使用交易所的钱包地址

大额转账

当我们从被盗的交易所/地址收到资金后交易所钱包，我们通常会首先获取一个可疑地址，即黑客转移被盗资金的地址。这时候我们可以先关注一下地址的大额转账趋势，从而判断黑客盗取资金后的第一个动作。

具体方法是通过区块链浏览器输入可疑地址，查询该地址的交易情况，从交易结果列表中找出大笔资金流向，按照新的流向打开每一层地址，分层逐层。深入查询，可以画出大额资金流向图。

以下是从 Upbit 交易所窃取的以太坊资金流向示例：

已知：被盗以太坊从交易所流出的地址是：0x5e032243d507c743b061ef021e2ec7fcc6d3ab89，流入黑客的地址是：0xa09871aeadf4994ca12f5c0b6056bbd1d343c029

地址查询：

调用智能合约分散资金

除了以上两种方式外，黑客还可以将币转入不同的智能合约，然后调用智能合约的转帐来瓜分赃物。这种方法的缺点是不容易识别硬币进入了谁的口袋，但同时被盗的钱的地址将作为新的一层线索来追踪黑客的轨迹。具体方法同上，同样需要通过开发者的代码来实现，本文不做详细介绍。

分析交易所充提地址

首先我们要了解一下什么是交易所充提地址。交易所存款地址是个人将资金存入交易所的钱包地址。因为交易所有KYC认证，如果资金通过个人地址进入交易所，那么我们可以从交易所的KYC信息中获取具体的用户信息。提币地址是指个人从交易所提币的地址。

以Upbit事件为例，黑客地址经过9层转账后向币安转账了少量19.6 ETH。我们可以从 Tokenview 区块浏览器查看这笔交易的详细信息：Hash-0xd16223c470823219c73e7e357826fed73bc6514d03328039f877c4ba8cdc623d

如果币安有相关的 KYC 记录，我们可以确定详细的用户信息。当然，这种想法往往过于直接。黑客既然选择转账到交易所账户，难免会考虑到自己信息的匿名性，他们的KYC信息也不会是真实的。

持续监控地址

一般来说，黑客不会在短期内将被盗资金转移到交易所。从窃取资金到彻底卖掉，整个过程可能会持续半年甚至更长时间。这也给我们的监控带来了很多困难。这时候，如果你可以订阅某个地址的余额变动，并第一时间获取相关信息，那么监控就会变得容易很多。

具体操作如下：

我们可以通过这个工具获取任意地址的余额变化，不仅限于以太坊，还包括Omni链上的比特币和USDT。当然，地址溯源的方式不限于以上几点，能够攻破交易所的黑客必然会使用各种反溯源手段来应对交易所钱包，包括使用去中心化交易所提现、使用混币器/mixers等技术手段阻碍溯源等，地址变更的背后，反映了区块链本身的监管问题。

如何在保障用户权益和隐私的前提下，合理有效地对区块链网络进行链上治理；在某些情况下是否应该为黑客或类似事件保留？权限；如何平衡不可能的三角关系？这些都是行业需要解决的问题。