“DID规范的提出与区块链生态中地址即身份的技术特征不谋而合，但回顾区块链的发展历程不难发现，DID规范在强调保护隐私及声明网络资源所有权的同时，也为黑客活动提供了便利。在去中心化场景下，如何应对愈演愈烈的加密安全事故，值得引起所有区块链从业者们对金融安全及危机处理的重视。”

在2022KCon黑客大会线上直播中，币追安全团队进行了主题为“关于资金追溯和地址画像技术在区块链的安全应用”的宣讲。基于DID概念及实际应用场景，对其在区块链安全领域能带来的贡献展开构想，具体包括以下五点：

• DID在区块链生态中的前景

• 区块链的安全问题

• 如何建立DID风险评估模型

• DID身份画像在安全生态中的应用

• DID画像存在的缺点与不足

公众号后台回复关键词「KCon」，可获取完整PPT资料。

DID在区块链生态中的前景

根据W3C的标准定义，去中心化标识符 Decentralized Identifiers (DIDs) 是一种具有全球唯一性新型标识符，具备高可用性解析、密码学验证等特性，对于任何受益于自我管理、可加密验证标识符（例如个人标识符、组织标识符和物联网场景标识符）的应用程序都很有帮助。

区块链地址可以理解为DID标识符的早期雏型，但无法拓展或自定义使其应用场景受限。DID继承了区块链的去中心化特点，并将去中心化技术从链上带到链下，为如何标识, 管理, 使用这些去中心化之后的现实资产提供了统一的解决办法。任何人都可以通过DID标识符来辨别、追溯和验证数据资产的源头，创新了由去中心化授信为核心的隐私管理办法。

DID实现了实体映射无需第三方认证。在现实资产数字化交易场景下，通过部署DID解决方案，买卖双方可以在服务、租赁、商品等任何交易中，验证资产的真实性以及交易对手是否对该标的具有真实所有权。简单来说，当实体（如：房产）在网络中进行“映射”时，不再依赖中心化认证等方式来获得权威性，任何人都能够通过DID标识来辨别，追溯和验证确权。这一特性极大降低了个人信息在第三方平台认证过程中潜在的隐私泄露风险和二次商用的可能，人们自己成为了数据的主人。

除了以上应用场景外，DID也为数据监管，安全设计领域带来了新的挑战与机遇。

据多家数据分析公司报告，在过去的2021年中，加密货币犯罪相关资金规模已经达到140亿美元，突破历史新高。针对加密行业的恶意攻击，已然成为不可轻视的问题。

绝大多数攻击者从一开始就意识到，在当前的监管环境下，数字货币的价值变现环节不可避免地会和中心化机构发生交互，导致区块链地址对应到中心化账户，变相地增加了地址的可追溯性。在主流公链设计均未良好解决隐私隐患的前提下，攻击者首要考虑的还是隐藏和消除自己的链上活动痕迹。

从最早的Mt.Gox交易所的“门头沟事件”，到计算机勒索病毒通过比特币网络收款，再到安全事故频发的一些公链、Dapp，不难看出，DID技术对隐私的保护在一定程度上也为黑客活动提供了便利。

2021年7月12日，跨链项目AnySwap声明遭到黑客攻击，V3跨链资金池受影响，损失约240万USDC和551万MIM，超过 800 万美金。黑客在将这些资产兑换为ETH后，通过混币平台Tonardo Cash清洗了资金；

2022年3月23日，攻击者通过盗取验证人私钥的方式，从Ronin跨链桥取出173,600ETH和2550万USDC，按当前价格计算约合6.25亿美元。部分资金经过多次转账后，使用Tonardo Cash混币转移；

2022年6月24日，以太坊与Harmony间的资产跨链桥Horizon遭受黑客攻击，损失金额约为一亿美元。攻击者将两笔18036.3ETH分别转移到多个攻击地址后，立即开始混币，截至目前已有17600ETH通过混币平台Tornado Cash非法转移。

显然，这三起攻击事件有一个共同点——黑客通过Tornadao Cash获取手续费或者完成洗钱。

Tornado Cash 是一套主要基于以太坊运行的隐私转账工具，其允许用户在匿名情况下通过智能合约实现隐私安全的资金转移。尽管其初衷是提高公有链地址（也就是DID）的隐私安全，也积极与安全公司开展合作对非法资金进行拦截，但仍然沦为攻击者最常利用的资金清洗工具。

2022年8月8日，美国财政部的海外资产控制办公室(OFAC)宣布将Tornado Cash服务的38个相关地址添加到制裁实体名单，意味着任何实体一旦与该服务或是跟该服务相关联的资产发生交互行为均可能被美国政府认定为非法。这个消息出来之后，以太坊社区，钱包工具，乃至Github都迅速做出响应。从而引起了一系列针对去中心化监管和网络隐私保护政策的广泛讨论，可以看作是近年来对区块链或者数字货币在监管方面的一个标志性事件。

对大量的攻击事件进行整理回顾后，不难发现攻击来源地址与非法资金转移在路径上具有一定的相似之处，我们尝试从资金追溯的角度，对攻击者的资金链路进行分析并建立起地址身份画像。

实施攻击之前

分析路径：找到攻击地址及其关联地址（如手续费来源、同构公链的其它交易、ERC721/1155记录等），提取资金流经地址群基于交易关系的相似特征。

可参考的维度

1. 地址的资金来源中的风险资金评估 通过来源方的风险级别，风险资金占比，交易的频次等特征，地址之间是否可形成有向连通关系等作为系数来评估地址与风险资金的相关性。

2. 地址估值 “如果你真正相信比特币那么你就应该永远持有它”，基于比特币原教旨主义者的HODL倡议，如果该地址上一类价值代币（如BTC，ETH，USDT，USDC等）的总额越大，持有时间越长，则使用该地址实施攻击的成本则越高。在多数攻击发生之前，相关地址的持币情况往往接近攻击所需的最低gas费。

3. 关联地址的“真实用户”评价 根据地址实体标签库对关联地址的交易行为进行风险评估，再判断关联地址中有“真实用户特征”的比例，具体表现为：与DeFi协议发生交互、绑定去中心化域名、或参与需要KYC的营销活动等。

实施攻击之后

分析路径：关注转移、藏匿、清洗非法资金的模式，使用有向图进行描述和分析并借助地址实体标签库和其他情报资源进行反洗钱追踪策略调整。

区块链洗钱发展的三个阶段

1. 早期阶段，攻击者一般通过延长资金转移路径或对资金进行混淆来增加追踪的分析难度和成本。

2. 隐私协议阶段，使用隐私协议或隐私公链对资金路径进行截断。

3. Web3阶段，配合Web3商业设施，借助数字货币与现实商品的交易对非法资金进行更高效的清洗。

针对上述情况，我们可以通过资金追溯和地址画像建立风险评估模型，使用有向图重现资金转移的过程，提取可量化的交易特征进行建模，并结合地址实体标签库对策略进行调整，以分辨洗钱的手法和特点。

DID身份画像在安全生态中的应用中比较典型的是反洗钱风控，白名单策略以及构建预言机为去中心化项目提供外部威胁情报资源。

应用场景具体包括：

• DeFi--通过DID地址画像技术增强其对用户的信用评级机制，识别资金中的异常和风险，以便更好地应对潜在的作恶行为或由此而带来的监管问题。

• 情报挖掘--DID地址画像可结合资金追溯方法对投资者、被投资者的资金来源及去向做进一步挖掘，结合资金量分析方法进行投资者行为、资金流动性等市场规律情报挖掘。

• Dapp--通过接入能够提供DID地址画像能力的预言机，实现合约外部威胁情报的获取，或是对去中心化的地址进行分类、聚类分析，以防范女巫攻击。

• 钱包--作为用户的入口，钱包可以借助DID地址画像技术将可能对用户造成威胁的地址进行识别和警示，降低用户因安全意识不足而导致的资产损失。

• 用户--可借助情报分析工具（如MistTrack、链上天眼、DeTrust等）进行风险自查，或检查交易对手地址是否安全。

DID的发展和应用仍处在早期阶段，存在一些缺陷和不足。

例如，隐私公链，协议或者隐私转账工具会中断资金流的有向结构，为资金追溯带来阻碍；地址实体标签库和威胁情报收集的准确度也会对特征工程造成较大影响，并非所有的公链都有完备的OSINT情报来源；DID风险评估模型依赖历史数据的持续输入以实现自身的迭代，这意味着数据的的主观采用偏好与数据稀疏，也会影响模型本身的准确性。

但我们仍在积极探索和积累区块链数据安全领域的技术，并即将推出基于DID地址画像的风险识别服务DeTrust谛听（detrust.bitrace.cn）, 欢迎测试使用。也期待更多有志于反诈防骗的从业者或团队的加入，共同守护Web3用户加密资产安全。

subscribe://

Twitter:

https://twitter.com/Bitrace_team

Website:

https://bitrace.cn/

“DID规范的提出与区块链生态中地址即身份的技术特征不谋而合，但回顾区块链的发展历程不难发现，DID规范在强调保护隐私及声明网络资源所有权的同时，也为黑客活动提供了便利。在去中心化场景下，如何应对愈演愈烈的加密安全事故，值得引起所有区块链从业者们对金融安全及危机处理的重视。”

在2022KCon黑客大会线上直播中，币追安全团队进行了主题为“关于资金追溯和地址画像技术在区块链的安全应用”的宣讲。基于DID概念及实际应用场景，对其在区块链安全领域能带来的贡献展开构想，具体包括以下五点：

• DID在区块链生态中的前景

• 区块链的安全问题

• 如何建立DID风险评估模型

• DID身份画像在安全生态中的应用

• DID画像存在的缺点与不足

公众号后台回复关键词「KCon」，可获取完整PPT资料。

DID在区块链生态中的前景

根据W3C的标准定义，去中心化标识符 Decentralized Identifiers (DIDs) 是一种具有全球唯一性新型标识符，具备高可用性解析、密码学验证等特性，对于任何受益于自我管理、可加密验证标识符（例如个人标识符、组织标识符和物联网场景标识符）的应用程序都很有帮助。

区块链地址可以理解为DID标识符的早期雏型，但无法拓展或自定义使其应用场景受限。DID继承了区块链的去中心化特点，并将去中心化技术从链上带到链下，为如何标识, 管理, 使用这些去中心化之后的现实资产提供了统一的解决办法。任何人都可以通过DID标识符来辨别、追溯和验证数据资产的源头，创新了由去中心化授信为核心的隐私管理办法。

DID实现了实体映射无需第三方认证。在现实资产数字化交易场景下，通过部署DID解决方案，买卖双方可以在服务、租赁、商品等任何交易中，验证资产的真实性以及交易对手是否对该标的具有真实所有权。简单来说，当实体（如：房产）在网络中进行“映射”时，不再依赖中心化认证等方式来获得权威性，任何人都能够通过DID标识来辨别，追溯和验证确权。这一特性极大降低了个人信息在第三方平台认证过程中潜在的隐私泄露风险和二次商用的可能，人们自己成为了数据的主人。

除了以上应用场景外，DID也为数据监管，安全设计领域带来了新的挑战与机遇。

据多家数据分析公司报告，在过去的2021年中，加密货币犯罪相关资金规模已经达到140亿美元，突破历史新高。针对加密行业的恶意攻击，已然成为不可轻视的问题。

绝大多数攻击者从一开始就意识到，在当前的监管环境下，数字货币的价值变现环节不可避免地会和中心化机构发生交互，导致区块链地址对应到中心化账户，变相地增加了地址的可追溯性。在主流公链设计均未良好解决隐私隐患的前提下，攻击者首要考虑的还是隐藏和消除自己的链上活动痕迹。

从最早的Mt.Gox交易所的“门头沟事件”，到计算机勒索病毒通过比特币网络收款，再到安全事故频发的一些公链、Dapp，不难看出，DID技术对隐私的保护在一定程度上也为黑客活动提供了便利。

2021年7月12日，跨链项目AnySwap声明遭到黑客攻击，V3跨链资金池受影响，损失约240万USDC和551万MIM，超过 800 万美金。黑客在将这些资产兑换为ETH后，通过混币平台Tonardo Cash清洗了资金；

2022年3月23日，攻击者通过盗取验证人私钥的方式，从Ronin跨链桥取出173,600ETH和2550万USDC，按当前价格计算约合6.25亿美元。部分资金经过多次转账后，使用Tonardo Cash混币转移；

2022年6月24日，以太坊与Harmony间的资产跨链桥Horizon遭受黑客攻击，损失金额约为一亿美元。攻击者将两笔18036.3ETH分别转移到多个攻击地址后，立即开始混币，截至目前已有17600ETH通过混币平台Tornado Cash非法转移。

显然，这三起攻击事件有一个共同点——黑客通过Tornadao Cash获取手续费或者完成洗钱。

Tornado Cash 是一套主要基于以太坊运行的隐私转账工具，其允许用户在匿名情况下通过智能合约实现隐私安全的资金转移。尽管其初衷是提高公有链地址（也就是DID）的隐私安全，也积极与安全公司开展合作对非法资金进行拦截，但仍然沦为攻击者最常利用的资金清洗工具。

2022年8月8日，美国财政部的海外资产控制办公室(OFAC)宣布将Tornado Cash服务的38个相关地址添加到制裁实体名单，意味着任何实体一旦与该服务或是跟该服务相关联的资产发生交互行为均可能被美国政府认定为非法。这个消息出来之后，以太坊社区，钱包工具，乃至Github都迅速做出响应。从而引起了一系列针对去中心化监管和网络隐私保护政策的广泛讨论，可以看作是近年来对区块链或者数字货币在监管方面的一个标志性事件。

对大量的攻击事件进行整理回顾后，不难发现攻击来源地址与非法资金转移在路径上具有一定的相似之处，我们尝试从资金追溯的角度，对攻击者的资金链路进行分析并建立起地址身份画像。

实施攻击之前

分析路径：找到攻击地址及其关联地址（如手续费来源、同构公链的其它交易、ERC721/1155记录等），提取资金流经地址群基于交易关系的相似特征。

可参考的维度

1. 地址的资金来源中的风险资金评估 通过来源方的风险级别，风险资金占比，交易的频次等特征，地址之间是否可形成有向连通关系等作为系数来评估地址与风险资金的相关性。

2. 地址估值 “如果你真正相信比特币那么你就应该永远持有它”，基于比特币原教旨主义者的HODL倡议，如果该地址上一类价值代币（如BTC，ETH，USDT，USDC等）的总额越大，持有时间越长，则使用该地址实施攻击的成本则越高。在多数攻击发生之前，相关地址的持币情况往往接近攻击所需的最低gas费。

3. 关联地址的“真实用户”评价 根据地址实体标签库对关联地址的交易行为进行风险评估，再判断关联地址中有“真实用户特征”的比例，具体表现为：与DeFi协议发生交互、绑定去中心化域名、或参与需要KYC的营销活动等。

实施攻击之后

分析路径：关注转移、藏匿、清洗非法资金的模式，使用有向图进行描述和分析并借助地址实体标签库和其他情报资源进行反洗钱追踪策略调整。

区块链洗钱发展的三个阶段

1. 早期阶段，攻击者一般通过延长资金转移路径或对资金进行混淆来增加追踪的分析难度和成本。

2. 隐私协议阶段，使用隐私协议或隐私公链对资金路径进行截断。

3. Web3阶段，配合Web3商业设施，借助数字货币与现实商品的交易对非法资金进行更高效的清洗。

针对上述情况，我们可以通过资金追溯和地址画像建立风险评估模型，使用有向图重现资金转移的过程，提取可量化的交易特征进行建模，并结合地址实体标签库对策略进行调整，以分辨洗钱的手法和特点。

DID身份画像在安全生态中的应用中比较典型的是反洗钱风控，白名单策略以及构建预言机为去中心化项目提供外部威胁情报资源。

应用场景具体包括：

• DeFi--通过DID地址画像技术增强其对用户的信用评级机制，识别资金中的异常和风险，以便更好地应对潜在的作恶行为或由此而带来的监管问题。

• 情报挖掘--DID地址画像可结合资金追溯方法对投资者、被投资者的资金来源及去向做进一步挖掘，结合资金量分析方法进行投资者行为、资金流动性等市场规律情报挖掘。

• Dapp--通过接入能够提供DID地址画像能力的预言机，实现合约外部威胁情报的获取，或是对去中心化的地址进行分类、聚类分析，以防范女巫攻击。

• 钱包--作为用户的入口，钱包可以借助DID地址画像技术将可能对用户造成威胁的地址进行识别和警示，降低用户因安全意识不足而导致的资产损失。

• 用户--可借助情报分析工具（如MistTrack、链上天眼、DeTrust等）进行风险自查，或检查交易对手地址是否安全。

DID的发展和应用仍处在早期阶段，存在一些缺陷和不足。

例如，隐私公链，协议或者隐私转账工具会中断资金流的有向结构，为资金追溯带来阻碍；地址实体标签库和威胁情报收集的准确度也会对特征工程造成较大影响，并非所有的公链都有完备的OSINT情报来源；DID风险评估模型依赖历史数据的持续输入以实现自身的迭代，这意味着数据的的主观采用偏好与数据稀疏，也会影响模型本身的准确性。

但我们仍在积极探索和积累区块链数据安全领域的技术，并即将推出基于DID地址画像的风险识别服务DeTrust谛听（detrust.bitrace.cn）, 欢迎测试使用。也期待更多有志于反诈防骗的从业者或团队的加入，共同守护Web3用户加密资产安全。

subscribe://

Twitter:

https://twitter.com/Bitrace_team

Website:

https://bitrace.cn/