备注:本份报告的完整版本已提交相关执法单位。
内容目录
Toggle一、 事件背景
被称为台版 N 号房的「创意私房」有大量不法偷拍的未成年性影像,也因为艺人黄子佼被揭露从该平台购买影片且为高级会员,近期受到大量关注。卫福部长薛瑞元 10 日也在立法院表示,将于当日发文给数发部对「创意私房」进行网域封锁。但是封网之后呢?这些透过儿少剥削以及偷拍而获利的人,究竟是谁?又是否可以将他们绳之以法?
长期经营区块链与加密货币相关内容的《区块势》在其脸书粉专贴文,以网址搭配全球资讯网的数位档案馆「网路时光机」,取得 4 个「创意私房」在不同时期使用的「非托管型」收款钱包地址,:
XREX 交易所区块链金融犯罪调查师陈梅慧 Miffy 延续以上钱包资讯,进一步追查这 4 个钱包在收到购买影片的钱之后,把钱往哪里分配了?XREX 公开这份链上金流报告以及技术分析,更精准地瞄准「创意私房」背后的收款者,也就是真实世界中,那些透过偷拍与性暴力实际获得收益的人。
二、「创意私房」链上金流报告,试图回答什么问题?
- 有多少人付款给「创意私房」取得会员资格?从他们的钱包,我们如何推敲他们的真实身份?
- 「创意私房」使用哪些钱包收款?谁可能是持有这些钱包的人?
- 「创意私房」的钱包收款之后,把资金转给了谁?
- 为什么「创意私房」要转钱到这些钱包呢?这些受益者的角色又是什么?
- 这些链上的证据可以如何协助执法单位采取行动?
- 「创意私房」整个犯罪结构的金流上下游关系,是什么么样?
- 区块链上有哪些工具与分析可以成为案件线索,找寻犯罪集团背后的网络?
三、「创意私房」链上金流报告的重点结论
4 个「创意私房」的钱包使用情形
「创意私房」金流的上下游潜在相关人
备注:
- 入金到「创意私房」之所以用交易笔数来表示,是因为用户从交易所打款出去,在链上是以交易所的热钱包发出,而不是单一用户专属的钱包。若要追查,需要交易所后续对照到个别用户。交易笔数并不直接代表是一名用户,也有可能是一名用户的多笔交易。
- 充值钱包都会是可以对应到单一个人的专属充值钱包,一个钱包就会是一个人,后续的侦查与辨识会更容易。
- 入金的交易笔数和收款的钱包数量,「创意私房」的 4 个钱包之间可能会有所重叠。
收到最多「创意私房」资金的前十大「托管型钱包」
第一大受益于「创意私房」的「托管型钱包」
收款最多的「托管型钱包」是位于 Binance 交易所的 TNFw********************4,我们使用钱包资料库 OKLink 工具查找这个钱包的交易资讯,可以发现这个钱包已经活跃了 3 年,再用 Misttrack 工具观察其资金来源, 5 个钱包皆与「创意私房」有关,且该钱包于 2021 年 12 月 5 日起至 2023 年 4 月 29 日长期接收来自「创意私房」的资金,共收款了 73 次,获得超过 6.6 万 USDT,价值超过 200 万台币,如下图所示:
「创意私房」钱包的最新动态
「创意私房」4 个被公开的钱包中,最新一次的资金转移在 2024 年 4 月10 日 23:19:18,从 OKX 交易所汇入「创意私房」第 4 个收款钱包 TA2G85LLXqtbcMwwZUKn4gDdQ9EkoHRp8V ,也就是说这个钱包至今还是被频繁地使用,处于活跃状态。
四、 本份报告使用的区块链分析工具
链上分析平台,将区块链上的交易纪录与地址等等,转变为可视化资讯,方便「链上侦探」们追踪资金流向,也可以用来当做追踪鲸鱼动向的工具。
五、 证明「创意私房」钱包的关联并逆追实际持有者
在区块链上转移代币会需要 gas fee(注一),可透由追踪 gas fee 来源,串接钱包的关联并找寻实际持有人的资讯。移转 Tron 链上发行的 TRC-20 USDT,需要以 TRX 来支付 gas fee。以区块链分析工具 Arkham 观察《区块势》取得的 4 个「创意私房」在不同时期使用的收款钱包地址之间的 TRX 交易互动。
如果一个钱包要频繁地移转USDT,就会充值大量的 TRX。一个具有结构且有组织的集团,无论是诈骗集团还是「创意私房」这样的平台所使用的钱包,都会有这样的特征。
下图是用 Arkham 可视化工具所产生的关系图。可以看出,中间 4 个「创意私房」的钱包,里面的 TRX 都有共同的来源,并且在 TRX 的交易上也密切互动,透露这 4 个钱包有高度可能性是由同一人或同一集团持有。
从上图中即可发现,「创意私房」第 4 个钱包 TA2G85LLXqtbcMwwZUKn4gDdQ9EkoHRp8V 有一笔来自 MEXC 交易所,共 5,066 颗 TRX 的充值纪录。这可以帮助执法单位依这笔交易专属的交易哈希(transaction hash)(注二)向 MEXC 交易所调阅用户的实名验证资料,知道背后的藏镜人为何。
除了前述的一笔 TRX 交易纪录,尝试再向上找寻 gas fee 的来源。 第 1 个钱包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 是「创意私房」4 个钱包中最早期的,2021 年 11 月 30 日 16:03:21 进行第一次的 gas fee 储值。
接下来,我们以可视化工具 Bitquery 观察「创意私房」第 1 个钱包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 的 TRX 来源及流向,如下图所示:
从可视化工具 Bitquery 所产生的图,我们可以发现「创意私房」在 TRX 移转上的「层转」关系,其中有部分钱包汇入了 TRX 就立刻再转出。资金的「快进快出」在一般单纯的交易行为中较为少见,是协助判定异常交易的特征之一。
依据 Bitquery 产生的图制作成更清楚的表格如下,标示为橘色的部分是「创意私房」的 4 个钱包。这个表格是以「创意私房」的第 1 个钱包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 为起点,检视其上下游资金的层转关系。
这个表格不只可以看到钱包之间的层转关系,也可以发现「创意私房」的 4 个钱包之间具有高度相关。同时,我们也在下方标示特定钱包的特征,例如:快进快出、属于特定交易所、主要的 TRX 来源或流出的钱包等等。
由上表知,有很多用来支付 gas fee 的 TRX 从 Binance 交易所,先跳转一层去中心化的「非托管型钱包」后,再转入「创意私房」的第 1 个钱包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 。
下表整理出这些交易哈希,执法单位可以透过 Binance 交易所获取相关的实名验证资讯,了解究竟是谁提供「创意私房」移转资金时所需的 TRX 手续费。
我们挑选了提供 TRX 来源且同时有「快进快出」行为的三个钱包,使用 MistTrack 工具检视,如下图,可以看到「创意私房」的 4 个收款钱包,已经被标示为「不法服务」,绿色星星则是层转钱包,在最左则是 Binance 交易所的热钱包,代表是 Binance 用户将 TRX 提领到了「层转」钱包,在短时间内又转入创意私房收款钱包。
以下 3 个钱包间TRX的移转,在箭头上方以灰色字体标示了其交易时间,可以看出在交易所提领了 TRX 之后,都在短短数分钟内移转,出现组织性的「快进快出」以及「大量提领 gas fee 移转」的行为特征。
标示为绿色星星的「层转」钱包:TMv9PwYkekUeSXwKR5Vpek4uGcAkGMaaUg
标示为绿色星星的「层转」钱包:TJnQv8rYMKTZEXzb8QgjTsGn9BRm2SPgjm
标示为绿色星星的「层转」钱包:TJxKcEZ1czkYB285sUeJ1FgX8d8hkVu4WP
六、「创意私房」持续有新进会员?从 USDT 付款抽丝剥茧
我们使用网路时光机工具检视「创意私房」的贴文,虽然是同一篇贴文,但不同时期的纪录可以观察到,「创意私房」不断调整其会员付费方式、使用的钱包地址还有 USDT 汇率等等。使用钱包资料库 OKLink 整理,从交易所热钱包提币,也就是入金至 4 个「创意私房」收款钱包的交易次数共 2,233 笔。
以网路时光机留存的「创意私房」钱包地址与收款资讯,因为旧会员很可能是以不定额的方式储值,或不同的金额升级成高级会员,又或是集团背后的人相互打款,因为没有公开资讯,故较难推估。
但根据既有资讯,我们可以试图归纳「创意私房」透过这 4 个收款钱包,在不同时期拥有的新进会员数量,因为单笔入金的金额理应落在一定的区间。
网路时光机纪录「创意私房」贴文的时间:2022 年 8 月 12 日
网路时光机纪录「创意私房」贴文的时间:2023 年 1 月 28 日
网路时光机纪录「创意私房」贴文的时间:2023 年 10 月 4 日
网路时光机纪录「创意私房」贴文的时间:2024 年 4 月 9 日
备注:最近的纪录未能留存到最新的入金钱包地址,网站经营者更改为以邮件咨询才能取得钱包地址,故本报告以《区块势 》贴文中的钱包地址进行统计。
七、「创意私房」究竟谁获利?从 UDST 移转调查「下游」
为什么「创意私房」这 4 个收款钱包,会把收到的款项再发送到其他钱包?可以确知的是他们有利益牵扯,透由追踪「创意私房」4 个收款钱包的 USDT 去向,可以帮助我们找到主要的受益者。
究竟是谁透过贩售非法的偷拍影片与性剥削影片,收到了钱?他们的角色可能是网站管理者、工作人员、提供影片者、营运者或购买器材的人,也有可能是会员的退款,这个我们不得而知,需要检调介入进一步侦查分析并采取动作。
值得关注的是,交易所是唯一拥有用户实名验证资料的单位,所以找到中心化交易所的「托管型钱包」非常关键,透过实名验证及其他可辨识资讯,可以交集比对「创意私房」背后的集团。
下图,我们以可视化工具 Bitquery 概览「创意私房」4 个收款钱包的整体资金流向,搭配图表和表格整理,可以看出与其互动的钱包,并以此做之后的受益钱包对应资料。
「创意私房」的第 1 个收款钱包:TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ
「创意私房」的第 2 个收款钱包:TUQbf1PgWvxKethbrYLFY842UL6Z41RiKC
「创意私房」的第 3 个收款钱包:TPbRDKYYi5qT3Ayutw6NV31bvNX9zGivZx
透过可视化工具 Bitquery,我们除了可以得知「创意私房」4 个钱包与哪些钱包有上下游关系外,也可以观察到,「创意私房」4 个收款钱包中的 3 个都有大量资金移转到单一钱包。
使用区块链分析工具 MistTrack 整理出「创意私房」 4 个收款钱包,以及 2 个层转钱包的资金去向,可以得知可能的主要受益者。以下受益者钱包清单仅留下可调阅实名验证资料的中心化交易所「托管型钱包」,并依照金额大小排序如下表所示:
八、 可追查之「创意私房」相关钱包整理
提供「创意私房」gas fee 的交易哈希
关于 XREX 集团
XREX 是一家应区块链技术而生的国际金融机构,与银行、政府及用户密切合作,共同改写金融定义。创立于 2018 年,XREX 提供一站式的服务,包括:数位资产托管、钱包、跨境支付、法币与加密货币转换、加密货币交易所、多元化资产投资、法币出入金服务等等。
XREX 前身是资安软体公司阿码科技,拥有超过 15 年的国际资安实战经验,兼具进攻与防守技术。XREX 已取得新加坡大型支付机构(Major Payment Institution)执照的原则性许可,也是已完成台湾金管会的洗钱防制法令遵循声明的合格业者。
—
注一:gas fee 是在区块链验证中,用户支付给矿工执行特定行为(如:加密货币移转、执行智能合约等等)所需要消耗的燃料。 区块链上的每笔交易都需要消耗大量的算力,矿工需要负担设备、营运与电费等成本,因此为了奖励矿工,区块链上的交易才需要用户支付费用,也就是所谓的 gas fee。
注二:每一笔在区块链上的交易都会有一个独一无二且经过加密的交易哈希(transaction hash),概念有点像是传统金融中的交易水单编号、交易记录编号等等。每一个交易哈希都是一串英数组合的编码,可以在区块链帐本上查找出该编号交易的内容,包括发起人、接收者、交易金额或传递的资讯等。
