比特币交易追踪溯源技术介绍

一、比特币回顾背景1.1 比特币交易量

目前，比特币已经诞生了 10 年。虽然是所有数字货币/公链中交易速度最慢、性能最低的区块链，但它仍然是链上最安全、最活跃、承载最多交易的区块链。一条链子。

根据比特币的编程逻辑，比特币大约每10分钟产生一个区块，每个区块的大小约为1MB。开启隔离见证（Segregated Witness）后，比特币的平均区块大小可以达到1.2MB，比特币的平均交易速度可以达到4.5笔每秒。

由此计算，比特币网络每年承载的最大交易数为1.42亿次交易（4.5*3600*24*365=141912000）。比特币年块大小最大增加61.6GB（1.2*3600*24*365/1024=61.6GB）。比特币链及交易所交易量 以比特币 2017/2018 年对美元的平均价格计算，2017 年比特币交易量达到 8580 亿美元。2018 年，比特币交易量达到 2 万亿美元左右。

1. 2 起比特币安全事件

2014年2月，当时全球最大的交易所Mt.Gox宣布损失85万比特币，市值约5亿美元，Mt.Gox正式申请破产保护。

2014 年，六个暗网的比特币日均交易量达到 65 万美元。

2015 年 1 月 5 日，Bitstamp 确认损失了 1.90,000 个比特币。

2015 年 2 月 15 日，Biter 有 7,170 个比特币被盗。

2015 年 2 月 18 日，比特币存钱罐声称 3,000 个比特币被盗。

2016年8月3日凌晨，最大的美元比特币交易平台Bitfinex官网发布公告称，由于网站存在安全漏洞，用户持有的比特币被盗。然后，据路透社报道，共有 119,756 个比特币被盗。，总价值约为6500万美元。

2017年6月29日，韩国最大、全球排名前五的比特币交易所Bithumb被发现被黑，超过30000名客户的个人信息被盗。黑客事件导致投资者损失了数十亿韩元。

2017 年 4 月 22 日凌晨 2:00 至凌晨 3:00，韩国比特币交易所 Youbit 盗取了 3831 个比特币，并发行了 Fei 代币作为用户丢失的证明。12月19日，再次遭到黑客攻击，造成相当于其总资产17%的严重损失。该交易所表示正在关门并申请破产。

由于比特币的非实名制和全球流通的特点，比特币已经成为暗网、洗钱等非法交易中的硬通货。随着比特币用户数量和接受度螺旋式上升，交易所的比特币日交易量攀升，每天都有大量交易所成为黑客的目标。被盗币兑换后的比特币资金流转、暗网、洗钱等非法比特币交易中比特币的可追溯性等类似问题亟待解决。

类似的问题是比特币交易可追溯性的主要背景。

二、比特币溯源技术2.1比特币实时交易溯源

对于单笔比特币交易的实时溯源需求，可以访问区块链浏览器，输入交易产生的唯一txid（交易id），观察资金流向。也可以直接调用比特币客户端提供的RPC接口，直接与比特币全节点客户端的leveldb交互，监控特定地址的实时交易动态。

2.2 比特币历史交易追溯

特殊情况下，单笔历史比特币交易中特定资金的去向或特定历史单笔交易的来源，会有可追溯的需求，因为涉及的交易数以千计，单笔交易可能有好几笔交易。地址。100,000 笔交易，以及比特币全节点原生客户端 leveldb 以 key value 的形式存储资金的限制，比特币的区块链浏览器无法呈现 UTXO 中的资金流向。该技术和产品主要定位于跟踪和追溯历史特定交易的资金流向。

2.3 比特币溯源原则

比特币系统没有平衡的概念。它使用 UTXO 模型（未使用的交易输出，未使用的交易输出）。交易过程中经常提到的钱包余额其实就是钱包地址的UTXO集合。因此，在比特币网络中比特币的技术，存储比特币余额的交易输出是未被使用的交易输出，而每笔交易的输入实际上是指前一笔交易的输出。下图展示了比特币系统中交易输入输出的过程。

我们看到了交易和交易之间的相关性。那个交易的输出就是这个交易的输入，这个交易的输出就是另一个交易的输出，所以产生了交易链。交易链很长，从Coinbase上比特币的诞生一直到世界末日。

如果要追踪某个黑用户的BTC的来源或去向，只要能拿到该用户的BTC账户地址，就可以找到该账户关联的所有近期交易txid，并沿着交易树回溯，向前回溯Go到所有 Coinbase 记录或追溯该地址所有已用 UTXO 的下落。在现代强大的CPU和内存的前提下，可以实现这种溯源，这也是比特币溯源依赖的基本原理。

2.4 比特币钱包、地址、UTXO、混币

追溯过程中会出现一些问题。所有用户地址都是一个哈希码。追踪者不知道这些地址在现实世界中是谁，因此不可能找出交易与现实世界中的谁有关。. 因此，分析和分析所有比特币地址非常重要。

比特币可追溯性有几个基本概念。在介绍地址分析之前，需要先简单介绍一下钱包（wallet_id）、比特币地址（bitcoin_address）、utxo、混合币的概念。

由于比特币 utxo 的账户模型设计和转账变更机制，每次通过钱包进行转账可能会花费多个地址的 utxo。例如 txid 为 584892254e5bd6837f12930c6bba972a8206249af3e68f4f865ebb26115d20c2 的交易。

可以看出inputs输入有3个地址18zRPrKzJ1yuvy5UfD56CHB6WYJvo48eWF、1933phfhK3ZgFQNLGSDXvqCn32k2buXY8a、1BexDzrCbfj491RFLa167ECBHYTBBsHKe9，这三个地址属于一个钱包。由于18zRPrKzJ1yuvy5UfD56CHB6WYJvo48eWF地址的比特币在溯源时可能完全来自之前的交易，因此将比特币标记为0表示非混合交易。1933phfhK3ZgFQNLGSDXvqCn32k2buXY8a 和 1BexDzrCbfj491RFLa167ECBHYTBBsHKe9 两个地址的比特币将被标记为 2，表示比特币与本次追踪无关。而1DTxuk73bFUbRNmMDkiTmDixdkk1vV3C4a会被标记为1，证明本次追踪的比特币已经混在一起了。

对于 txid 为 80cd9ee58f25645efdc5bc53c2af7601dc7e01411c5ec40ce7c32bc5ea3dda41 的交易，可以看到钱包中只使用了一个地址 1933phfhK3ZgFQNLGSDXvqCn32k2buXY8a，但是这个地址的多个 utxos 被使用了。

个人、矿池、交易所和特定机构可能持有多个钱包。一个钱包可以包含多个地址，每个地址的比特币“余额”由绑定到该地址的一组或多组未使用的 utxo 组成。

2.5 比特币钱包配置文件数据和地址配置文件数据

通过对比特币250GB全量数据和4亿多笔交易数据的访问和去重分析，我们分析了近3亿多个比特币地址，其中有余额的地址约2000万个。根据交易所现有冷钱包地址、矿池钱包地址和公网比特币交易地址，根据地址交易特征，比特币地址余额（balance）、总支出次数（count_out )、总支出(total_out))、总收入次数(count_in)、总收入(total_in)、第一次支出时间(out_first_time)、最后一次支出时间(out_last_time)、第一次收入的时间（in_first_time），最后一次收入的时间（in_last_time）等，来分析和标记比特币的完整交易关系。目前已经从超过3亿个比特币地址中分析出43741745个钱包（wallet_id），51380177个地址被标记，24911个钱包被标记。

包含标签的地址，截取部分的主要信息如下图所示。

地址标签类型 地址标签名称 地址数量 交易所 Bittrex.com 1440909 交易所 Poloniex.com 960630 交易所 CoinTrader.net 905353 交易所 Bitfinex.com 701736 交易所 LocalBitcoins.com 523312 交易所火币 1411914 交易所 Bitstamp.net 377491 交易所 Kraken.com 114456 交易所 OKCoin.com 480810 交易所 Binance.com 2211823 交易所 HitBtc.com 187142 交易所 Cex.io 238462 矿池 BWPool 894 矿池 BTC.TOP 892 矿池 GBMiners 667 矿池 AntPool.com 660 矿池 BATPOOL 516 矿池 BitMinter.com 438 矿池 BW。 com 402 矿池 KanoPool 370 矿池 BTC Guild 364 矿池 OzCoin 361 矿池 AntPool 357 矿池 Cointerra 323 矿池 KnCMiner.com 292 矿池 CoinLab 238 矿池 BTPOOL 227 网站 Xapo.com 1874568 网站 Cubits.com 1463437 网站 CoinPayments.net 488091 网站 Cryptopay.me 322174 网站 Cryptonator.com 257141 网站 BitcoinFog 227505 网站 AlphaBayMarket 189776 网站 BitPay.com 186000 网站 CoinJar.com 178896 IP 定位

由于比特币是基于 P2P 技术的，它本身并不使用 VPN 或 Tor 等技术进行 IP 隐藏。像 bitnodes 这样的网站可以轻松准确地按国家/地区统计比特币客户的分布情况。

要在指定区域定位比特币交易者的参与IP，只需要在对应区域部署相应数量的探测节点，通过算法过滤记录发起交易的客户端IP地址即可。

三、比特币溯源案例演示

比特币溯源原理之前已经介绍过。通过utxo特性和建立比特币全地址画像表的方法，北京联安开发了一套历史全比特币转账溯源分析系统，可以对历史单笔比特币交易进行分析。对交易中的具体资金或历史单笔比特币交易中的具体资金来源进行分析并以图形的形式展示，并使用完整的比特币地址画像表分析重点交易所、矿池、比特币服务网站钱包标记.

3.1丝路比特币资金流向追踪

反向追踪案例是基于在 bitcointalk 和 reddit 上的一个有争议的比特币交易。

可以看到，2014年3月10日，比特币链上发生了11万比特币的大额转账交易。关于交易，一般认为是暗网丝绸之路（silkroad）的钱包地址。由于时间跨度大比特币的技术，且比特币区块链浏览器不支持全画像地址库和utxo资金流向追踪，普通方法无法实现如此敏感的资金流向溯源。

可以看出，在第四层溯源之上，每一层的积分（钱包）数量几乎呈指数级增长。以下是通过自研系统对本次转账的分析统计。

此分析的分析参数。分析起始区块高度281935、对应开始时间2014-03-10，分析截止区块高度500000、对应结束时间2017-12-19，分析比特币阈值为50btc ，分析层数为40，分析非混合货币（比特币资金流向结果统计的符号0）如下图所示。

流入开始和结束区块高度 流入开始和结束时间 流入量 流入交易所 467553-467553 2017/05/22-2017/05/22 225 Bittrex.com 479277-494209 2017/08/06-2017/11/13 2740 HitBtc .com 479989-- 487135 2017/08/11-2017/09/27 1096 Bitstamp.net 480165-480165 2017/08/12-2017/08/12 153 Poloniex.com 481897-494207 2017/08/25-207/ 11/13 2119 .com 484677-484677 2017/09/11-2017/09/11 1020 CoinHako.com 486477-486477 2017/09/22-2017/09/22 89 国内交易所

需要注意的是，上图是对111114.61735989比特币转账的非混合资金流向的分析，所以图中的比特币完全来自原来的111114.61735989比特币. 可以看出，7442个比特币的资金流向已经被准确追踪。

3.2 某色情网站充值用户来源分析

比特币交易溯源正向溯源以某色情网站的充值地址溯源为例。

可以看出，色情网站支持比特币充值购买会员。从区块链浏览器可以看出，该地址一共发生了14条交易充值记录。

以下是这14笔交易的充值详情。

时间来自于transaction id 2018/12/15 10:23 7d1b14f034​​2a5e8b cd2d8a048d4b4d75223216266944b9a5506701a249c6b53ba0fd412374c10dc2 2018/12/14 7:14 daf9010a42869d95 e29662a2bd1050c66fe8dfe63edac7c3e0ca64ccb1d665f1c6e6d13536a1265e 2018/12/2 11:44 Huobi。comd850dc72ab400649b11e661059bec96cfb57050551f0223e83a468d5944ffc4e 2018/11/19 21:35 93e5afea21d5f8a0 1736028940d4aadd4ebbbb375eda402392f0fb6112175e1768a07b52757d8d31 2018/11/ 2 5:30 00000b55c1bcbc1f e66eb7d921f8642fb9dd0543a7df7154992e80d9feb795a28ecb16a09f4410b0 2018/8/19 0:23 000004950069154a dfd49323aa870a36f6c9fbeb8e76d928b97d2c8425159331148a485dbeff9dba 2018/7/12 18:36 00003b4a0ae1ed6a b433002ee5541b7c0045e2a29241b28dd3cc24d6b699d2dff21e88f950c17d9b 2018/7/7 21:09 Huobi .

com52ac913b68198fdc915e70a1f76164a9a7cd0feb064155dd77be8a864b1696f4 2018/7/5 1:55 火币。comd79e53edf27974007a71b5a2fc56012c75176bbb2bdc3d97d4a7cef9e8ced202 2018/6/24 7:12 01c43e697a64fd4f 919423ab828fe5e4dd12f8fc54a74ee99ee39dba81fa594bdc9f9fde28b41612 2018/5/30 12:44 20abbdaa7176dadb 464d93bbc5e7c41bb1de1316860550cc0f2e065377a182f85d4990532b73be97 2018/5/7 11:35 00000b55c1bcbc1f ab26f735fa33e454bd42c02ce65a3430026285e0960b2f3eaebe91f30e1a47b6 2018/4/12 2:01 Huobi。com03c8e15bd389868e008b4fc1704ffd3a68d82b478002cd604e3f6a89735a5358 2018/4/9 15:04 7d2f58108a2bedea b1c00643b063bc5cec1ab84cc90c36bcacaf593064bc90c36bcacaf593064

可以看到，用户通过火币直接提现充值的交易有4笔。

四、比特币交易溯源场景及意义4.1 非法交易调查

比特币交易可追溯系统可以帮助执法部门和金融机构识别和阻止使用加密货币进行欺诈、勒索和洗钱等非法活动的罪犯。通过图形界面，用户可以轻松地对比特币交易的来源和目的地进行深入调查。

输入只需要提供比特币地址和该地址的交易ID，系统会自动找到所有路径，用于人工识别和调查资金的来源和来源。

4.2 兑换KYT

对于交易所而言，在暗网上进行洗钱存款和取款以及恐怖主义是高风险交易。交易所需要一种自动化的方法来评估洗钱风险，以便满足监管要求。KYT（know your transaction）是满足这一需求的加密货币交易监控解决方案。通过KYT API，可以监控大量活动并持续识别高风险交易。