STO:图文追踪PlusToken资产转移行踪（三）：部分BTC被混淆处理后 从OTC渠道卖出_LiquiShield

区块链第一大资金盘项目PlusToken自从被证实跑路后，其吸纳的加密货币资产流向就一直牵动着广大用户的心，尤其是BTC部分的资产。PeckShield在上一篇《图文追踪PlusToken资产转移行踪》中，发现PlusToken两个主要BTC钱包地址出现异动，共计2.85万个BTC发生转移，主要目的是将资金打散。

自北京时间2019年08月20日以来，PeckShield数字资产护航系统(AML)监测到众多跑路地址上的资金发生汇聚，91,779个原属于多签地址的BTC被集中汇聚到5个单签地址中，再由单签地址进行转移。

通过跟进分析被转移的BTC资产，特别是被切分为0.1—10数额不等的BTC交易，PeckShield安全人员发现部分资金并没有直接流入交易所，而是通过类似ChipMixer的工具进行混淆，再通过场外OTC的渠道卖出。

Andre Cronje：推荐Fantom的13个理由:2月2日消息，Yearn.finance创始人AndreCronje发文列举为什么要选择Fantom的13个原因包括：1、更快的交易确认时间（低于900毫秒）；2、无回滚的交易不可逆性；3、同步RPC；4、Gas费用货币化；5、Gas补贴；6、原生智能钱包；7、完全的Solidity和Vyper兼容性；8、网络间无分段；9、可持续资金与收入；10、开发者友好；11、积极主动的安全审计；12、长期的历史可靠性；13、处在上升期的赛道。[2023/2/2 11:43:06]

下文会对PlusTokenBTC资产最近的流向做进一步展开分析。

原属于多签地址上的BTC集中汇聚

知情人士：FTX US的员工正试图在SBF缺席的情况下出售资产:11月11日消息，据知情人士透露FTX美国分公司FTX US的员工正试图出售公司资产，在某些情况下，FTX首席执行官SBF(Sam Bankman-Fried)没有“参与”。报道称，投资资产包括股票结算平台Embed和迈阿密一个场馆的冠名权。

SBF此前曾向公众保证，FTX的美国分公司财务状况良好。FTX US也曾表示，FTX US是一个独立的实体，拥有独立的管理人员、技术基础设施和许可，交易所继续正常运作。（The Block）[2022/11/11 12:47:01]

08月23日晚19点40分，PeckShield监测到众多PlusToken跑路资产发生汇聚，资金来源都是《图文追踪PlusToken资产转移行踪》中提到暂存BTC的多签地址，截至08月26日，所有多签地址上的资产共计91,779个BTC都被集中汇聚到5个单签地址中。

Web3货运保险科技公司Otonomi完成340万美元融资，ATX Ventures领投:10月14日消息，Web3货运保险科技公司Otonomi宣布完成340万美元新一轮融资，ATX Ventures领投，GSR Ventures、Greenlight ReInnovations、Punja.VC、Altari Ventures、Soundboard Venture Fund、Blackhorn VC、Bering Waters、REFASHIOND Ventures以及一些天使投资人参投。

据悉，Otonomi正在通过构建复杂的模型推出参数化货物延误保险，并已与Chainlink达成了技术合作伙伴关系，将利用行业领先的预言机智能合约以及高级风险数据分析构建一个参数保险平台，目前其业务主要覆盖金融、保险、区块链、Web/UX设计、营销和安全6大领域。（AJOT）[2022/10/14 14:27:58]

以下是部分交易示例：

图示1:BTC资产汇聚交易a

图示2:BTC资产汇聚交易b

为了让大家更加直观的了解这部分资金流向，PeckShield数字资产护航系统(AML)制作了如下资产汇聚路径图：

图示3:多签地址资产汇聚图

BTC资产转移分析

在过去的十多天里，PeckShield监控中的PlusToken关键地址中的BTC被不断切分、分散，其他地址上的资产也被用同样的方式进行转移。据不完全统计，过去两周内，约57,751个BTC被最终切分成0.1-10BTC不等的小额分散转移。

目前大多数被切分成小额的BTC还暂存在不同地址中，由于BTC地址的特性，无法确定这部分资产已流入交易所。但其中也有少部分资产PeckShield安全人员发现通过类似ChipMixer的工具进行混淆，再通过场外OTC渠道的方式卖出。

如下，125nvL开头的地址转出一笔交易，该地址是由31odn4开头的PlusToken主要钱包地址转移资产生成的。

图示4:125nvL开头的地址资产转出

之后这笔资产经过多次转移由37K1qd开头的地址切分分散转移至若干地址：

图示5:资产分散转移至若干地址

继续追踪发现，被切分成小额的BTC与其他UTXO一起作为输入进行了清洗，例如如下的交易：

图示6:切分为小额的资产被清洗

输入输出前后的BTC数额相同，输入杂乱无序，但仔细观察输出，会发现有迹可循：

最小的输出在0.001BTC左右；

有众多相同BTC数额的输出，例如0.20122882等；

存在大量BTC数额翻倍的输出，例如0.20122882，0.40245764等；

图示7:清洗存在某种特征

这里要简单介绍下比特币混淆器，虽然比特币作为一种加密货币存在良好的匿名性，但是因为其交易全部公开在区块链中，只要定位到源地址，就可以一直追溯该地址上的资金流向，当地址与人物身份产生某种关联时，比特币就不在匿名性的特点了。基于这种需求，慢慢出现了可以帮助用户隐藏交易信息的服务，可以进一步的提高隐私和匿名性，这种工具叫做比特币混淆器。简言之，比特币混淆器就是通过某种方法匹配用户需要混淆的数额，将随机数量的比特币发送到用户地址，直到用户请求发送的总数额到达指定地址。一般混淆器都支持将一笔大额比特币输入混淆成若干小额比特币输出和若干小额比特币输入混淆成大额输出等。

虽然混淆的比特币数额随机，但不同方法也是有迹可循的，例如ChipMixer，混淆后的比特币数额都在0.001—8.192之间，且存在众多1.024倍数的数额。

此前PeckShield安全人员在追踪5月份币安交易所被盗的7,000多BTC时，就发现有众多BTC最终是通过ChipMixer混淆后由黑客转出的，如下是部分币安被盗BTC资产混淆后数额统一变为2.048。

图示8:币安被盗BTC通过ChipMixer混淆

综合以上的分析，我们认为部分PlusTokenBTC资产已通过类似ChipMixer的工具进行混淆，再通过场外OTC渠道的方式卖出。为了逃避资产追踪和交易所的冻结，跑路方不断设障，采用了资产多层转移切分—混淆—场外OTC卖出的方式进行洗币。

PeckShield数字资产护航系统基于各大公链生态数据的全面挖掘和剖析，积累了海量高风险黑名单库，能够从庞大的链上数据库中精准提炼出黑客的行踪，并联合全球各大交易所、社区治理单位等合作伙伴，对黑客行踪展开全链、全时段、反伪装等步步追踪和实时封堵。

标签：BTC比特币STOSHIELDUBTC比特币钱包余额截图onston币元宇宙LiquiShield

比特币交易所热门资讯