# 我的链上分析师成长笔记:从数据追踪到案件还原 By [Axhan](https://paragraph.com/@axhan) · 2025-08-25 --- **《虚拟货币犯罪案件立体化侦查方法论》** ---------------------- 版本:1.0 创建日期:2025年8月25日 参考来源: [https://github.com/slowmist/Crypto-Asset-Tracing-Handbook](https://github.com/slowmist/Crypto-Asset-Tracing-Handbook) ### **第一章:核心理念与原则** 1.1 侦查哲学 本方法论旨在建立一套以情报为先导,技术为核心,证据为目标的标准化作业流程。侦查员的核心任务不仅是追踪资金,更是揭示资金流动背后的犯罪模式、组织架构与关键人物。我们必须跳出单一地址的局限,将链上数据、链下情报与行为分析相结合,形成完整的证据链条。 **1.2 基本原则** * **大胆假设,小心求证:** 积极运用逻辑推理建立假设,但所有结论必须基于可验证的数据。 * **由表及里,由点到面:** 从单个线索地址入手,逐步渗透至项目核心,最终绘制出整个犯罪网络。 * **数据关联,行为画像:** 坚信“万物皆有关联”,善用Gas费、时间戳、行为模式等弱特征,为匿名地址精准画像。 * **结果导向,服务实战:** 所有的分析工作最终都必须指向可供执法部门使用的、清晰明确的调证线索和法律证据。 * * * ### **第二章:第一阶段 - 研判(Assessment & Profiling)** **目标:定义战场,从模糊线索中勾勒出犯罪项目的基本轮廓,明确主攻方向。** **2.1 线索解构与案件定性** 1. **线索输入:** 整理所有原始材料,包括受害者陈述、涉案网址/App、社交群组、已知地址等。 2. **时间线梳理:** 标注关键时间节点(项目启动、重点宣传、功能变更、跑路/失联)。 3. **模式识别与定性:** * 分析其宣传话术、奖金制度、业务逻辑,快速判断其犯罪类型(传销、赌博、涉黄、欺诈等)。 * 建立初步假设,例如:“这是一个典型的、基于TRON网络的USDT传销资金盘”。 **2.2 链下情报搜集(OSINT)行动清单** 1. **搜索引擎侦查 (Google Hacking):** * **精准搜索地址:** `"0x123...abc"`,查询是否被公开标记或讨论。 * **挖掘负面舆情:** `"项目名" + "scam" | "rugpull" | "骗局"`。 * **寻找关联文档:** `filetype:pdf "项目名" whitepaper`。 2. **社交媒体渗透:** * **Twitter/X:** 搜索项目名、代币符号,重点分析官方账号、评论区、铁杆粉丝,寻找早期地址和团队线索。 * **Telegram/Discord (核心情报区):** * **角色扮演:** 以“投资者”身份加入社群。 * **信息套取:** 在群内公开询问或私聊管理员,获取**官方充值地址、合约地址、客服账号**等权威信息。 * **情报搜集:** 记录管理员、核心成员的ID和发言,截图保存关键对话。 * **视频平台侦查 (抖音/快手/小红书等):** * 搜索项目名,寻找“代理商”、“讲师”的宣传视频。 * **目的:** 分析其最新的宣传话术、寻找线下活动痕迹、顺藤摸瓜找到其微信/QQ群。 * * * ### **第三章:第二阶段 - 穿透(Penetration & Analysis)** **目标:撕开技术与资金的缺口,完成从“链下行为”到“链上实体”的映射。** **3.1 技术穿透:智能合约审计** 1. **定位核心合约:** 通过情报或链上交互,找到项目资金池或逻辑主合约。 2. **审查合约代码:** * 利用区块链浏览器的“Contract”功能,分析其开源代码。 * **寻找后门/作恶证据:** * **所有者权限 (Owner Privileges):** 是否存在`withdraw()`、`migrate()`等允许项目方单方面卷走资金的函数? * **可操控参数:** 手续费率、分红比例等核心参数是否可由外部地址随意修改? * **目的:** 从代码层面固化犯罪团伙的“非法占有”之主观故意。 **3.2 地址画像与初步侦察清单** 1. **网络研判 (Network Identification):** * 根据地址格式初步判断所属公链。 * **必须使用**Cointrace、Blockscan等多链浏览器,确认目标是否在多个网络上活动。 2. **快速画像 (10-Minute Profile):** * **标签优先:** 查看Arkham, Bitrace等工具是否已有现成标签。 * **身份判断:** 是EOA(个人钱包)还是Contract(合约)? * **资产快照:** 余额、主要持仓币种是什么? * **行为评估:** 创建时间、交易总笔数、总流水额是多少? * **关键线索 - Gas费来源:** 该地址的“第一口饭”从哪里来?后续“加油”是否来自固定地址? * * * ### **第四章:第三阶段 - 关联(Correlation & Expansion)** **目标:由点及线,由线及面,绘制出犯罪团伙完整的资金网络和地址图谱。** **4.1 资金链路追踪** 1. **筛选关键交易:** 在分析工具中,按金额**降序排列**,优先分析大额进出交易。 2. **识别地址角色:** * **归集地址:** 呈“多进单出”或“多进多出”形态,资金停留时间短。 * **中间/洗钱地址:** 交易频繁、流水巨大,通常是归集地址的下游。 * **沉淀/金库地址:** 呈“多进少出”形态,大量资金在此停留。 * **分发/派息地址:** 呈“单进多出”形态,用于向团伙成员或下线分赃。 **4.2 团伙地址关联技术** 1. **核心技术 - Gas费溯源:** * **操作:** 重点分析所有可疑地址的Gas费供给方。 * **判定:** 若多个地址的Gas费在相近时间段内由同一地址提供,则可高概率判定为同一团伙控制。这是最可靠的关联手段。 2. **辅助技术:** * **行为模式关联:** 多个地址是否总是在相似时间窗口活动?是否都与同一个特定合约交互? * **UTXO关联 (BTC):** 追踪“找零地址”链条(Peeling Chain)。 * * * ### **第五章:第四阶段 - 终结(Termination & Attribution)** **目标:锁定资金最终流向,将链上匿名地址与链下可追溯实体进行关联。** **5.1 锁定出金渠道** 1. **交易所追踪 (最高优先级):** * **目标:** 追踪资金是否流入中心化交易所的**个人充值地址**。 * **行动:** 一旦确认,记录该交易所名称、目标地址、交易哈希(TxID)、金额和时间,形成完整的调证请求。 2. **OTC商户识别:** * 寻找与团伙地址有长期、大额、稳定币(USDT等)交易的对手方,这些地址很可能是提供出金服务的OTC商户。 **5.2 涉案价值量化** 1. **核心数据:** 精确统计流入项目方(资金池、核心地址)的总资金额。 2. **辅助数据:** 统计受害地址数量、当前团伙控制的总资产余额。 * * * ### **第六章:第五阶段 - 归档(Documentation & Delivery)** **目标:将复杂的分析过程,转化为清晰、严谨、具有法律效力的证据报告。** **6.1 可视化呈现** * **要求:** 使用工具内置的可视化功能,绘制简洁明了的资金流向图。 * **标注:** 在图上清晰标注出“受害者地址群”、“资金池合约”、“核心洗钱地址”、“团伙金库”、“关键调证地址(交易所)”等角色。 **6.2 分析报告撰写标准** * **结构模板:** 1. **案件摘要 (Executive Summary):** 结论先行,用三百字说清案件性质、涉案金额、核心发现。 2. **背景与情报分析:** 阐述玩法模式、链下情报搜集过程。 3. **核心技术分析:** (若有)合约后门等技术证据。 4. **资金流向分析:** 附上可视化图表,并对关键路径进行文字说明。 5. **团伙地址分析:** 展示通过Gas关联等手段识别出的团伙地址清单。 6. **调证建议清单:** 清晰列出需要向哪些实体(交易所)调取哪些地址的KYC信息。 7. **涉案金额统计:** 给出明确的量化数据。 8. **附录:** 附上所有关键交易的哈希列表,确保所有结论可回溯、可验证。 * * * --- *Originally published on [Axhan](https://paragraph.com/@axhan/raFPhSsPQn8ODHb2pO8R)*