图文追踪PlusToken资产转移行踪（三）：部分BTC被混淆处理后，从OTC渠道卖出

摘要:PlusToken的部分资金并没有直接流入交易所，而是被ChipMixer之类的工具迷惑，然后通过OTC渠道卖出。

区块链最大的资本盘项目PlusToken，从确认运行开始就一直牵动着用户的心，尤其是BTC的资产。PeckShield发现，在上一篇文章《图文追踪PlusToken资产转移去向(二)》中，PlusToken的两个主要BTC钱包地址被更改，共转移了28500个BTC，主要是为了分散资金。

自北京时间2019年8月20日起，PeckShield数字资产护送系统(AML)在多个运行地址监测到资金的汇聚，91779个原本属于多签地址的BTC被集中到5个单签地址，然后从单签地址转出。

PeckShield安全人员通过对转入的BTC资产，尤其是0.1-10不同金额的BTC交易进行后续分析，发现部分资金并没有直接流入交易所，而是被ChipMixer之类的工具混淆，然后通过场外渠道卖出。

下文将进一步分析普卢斯托克BTC公司最近的资产流动情况。

8月23日晚19: 40，PeckShield监控到PlusToken的多项资产汇聚，均由《追踪PlusToken资产转移(一)》中提到的临时BTC的多签地址资助。截至8月26日，来自所有多签地址的91779个BTC集中在五个单签地址。

以下是一些交易示例:

图1: BTC资产汇总交易a

图2: BTC资产融合交易B

为了让人们更直观地了解这部分资金的流向，PeckShield数字资产护航系统(AML)做了以下资产汇聚路径图:

图3:多签名地址资产聚合图

BTC资产转移分析在过去的十天里，PeckShield监控的PlusToken关键地址的BTC不断被分割分散，其他地址的资产也以同样的方式被转移。据不完全统计，在过去两周内，约有57，751个BTC最终被分成0.1至10 BTC不等的小额分散转让。

目前，大部分被切成小块的BTC仍然临时存放在不同的地址。由于BTC地址的特点，不可能确定这些资产已经流入交易所。但也有少部分资产是PeckShield安全人员发现被ChipMixer之类的工具迷惑，然后通过OTC渠道出售的。

如下，以125nvL开头的地址转移一笔交易，由以31odn4开头的PlusToken主钱包地址转移资产生成。

Illustration 4:从NVL出发的125个地址资产被转出。

之后，该资产通过多次转移，转移到多个地址，从37K1qd的地址分段开始:

图5:资产分散转移到几个地址。

后续发现被切成小块的BTC和其他UTXO一起被清洗作为输入，比如下面的交易:

图6:分割成小额的资产被清洗。

输入输出前后的BTC量是一样的，输入是无序的，但仔细观察输出，会发现有迹可循:

最小输出约为0.001 BTC；

同样的BTC量有很多输出，比如0.202882；

有大量的BTC输出具有双倍的金额，如0.2012882，0.4764等。

图7:清洁有一定的特点。

下面简单介绍一下比特币混淆器。虽然比特币作为一种加密货币，具有很好的匿名性，因为它的所有交易都是在区块链公开的，只要定位到源地址，就可以一直追踪到地址上的资金流向。当地址与人的身份相关时，比特币就不再是匿名的了。基于这种需求，可以帮助用户隐藏交易信息的服务逐渐出现，可以进一步提高隐私性和匿名性。这个工具叫做比特币混淆器。

简而言之，比特币混淆器通过某种方法匹配用户需要混淆的金额，向用户地址发送随机数量的比特币，直到用户请求的总金额到达指定地址。通用混淆器支持将大量的比特币输入混淆成几个少量的比特币输出，将几个少量的比特币输入混淆成大量的输出。

虽然混淆的比特币金额是随机的，但不同的方法是可以追查的。比如ChipMixer，混淆的比特币金额在0.001到8.192之间，还有很多1.024的倍数。

此前，PeckShield安全人员在跟踪5月份从货币交易所被盗的7000多枚BTC时，发现许多BTC在被ChipMixer混淆后，最终被黑客转移出去。以下是部分被盗BTC资产混淆后的统一金额2.048。

图8:被盗的BTC被ChipMixer迷惑了。

基于以上分析，我们认为PlusToken BTC公司的部分资产已经被类似ChipMixer的工具混淆，然后通过OTC渠道出售。为了躲避资产追踪和交易所的冻结，跑路者不断设置障碍，采取多层转移分割资产——混淆视听——场外出售的方法洗黑钱。

PeckShield数字资产护航系统(AML)，基于对各大链条生态数据的全面挖掘和分析，积累了大量高危黑名单，能够从庞大的线上数据库中精准提取黑客行踪，配合全球各大交易所、社区治理单位等合作伙伴，对黑客洗钱行踪进行逐级、全时段、反伪装等追踪和封堵。

(作者:PeckShield，内容来自链家的内容开放平台“德豪”；本文仅代表作者观点，不代表链家官方立场)

温馨提示：注：内容来源均采集于互联网，不要轻信任何，后果自负，本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权，请给我们来信(j7hr0a@163.com)，我们会及时处理和回复。

原文地址"图文追踪PlusToken资产转移行踪（三）：部分BTC被混淆处理后，从OTC渠道卖出"：http://www.guoyinggangguan.com/xedk/217218.html。

微信扫描二维码关注官方微信
▲长按图片识别二维码