针对这类情况,我们应利用区块链的透明性进行分析,并利用各种分析工具对区块链上的公开交易进行深入挖掘。尽管区块链在用户身份上提供一定的匿名性,但所有交易都是公开透明的,每一笔交易都被永久记录在网络中,并可被任何人查询。
01
区块链基础
区块链可以比作一种分布式账本,副本由每个人保有,通过一系列互相链接的数据块来储存交互信息。每个数据块包含一定数量的交易,并使用哈希算法与前一个块连接,确保后一个块中包含前一个块的哈希值,从而使数据不容易被篡改,也不需要组织机构进行管理。由于每个人都可以计算一条链,那么如何确定谁的链是有效的呢?
共识机制
目前最常用的共识机制包括工作量证明(PoW)和权益证明(PoS)。这两种机制的本质都是通过提高篡改成本来防止区块被轻易篡改。以比特币中的工作量证明为例,为了满足前置为N个0的要求,计算出来的区块哈希值需要满足的条件变得越来越苛刻。目前,要达到在SHA256的16进制结果中出现20位前导0的要求,计算难度极高,需要计算10^21次SHA256哈希值。由于区块链是持续运行的,平均每10分钟产生1个区块,因此需要拥有能在1分钟内计算10^20次SHA256哈希值的硬件设备。同时,由于区块是由全网算力共同发掘的,因此在掌握全球51%以上的算力之前,篡改区块链被认为是不可能实现的任务。
加密货币
虽然不同的区块链上加密货币的实现原理各有差异,它们大体上可以分为两种类型。一种是基于特定区块链发行的合约类系统,另一种则是标记(Tokenize/Color)已有的货币在区块链上进行流通。
以市场占有率较高的TRC20-USDT代币为例,这是在Tron网络上通过智能合约发行的 TRC20 代币。Tether公司在Tron区块链上部署了这个智能合约,负责USDT代币的生成和销毁。当用户进行转账时,实际上并不是直接转移USDT代币本身,而是执行了USDT的Transfer(转账)函数,从而在区块链上更新账本,减少发送者的余额并增加接收者的余额。
因此,此处的USDT的价值是在于社区对发行方背书的信任,大家认为基于特定合约地址(TR7NHqjeKQxGTCi8q8ZY4pL8otSzgjLj6t)发行的USDT等同于美元。这也是社区认为1 USDT可以等价1 USD的根本原因。针对这种合约,若要追踪其转账的具体代币、金额以及目标地址等信息,需要分析交易生成的元数据,并参照合约的源代码来确定合约的确切执行情况。
02
链上基本信息收集与分析
什么是区块链浏览器
区块链浏览器其实类似于一种搜索引擎,他利用各个区块链提供的 API,允许用户查看特定区块链上的交易详情信息(包括元数据)、区块或交易确认情况以及当前链的统计数据等等。
利用区块链浏览器查询交易数据
我们以 TronScan 为例,如下图:
利用区块链浏览器我们可以看到实时的交易信息,它也会将以TRC标准发行的代币进行处理,减少我们对常用加密货币的发行合约的分析工作量,更快地获取我们所需要的数据,我们从最近交易中挑选一个账户进行查看:
从中我们可以看到该地址的实时交易,也包括账户结余、持有代币、发行的合约等等,我们可以根据自己的需要取用对应的模块,这对于交易量较小的账户已经足够了,但是对于交易量过大的,可能需要一些额外的分析工具,例如OKLink、Tronscan分析功能等。
分析交易数据查找代币流向
对于一个交易的原始信息,对于TRC20的标准协议转账,我们可以在方法调用中查看Transfer函数的具体方法调用信息:
transfer方法在这里只使用了两个值,_to和_value,_to 为一个address属性的参数,可以看到Tron网络中特有的41开头长度为21 Bytes的地址,将它进行base58编码之后就是我们常见的地址,同时浏览器的通证转账也帮我们解析了这一个值,那么另外一个_value就是这个和代币转移量了,其为一个int,根据合约规定的粒度来决定它具体转账量,还是以这个交易中的0xbbd9d8为例,将它转为10进制,并按照合约中规定 TRC20-USDT 的粒度为6,即该笔交易转移的 TRC20-USDT 的交易量为12.311000。
03
搜寻交易方
向上下游查找参与的地址
我们以OKLink工具为例:
检索需要分析的地址,默认会把 Top 5 Out 和 Top 5 In 的交易对手地址以图谱的形式整理出来,对有需要的主要来源的地址可以再进行查询资金来源和去向,最后会形成一个交易网络,后续就根据案件的需要进行更具体的资金分析了。
我们可以在工具中或者部分浏览器中查看这个地址的标签,标签中有明确表示该地址的归属交易所或者机构,这个时候我们可以对这类地址进行下一步的分析。
涉及交易所的地址交易
由于大部分交易所是中心化管理的,所以我们可以去要求他们做一定的数据调查,由于涉及删除到敏感信息,我们就简要了解下对于调查返回数据需要注意的点。一般交易所的交易地址都是申请制地址,就是你可以申请一个或者多个地址作为你的收款地址,将指定代币转入这个特定地址中,交易所将会在对应的账户记录资金进项,所以我们对该地址的所有进项资金可以视为对账户持有人的转入请求,将这类地址作为资金上游继续分析。
由于交易所地址的私钥控制权不在用户手中,因此由交易所地址发起的交易不能代表账户持有人的行为。因此,对于交易所的资金输出不能作为资金去向的代表,但我们可以查看调查数据中的转出请求,并将转出地址作为资金下游的继续分析对象。
为了节省链上资金传输产生的手续费,交易所通常会通过内部转账的形式规避手续费。对于内部交易,我们只能通过数据调查中的线索来判断该交易是否为内部交易。其中,该交易记录是否产生了链上可查询到的交易哈希是判断标准之一。此外,交易中是否包含具有个人信息属性的地址,如邮箱、手机号等也可以作为判断依据。我们可以根据内部交易的进项或出项地址作为线索,联系该机构以协助数据调查。
对于大部分案件来说,由于代币最后可能会有变现的需求,对于交易所而言,我们还可以将链上原本匿名的地址对应到人,从而联系到关联的自然人进行一般资金分析。因此,对于调证返回的数据我们可以确定一些地址的归属人,从而让后面的分析更加顺利。
其他信息由于各个机构反馈习惯不一样就不作过多赘述了,所以涉及交易所的地址是匿名区块链地址去匿名的最重要一环。
04
跨链桥
什么是跨链桥
由于不同链之间规范可能都有所区别,发行方也有区别,之前也提到过,一个代币的价值其实是依赖一个可靠的背书的,区块链本身也是。我们把一个链作为一个岛,基于这个链发行的地址、代币以及合约都在这个岛上,那么由于岛和岛之间没有沟通的渠道,那么这个代币其实是无法带到另外一个岛上的。
以下内容我们以基于BSC发行的BEP20-USDT和基于以太坊发行的ERC20-USDT两个合约来说。
跨链桥其实也是一种中心化设施,因为桥本身需要去做一定的维护以及调度,分别在两条链上部署合约,在以太坊上我们接收到请求、传入代币、销毁代币或者保留在以太坊上的合约地址中,通过桥的发行方内部交易或内部通讯,在BSC链创建代币或者从合约中转出代币,至此我们同一个发行方的代币从以太坊到BSC链的通路就有了,这个通路的集合叫做跨链桥。跨链桥不一定需要两方代币必须一致,它可以将A代币转为B代币,所以具体情况需要查看交易的元数据中写的目标链ID、目标币种等等信息。
跨链桥该如何分析资金流向
在转入侧,它会与提供跨链桥的服务的合约进行交易调用,由于很多链都是基于EVM或者说因为他们密钥/地址的计算方式是一致的,在很多链上跨链,不会有目标地址或者说目标地址就是发起地址,只是在不同链上进行处理,所以我们可以借助一些工具去辅助分析代币的跨链情况。
如上图所示,因为BSC和以太坊都是基于EVM,他们所使用的地址计算方式在私钥不变的情况下是一致的,所以通过聚合多条链的查询我们可以看到有一笔交易执行了 cBridge 的跨链桥合约,在 BSC 侧部署的 cBridge 合约发起合约调用,让cBridge合约调用USDT合约,对在BSC链上的目标账户进行了转入。
结语
区块链技术的引入已经为涉案资金分析带来了全新的视角。与传统的金融体系相比,它在带来监管挑战的同时,也提供了独特的透明度。虽然去中心化和匿名性为资金追踪带来了难度,但是每笔交易都公开记录在链上,我们可以通过专业分析深入挖掘和追踪资金流向。这对于打击犯罪和增强金融透明度将起到至关重要的作用。
奇安信集团旗下有北京、上海、西安三家司法鉴定所:北京网神洞鉴科技有限公司司法鉴定所、盘石软件(上海)有限公司计算机司法鉴定所与陕西洞鉴云侦科技有限公司司法鉴定所(筹)。其中,上海所是上海第一家通过 CNAS 认证认可的民营计算机类司法鉴定机构。三所均通过了CMA资质认定,是目前国内少数能够通过自主研发软件进行取证与分析的电子数据司法鉴定机构,具有独立的实验室场所,其中包括:案件受理区、数据恢复区、手机取证区、计算机取证区、屏蔽室、无尘工作间和物证室,并配备多种国内外先进的技术设备检验及辅助设备。经过多年的时间积累和发展,现拥有一批胜任鉴定工作的专业技术人员,以专业的技能和丰富的经验,来开展电子数据司法鉴定工作。开展的鉴定服务范围包括:电子数据司法鉴定、计算机证据固定和获取、手机终端取证与分析、数据恢复、密码破解以及涉及电子设备的民事调查等。
鉴定热线&地址:
010-56509288(北京)
北京市西城区西直门外南路26号院1号-奇安信安全中心B1
021-52658848(上海)
上海市闵行区合川路2555号科技绿洲三期五-3号楼4层
029-86196688(西安)
陕西省西安市经济技术开发区凤城二路1幢经发大厦B座10607室