重温 Wannacry 的比特币钱包

0×00 评论

两年前，Wannacry 爆发后不久，笔者发表了《说起Wannacry 的比特币钱包》一文，引起了众多小伙伴的关注。本文从比特币的基本特征、交易数据采集、交易记录分析、资金流向可视化等方面介绍了Wannacry事件涉及的三个比特币账户。由于“涉案”账户并没有转移“脏钱”，当时只分析了资金来源，没有研究去向。

有热心朋友提醒，账户在2017年8月3日转账资金，那么我们来看看账户里的钱去哪儿了？过去两年该帐户发生了什么变化？

提示：为了简化描述，wannacry的三个比特币钱包改名如下：

0x01 当传输时间

筛选三个钱包的所有交易记录后，共有397笔交易，其中6笔转出，每个钱包对应2笔交易，如下图：

图1 11 钱包转账记录

图2 12个钱包转账记录

图 3 13 钱包转账记录

20170803 11:39:15、12:28:20、12:41:34 分别发生了 6 笔交易，需要注意的是交易时间是相同的交易记录都记录在同一个块上，所以块时间是一样的。据此推测，北京时间2017年8月3日12:00左右（从5.12开始的83天），有人操作了这三个账户，并将其中的钱转移了。

0x02 资金去向1、账户里有多少钱

三个钱包的传入交易数量分别为：11号钱包119笔、12号钱包136笔、13号钱包138笔。分布上没有显着差异，也符合《比特币钱包》 Number”表示希望“其中提到的wannacry病毒程序对支付账户的随机化。

图 4 来自钱包的传入交易百分比

截至201年第3天7.8.，每个钱包收到的比特币数量分别为：14.41067602btc，17.77113037btc，19.74510304btc比特币钱包什么时候有的，一共5个1.92690943btc。

图5各钱包转账金额占比

2、资金去哪儿了

为了回答这个问题，我们需要收集和跟踪201年第3天的转账数据7.8.。我们仍然使用scrapy框架进行爬取。由于数据源网站使用的是js脚本，所以urllib获取的内容并不是真实展示的数据，所以引入selenium+phantomjs的方法调用无界面浏览器爬取网页。 （高版本的selenium已经放弃了对phantomjs的支持，可以使用chrome或者火狐浏览器，通常使用headless模式来减少资源消耗）

Step1：确定爬虫入口

为了追踪钱包里钱的去向，需要密切关注外出交易，所以8.3天3个钱包的6条外出记录是重点。爬虫的入口是6条传出记录。 6个传出交易的id如下：

d17829f8097ed86fa2e961b5ccefc51877673f649196621bf90e03f42f1e9ab8ef0ac1c130740138805bfb7cd605456e440266db1fd85ae5b4a852a7172fcf2f35e5d5fe8c8128cfa6884f56be5817e4138c58c91b79d78d3e78a8d365b9d8a7409803bb5e124fd028c0482027c7722e84ce55b78204b279d3a44aba5e7c16988def6458a46234ab0e040602e7852ff5cf58650f3f1102803b1d4bca4cc293a1a028bb2d4c795cb8a8fd2f03285934fba8747fa84296fb7711dcda179b21cc4c

根据数据的特点，我们制作如下两张表，分别记录交易概况和交易明细。

表 1：交易概览。记录每笔交易的id、区块高度、确认次数、区块时间、rawtx、虚拟大小、权重、输入、输出、Sigops、矿工费、矿工费率。

图 6 交易记录元素

表 2：交易详情。记录每笔资金流向的详细信息，包括交易ID、钱包地址、流入流出类型、btc金额、上一次或下一次交易ID。如下图所示，本次交易包含3条资金流向信息，1条投入资金，2条产出资金。

图 7 交易详细信息元素

第二步：开始抓取

由于爬虫从6个入口地址开始，跟踪资金流向，只有一条交易记录爬取完成后才能获取到下一笔交易的页面地址，所以同时爬取的最大请求数可以只有be是6，大大限制了爬虫的工作效率。为了简化爬取过程，只爬取部分数据进行分析。

第三步：可视化分析

我们跟踪了钱包 11 的两条流出记录，共收集到 593 笔交易，涉及 40,756 笔资金流。数据格式化后，导入ge​​phi进行可视化展示。

图8 钱包11的交易可视化

我要去~~~~密集恐惧症犯了。 . . . 可以看到图中有36409个节点和37247条边。

这些节点和边代表什么？根据比特币交易的特点，很多交易记录不是单一账户对单一账户，而是一对多、多对一、多对多的资金流动关系，所以我们不能直接关联一个在提取资金流时与另一个帐户。账户需要关联交易块作为中介，所以图中的节点包括钱包和交易块两种；图中连线连接钱包和交易区块，代表资金流向，连线箭头方向代表资金流向。

为了让上图更加清晰直观，我们会根据节点的类型对数据进行处理和着色。红色代表钱包，绿色代表交易区块，可以看出画面笼罩在密密麻麻的钱包中。

图 9 钱包 11 的交易可视化（颜色编码）

根据交易特性，交易区块必须与输入和输出账户相连，因此交易区块节点在图上的度数必须大于1，使用k-core算法过滤图中度数为 1 的节点。

图 10 钱包 11 的交易可视化（彩色编码）k-core>1

可以看到图中的点和边急剧减少到1163（3.19%）和2003（5.38%），除了593个交易块节点外，还有保留了 570 个钱包节点，说明这些钱包关联了多个交易区块比特币钱包什么时候有的，参与了多笔交易。我们使用节点的出度值来调整节点大小，得到下图。

图11 钱包11（彩色编码）出度调整的交易可视化

可以看到其中一个钱包非常大，说明资金流出的数量非常大。为了验证这个钱包的交易信息，我们可以看到有210,650笔交易，总共收到了2,096,890.53333999 BTC。 2017 年 4 月有几笔交易，交易数量从 5 月底开始激增。从钱包的流程来看，它看起来像是一个用来提供洗钱服务的账户。

图 12 关键钱包交易统计

当k-core过滤条件调整为3，边的宽度也随着资金流的大小成比例缩放，可以看到下图中剩下的钱包可以看成是核心节点。从图中的线条可以看出，上图得到的钱包的交易量确实很大。

图13 钱包11（彩色编码）侧调交易可视化图

以上分析只是11钱包里的资金流向，已经很复杂了。为了简化问题，我们仅使用 2017 年 12 月 31 日之前的交易数据对三个钱包进行分析。将数据导入gephi后，形成16万个节点，近10万条边，采用k-core算法过滤3度。以下节点，得到下图。

图14 案例中涉及的钱包交易可视化（彩色编码）k-core>3

使用加权进出度调整节点大小得到下图

图15 案例中涉及的钱包交易可视化（彩色编码）加权进出度

可以看出图中部分节点调整后变得异常大。随机选择其中一个点查询后，可以看到31个比率交易的成交额高达11,777.56150534BTC，不禁为这个账户增添了神秘色彩。

根据上图，这三个账户的资金极其复杂，而且还经过了很多Mix账户，专门用来洗钱。

3、8 月 3 日之后的帐户

2017年8月3日，“脏钱”同时从三个账户转出后，仍有源源不断的资金要转入账户。

图16 钱包11后的交易记录“脏”

图17 钱包12后的交易记录“脏”

图18 钱包13后的交易记录“脏”

问题：为什么还有钱要转账？

A：可以看出，最近一次转会是在2019年5月，可以猜想很多不知情的人还在招募wannacry，或者这些账号是别有用心。

4、为什么选择 2017 年 8 月 3 日？

毕竟作者也是外人，所以只能虚心回答这个问题。

图 19 月交易统计

上图显示了自 201 年 5 月以来每个月收到的交易数量7.。可以看出，5月份的交易非常活跃。只用了18天就赢了33笔交易，6月的骤变降到了17，7月更是惨不忍睹2。可见交易活跃度的极度下降让账户拥有者再也没有耐心等待任何更长的时间，并选择在8.3天转移比特币。

5、什么时候兑换现金？

众所周知，2017年比特币开始疯狂，趋势如下：

图20 2017-2019年比特币价格走势图

短短半年时间，比特币从12日的5.近7000美元涨到近20000美元，三个账户收到的51.92690943btc，如果在最高点变现， 100.4552 万美元的利润。

0x04 比特币账户真的很难追踪吗？

加密货币比特币因其匿名性而受到非法交易的欢迎，并已成为许多在线地下交易的首选支付方式。虽然比特币账户是匿名的，但它的交易并不是匿名的，即比特币账户的注册不需要实名认证，但是整个比特币网络的交易记录都是基于区块链技术的，而发生的每一笔交易在整个支付网络中。每笔交易都记录在“区块链”上，这是比特币货币系统使用的去中心化交易记录机制，用于跟踪谁在何时拥有哪些比特币，并防止欺诈和伪造。但是，这些交易只是根据比特币地址进行记录，而这些地址并不一定与任何人的身份绑定，因此无法从这些公开的交易记录中追踪用户的身份。

如果你根据流量数据监控和识别比特币交易，从而确定交易者的位置，你能获得他们的身份吗？首先需要说明的是，为了增加追踪难度，交易者经常配合“暗网”进行比特币交易，就像Wannary利用tor搭建C&C通道一样，也是实现链接匿名。对于比特币交易的研究，有学者利用大数据关联分析各个账户之间的关系来寻找线索。但是，如果交易是通过 Bitlaundry、Bitmix 或 Bitcoinlaundry 等“比特币洗钱服务”平台支付比特币，那么追踪这些比特币将变得更加困难，甚至不可能。

0x05写在最后

本文只是对比特币交易分析的简要介绍。对其跟踪的研究仍然非常复杂繁琐，涉及的知识很多。

*本文原作者：追影者，本文属于FreeBuf原创打赏计划，未经允许禁止转载