區塊鏈調查取證研究——以比特幣為例

莊海燕

一、引言

早在2013年，中國人民銀行、工業和信息化部、中國銀行業監督管理委員會、中國證券監督管理委員會、中國保險監督管理委員會曾聯合印發《關于防范比特幣風險的通知》。其中明確了比特幣的性質，認為比特幣從性質上看，是一種特定的虛擬商品，不具有與貨幣等同的法律地位，不能且不應作為貨幣在市場上流通使用。但是，比特幣交易作為一種互聯網上的商品買賣行為，普通民眾在自擔風險的前提下擁有參與的自由。

區塊鏈技術代表了金融科技及其他領域應用的新范式，伴隨其在金融、證券等領域的應用，針對這些區塊鏈應用的犯罪與恐怖襲擊開始露頭。可以說，區塊鏈技術及其應用在悄然改變人們生活的同時，也為社會管理帶來了新問題，尤其是在金融、證券安全方面。因此，現階段政府機關和國際組織也越來越重視區塊鏈技術。

任何技術總是雙刃劍，區塊鏈技術亦是如此。不管我們承認與否，加密貨幣的崛起，除了偷竊加密貨幣本身之外，對或將對四個方面的犯罪活動起到一定的促進作用：逃稅、洗錢、違禁交易和敲詐勒索。可以預見未來這幾個領域內，執法部門將長期、大規模與相關方進行著“貓捉老鼠”的游戲。代理機構和犯罪分析會提出新逃避技術、新匿名網絡貨幣，以逃避執法機構打擊。

面臨這種新形勢，執法部門需要考慮的問題是：如何在區塊鏈驅動的世界中追蹤犯罪分子？如何利用智能的洞察力打擊相關欺詐？在區塊鏈技術不斷加速采用過程中，這些都因區塊鏈應用的分散性、弱中心化或去中心化、開放性、自治性、信息不可篡改、匿名性等特征而給執法部門帶來了巨大的挑戰。越來越多的執法人員也認識到只有通過技術創新，才能完成未來的執法任務。

二、相關理論

（一）區塊鏈與比特幣

區塊鏈（blockchain 或 block chain）是用分布式數據庫識別、傳播和記載信息的智能化對等網絡， 也稱為價值互聯網。中本聰在2008年，于《比特幣白皮書》中提出“區塊鏈”概念，并在2009年創立了比特幣社會網絡，開發出第一個區塊，即“創世區塊”。區塊鏈被認為是一種特殊的分布式數據庫，其主要包括三個基本概念。交易（transaction），即對賬本進行一次操作，引起賬本狀態的一次改變，例如添加一條轉賬記錄，或者添加一條交易記錄；區塊（block），指記錄交易和狀態結果的數據塊，組成區塊鏈的每個區塊（block）類似數據庫的記錄，每次寫入數據，即創建一個區塊，這個區塊包括區塊頭（Head）和區塊體（Body）兩個部分，區塊頭記錄當前區塊的特征值，區塊體記錄實際交易數據；鏈（chain），是由區塊按發生順序串聯而成的，是整個賬本狀態變化的日志記錄。

以比特幣交易為例理解區塊鏈工作過程：

1.比特幣客戶端發起一項交易并廣播到比特幣網絡中待確認；

2.網絡中的節點將一些收到的等待確認交易記錄（包括前一個區塊頭部的哈希值等信息）打包，組成一個候選區塊，并且試圖找到一個隨機串放到區塊里從而讓候選區塊的哈希結果滿足一定條件（比如小于某個值），這個隨機串的查找需要一定的時間去進行計算嘗試；

3.一旦節點算出來滿足條件的nonce串，該區塊在格式上就被認為是“合法”，即可嘗試在網絡中將其廣播出去；

4.其他節點收到候選區塊后進行驗證，若確實符合約定條件，則被承認為一個合法的新區塊，并添加到自己維護的區塊鏈上；

5.當大部分節點將該區塊添加到自己維護的區塊鏈結構上時，該區塊被網絡接受，區塊中包括的交易得到確認。

（二）區塊鏈技術核心

1. 共識機制

區塊鏈技術是比特幣的基礎技術架構，區塊鏈可以理解為一個基于互聯網的去中心化記賬系統，類似比特幣的去中心化數字貨幣系統，要求在沒有中心節點的情況下保證各個節點記賬的一致性。因此區塊鏈技術的核心是在沒有中心控制的情況下，在互相沒有信任基礎的個體之間就交易的合法性等達成共識的共識機制。區塊鏈的共識機制目前主要有4類：PoW、PoS、DPoS、分布式一致性算法。

2. 解鎖腳本

腳本是區塊鏈上實現自動驗證、自動執行合約的重要技術。每一筆交易的每一項輸出嚴格意義上并不是指向一個地址，而是指向一個腳本。腳本類似一套規則，它約束著接收方怎樣才能花掉這個輸出上鎖定的資產。因此，交易的合法性驗證也依賴于腳本。

3. 交易規則及交易優先級

區塊鏈的交易就是構成區塊的基本單位，也是區塊鏈負責記錄的實際有效內容。一個區塊鏈交易可以是一次轉賬，也可以是智能合約的部署等其他事務。

區塊鏈交易的優先級由區塊鏈協議規則決定。對于比特幣而言，交易被區塊包含的優先次序由交易廣播到網絡上的時間和交易額的大小決定。隨著交易廣播到網絡上的時間的增長，交易的鏈齡增加，交易的優先級就被提高，最終會被區塊包含。對于以太坊而言，交易的優先級還與交易的發布者愿意支付的交易費用有關，發布者愿意支付的交易費用越高，交易被包含進區塊的優先級就越高。

4. Merkle證明

Merkle證明的原始應用是比特幣系統（Bitcoin），它是由中本聰（Satoshi Nakamoto）在2009年描述并且創造的。比特幣區塊鏈使用了Merkle證明，為的是將交易存儲在每一個區塊中。使得交易不能被篡改，同時也容易驗證交易是否包含在一個特定區塊中。

5. RLP

RLP（Recursive Length Prefix，遞歸長度前綴編碼）是Ethereum中對象序列化的一個主要編碼方式，其目的是對任意嵌套的二進制數據的序列進行編碼。

三、區塊鏈取證——以比特幣取證為例

（一）比特幣調查取證面臨問題

1.比特幣調查取證最大挑戰——匿名性

比特幣調查取證最大挑戰是其匿名性。悉尼大學和悉尼科技大學的研究人員進行的這項研究發現，44%的比特幣交易和25%的所有用戶都與非法活動有關。他們自2017年4月的研究結果（最新研究樣本）表明，約有2400萬比特幣市場參與者使用“主要用于非法目的”的加密貨幣。研究人員稱，這些比特幣用戶估計每年進行約3600萬次交易，總價值約為720億美元，并共同持有價值約80億美元的比特幣。比特幣在罪犯中如此受歡迎的一個主要原因是，加密貨幣允許用戶隱藏他們的身份。

但比特幣本身并不是真正的匿名，因為每筆交易都記錄在名為區塊鏈的公共總賬中，所有用戶都可以看到比特幣交易的全部歷史，這實際上以提高潛在客戶活動的可視性。研究人員可以使用這些信息來識別特定的個人，執法部門可以進行相關調查取證。

2.執法部門應對

匿名比特幣的發展增加了執法難度，但比特幣的調查取證落腳點在于：犯罪分子最終必須在某個時候交換他們選擇的法定貨幣（又名真錢）。通過充分觀察這些交易，可能會導致惡意行為人的“去匿名化”，即通過辨別方式繼續執行相關調查取證與監管。總體來說，可通過去匿名化和異常檢測兩種檢測可疑活動的方法。

（二）比特幣調查取證可行性基礎

現代電子商務模式要求用戶在商品交易過程必須提供一定的個人相關信息，這在一定程度上為調查取證提供了方法和基礎。可以認為，大多數合法的企業都在使用類似侵入的手段來追蹤用戶，這些追蹤包括濫用HTML5 API進行指紋識別，如Canvas，Audio Context和Battery Status； 跨設備跟蹤； 對瀏覽器添加一定隱私相關功能的解決方案（例如谷歌瀏覽器、360瀏覽器均有相關功能）；甚至從未提交的表單中嗅探數據。

這些跟蹤者觀察購物和支付流量的問題是不可能消失的。首先，企業要向用戶展示他們已知購買興趣類商品的廣告，這是最有價值的廣告形式之一，當進一步進入付款流程則可以觀察到用戶（購物車頁面，結賬頁面等）；其次，廣告系列通過對付款流程進行跟蹤，可以幫助分析用戶是否實際購買了提供廣告的商品，即是否已經付款。基于此，我們可以將這種被動攻擊技術轉化為調查取證技術。

比特幣通常被視為匿名支付網絡，發現比特幣使用痕跡及針對比特幣的調查取證基于如下考慮。

1.比特幣的可追溯性

比特幣的金融特性決定用戶通常必須透露自己的身份才能獲得服務或商品，同時決定了比特幣地址不能保持完全匿名，而區塊鏈則是永久性的，無疑這為比特幣提供了可追溯性。即使如joincoin類的混合服務的在線服務會通過使用獨立的比特幣地址接收和發回相同的金額來提供混合用戶之間的可追溯性，但對于較大的交易，依然是可追溯的。

2.比特幣地址關聯

雖然比特幣是匿名處理，但同時也具有前所未有的透明度，所有比特幣交易都是公開、可追蹤且永久存儲在比特幣網絡中的，而唯一用于定義比特幣分配和發送位置的信息是比特幣地址。比特幣地址由用戶錢包私人創建，一個比特幣地址一旦使用，就會與涉及的所有交易的歷史所連接。這就意味著任何人都可以看到余額及所有與其進行交易的比特幣地址。

當比特幣用戶在諸如網站或社交網絡這樣的公共場所發布比特幣地址后，如果將此地址的任何資金轉移到自己的其他地址之一，這樣的操作痕跡可以使得針對該用戶其他地址的調查取證有跡可尋，變得更加簡單，尤其是從其他賬戶著手調查其相關賬戶交易和購買的信息時候，區塊鏈上的公開地址交易一目了然。

3.IP地址獲取

比特幣網絡是點對點網絡，可以監聽交易中繼并記錄其IP地址無阻礙，所以比特幣交易中的IP地址是能夠被記錄的。

（三）區塊鏈調查取證——比特幣為例

1. 比特幣的交易模式與比特幣支付

（1）比特幣的交易模式

比特幣用戶在比特幣交易平臺上看到最近時間段內比特幣的價格趨勢圖，利用交易平臺中的“交易中心”之類的欄目，看好買入比特幣的最佳時期后，根據當前自己在交易平臺中注入的可用資金數量（資金數量可通過平臺的充值功能調整）買入或者賣出相應的比特幣。這個過程類似于股票的買入賣出交易，在交易平臺中可以查詢交易記錄。

（2） 比特幣支付

國外越來越多的商戶加入支持比特幣的陣營：微軟、戴爾、steam等這些在線大的商戶都支持比特幣在線直接支付；線下大的類似各種大型商場，如日本的bicCamera等；國外的很多中小型網站，例如網頁端、國外游戲輔助、虛擬物品、個人賣家等平臺基本都支持比特幣付款。我國國內關于比特幣支付，網絡上有淘寶有商家支持比特幣的新聞，但是“接受比特幣支付，按時價同等價格購買”這一說法說明了比特幣支付國內的現狀問題，起步比較晚且少，目前尚未有完備的支付流程支持比特幣。但隨著網絡技術、經濟及金融發展，比特幣支付已然呈現出 “海外繁華依舊，國內加速布局”的趨勢。

2. 比特幣交易與支付電子痕跡分析

越來越多的在線商家開始提供使用加密貨幣比特幣支付的能力，這項技術的一個重要承諾是匿名性，即交易會被記錄并公開，但它們僅與電子地址相關聯。所以無論用比特幣購買什么，購買行為本身不能直接指向購買者本人身份。無疑，這對一些人來說很方便，但卻并非是絕對匿名的，由于網絡商人經常會因為廣告等各種原因而泄露交易中購買者及購買交易本身相關信息，這就使得可把比特幣交易與購買個人直接關聯起來，只要個人信息與其比特幣地址相關聯，則其所有購買歷史記錄也會顯示出來。

（1）QR碼

用戶在網站上購買比特幣時，需要提供自身的QR碼，而Cookie中會商家會將交易交易的比特幣地址保存，甚至處于廣告或者分析目的，而對其跟蹤并將信息定向發送至特定網站或者特定的接收方。

（2）購買金額

用戶在比特幣支付的購物網站上，交易過程中必然會提供支付比特幣金額。

（3）用戶的個人信息

凡是用戶登錄過的商家網站，都會殘留有用戶有關的部分或全部個人信息。

（4）歷史數據

大多數購物網站上，第三方追蹤者傳遞接、收關于用戶購買的相關信息，主要是為了廣告和分析目的。商家往往會考慮重定向，即向用戶展示他們已知購買興趣的物品的廣告，因為這是最有價值的廣告形式之一。更進一步，商家在進入付款流程中可以觀察到用戶（購物車頁面，結賬頁面等信息），這些揭示了用戶進一步的更大的購買興趣；再進一步，商家有需要對付款流程進行跟蹤，以幫助分析提供廣告的用戶是否實際購買了付款，這給他們廣告的轉化跟蹤形成更大的優勢。

可以認為大多數追蹤者是合法的企業，但已知使用侵入手段來追蹤用戶，這些手段包括HTML5 API進行指紋識別（如Canvas，Audio Context和Battery Status）、跨設備跟蹤、利用瀏覽器隱私功能、從未提交的表單中嗅探數據等方式。即使用戶可能使用諸如Ghostery或uBlock Origin之類的跟蹤保護工具進行自衛，但利用被動攻擊（主要是收集信息而不是進行訪問，數據的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。）原理，一些追蹤者已在日志中積累了數據，這些可以用于回顧性地執行分析。

當用戶使用加密貨幣支付，則可以利用cookie和跟蹤信息擁有足夠的關于購買的信息，這些信息可用于唯一標識區塊鏈上的交易，并將其鏈接到用戶的cookie，從而進一步鏈接到用戶的真實身份。如果這種方式將同一用戶的兩次購買鏈接到區塊鏈，則即使用戶使用Coinjoin（混合區塊鏈）這樣的區塊鏈匿名技術，也可以識別出用戶在區塊鏈上的整個地址和所有交易。

3. 比特幣調查取證

比特幣調查取證的主要任務包括：知道一個人的個人可識別信息如名稱和電子郵件；獲取其比特幣交易過程中的有關痕跡信息；追蹤比特幣交易并將其與特定的比特幣地址相關聯；根據比特幣地址獲取該個人的所有交易情況。

比特幣調查取證所關鍵技術和工具是：區塊鏈瀏覽器和Cookies。

（1）Cookies

Cookies 是在 HTTP 協議下，服務器或腳本可以維護客戶工作站上信息的一種方式。Cookie 是Web 服務器保存在用戶瀏覽器（客戶端）上的小文本文件，主要用于存儲有關用戶的信息，以便用戶鏈接到服務器時訪問。目前許多 Web 站點開發人員使用 Cookie 技術，如使用Session 就必須有Cookie 的支持，一旦屏蔽 Cookie，會有許多站點頁面拒絕訪問。

（2）區塊鏈瀏覽器

區塊鏈瀏覽器可以瀏覽比特幣區塊鏈，查找比特幣交易。而根據羅卡交換定律（Locard exchange principle， Locards theory），“凡兩個物體接觸，必會產生轉移現象”。在比特幣交易，亦會留下一些痕跡。在利用比特幣進行普通購物的過程中，即使購買者使用諸如CoinJoin這樣的隱私保護措施，也同樣會產生一定的痕跡，從而導致個人身份直接與他們生成的比特幣交易相關聯。可以利用區塊鏈瀏覽器對比特幣交易情況進行分析。根據普林斯頓大學Steven Goldfeder團隊的研究，在其提出的包括微軟、NewEgg和Overstock 在內的130個允許比特幣交易的主要商家中， Web購物者在購買過程中，網站為了廣告和分析目的，通常會通過將一小段代碼嵌入到向第三方發送關于人們使用網站方式的信息的網站中，通用網絡跟蹤器向Google，Facebook和其他網站發送信息，以跟蹤頁面使用情況，購買金額，瀏覽習慣等。一些追蹤者甚至發送個人身份信息，例如姓名、地址和電子郵件。通過這種方式，有關交易的信息會泄露到Web上，執法部門可以收集和分析這些信息進行調查取證工作。

根據獲得信息中的購買金額使用當時的匯率轉換為比特幣，然后在當時搜索區塊鏈，查找相同比特幣數額的交易，從而找到用戶的比特幣地址。一旦有了用戶的比特幣地址，順其追蹤該用戶的其他交易就極為簡單了。

在調查取證過程中，存在著這樣的情況：

僅追蹤到交易產品成本而沒有確切運費，因此總比特幣購買并不明確。

用戶查看信息頁面所留下的痕跡信息（例如結賬時候的購物手推車中信息）與實際購買時間之間存在差距。因為比特幣購買有時間標記，所以時間不準確，就很難追蹤到比特幣交易。

比特幣購買金額通常以當地貨幣（如美元或英鎊等）給出，然后在購買時轉換為比特幣。而比特幣匯率變化較大，如果購買時間未知則難以計算確切的比特幣價值。

上述三種因素會造成將痕跡中的個人信息與他們的比特幣交易聯系起來更加困難，但多數情況下，這些實際的痕跡參數與比特幣交易之間仍然是具有獨特聯系的。

四、結語

隨著由于比特幣匿名性減弱，比特幣“犯罪”也不斷通過各種方式加強加密貨幣的匿名性，例如采用“零防御技術”，即從塊鏈分類賬中刪除所有識別信息（包括發送者，接收者和交易金額等），這實際是從本質上消除區塊鏈技術追蹤交易的能力，如Zcash就是一種實施這種技術的加密貨幣。另外采用洋蔥路由器（Tor），即利用Tor匿名化用戶的IP地址，這在暗網上的違禁品交易匿名方面利用較多。可以預見，隨著政府機關和國際組織對區塊鏈技術重視程度不斷增大，比特幣這樣的區塊鏈應用會更加公開和光明，從而帶來虛擬貨幣產業的大發展。而在加密貨幣匿名性上，因為市場需求的存在，必然會有另一些幣種愈發黑暗和匿名，執法部門必須創新技術方法才能圓滿完成這類案件的調查取證等執法任務。