我的链上分析师成长笔记:从数据追踪到案件还原

《虚拟货币犯罪案件立体化侦查方法论》

版本:1.0

创建日期:2025年8月25日

参考来源:

https://github.com/slowmist/Crypto-Asset-Tracing-Handbook

第一章:核心理念与原则

1.1 侦查哲学

本方法论旨在建立一套以情报为先导,技术为核心,证据为目标的标准化作业流程。侦查员的核心任务不仅是追踪资金,更是揭示资金流动背后的犯罪模式、组织架构与关键人物。我们必须跳出单一地址的局限,将链上数据、链下情报与行为分析相结合,形成完整的证据链条。

1.2 基本原则

  • 大胆假设,小心求证: 积极运用逻辑推理建立假设,但所有结论必须基于可验证的数据。

  • 由表及里,由点到面: 从单个线索地址入手,逐步渗透至项目核心,最终绘制出整个犯罪网络。

  • 数据关联,行为画像: 坚信“万物皆有关联”,善用Gas费、时间戳、行为模式等弱特征,为匿名地址精准画像。

  • 结果导向,服务实战: 所有的分析工作最终都必须指向可供执法部门使用的、清晰明确的调证线索和法律证据。

第二章:第一阶段 - 研判(Assessment & Profiling)

目标:定义战场,从模糊线索中勾勒出犯罪项目的基本轮廓,明确主攻方向。

2.1 线索解构与案件定性

  1. 线索输入: 整理所有原始材料,包括受害者陈述、涉案网址/App、社交群组、已知地址等。

  2. 时间线梳理: 标注关键时间节点(项目启动、重点宣传、功能变更、跑路/失联)。

  3. 模式识别与定性:

    • 分析其宣传话术、奖金制度、业务逻辑,快速判断其犯罪类型(传销、赌博、涉黄、欺诈等)。

    • 建立初步假设,例如:“这是一个典型的、基于TRON网络的USDT传销资金盘”。

2.2 链下情报搜集(OSINT)行动清单

  1. 搜索引擎侦查 (Google Hacking):

    • 精准搜索地址: "0x123...abc",查询是否被公开标记或讨论。

    • 挖掘负面舆情: "项目名" + "scam" | "rugpull" | "骗局"

    • 寻找关联文档: filetype:pdf "项目名" whitepaper

  2. 社交媒体渗透:

    • Twitter/X: 搜索项目名、代币符号,重点分析官方账号、评论区、铁杆粉丝,寻找早期地址和团队线索。

    • Telegram/Discord (核心情报区):

      • 角色扮演: 以“投资者”身份加入社群。

      • 信息套取: 在群内公开询问或私聊管理员,获取官方充值地址、合约地址、客服账号等权威信息。

      • 情报搜集: 记录管理员、核心成员的ID和发言,截图保存关键对话。

    • 视频平台侦查 (抖音/快手/小红书等):

      • 搜索项目名,寻找“代理商”、“讲师”的宣传视频。

      • 目的: 分析其最新的宣传话术、寻找线下活动痕迹、顺藤摸瓜找到其微信/QQ群。

第三章:第二阶段 - 穿透(Penetration & Analysis)

目标:撕开技术与资金的缺口,完成从“链下行为”到“链上实体”的映射。

3.1 技术穿透:智能合约审计

  1. 定位核心合约: 通过情报或链上交互,找到项目资金池或逻辑主合约。

  2. 审查合约代码:

    • 利用区块链浏览器的“Contract”功能,分析其开源代码。

    • 寻找后门/作恶证据:

      • 所有者权限 (Owner Privileges): 是否存在withdraw()migrate()等允许项目方单方面卷走资金的函数?

      • 可操控参数: 手续费率、分红比例等核心参数是否可由外部地址随意修改?

    • 目的: 从代码层面固化犯罪团伙的“非法占有”之主观故意。

3.2 地址画像与初步侦察清单

  1. 网络研判 (Network Identification):

    • 根据地址格式初步判断所属公链。

    • 必须使用Cointrace、Blockscan等多链浏览器,确认目标是否在多个网络上活动。

  2. 快速画像 (10-Minute Profile):

    • 标签优先: 查看Arkham, Bitrace等工具是否已有现成标签。

    • 身份判断: 是EOA(个人钱包)还是Contract(合约)?

    • 资产快照: 余额、主要持仓币种是什么?

    • 行为评估: 创建时间、交易总笔数、总流水额是多少?

    • 关键线索 - Gas费来源: 该地址的“第一口饭”从哪里来?后续“加油”是否来自固定地址?

第四章:第三阶段 - 关联(Correlation & Expansion)

目标:由点及线,由线及面,绘制出犯罪团伙完整的资金网络和地址图谱。

4.1 资金链路追踪

  1. 筛选关键交易: 在分析工具中,按金额降序排列,优先分析大额进出交易。

  2. 识别地址角色:

    • 归集地址: 呈“多进单出”或“多进多出”形态,资金停留时间短。

    • 中间/洗钱地址: 交易频繁、流水巨大,通常是归集地址的下游。

    • 沉淀/金库地址: 呈“多进少出”形态,大量资金在此停留。

    • 分发/派息地址: 呈“单进多出”形态,用于向团伙成员或下线分赃。

4.2 团伙地址关联技术

  1. 核心技术 - Gas费溯源:

    • 操作: 重点分析所有可疑地址的Gas费供给方。

    • 判定: 若多个地址的Gas费在相近时间段内由同一地址提供,则可高概率判定为同一团伙控制。这是最可靠的关联手段。

  2. 辅助技术:

    • 行为模式关联: 多个地址是否总是在相似时间窗口活动?是否都与同一个特定合约交互?

    • UTXO关联 (BTC): 追踪“找零地址”链条(Peeling Chain)。

第五章:第四阶段 - 终结(Termination & Attribution)

目标:锁定资金最终流向,将链上匿名地址与链下可追溯实体进行关联。

5.1 锁定出金渠道

  1. 交易所追踪 (最高优先级):

    • 目标: 追踪资金是否流入中心化交易所的个人充值地址

    • 行动: 一旦确认,记录该交易所名称、目标地址、交易哈希(TxID)、金额和时间,形成完整的调证请求。

  2. OTC商户识别:

    • 寻找与团伙地址有长期、大额、稳定币(USDT等)交易的对手方,这些地址很可能是提供出金服务的OTC商户。

5.2 涉案价值量化

  1. 核心数据: 精确统计流入项目方(资金池、核心地址)的总资金额。

  2. 辅助数据: 统计受害地址数量、当前团伙控制的总资产余额。

第六章:第五阶段 - 归档(Documentation & Delivery)

目标:将复杂的分析过程,转化为清晰、严谨、具有法律效力的证据报告。

6.1 可视化呈现

  • 要求: 使用工具内置的可视化功能,绘制简洁明了的资金流向图。

  • 标注: 在图上清晰标注出“受害者地址群”、“资金池合约”、“核心洗钱地址”、“团伙金库”、“关键调证地址(交易所)”等角色。

6.2 分析报告撰写标准

  • 结构模板:

    1. 案件摘要 (Executive Summary): 结论先行,用三百字说清案件性质、涉案金额、核心发现。

    2. 背景与情报分析: 阐述玩法模式、链下情报搜集过程。

    3. 核心技术分析: (若有)合约后门等技术证据。

    4. 资金流向分析: 附上可视化图表,并对关键路径进行文字说明。

    5. 团伙地址分析: 展示通过Gas关联等手段识别出的团伙地址清单。

    6. 调证建议清单: 清晰列出需要向哪些实体(交易所)调取哪些地址的KYC信息。

    7. 涉案金额统计: 给出明确的量化数据。

    8. 附录: 附上所有关键交易的哈希列表,确保所有结论可回溯、可验证。