专家说 | 电子数据取证中虚拟货币的调查分析及思路探讨(下)
imToken 是一款全球领先的区块链数字资产管理工具[ZB],帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产,同时支持去中心化币币兑换功能 ...
编者注
随着虚拟货币不断被炒作、价格不断上涨,虚拟货币成为越来越多经济犯罪案件中利益输送的主要手段。相关部门对虚拟货币的打击力度不断加大,但相关案件数量依然居高不下。同时,在目前的电子数据取证工作中,现有的涉及虚拟货币的侦查手段也面临取证工作量大、分析难度大、证据冻结难度大等诸多问题。
美亚柏科作为国内电子数据取证行业的领军企业,致力于网络空间安全与电子数据取证相关技术的研究,近日我们推出由美亚柏科电子数据取证专家撰写的《电子数据取证工作中虚拟货币的调查分析及思路探讨》系列专题文章。
本文是《电子数据取证工作中虚拟货币的调查分析与思路》的第二篇,主要带领大家了解电子数据取证工作中虚拟货币的调查分析所涉及的技术和思路。
一
总体思路
针对第一部分“电子数据取证工作中虚拟货币案件的调查分析及思路探讨”中提到的虚拟货币案件在电子证据收集过程中遇到的困难,我们提出了针对虚拟货币案件的分析思路。
整体思路主要包括以下几个方面:首先需要找到分析对象即数据来源:目标钱包地址,这涉及到钱包地址的检索以及虚拟货币交易相关APP、PC程序的取证技术;其次,获取目标钱包地址之后需要下载并清洗同链数据,实现目标钱包地址的交易记录及资金流向分析,这涉及到钱包地址交易记录的分析技术;第三,钱包地址具有匿名性,只有属于中心化交易所的钱包地址才可以被检索到,因此涉及到钱包地址的归属标签技术;最后,对于被扣押的虚拟货币如何进行存管及合规处置,这涉及到虚拟货币的保管及合规处置技术。
二
创新技术和分析理念
1.虚拟货币钱包地址取证技术
钱包地址主要有三个来源。
首先,钱包地址主要来源于虚拟货币交易相关的APP和PC程序,可以取证收集相关手机钱包APP、交易所APP、PC程序的本地数据和云端数据,比如比特派等钱包APP,火币、币安、OKEX等交易所APPimToken官网下载,可以提取相关充提交易记录、登录IP等信息。这里值得指出的是,虽然钱包地址的交易记录可以在链上查询,但是对于中心化交易所来说,有些虚拟货币的交易记录只记录在交易所内部,并不同步到公链,比如交易所内部的买卖撮合订单,在公链上是无法查询到的。因此,为了保证取证数据的完整性,需要对虚拟货币交易相关的APP和PC程序进行取证。
其次,钱包地址可能来自于聊天软件的对话记录,通常为字符串、单词组合(钱包地址的私钥)等形式,借助正则表达式可以获取相关的钱包地址。
最后,钱包地址还可能以图片的形式保存在相册等媒体文件或者PC上,通过OCR识别技术可以识别出钱包地址或者密钥的相关图片。因此虚拟货币钱包地址取证主要针对相关样本的取证,包括交易APP、聊天记录、相册等。
2.虚拟货币交易记录分析技术
虚拟货币钱包地址的交易记录和资金流向分析在电子数据取证分析中尤为重要。虚拟货币交易记录分析一般分为几个步骤:以比特币为例,首先下载比特币节点数据,包括全节点、轻节点、挖矿节点等,可根据分析需求下载所需数据,当然全节点数据是最全的。下载比特币区块数据一般可以通过多种方式实现,比如通过Core软件同步比特币区块链数据,或者通过实现比特币P2P网络协议建立比特币全节点同步区块数据,或者通过区块链浏览器提供的API接口同步数据。
下载完区块链数据后,接下来就是构建区块链数据分析模型。Bit 数据分析模型采用的是 UTXO 分析模型。UTXO 是 TX 的未花费交易输出,是比特币交易的基本单位。任何交易总是由若干个输入和输出组成。除了交易即创币交易之外,交易是系统给予矿工的挖矿奖励,只有输出,没有输入。因此,可以将每一笔交易的输入和输出串联起来,这样就可以构建输入输出数据模型。最后将区块数据写入数据库,实现区块数据的解析和清洗,从而实现区块数据的交易记录可视化,资金流向分析等。UTXO 模型与传统的交易模型有些不同,传统的交易模型主要基于账户设计,以账户余额为核心,以交易数据库为支撑。 UTXO模型是由若干个输入和输出组成的链式结构,所有的交易都可以追溯到前一笔或多笔交易的输出。
我们举个例子来说明一下。A通过挖矿获得了25个比特币,存放在自己的钱包地址中,这笔交易只有输出没有输入,这笔交易就叫做一笔交易。几天后,A分别向B转了5个比特币,向C转了10个比特币。这笔交易中产生了3个UTXO,分别是A钱包地址下10个比特币,向B转了5个比特币,向C转了10个比特币。几天后,B、C分别向D转了2.5个比特币,这笔交易中产生了4个UTXO,也就是A、B、C、D的未花费交易分别为10、2.5、7.5、5个比特币。因此,与传统的账户交易相比,UTXO交易只需要查看最后一笔交易就可以查看对应钱包地址下的余额,所以在区块链数据分析模型中,UTXO模型的建立尤为重要。
在实际取证分析过程中,由于区块链交易数据实时增加,交易量巨大,目前区块数据大小已达到近400GB,并以每年50GB以上的速度增长,对服务器和运行全节点的性能提出了更高的技术挑战。同时虚拟货币种类较多,适配工作量较大,目前分析工作以主流币种的支持为主,可根据案件需要添加小币种。
3.虚拟货币钱包地址标注技术
钱包地址标注技术是指自动标注钱包地址所属的交易所、钱包APP、矿池等类型,方便后续从交易所调取对应钱包地址下的注册、交易等信息。钱包地址标注体系主要获取钱包地址大数据,提取标注的主要特征,通过特征间的相似性对钱包地址进行聚类和标注。常用算法通常基于无监督的社交网络节点排序和社区发现算法,以及半监督或有监督的图嵌入或社交网络表示学习算法构建区块链钱包地址标注体系,自动标注钱包地址属性。因此标注体系的准确性和完备性对于后续的验证工作尤为重要。
4.专业的虚拟货币托管技术
目前实际案件中,存在被扣押的虚拟货币无法合规存放的问题。目前的保管方式主要是将扣押的虚拟货币转移到个人钱包地址或购买硬件钱包或存放在交易所进行保管。但目前的存放方式也面临钱包地址私钥丢失、交易所倒闭、虚拟货币私自转移等诸多问题,都可能造成虚拟货币的损失。对于涉案金额较大的虚拟货币,还涉及多个执法部门的联合审批。因此,设计专业化、定制化的虚拟货币保管工具尤为必要。
托管工具的设计要重点解决两个问题:钱包地址密钥的安全性和多个执法机构的联合审批。目前常用的技术手段主要采用MPC(Multi-Party)安全多方算法,可以解决多个互不信任的参与方联合协作的问题。通过MPC技术可以在保护个人隐私数据的前提下,实现私有数据和密钥的共享。该技术可以对密钥进行拆分,拆分后的每一块可以由不同的参与方保管。个人无法恢复密钥,只有多个人通过协作沟通才能恢复密钥文件。因此,该技术可以同时解决密钥安全问题和多部门联合审批的问题。
5.虚拟货币合规处置技术
自2021年9月24日起,国家明确,一切与虚拟货币有关的交易都是违法的。但扣押的虚拟货币不能直接进入执法机构的对公账户,只能兑换成法定货币。如何合规地将虚拟货币兑换成法定货币是目前面临的主要问题。现有的处理方式还是采取私下交易的方式,也就是个人之间的交易,但这种方式存在违法风险imtoken硬件钱包购买,也不合规。我们知道虚拟货币是通过算力计算出来的,所以用虚拟货币来代替算力是完全有可能的。当然,这种处置方式还有待实践验证,处置主体是国家机构处置,还是委托第三方机构处置,也是未来要探索的方向。
以上内容是对电子数据取证中虚拟货币调查分析所涉及的技术和思路的探讨,包括钱包地址取证、交易记录分析、归属标签以及虚拟货币保管处置的完整思路。当然,随着虚拟货币种类的不断增多,交易数据量的不断增加,目前的取证技术和分析思路仍需要不断完善和探讨。如何提高钱包地址识别和标签模型的准确率,如何建立快速支持新币种的取证模型,如何提高分析性能,如何建立完整的虚拟货币交易监管预警平台仍是未来重点研究的方向。