SlowMist phát hành Sổ tay theo dõi tài sản crypto Blockchain : Cần thiết cho các thám tử trên Chuỗi

Cuốn sách "Cẩm nang về Theo dõi Tài sản Crypto trên Blockchain " này được viết với mục đích này. Đây không phải là một báo cáo nghiên cứu chuyên nghiệp, cũng không nhằm mục đích cung cấp một cuộc thảo luận kỹ thuật chuyên sâu. Thay vào đó, nó hướng đến việc giúp nhiều người hiểu rõ hơn về khuôn khổ cơ bản của theo dõi Chuỗi , nắm vững các công cụ và cải thiện khả năng phán đoán và ứng phó khi đối diện rủi ro Chuỗi một phương pháp rõ ràng và thực tế. Cho dù bạn là nhà nghiên cứu, nhà đầu tư, nhà báo, luật người hành nghề , nhân viên thực thi pháp luật hay nạn nhân thông thường, bạn sẽ tìm thấy điều gì đó phù hợp với mình ở đây.

Tác giả: Đội ngũ bảo mật SlowMist

bối cảnh

Trong khi ngành công nghiệp crypto đã đạt được những tiến bộ công nghệ đáng kể trong vài năm qua, tội phạm liên quan đến crypto tài sản gia tăng. Từ số lượng các vụ lừa đảo ngày càng tăng, bao gồm các mô hình Ponzi, trang web Phishing và các dự án giả mạo, cho đến các lỗ hổng nhắm vào các giao thức DeFi, các cuộc tấn công truy cập sàn giao dịch trái phép và chiếm đoạt tài sản sau khi private key của người dùng bị rò rỉ, số lượng và giá trị của các tội phạm Chuỗi tiếp tục tăng. Theo cơ sở dữ liệu SlowMist Hacked, chỉ riêng trong năm 2024 và nửa đầu năm 2025, blockchain blockchain đã gặp phải 531 sự cố bảo mật, dẫn đến tổng thiệt hại là 4,386 tỷ đô la. Scam Sniffer, một nền tảng chống gian lận Web3, cũng báo cáo rằng chỉ riêng các cuộc tấn Phishing Wallet Drainer đã gây ra thiệt hại khoảng 534 triệu đô la, ảnh hưởng đến 375.600 địa chỉ. Con số này tiếp tục tăng và số nạn nhân thực sự lớn hơn nhiều so với dữ liệu cho thấy.

Nặc danh là con dao hai lưỡi đối với crypto. Mặc dù nó mang lại cho người dùng quyền riêng tư, nhưng nó cũng khiến việc xác định chính xác các hoạt động độc hại trở nên khó khăn hơn. Hơn nữa, bản chất toàn cầu vốn có của blockchain thường làm chậm các cuộc điều tra xuyên biên giới, hỗ trợ tư pháp và đóng băng tài sản . Điều này khiến việc đạt được tiến bộ đáng kể trong một số trường hợp trở nên khó khăn, ngay cả khi có lộ trình rõ ràng Chuỗi . Khoảng cách "hữu hình nhưng vô hình" này là Max Pain đối với nhiều nạn nhân tài sản crypto .

Nhiều người ban đầu cho rằng, " Tài sản crypto được lưu trữ trên Chuỗi, và mọi giao dịch đều được công khai và minh bạch, nên việc thu hồi tiền sẽ dễ dàng, phải không?". Nhưng thực tế không phải vậy. "Trực quan hóa" trên Chuỗi chỉ là bước đầu tiên; "khả năng thu hồi" thực sự đòi hỏi phải vượt qua sê-ri các thách thức phức tạp. Kẻ tấn công có thể rửa tiền bằng các kỹ thuật như chuyển tiền giữa hàng chục ví, rút tiền từ sàn giao dịch nặc danh , làm mờ tài sản bằng trình trộn (mixer) và sử dụng hợp đồng ủy quyền. Trong khi đó, người dùng thông thường thiếu kiến thức cơ bản Chuỗi, thường cảm thấy bất lực khi đối diện rủi ro. Điều này có nghĩa là ngay cả khi đường đi của tiền có thể được trực quan hóa rõ ràng, đóng băng hoặc thu hồi chúng có thể là bất khả thi.

Vì lý do này, kiến thức cơ bản về theo dõi on-Chuỗi không nên chỉ là một "kỹ năng chuyên môn" dành riêng cho các nhà nghiên cứu bảo mật hoặc các nhóm hacker, mà là một khóa học bắt buộc cho tất cả những người tham gia vào hệ sinh thái crypto. Cho dù bạn là một nhà đầu tư trung bình hay làm việc trong các dự án crypto, phân tích truyền thông, hỗ trợ pháp lý, điều tra thực thi pháp luật, hay các lĩnh vực liên quan khác, việc hiểu được logic của dòng tiền on-Chuỗi, thành thạo các công cụ và kỹ thuật theo dõi cơ bản, và xác định các đường dẫn tiền bất thường sẽ trở thành tuyến phòng thủ đầu tiên của bạn đối diện rủi ro. Vào thời điểm quan trọng, việc xác định đường dẫn kịp thời có thể đồng nghĩa với việc phải bỏ ra nhiều giờ quý báu để đóng băng tiền; và việc sử dụng đúng các công cụ cơ bản có thể giúp nạn nhân tái hiện lại toàn bộ vụ án.

Cuốn sách "Cẩm nang về Theo dõi Tài sản Crypto trên Blockchain " này được viết với mục đích này. Đây không phải là một báo cáo nghiên cứu chuyên nghiệp, cũng không nhằm mục đích cung cấp một cuộc thảo luận kỹ thuật chuyên sâu. Thay vào đó, nó hướng đến việc giúp nhiều người hiểu rõ hơn về khuôn khổ cơ bản của theo dõi Chuỗi , nắm vững các công cụ và cải thiện khả năng phán đoán và ứng phó khi đối diện rủi ro Chuỗi một phương pháp rõ ràng và thực tế. Cho dù bạn là nhà nghiên cứu, nhà đầu tư, nhà báo, luật người hành nghề, nhân viên thực thi pháp luật hay nạn nhân thông thường, bạn sẽ tìm thấy điều gì đó phù hợp với mình ở đây.

Do giới hạn dung lượng, bài viết này chỉ liệt kê các cấu trúc mục lục chính trong sổ tay, cũng có thể được coi là tài liệu hướng dẫn. Nội dung đầy đủ có thể được tìm thấy tại: https://github.com/slowmist/Crypto-Asset-Tracing-Handbook.

Nội dung chính

Các khái niệm cơ bản

1. Chuỗi công khai

Giới thiệu các mô hình kỹ thuật, đặc điểm sinh thái và theo dõi trọng tâm của chuỗi công khai thống như BTC, ETH, TRON, BNB Chain, Polygon, Solana, Avalanche, Optimism và Arbitrum .

Giải thích vai trò của stablecoin như USDT và USDC cũng như ý nghĩa của chúng trong việc theo dõi và thực thi pháp luật.

1. Các khái niệm cốt lõi của việc theo dõi

Phân loại địa chỉ blockchain : địa chỉ gửi tiền, địa chỉ ví nóng, địa chỉ ví lạnh, địa chỉ hợp đồng, địa chỉ đa chữ ký, địa chỉ hố đen, v.v.

Cấu trúc và các yếu tố giao dịch: các mục dữ liệu chính Block Height, hàm băm giao dịch, Gas, trộn tiền tệ, trao đổi, Chuỗi , Dữ liệu đầu vào, Nhật ký sự kiện, v.v.

Phân biệt giữa các loại nền tảng: sàn giao dịch tập trung(CEX), sàn giao dịch phi tập trung(DEX), cầu nối xuyên chuỗi(Bridge) và nền tảng lồng nhau, cũng như nhân vật khác nhau của chúng trong việc theo dõi và phân tích.

UTXO và Cơ chế thay đổi: Giải thích chi tiết về mô hình đầu vào và đầu ra vốn của Bitcoin và Chuỗi tương tự, giải thích khái niệm về địa chỉ thay đổi và tác động của chúng đến việc theo dõi quỹ.

1. Trình khám phá Blockchain

Phần này giới thiệu các trình duyệt blockchain thường dùng cho nhiều Chuỗi chính thống khác nhau và chức năng của chúng, đồng thời trình bày cách truy vấn địa chỉ, thực hiện giao dịch, tương tác với hợp đồng và các hoạt động cơ bản khác.

Giải thích vai trò chính của các tab, chi tiết giao dịch, hồ sơ chuyển mã thông báo, chức năng gọi hợp đồng và nhật ký sự kiện trong trình duyệt.

Công cụ theo dõi

1. Giới thiệu về MistTrack

MistTrack là một công cụ theo dõi và chống rửa tiền trên Chuỗi được phát triển độc lập bởi SlowMist . Các chức năng cốt lõi của nó bao gồm giám sát giao dịch, đánh giá rủi ro , gắn thẻ địa chỉ, phân tích hành vi giao dịch và theo dõi. Hiện tại, MistTrack hỗ trợ truy vấn và theo dõi dữ liệu 18 chuỗi công khai chính thống và sở hữu cơ sở dữ liệu thông tin rủi ro khổng lồ. MistTrack đóng vai trò quan trọng trong việc hỗ trợ điều tra các sự cố bảo mật Chuỗi, đồng thời hỗ trợ tuân thủ và kiểm soát rủi ro.

1. Sử dụng MistTrack

Cách kết hợp blockchain explorers với MistTrack để theo dõi quỹ Chuỗi;

Cách xác định các địa chỉ rủi ro cao, phân tích đường dẫn giao dịch và theo dõi đích đến cuối cùng của tiền.

1. Công cụ cộng đồng

Bài viết này giới thiệu các công cụ phân Chuỗi và điều tra chuỗi thường được sử dụng mà nhà điều tra có tiếng ZachXBT đã chia sẻ công khai, giúp người dùng lựa chọn các công cụ hỗ trợ phù hợp dựa trên nhu cầu của họ.

Các mô hình dòng vốn chung

1. Chia tách Chuỗi: Thông qua lượng lớn các giao dịch nhỏ, tiền sẽ dần dần được chia thành nhiều địa chỉ, mở rộng đường đi của tiền;
2. Phân phối một-nhiều: số tiền lớn được chia thành nhiều khoản nhỏ và phân tán đến nhiều địa chỉ, tạo thành cấu trúc "hình quạt";
3. Chuyển tiền nhiều bước: tiền được chuyển nhanh qua nhiều bước, mỗi địa chỉ chỉ được sử dụng một lần, không tham gia vào hợp đồng và tạo ra các đường dẫn dài;
4. Sử dụng máy trộn: Tiền được bơm vào nhóm trộn và trộn với tài sản khác, phá vỡ mối quan hệ tương ứng giữa tiền vào và tiền ra;
5. Nhảy cầu nối xuyên chuỗi : Chuyển tài sản sang Chuỗi khác thông qua cầu nối xuyên chuỗi sẽ phá vỡ đường dẫn, thay đổi hình thức tài sản và tránh được việc giám sát Chuỗi đơn;
6. Tổng hợp nhiều-một: Kẻ tấn công nhanh chóng tổng hợp tài sản phân tán vào một ví lõi để dễ dàng rút hoặc chuyển. Điều này thường được coi là một trường hợp chuyển tiền khẩn cấp trong quá trình bỏ trốn.
7. P2P/OTC: Trao đổi tài sản lấy tiền pháp định hoặc tiền riêng tư thông qua giao dịch ngang hàng hoặc trung gian giao dịch không cần kê đơn.

Phải làm gì nếu bị đánh cắp

1. Ưu tiên dừng lỗ

Dừng lỗ khẩn cấp:

Khi tài sản bất thường, hãy chuyển ngay số tài sản còn lại vào ví an toàn hoặc giao dịch trước để giảm thiểu tổn thất;

Nếu bạn nắm giữ token có thể đóng băng (như USDT, USDC), vui lòng liên hệ với đơn vị phát hành càng sớm càng tốt để nộp đơn xin đóng băng;

Tài sản chảy vào sàn giao dịch tập trung và bằng chứng được thu thập để nộp đơn xin đóng băng;

Sử dụng các công cụ theo dõi trên Chuỗi(như MistTrack) để theo dõi đường đi hacker và đánh dấu rủi ro;

Kiểm tra xem quyền của ví có bị xâm phạm hay có chữ ký đa mục đích hay không (liên kết đến bài viết về chữ ký đa mục đích).

Để tránh những chấn thương sau này:

Kiểm tra tính bảo mật của ví liên quan và Cụm từ hạt giống;

Thu hồi quyền ủy quyền ngay lập tức (ví dụ: Revoke.cash);

Thay đổi mật khẩu và bật xác thực đa yếu tố;

Dọn sạch các lối vào có khả năng bị tấn công;

Hãy cảnh giác với những chiêu trò lừa đảo dịch vụ chăm sóc khách hàng giả mạo.

1. Bảo vệ hiện trường

Hãy bình tĩnh, ngắt kết nối Internet nhưng không tắt máy tính hoặc xóa các tập tin và giữ nguyên hoàn cảnh ban đầu để thu thập bằng chứng;

Lưu lại tất cả bằng chứng có liên quan (nhật ký trò chuyện, email, trang web, v.v.).

1. Tiến hành phân tích sơ bộ

Sử dụng trình khám phá blockchain và MistTrack để xem dòng tiền và xác định các trường hợp tiền tệ hỗn hợp, giao dịch Chuỗi và dòng tiền vào từ các nền tảng tập trung;

Hiểu bối cảnh bối cảnh thông qua báo cáo rủi ro ;

Gửi địa chỉ của kẻ tấn công tới nền tảng để giúp ngăn chặn.

1. Liên hệ với các tổ chức chuyên nghiệp

Tìm kiếm sự trợ giúp từ các công ty bảo mật để phân tích Chuỗi, phối hợp đóng băng, tiếp cận trên Chuỗi và tạo báo cáo.

1. Báo cáo tội phạm càng sớm càng tốt và tìm kiếm sự hỗ trợ pháp lý

Báo cáo vụ việc cho cảnh sát và chuẩn bị tài liệu chi tiết;

Khi liên quan đến tài sản xuyên biên giới, hãy liên hệ với luật sư để chuẩn bị cho các cuộc điều tra quốc tế;

Nhiều nạn nhân có thể cùng nhau báo cáo vụ việc để tăng tỷ lệ thành công.

1. Theo dõi liên tục và xây dựng chân dung

Liên tục theo dõi các manh mối trên Chuỗi và ngoài Chuỗi(địa chỉ, giao dịch, phương tiện truyền thông xã hội, thiết bị, v.v.) để xây dựng hồ sơ kẻ tấn công.

1. Các mã thông báo có thể bị đóng băng

Bao gồm USDT (Tether), USDC (Circle), BUSD, TUSD, PAX, GUSD, v.v., áp dụng để đóng băng kịp thời nhằm tránh mất vốn.

Phân tích theo cầu nối xuyên chuỗi

1. Giới thiệu về cầu

Chức năng cốt lõi của Bridge là cho phép người dùng khóa tài sản trên một Chuỗi và nhận token được đóng gói có tài sản tương đương trên Chuỗi , hoặc trực tiếp giải phóng tài sản gốc. Các loại chính bao gồm xác thực phi phi tập trung, chuyển tiếp/quan sát, đa chữ ký/người giám hộ, nhóm thanh khoản và Chuỗi chéo gốc.

1. Phân tích cầu

Trình duyệt cầu nối xuyên chuỗi: Nhiều cầu nối xuyên chuỗi cung cấp Trình khám phá chuyên dụng có thể truy vấn trực tiếp thông tin chi tiết về giao dịch chuỗi Chuỗi, số tiền và địa chỉ đích.

Trình khám phá Blockchain:

Nếu không có Explorer chính thức, bạn có thể sử dụng trình duyệt trên Chuỗi (như BscScan, Etherscan) để phân tích dữ liệu giao dịch chuỗi Chuỗi ;

Hãy chú ý đến Dữ liệu Đầu vào (giải mã) và các sự kiện Nhật ký của giao dịch. Thông tin chính bao gồm người nhận (địa chỉ nhận sau khi chuyển tiếp Chuỗi) và dstChainId (ID Chuỗi đích).

Định dạng địa chỉ nhận có thể yêu cầu chuyển đổi Chuỗi chéo (chẳng hạn như chuyển đổi địa chỉ EVM sang địa chỉ TRON ).

Phân tích Chuỗi chéo MistTrack: MistTrack hỗ trợ phân tích giao dịch chuỗi Chuỗi chỉ bằng một cú nhấp chuột, giao thức cầu nối đa chuỗi và phân tích DEX nội bộ giao dịch.

Phân tích theo dõi công cụ bảo mật

1. Giới thiệu về Mixer

Mixer là công cụ đảm bảo quyền riêng tư giao dịch bằng cách gộp tài sản của nhiều người dùng và phá vỡ việc ánh xạ quỹ. Các loại chính bao gồm mixer hợp đồng thông minh, mixer tập trung, giao thức mixer cộng tác và coin riêng tư.

1. Phân tích máy trộn

Phân tích Tornado Cash

Phân tích Wasabi Coinjoin

Phân tích theo dõi NFT

1. Xác định địa chỉ hợp đồng NFT và ID mã thông báo;
2. Sử dụng các công cụ (như NFTScan, NFTGo) để truy vấn toàn bộ luồng NFT từ đúc đến trạng thái hiện tại;
3. Tập trung vào dòng tiền sau khi NFT được bán với giá cao hoặc được chuyển đến địa chỉ của kẻ tấn công.

Phân tích hành vi địa chỉ

1. Nhận dạng tính năng hành vi chủ động

Thức giấc khi ngủ: Sự rút lui đột ngột với số lượng lớn sau một thời gian dài ngủ đông, thường do bỏ trốn hoặc thanh lý;

Chuyển tiền tần suất cao: lượng lớn các giao dịch nhỏ trong thời gian ngắn, thường được sử dụng để rửa tiền hoặc tẩu tán tiền;

Chuyển khoản số tiền cố định: lượng lớn các khoản tiền tương tự nhau, có thể tự động hoặc kết hợp;

Địa chỉ ngắn hạn: Địa chỉ mới có tốc độ gửi/rút tiền nhanh, thường là ví tạm thời.

1. Địa chỉ phán đoán cụm

Phân cụm đầu vào: nhiều địa chỉ được kết hợp làm đầu vào giao dịch suy đoán cùng một thực thể;

Đồng bộ hóa hành vi: các địa chỉ thực hiện các hoạt động giống nhau vào những thời điểm tương tự;

Dịch vụ chia sẻ: gọi cùng một hợp đồng hoặc dịch vụ với các đường dẫn hành vi tương tự;

Các thông số giao dịch nhất quán: phí gas , tùy chọn trượt giá, v.v.

Mẫu đặt tên địa chỉ: Một số nhóm tấn công có mẫu đặt tên địa chỉ rõ ràng.

1. Hồ sơ hành vi rủi ro

Rửa tiền nhanh chóng;

Thường xuyên gọi đến giao thức trộn tiền tệ;

Chuyển tiền liên Chuỗi thường xuyên;

Tương tác hợp đồng đáng ngờ hoặc cuộc gọi không thành công;

Hoạt động Phishing hoặc trộm cắp tự động.

1. Thẻ địa chỉ và danh tính ngoài Chuỗi

Tương tác với sàn giao dịch tập trung và kết hợp KYC để xác định danh tính;

Xác định các kết nối tiềm ẩn với các quỹ từ các địa chỉ rủi ro cao;

Liên kết các hoạt động trên Chuỗi thông qua dấu thời gian hành vi của nền tảng xã hội;

Tận dụng dữ liệu bị rò rỉ để hỗ trợ việc đối chiếu danh tính mơ hồ.

1. Công cụ và phân tích AI

Tận dụng các nền tảng AI như MistTrack MCP, việc lập hồ sơ địa chỉ, chấm điểm rủi ro và biểu đồ giao dịch được tự động tạo ra, giúp cải thiện hiệu quả và độ chính xác của phân tích. Người dùng có thể sử dụng ngôn ngữ tự nhiên để yêu cầu theo dõi dòng tiền và lập hồ sơ hành vi, nhanh chóng nhận được kết quả.

Khuyến nghị về đóng băng và thu hồi tài sản

Đóng băng và thu hồi tài sản là những hoạt động phức tạp, liên quan đến bên long yếu tố, bao gồm quy trình pháp lý, hợp tác sàn giao dịch và thực thi pháp luật xuyên biên giới. Các đơn xin đóng băng thường yêu cầu cảnh sát hoặc luật sư khởi xướng, khiến cá nhân khó có thể trực tiếp xử lý. Chúng tôi khuyến nghị nên chuẩn bị một Chuỗi bằng chứng đầy đủ và hợp tác với một đội ngũ an ninh chuyên nghiệp. Đóng băng chỉ là biện pháp tạm thời; việc thu hồi tài sản phụ thuộc vào một quy trình khép kín, hoàn chỉnh bao gồm phân tích Chuỗi, phối hợp tư pháp và phối hợp nền tảng.

Suy nghĩ cuối cùng

Chúng tôi hiểu rằng một hướng dẫn không thể giải quyết được mọi vấn đề bảo mật trên Chuỗi , nhưng nếu nó có thể giúp bạn có thêm vài giây để phán đoán khi gặp phải các giao dịch chuyển tiền bất thường, lưu lại manh mối ngay khi dự án phát sinh vấn đề hoặc mô tả chính xác hơn các khía cạnh đáng ngờ của luồng tài sản trong các cuộc thảo luận trên phương tiện truyền thông và cộng đồng , thì nó đã đạt được mục đích ban đầu của chúng tôi.

Bảo mật blockchain là một cuộc chiến dai dẳng giữa tấn công và phòng thủ. SlowMist sẽ tiếp tục hợp tác với cộng đồng để thúc đẩy giáo dục bảo mật chất lượng cao và chia sẻ kiến thức. Chúng tôi tin rằng mỗi tiết lộ về dòng tiền là một đòn giáng mạnh vào gian lận; mỗi bài báo phổ cập rõ ràng, việc chia sẻ quy trình theo dõi và phân tích trường hợp là một lá chắn vững chắc cho cộng đồng cùng nhau bảo vệ an ninh.

Phần giới thiệu đến đây là hết. Để xem bản đầy đủ, vui lòng đọc và chia sẻ nhé 🙂

https://github.com/slowmist/Crypto-Asset-Tracing-Handbook/blob/main/README_CN.md

Hoặc phiên bản PDF:

https://www.slowmist.com/report/SlowMist-Crypto-Asset-Tracing-Handbook(Beta-CN).pdf

Mẹo: Nhấn"Đọc văn bản gốc" ở cuối bài viết để đi trực tiếp.

Lưu ý: Tài liệu hướng dẫn này chỉ nhằm tham khảo giáo dục và cung cấp thông tin, không cấu thành tư vấn pháp lý, đầu tư hoặc thực thi pháp luật. Các công cụ, nền tảng và trường hợp được đề cập dựa trên thông tin hoặc mô phỏng công khai và không nhằm mục đích nhắm vào bất kỳ cá nhân hay tổ chức nào. Trong quá trình theo dõi thực tế, vui lòng cân nhắc kỹ lưỡng dựa trên hoàn cảnh của riêng bạn và tìm kiếm sự hỗ trợ chuyên nghiệp khi cần thiết. Nếu bạn có bất kỳ đề xuất nào hoặc phát hiện bất kỳ lỗi nào, vui lòng liên hệ với chúng tôi.

Tuyên bố miễn trừ trách nhiệm: Là một nền tảng thông tin blockchain, các bài viết được đăng trên trang web này chỉ phản ánh quan điểm tác giả và khách truy cập, không đại diện cho lập trường của Web3Caff. Thông tin trong các bài viết này chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hay ưu đãi đầu tư nào. Vui lòng tuân thủ luật pháp và quy định hiện hành của quốc gia hoặc khu vực của bạn.