区块链调查取证研究——以比特币为例

以比特币为例的区块链调查与证据研究 庄海燕 一、简介 早在2013年，中国人民银行、工信部、银保监会、证监会、中国保监会证监会联合下发《关于防范比特币风险的通知》。 它阐明了比特币的本质，认为比特币在本质上是一种特定的虚拟商品，不具有与货币同等的法律地位，不能也不应该作为货币在市场上流通。 但比特币交易是一种在互联网上进行的商品买卖行为，普通人有参与的自由，风险自负。 区块链技术代表了金融科技等领域应用的新范式。 随着其在金融、证券等领域的应用，针对这些区块链应用的犯罪和恐怖袭击也开始层出不穷。 可以说，区块链技术及其应用在悄然改变人们生活的同时，也给社会管理带来了新的问题，尤其是在金融和证券安全方面。 因此，现阶段政府机构和国际组织也越来越重视区块链技术。 任何技术永远是一把双刃剑，区块链技术也不例外。 不管我们承认与否，加密货币的兴起，除了窃取加密货币本身外，已经或将对逃税、洗钱、违禁交易和敲诈勒索四个方面的犯罪活动起到一定促进作用。 可以预见，未来在这些领域，执法部门将与有关方面进行长期、大规模的“猫捉老鼠”游戏。

机构和犯罪分析师将想出新的逃避技术，新的匿名在线货币来逃避执法机构。 面对这一新现实，执法部门面临的问题是：如何在区块链驱动的世界中追踪罪犯？ 如何利用智能洞察打击相关欺诈？ 在区块链技术加速采用的过程中，由于区块链应用的去中心化、弱集中或去中心化、公开、自治、信息不可篡改、匿名等特点，给执法机构带来了这些。 一个巨大的挑战。 越来越多的执法人员也意识到，只有通过科技创新，才能完成未来的执法任务。 二、相关理论 （一）区块链与比特币 区块链（blockchain）是一种利用分布式数据库来识别、传播和记录信息的智能对等网络，也称为价值互联网。 中本聪于2008年在《比特币白皮书》中提出“区块链”概念，并于2009年创立比特币社交网络，并开发出第一个区块“创世区块”。 区块链被认为是一种特殊的分布式数据库，主要包括三个基本概念。 Transaction，即对账本的操作，引起账本状态的改变，比如增加转账记录，或者增加交易记录； 区块（block）调查比特币的接受情况，指的是记录交易和状态结果的数据块，形成一个区块链的每个区块（block）类似于数据库的记录。 每次写入数据时，都会创建一个块。 这个区块包括两部分：区块头（Head）和区块体（Body）。 区块头记录当前区块的特征值，区块体记录实际的交易数据； 链是由区块按照发生的先后顺序串联而成，是整个账本状态变化的日志记录。

以比特币交易为例，了解区块链工作流程： 1. 比特币客户端发起一笔交易，广播到比特币网络进行确认； 2. 网络中的节点记录一些收到的交易记录（包括前一个区块头的哈希值等信息），形成一个候选区块，并尝试寻找一个随机字符串放入区块中，使得哈希结果为候选块满足一定条件（比如小于某个值），搜索这个随机串需要一定的时间去尝试计算； 3. 一旦节点计算出满足条件的nonce串，则该块在格式上被认为是“合法的”，可以尝试将其放入网络中 4. 其他节点收到后验证候选块。 如果满足约定的条件，将被认定为合法的新区块，并加入到自己维护的区块链中； 5. 当大多数节点将区块添加到自己维护的区块链结构中时，区块被网络接受，区块中包含的交易被确认。 （二）区块链技术的核心共识机制 区块链技术是比特币的基本技术架构。 区块链可以理解为基于互联网的去中心化记账系统，类似于比特币的去中心化数字货币系统，需要在没有中心节点的情况下保证各节点记账的一致性。 因此，区块链技术的核心是一种共识机制，在没有中央控制的情况下，没有互信基础的个体之间就交易的合法性达成共识。 目前区块链共识机制主要有四种：PoW、PoS、DPoS和分布式共识算法。

Unlock Script脚本是实现区块链上合约自动验证和自动执行的重要技术。 每笔交易的每笔输出并不严格指向一个地址，而是指向一个脚本。 脚本就像一组规则，它限制了接收者如何使用锁定在这个输出上的资产。 因此，交易的合法性验证也依赖于脚本。 交易规则和交易优先级 区块链交易是区块的基本单位，也是区块链负责记录的实际有效内容。 区块链交易可以是转账，也可以是智能合约部署等其他交易。 区块链交易的优先级由区块链协议规则决定。 对于比特币，包含在区块中的交易的优先级由交易广播到网络的时间和交易的大小决定。 随着交易在网络上广播的时间增加，交易的链龄增加，交易的优先级增加，最终会被包含在区块中。 对于以太坊来说，交易的优先级还与交易的发布者愿意支付的交易手续费有关。 发布者愿意支付的交易费用越高，交易被包含在区块中的优先级就越高。 该应用程序是比特币系统 (Bitcoin)，由中本聪在 2009 年描述和创建。比特币区块链使用 Merkle 证明来存储每个区块中的交易。 它使得交易无法被篡改，也很容易验证交易是否包含在特定的区块中。

RLPRLP（Recursive Length Prefix，递归长度前缀编码）是以太坊中对象序列化的主要编码方式，其目的是对任意嵌套的二进制数据序列进行编码。 三、区块链取证——以比特币取证为例 （一）比特币侦查取证存在的问题 1、比特币侦查取证的最大挑战——匿名性 比特币侦查取证的最大挑战是匿名性。 悉尼大学和悉尼科技大学的研究人员进行的研究发现，44% 的比特币交易和 25% 的用户都与非法活动有关。 他们 2017 年 3 月的调查结果（最新的研究样本）表明，大约 2400 万比特币市场参与者“主要出于非法目的”使用加密货币。 研究人员表示，这些比特币用户估计每年进行约 3600 万笔交易，总价值约 720 亿美元，总共持有价值约 80 亿美元的比特币。 比特币在犯罪分子中如此受欢迎的主要原因之一是加密货币允许用户隐藏他们的身份。 但比特币本身并不是真正匿名的，因为每笔交易都记录在称为区块链的公共账本上，所有用户都可以看到比特币交易的完整历史，这实际上提高了潜在客户活动的可靠性。 能见度。 研究人员可以利用这些信息来识别特定的个人，执法部门可以进行相关调查并收集证据。 2. 执法部门对匿名比特币的回应匿名比特币的发展让执法变得更加困难，但比特币调查和取证的底线是，犯罪分子最终将不得不在某个时候兑换他们选择的法定货币（也就是真钱） .

通过对这些交易的充分观察，可能导致恶意行为者的“去匿名化”，即通过歧视继续进行相关的调查、取证和监督。 通常，有两种方法可以通过去匿名化和异常检测来检测可疑活动。 （二）比特币调查取证的可行性依据现代电子商务模式要求用户在商品交易过程中提供一定的个人信息，这在一定程度上为调查取证提供了方法和依据。 可以认为，大多数合法公司都在使用类似的侵入方法来跟踪用户。 这些跟踪包括滥用 HTML5 API 进行指纹识别，例如 Canvas、Audio Context 和 Battery Status； 跨设备跟踪； 为浏览器添加某些与隐私相关的功能解决方案（如谷歌浏览器和360浏览器有相关功能）； 甚至从未提交的表单中嗅探数据。 这些跟踪者观察购物和支付流量的问题不太可能消失。 首先，商家需要向用户展示他们知道他们有兴趣购买的广告，这是最有价值的广告形式之一，当用户进一步进入支付流程（购物车页面、结帐页面等）时，可以观察到用户.); 其次，通过跟踪支付过程，广告活动可以帮助分析用户是否实际购买了所宣传的产品，即是否已经支付。 基于此，我们可以将这种被动攻击技术转化为调查取证技术。 比特币通常被视为匿名支付网络。 比特币使用痕迹的发现和比特币的调查取证，是基于以下考虑。

1、比特币的溯源性 比特币的金融特性决定了用户通常必须公开身份才能获得服务或商品。 同时，它决定了比特币地址不能保持完全匿名，而区块链是永久的。 无疑，这为比特币提供了可追溯性。 尽管 joincoin 等混合服务等在线服务通过使用单独的比特币地址接收和发送相同数量的比特币来提供混合用户之间的可追溯性，但对于较大的交易，可追溯性仍然存在。 2、比特币地址关联 比特币虽然是匿名处理的，但也具有前所未有的透明度。 所有比特币交易都是公开的、可追溯的并永久存储在比特币网络中，唯一用于定义比特币分布和发送位置的信息是比特币地址。 比特币地址是由用户钱包私下创建的，一旦比特币地址被使用，它就会与所有涉及的交易历史相关联。 这意味着任何人都可以看到余额和他们交易过的所有比特币地址。 当比特币用户在网站或社交网络等公共场所发布比特币地址时，如果该地址的任何资金被转移到他的其他地址之一，这种操作痕迹可以对用户的其他地址进行调查取证。有迹可循，就变得更容易了，尤其是在查询关联账户交易信息和其他账户购买信息时，区块链上的公网地址交易一目了然。 3、IP地址获取 比特币网络是点对点网络，可以无障碍地监听交易中继并记录其IP地址，因此可以记录比特币交易中的IP地址。

(3) 区块链调查取证——以比特币为例 比特币交易模型与比特币支付 (1) 比特币交易模型 比特币用户可以在比特币交易平台上看到比特币最近一个时间段内的价格走势图，使用栏目如在交易平台“交易中心”，看好买入比特币的最佳时机后，根据当前可用资金量注入交易平台（资金量可通过平台充值功能调整）购买或出售相应的比特币。 这个过程类似于股票的买卖交易，可以在交易平台查询交易记录。 （2）比特币支付 越来越多的国外商家加入了支持比特币的阵营：微软、戴尔、Steam等大型网商都支持用比特币直接在线支付； 线下大的类似各种大型商场，比如日本的bicCamera等； 国外很多中小网站，比如网页、国外游戏辅助、虚拟物品、个人卖家等平台，基本都支持比特币支付。 关于我国的比特币支付，网上有消息称淘宝部分商家支持比特币，但“接受比特币支付，现价同价购买”的说法说明了比特币支付在中国的现状，起步较晚且数量较少，目前还没有完整的支付流程支持比特币。 但随着网络技术、经济和金融的发展，比特币支付呈现出“海外繁荣依旧，国内布局加速”的态势。 比特币交易和支付的电子跟踪分析 随着越来越多的在线商家提供使用加密货币比特币支付的能力，该技术的一个关键承诺是匿名性，这意味着交易被记录并公开，但它们仅以电子方式链接。 地址是关联的。

所以无论你用比特币购买什么，购买本身并不能直接指向购买者的身份。 无疑，这对某些人来说很方便，但也不是绝对匿名的。 由于网络商家经常会因为广告等各种原因而披露交易中买家的信息以及购买交易本身，这就使得转移比特币成为可能。 交易直接与购买个人相关联，只要个人信息与他们的比特币地址相关联，他们的所有购买历史也会显示出来。 (1)二维码用户在网站购买比特币时，需要提供自己的二维码，商家会将交易的比特币地址存储在cookie中，甚至用于广告或分析目的，并对其进行追踪和定向信息发送到特定网站或特定收件人。 (2) 购买金额 用户在使用比特币支付的购物网站交易过程中必须提供比特币支付的金额。 (3) 用户个人信息 任何用户登陆过的商业网站都会留下部分或全部用户个人信息。 (4) 历史数据在大多数购物网站上，第三方跟踪器传输和接收用户购买的相关信息，主要用于广告和分析目的。 商家经常考虑重定向，即向用户展示他们知道要购买的商品的广告，因为这是最有价值的广告形式之一。 此外，商家可以在进入支付流程时观察到用户（购物车页面、结账页面等），从而揭示用户进一步更大的购买兴趣； 更进一步，商家需要追踪支付过程，帮助分析提供广告的用户是否实际购买了支付，这让他们在广告的转化追踪上有更大的优势。

大多数跟踪器可以被视为合法企业，但众所周知会使用侵入性手段来跟踪用户，包括用于指纹识别的 HTML5 API（例如 Canvas、音频上下文和电池状态）、跨设备跟踪、利用浏览器隐私功能、从中嗅探数据未提交的表格等。尽管用户可能会使用 Ghostery 或 uBlock Origin 等跟踪保护工具来保护自己，但数据的合法用户不会注意到被动攻击（主要是收集信息而不是访问信息）的使用。 被动攻击包括嗅探、信息收集等攻击方式。）原则上，一些跟踪器在日志中积累了数据，可以用来进行追溯分析。 当用户使用加密货币支付时，cookie 和跟踪信息可用于获得足够的购买信息，可用于在区块链上唯一标识交易并将其链接到用户的 cookie，而 cookie 又链接到用户的真实身份。 如果通过这种方式将同一用户的两次购买链接到区块链，即使用户使用Coinjoin（混合区块链）等区块链匿名技术，也可以识别用户在区块链上的整个地址和位置。 所有交易。 比特币调查取证 比特币取证和取证的主要任务包括： 了解一个人的个人身份信息，例如姓名和电子邮件； 与比特币地址关联； 根据比特币地址获取个人的所有交易。

比特币调查取证的关键技术和工具有：区块链浏览器和Cookies。 (1) Cookies 在Cookies HTTP 协议下，服务器或脚本可以维护客户端工作站信息的一种方式。 Cookie是网络服务器保存在用户浏览器（客户端）上的一个小文本文件，主要用于存储用户的信息，以便用户连接到服务器时可以访问。 目前，很多网站开发者都使用cookie技术。 比如使用Session需要cookies的支持。 一旦 cookie 被阻止，许多网站页面将被拒绝访问。 (2) 区块链浏览器 区块链浏览器可以浏览比特币区块链，查找比特币交易。 根据洛卡交换原理（Locards theory），“两个物体接触的地方，会产生传递现象”。 在比特币交易中，也会留下一些痕迹。 在使用比特币进行普通购物的过程中，即使买家使用了CoinJoin等隐私保护措施，也会存在一定的痕迹，导致个人身份直接与其产生的比特币交易挂钩。 可以使用区块链浏览器分析比特币交易。 根据普林斯顿大学 Steven Goldfeder 团队的研究调查比特币的接受情况，在微软、NewEgg 和 Overstock 等 130 家允许比特币交易的主要商家中，网络购物者通常在购买过程中使用网站进行广告和分析。 普通 cookie 向谷歌、Facebook 和其他网站发送信息，以跟踪页面使用情况、购买金额、浏览习惯等，方法是在网站中嵌入一小段代码，向第三方发送有关人们如何使用该网站的信息。

有些缠扰者甚至会发送个人身份信息，例如姓名、地址和电子邮件。 通过这种方式，有关交易的信息会泄露到 Web 上，执法部门可以收集和分析这些信息以用于取证目的。 根据获取到的信息中的购买金额，用当时的汇率换算成比特币，然后在当时的区块链上查找有等量比特币的交易，从而找到用户的比特币地址。 一旦你有了一个用户的比特币地址，跟踪该用户的其他交易就非常简单了。 在调查取证过程中，曾出现仅追查交易产品成本而未追查具体运费的情况，导致比特币购买总额不明。 用户查看信息页面留下的痕迹信息（如结账时购物车内的信息）与实际购买时间存在差距。 因为比特币的购买是有时间戳的，如果时间不准确就很难追踪比特币交易。 比特币购买金额通常以美元或英镑等当地货币给出，然后在购买时转换为比特币。 但是，比特币的汇率变化很大，如果不知道购买时间，很难计算出比特币的准确价值。 上述三个因素会使得追踪中的个人信息与他们的比特币交易联系起来变得更加困难，但在大多数情况下，这些实际追踪参数与比特币交易仍然具有独特的联系。 比特币的匿名性已经减弱，比特币“不法分子”也通过各种方式不断加强加密货币的匿名性，比如采用“零防御技术”，即去除所有身份信息（包括发送者、接收者等）来自区块链账本。 和交易金额等），这从本质上消除了区块链技术跟踪交易的能力。 例如，Zcash 就是实现该技术的加密货币。

此外，还使用了洋葱路由器（Tor），它使用Tor对用户的IP地址进行匿名化处理，广泛应用于暗网违禁品交易的匿名化。 可以预见，随着政府机构和国际组织对区块链技术越来越重视，比特币等区块链应用将更加开放和光明，从而带来虚拟货币行业的大发展。 在加密货币的匿名性方面，由于市场需求的存在，必然会出现其他越来越黑暗和匿名的货币。 执法部门必须创新技术手段，圆满完成此类案件的侦查取证等执法任务。 -正文结束-