图文追踪PlusToken跑路资金，2.85万个BTC出现异动，其中一笔神奇交易留有彩蛋

06月29日，区块链第一大资金盘项目 PlusToken 被用户反馈无法提币，随后六名创始团队人员在瓦努阿图因为涉嫌互联网诈骗被捕。PeckShield 在上一篇《 图文追踪PlusToken资产转移行踪（一） 》中初步跟踪统计 BTC 部分有1,203个流入交易所中。

自北京时间2019年08月12日以来，PeckShield 数字资产护航系统 (AML) 监测到 PlusToken 两个主要 BTC 钱包地址出现异动，共2.85万个 BTC 被转移。其中 33FKcwFh 开头的一个主要钱包地址转移22,922个 BTC 至四个新地址中，数额分别为4,922、5,000、6,000、7,000不等，这部分资金暂时还未进一步转移，目前尚不确定已流入交易所。

与此同时，PeckShield 发现监控中的另一个 1M1Tfsvb 开头的中转地址通过多次分散、小额转出的方式共转移5,575个BTC尚不确定是否流入交易所。而 ETH、EOS、XRP 等其他币种资产尚未有异常动向。

下文就 BTC 资产流向做进一步展开分析，文末有一个彩蛋，大家不要错过！

经 PeckShield 确认，PlusToken 已知的三个 BTC 资产汇聚地址：

图示1: BTC 资产汇聚信息

5,527个 BTC 被多次分散中转

08月12日晚19点27分，PeckShield 监测到 14BWH6Gm 开头汇聚地址的一个中转地址(1M1Tfsvb 开头)资产发生频繁转移。为了让大家更加直观的了解这部分资金流向，PeckShield 数字资产护航系统 (AML) 制作了如下资产转移路径图：

图示2: 1M1Tfsvb 开头地址资产转移图

其资产转移分为两个阶段：

1）大额资产经过多次中转，最终由 39fXUWCy 开头地址分散转出，新地址 BTC 数目在1,000左右。

图示3: 1M1Tfsvb 开头地址资金分散转出

2）新地址上的 BTC 再次分散，并最终于 08月14日23点至24点 以50—200 BTC 不等转入多个地址。由于 BTC 地址的特性，目前无法确定这部分资金已流入交易所。

图示 4: 资金以50-200 BTC 不等转入多个地址

22,922个 BTC 发生转移

与此同时， PeckShield 安全人员发现 PlusToken 另一个钱包汇聚地址 33FKcwFh 开头的地址中资产于08月13日发生异动，并通过 14gKbB4A 开头地址于08月14日11点54分转移到四个地址中，每个地址暂存4,922，5,000，6,000，7,000 BTC 不等，这部分资金暂时还未进一步转移。

图示 5: 33FKcwFh 开头地址资产发生异动

彩蛋

在 PeckShield 安全人员跟进分析 PlusToken 资产转移的过程中，发现一笔有趣的交易，该交易发生于08月15日凌晨00时08分。

图示 6: 一笔有趣的交易

如上图所示交易发起方是 18888888 开头的地址，而接收方都是 PlusToken 主要的资金汇聚地址，转入 BTC 数额非常小，同时交易备注显示“Sorry,we have run”。

PeckShield 分析认为此交易在链上标记 PlusToken 资金汇聚地址，其目的主要有两点：

• 通过向这些地址发送极少量的 BTC，进而将这些地址“粉尘化”(参考文献1），由于 BTC 每笔交易都是包含多笔 UTXO之后便可追踪使用这部分资产的交易。
• 当以上 UTXO 交易被一起使用时，这四个 PlusToken 资金汇聚地址就被证明具有关联性，且不可篡改。

PeckShield 数字资产护航系统（AML）基于各大公链生态数据的全面挖掘和剖析，积累了海量高风险黑名单库，能够从庞大的链上数据库中精准提炼出黑客的行踪，并联合全球各大交易所、社区治理单位等合作伙伴，对黑客洗钱行踪展开全链、全时段、反伪装等步步追踪和实时封堵。

参考文献：

[1] BINANCE-ACADEMY.什么是粉尘攻击. https://www.binance.vision/zh/security/what-is-a-dusting-attack