重温 Wannacry 的比特币钱包

0×00 评论

两年前，在Wannacry爆发后不久，笔者发表了《说起Wannacry的比特币钱包》一文，引起了很多朋友的关注。 文章从比特币的基本特征、交易数据收集、交易记录分析、资金流向可视化等方面介绍了Wannacry事件中涉及的三个比特币账户。 由于“涉案”账户并未划转“赃款”，当时仅分析资金来源，并未调查去向。

有热心的朋友提醒说，账户是在2017年8月3日转账的，那么我们来看看账户里的钱去了哪里？ 账户这两年发生了什么？

提示：为简化描述，将wannacry的三个比特币钱包更名如下：

0x01 当传输时间

筛选了三个钱包的所有交易记录，一共397笔交易，其中转出6笔，每个钱包对应2笔交易，如下图：

图1 11个钱包转账记录

图2 12个钱包转账记录

图3 13个钱包转账记录

6笔交易发生在20170803的11:39:15、12:28:20、12:41:34，需要注意的是，交易时间相同的交易记录都记录在同一个区块中，所以区块时间都是一样的。 据此可以推断，有人在北京时间2017年8月3日（距5月12日83日）12点左右对这三个账户进行操作，将账户中的钱转走。

0x02 资金去哪儿 1.账户里有多少钱

转入三个钱包的交易数分别为：119个钱包11个、136个钱包12个、138个钱包13个，从分布上看没有明显差异，也符合“数说Wannacry的比特币钱包”的随机化wannacry 病毒程序的付款帐户。

图4 各钱包转入交易占比

截至2017年8月3日，每个钱包收到的比特币数量为：14.41067602btc、17.77113037btc、19.74510304btc，共计51.92690943btc。

图5 各钱包转账金额占比

2、资金去了哪里？

为了回答这个问题，我们需要对2017年8月3日转出的数据进行采集和追踪，我们仍然使用scrapy框架进行爬取。 由于数据源网站使用的是js脚本，所以urllib获取到的内容并不是真正的数据。 ，所以引入selenium+phantomjs的方式调用无界面浏览器抓取网页。 （高版本的selenium已经放弃了对phantomjs的支持，可以选择chrome或者firefox浏览器，通常选择headless模式来减少资源消耗）

Step1：确定爬虫入口

为了追踪钱包中钱的去向，需要密切关注转账交易。 因此，8月3日3个钱包的6笔转账记录是重点。 爬虫的入口是6条转账记录。 6笔转账交易的id如下：

d17829f8097ed86fa2e961b5ccefc51877673f649196621bf90e03f42f1e9ab8

ef0ac1c130740138805bfb7cd605456e440266db1fd85ae5b4a852a7172fcf2f

35e5d5fe8c8128cfa6884f56be5817e4138c58c91b79d78d3e78a8d365b9d8a7

409803bb5e124fd028c0482027c7722e84ce55b78204b279d3a44aba5e7c1698

8def6458a46234ab0e040602e7852ff5cf58650f3f1102803b1d4bca4cc293a1

a028bb2d4c795cb8a8fd2f03285934fba8747fa84296fb7711dcda179b21cc4c

根据数据的特点，我们制作了如下两张表，分别记录交易概况和交易明细。

表 1：交易概览。 记录每笔交易的id、区块高度、确认数、区块时间、rawtx、虚拟大小、权重、输入、输出、Sigops、矿工费、矿工费率。

图 6 交易记录元素

表 2：交易详情。 记录每笔资金流向的明细，包括交易Id、钱包地址、流入流出类型、btc金额、上次或下一次交易id。 如下图所示，本次交易包含3笔资金流向信息，1笔入金，2笔出金。

图 7 交易明细元素

Step2：开始爬取

由于爬虫以6个入口地址为起点进行爬取，跟踪资金流向，爬取一条交易记录后才能获取到下一笔交易的页面地址，所以同时爬取的请求数最多只能为6个.这极大地限制了爬虫的工作效率。 为了简化爬取过程，这里只爬取部分数据进行分析。

Step3：视觉分析

我们追踪了11个钱包的两次转账记录，共收集到593笔交易，涉及40756笔资金流向。 数据格式化后，导入ge​​phi进行可视化展示。

图8 钱包交易可视化11

我去~~~~密集恐惧症犯了。 . . . . 可以看出图中有36409个节点和37247条边。

这些节点和边代表什么？ 根据比特币交易的特点，很多交易记录并不是单个账户对单个账户，而是一对多、多对一、多对多的资金流转关系比特币钱包推荐，所以我们不能直接将账户关联到提取资金流量时的其他账户。 账户需要作为中介与交易区块相关联，所以图中的节点包括钱包和交易区块两种； 图中连线连接钱包和交易区块，代表资金流向，连线的箭头方向代表资金流向。

为了使上图更加清晰直观，我们对数据进行处理，并根据节点类型进行颜色编码。 红色代表钱包，绿色代表交易区块。 可以看到图片上被密密麻麻的钱包覆盖。

图 9 钱包 11 的交易可视化（颜色编码）

根据交易特点，交易区块必须与输入输出账户相连，因此图上交易区块节点的度数必须大于1，使用k-core算法过滤具有a的节点图中度数为 1。

图 10 钱包 11 的交易可视化（颜色编码） k-core>1

可以看到图中的节点和边的数量急剧下降到1163（3.19%）和2003（5.38%），除了593个交易区块节点外，还保留了570个钱包节点，说明这些钱包是相关的多个交易块发生了一个关系，涉及多个交易。 我们利用节点的出度值来调整节点的大小，得到下图。

图11 钱包11的交易可视化（颜色编码）出度调整

可以看到其中一个钱包特别大，说明资金流出的数量非常多。 为了验证我们检查了钱包的交易信息，我们可以看到有210,650笔交易，总计收到2,096,890.53333999 BTC。 2017年4月有几笔交易，交易笔数较5月底大幅增加。 从钱包的流向来看，这似乎是一个用来提供洗钱服务的账户。

图 12 主要钱包交易统计

当k核过滤条件调整为3，边的宽度也根据资金流向的大小按比例缩放时，可以看到下图中剩下的钱包都可以看作是核心节点。 从图中的线条可以看出，上图得到的钱包的交易量确实很大。

图 13 Wallet 11 交易可视化（颜色编码）边缘调整

以上分析只是11钱包的资金去向比特币钱包推荐，已经很复杂了。 为了简化问题，我们只使用2017年12月31日之前的交易数据对三个钱包进行分析。 将数据导入gephi后，形成了16万个节点和近10万条边，用k-core算法过滤了3度以下的节点，得到下图。

图14 案例涉及的钱包交易可视化（颜色编码） k-core>3

使用加权入出度调整节点大小得到如下图所示

图15 案例涉及的钱包交易可视化（颜色编码）加权进出度

可以看到图中有些节点经过调整后变得异常的大。 随机选择其中一个点位查询后，可以看到31比率交易的周转资金高达11,777.56150534 BTC，不禁为这个账户增添了神秘色彩。

从上图可以看出，这三个账户的资金去向极为复杂，并经过多个专门用于洗钱的Mix账户。

3. 8月3日之后的账户

2017年8月3日，“赃款”从三个账户同时转出后，仍有源源不断的资金转入账户。

图16 钱包11“脏”后的交易记录

图17 钱包12“脏”后的交易记录

图18 钱包13“脏”后的交易记录

问：为什么还有钱转进来？

A：可以看到最近一次转账是在2019年5月，可以猜想很多不知情的人还在招募wannacry，或者这些账号在搞其他不可告人的活动。

4、为什么选择2017年8月3日？

笔者毕竟也是局外人，只能虚心回答这个问题。

图19 按月统计交易笔数

上图是2017年5月以来每个月收到的交易数量，可以看出5月份的交易异常活跃。 仅用了18天就拿到了33笔交易，6月份下降到17笔，7月份更多。 可怜的2笔。 可以看出，交易活跃度的急剧下降，让账户所有者再也没有耐心等待，选择在8.3转出比特币。

5. 什么时候可以兑换现金？

众所周知，比特币在2017年开始疯狂走高，走势如下：

图20 比特币2017-2019价格走势图

短短半年时间，比特币从5月12日的近7000美元涨到近20000美元。 如果三个账户收到的 51.92690943 btc 在最高点实现，则利润为 1,004,552 美元。

0x04 比特币账户真的很难追踪吗？

加密货币比特币因其匿名性而受到非法交易者的青睐，已成为许多在线地下交易的首选支付方式。 比特币账户虽然是匿名的，但它的交易并不是匿名的，即注册比特币账户不需要实名认证，但是整个比特币网络的交易记录都是基于区块链技术，发生的每一笔交易在整个支付网络中，每一笔交易都记录在“区块链”上，这是比特币货币系统使用的去中心化交易记录机制，用于追踪谁在何时拥有哪些比特币，并防止欺诈和假冒。 但是，这些交易只是根据比特币地址记录的，这些地址并不一定与任何人的身份绑定，因此无法从这些公开的交易记录中追溯用户的身份。

如果使用流量数据来监控和识别比特币交易，从而确定交易者的位置，是否可以获取他们的身份？ 首先，交易者为了增加追踪难度，往往会配合“暗网”进行比特币交易，这就如同Wannary利用tor搭建C&C通道一样，也是为了实现链路匿名。 对于比特币交易的研究，有学者利用大数据关联分析各种账户之间的关系来寻找线索，但如果交易通过Bitlaundry、Bitmix或Bitcoinlaundry等“比特币洗钱服务”平台支付比特币，那么它追踪这些比特币即使不是不可能，也会变得更加困难。

0x05写在最后

本文只是对比特币交易分析的简单介绍。 对其跟踪的研究仍然十分复杂繁琐，涉及的知识非常多。 高考结束了，我还需要学习很多东西，更加努力。