編輯：Lisa@慢霧AML 團隊

校對：Zero@慢霧AML 團隊

前段時間，我們發布了一篇Bitfinex 被黑案件細節分析的文章，引起了劇烈的討論。文中提到了一種洗幣方式——剝離鏈（Peel Chain）技術，藉此事件寫一些與鏈上追踪相關的文章給大家學習。

什麼是Peel Chain

剝離鏈（Peel Chain）——是指一種通過一系列冗長的小額交易來清洗大量加密貨幣的技術。這種洗幣方式通常從一個“臟”地址開始，該地址可能與非法活動有關，例如地址A 將資金轉到地址B 和C，而轉移到地址B 的數額多數情況下是極小的，轉移到地址C 的數額佔大部分，地址C 又將資金轉到D（小額）和E（大額），依次類推，直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額，要么以Peel Chain 的方式繼續轉移，要么轉到交易/暗網平台，要么停留在地址，要么通過混幣平台轉出。

案例分析

2016 年8 月3 日，知名加密貨幣交易所Bitfinex 發公告稱，黑客入侵了其係統並盜走約119,755 枚比特幣。事發當時價值約6000 萬美元，按今天的價格計算，被盜總額約為45 億美元。據慢霧AML 旗下反洗錢追踪系統MistTrack 分析，黑客最初將被盜資產分散存儲在2072 個錢包地址中，經MistTrack 標記如下圖。

從2017 年1 月開始，黑客開始密集轉移資產。我們對2072 個地址進行分析後，發現黑客將大部分地址上的資金都進行了轉移，而轉移方式正是我們今天要說的剝離鏈（Peel Chain）。

以黑客地址19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM 為例：

據MistTrack 反洗錢追踪系統顯示，約30.668 BTC 從Bitfinex 交易平台轉到黑客地址（19X...BDM），再通過兩次直線轉移將BTC 轉移到地址（3CA...AcW）。

再來看地址（3CA...AcW）的資金流向：

首先，地址（3CA...AcW）將30.6675 BTC 分為小額2.27 BTC 和大額28.39 BTC 分別轉到地址1 和地址2；接著，地址1 將2.27 BTC 分為小額0.16 BTC 和大額2.11 BTC 分別轉到地址3 和地址4；地址3 再以同樣的方式將0.16 BTC 分別轉到地址5 和地址6，其他地址同理。

為了更直觀的展示，我們截取了資金流向的一部分，讓大家更理解這種洗幣方法。

從上圖可以看到，資金被轉移到兩個地址，接著兩個地址分別又轉到另兩個地址，數額越來越小，出現的地址也越來越多，隻至最後有部分資金通過wasabi 混幣轉出或轉到Hydra Market 暗網市場。當然，這還只是一小部分的資金流向，但我們不難看出，為了躲避追踪，黑客非常有“耐心”。

我們再以另一個黑客地址1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE 為例，更多地了解Peel Chain 手法的特徵。

據區塊鏈瀏覽器顯示，該黑客地址盜走了271.22 BTC。我們接著以大額轉移地址為目標進行追踪：

……

雖然中間省略了部分轉移情況，但我們還是能清楚地看出Peel Chain 手法的特徵：

一般從一個單一的“臟”地址開始；通常不斷拆分到兩個地址；以大額和小額進行拆分；資金停留或混幣或進入交易所/暗網平台。

總結

剝離鏈（Peel Chain）技術常常被黑客使用，一方面是因為每次單獨轉移的金額很小，幾乎不會引發交易平台的風控提醒，另一方面是由於這種洗幣鏈路極度冗長和複雜，會使他們盜取的資產變得極難追踪。

對於一些複雜冗長的剝離鏈（Peel Chain），黑客通常使用計算機程序自動化該過程。儘管如此，我們仍可以使用腳本及追踪工具來追踪此類事件。憑藉支持多幣種、數量超10 萬的惡意地址庫，慢霧AML 旗下反洗錢追踪系統MistTrack 將幫助加密貨幣交易平台、用戶個人等追踪溯源，實時監控拉黑黑客地址並聯動各大交易平台凍結資金，為資金安全更好地保駕護航。

相關鏈接：

https://en.bitcoin.it/wiki/Privacy

https://aml.slowmist.com/mistTrack.html