揭开跟踪比特币的神秘面纱：Wannacry 的比特币钱包中的“数字”

0×00 前言

5月12日，一场互联网领域的“大地震”席卷全球。 Wannacry 蠕虫式勒索软件以惊人的速度席卷了数百个国家。 使用 malwaretech 的全球感染地图来感受一下。

各安全公司的专家从感染初期就开始进行样本分析，发表了多篇技术分析文章，都提到了wannacry使用的三个比特币账户。 换个角度看看这三个账号的秘密。

0×01 为什么要比特币

招聘人员走投无路，想花钱买平安，却发现对方只支持比特币支付，这让习惯了快捷支付的客户每天都尴尬不已。 选择这样小众的支付方式提高了门槛，用户体验太差，让很多鸭子飞走了，也在一定程度上影响了病毒创作者的收入。 为什么？ ？ ？ ！ ！ ！ 为什么选择比特币支付？

比特币不是新事物。 自诞生以来，凭借去中心化、高匿名性等优势迅速发展。 由于其匿名性也引起了众多犯罪势力的注意，这给比特币的发展带来了不小的争议。 勒索病毒使用比特币由来已久，安全公司曝光的勒索病毒大多使用这种支付方式进行反追踪。

问：为什么比特币账户是匿名的？

A：与以银行为代表的中心化交易系统相比，比特币采用分布式结构，将所有交易记录分布存储在不同的区块链中。 没有统一的中心节点第一笔比特币转账，所有交易记录都是公开的。 同时，用户可以随意生成多个比特币钱包地址，无需实名认证，钱包之间可以随意转账，无需中介机构认证。 这些因素共同保证了比特币钱包的高度匿名性。 由于比特币的使用方式比银行复杂，一定程度上屏蔽了很多潜在客户。 为降低使用门槛，满足市场需求，部分投资者设立比特币交易所，提供货币兑换、交易等服务。 但交易所会以某种制度胁迫或账户安全为名，要求客户提供更多的个人信息，这在一定程度上降低了比特币钱包的匿名性。 这也导致勒索软件等专业团伙尽量避免在交易所交易，而选择地下市场交易。

Q：在比特币交易记录中可以获得什么？

A：银行交易记录只能由交易参与者查看，而比特币交易记录是全网公开的。 至于为什么要这样做，有兴趣的童鞋可以参考比特币的交易原理。 提供比特币交易记录查询功能的网站很多，这里推荐btc.com。 在这个网站上，您可以查看钱包、区块、矿产等任何基本信息。 在交易记录方面，我们可以很容易的获取到与本次交易关联的前后交易记录，从而可以顺着上下游追溯得到完整的比特币流向。

Q：拿到完整的交易链之后我们可以做什么？

A：与银行转账一样，向比特币账户转账次数不限，转账金额不限。 通常，电信诈骗团伙为了避免被攻击，往往将大笔交易分成几部分，转入多个账户，然后跨境转出； 比特币账户没有国籍，每个人都可以注册N个账户，这意味着成本进一步降低，犯罪集团会利用大量账户进行转账操作，从而增加分析师挖掘有价值信息的成本。 需要强调的是，比特币交易记录是以区块的形式存储的，而不是一对一存储的，这会导致出现下图形式的记录。

从这个记录中，我们只能看到输入和输出，无法准确知道哪个账户转入了哪个账户，所以这也给分析工作带来了一定的干扰。 在下一节中，您可以体会到分析过程的复杂性。 交易资金流不是简单的可以描述清楚的链式关系，而是复杂的树状结构，甚至是一张巨大的图。

0×02 准备数据源

抛砖引玉。 数据分析之前首先要做的就是数据收集。 曾有人在我的评论下称呼我为“freebuf爬虫帝王”。 这次依旧是python爬虫抓取数据的老套路，具体技术细节不再赘述。

py爬虫的写法大致有两种：

1、基于url2、bs4等python库的爬虫； 2、基于scrapy等框架的爬虫。

建议新手使用方法一来编写，这样通过反复的接触，可以更清楚地了解爬虫的架构和底层技术细节； 老司机可以选择各种框架，中间件效率更高，数据采集更完备。 本次爬取引入redis处理重复数据以进行去重，使用mysql数据库在本地存储数据，直接通过sql语句完成数据分析。

本次分析的交易记录均来自于反向获得的wannacry的三个硬编码比特币账户：

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

此外，有安全厂商分析显示，Wannacry接入TOR网络后，会为每个用户动态获取一个比特币收款账户，这样每个受害者的电脑都会得到不同的支付地址，分析师无法统计攻击者支付了多少地址被使用，所涉及的勒索金额无法准确统计。 显然，这超出了本次分析的能力范围，所以本文只对以上三个账号进行分析。

选择btc.com网站作为交易记录的数据源，对相关数据进行爬取分析。 爬虫的爬行路线大致如下：

从钱包地址可以获取钱包的所有交易明细。

从钱包页面的交易详情，可以进入某笔交易的详情页面。

交易信息记录在区块上，本次交易关联的区块链接（即比特币的上一笔/下一笔交易信息）也可以在该页面（上图红色区域）获取。

由此可见，只要我们不断迭代追溯交易的上下游，就可以得到整个比特币的轨迹，也就是资金的流向。 这三个账户里的资金去向不就可以查出来了吗？ 遗憾的是，截至发稿，这三个账户均无资金流出，即不构成分析师追查的下游。

问：为什么你收到钱后不使用它？

A：我们脑洞大开，猜一猜：

maybe1：这次事件的范围太广，远远超出了肇事者的预料，致使肇事者不敢花钱； maybe2：这三个钱包只是一个幌子，从Tor网络动态获取的钱包地址才是作案者的真正用途； maybe3 : 肇事者根本不是为了钱而来的。 maybe4：…………（欢迎大家在评论区一起集思广益）

到目前为止，我们还无法分析出资金的去向，但既然可以查到上游，那我们就来看看汇入这三个账户的钱是怎么来的吧！ ！ ！

0×03 “数字”表示wannacry交易记录

爬虫主要收集两类信息：

一、交易区块基本信息

2.交易明细

由于交易区块中记录的账户不是一对一的，往往以多对多的形式出现，所以在存储的时候，是按item存储的，分为输入和输出两种。

分析一：攻击者账户交易基本信息

收集三个账户，三个账户共有300笔交易，总共有532个输入账户和3790个输出账户。

从交易笔数可以看出，12日wannacry爆发后，13日迎来第一个交易高峰，共计61笔交易。 随着15日（周一）的到来，不少企业出于复工需要，可能会选择花钱收购平安，迎来84倍的高峰。

从三个账户余额分布图可以看出，金额基本平分。 在一定程度上可以看出程序内每个账号的选择都是随机的。

其账户的具体金额为

钱包地址 收款金额 交易次数

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

13.9145723 比特币

96

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

17.1774194 比特币

103

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

19.0258628 比特币

120

三个账户的第一笔交易id为cce780ee91f0eda86d733f8fa93e23eb676ea1dd43c0822353501de61414ece9，转入账户13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。 图11.png

下图中发生了最大的一笔交易，金额为 1.999 BTC。 最小的只有0.00000563 BTC。

分析二：资金流向

我们提取账户13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94的所有交易记录，绘制资金关系图。

PS：红点：交易区块； 绿点：比特币钱包账户； 蓝线：钱包入金； 橙色线：资金输出到钱包。

从图中可以明显看出，中间的节点是账户13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94，局部放大图。

然后沿着这个账户的所有交易记录向上追溯（由于数据量大，只追溯了一部分），得到的关系图如下。

很难在如此复杂的图中找到关系。 . . .希望大牛能给个解决办法

为了降低难度，简化问题。 现在只追踪id为f25d1ab85c889d601f3981c7bd33c55e91ec549cf46d69104bbef30361c81e的交易记录第一笔比特币转账，并且只沿着第一个输入账户向上追踪，即只以第一个输入账户的前一个交易块作为追踪路径，不追踪其他输入项，这样减少节点大小。 共提取184笔交易，涉及5446个账户，其中一笔交易来源于挖矿3437518aef70276e2b0101d7556e436a4cb00fc4dda6b5db9822b9aafb91be52。

上图是根据上述数据得出的交易关系全局图。 可以看出，虽然进行了一定程度的简化，但还是形成了复杂的画面。

在局部放大图中，可以看到很多绿点连在同一个红点上，形成一个树状结构，这意味着同一笔交易是由多个账户完成的。

红点是交易记录块，绿点是钱包，蓝线是转出，橙线是转入，这样我们就可以得到如上图所示的资金流向图。

0×04写在最后

由于wannacry的三个账户都没有转出，所以无法分析资金的下游流向，这是本文的一个遗憾。 至于比特币账户的匿名性，不能保证任何时候都有效。 勒索事件发生后，有数据分析师表示，比特币在特定情况下是可以溯源的，但需要更多的数据和成本才能完成。 在大数据时代，只要有任何行为发生，都会被记录下来，经过不同来源的数据收集和分析，数据的匿名性可能被打破。