续接前篇:比特币找零检测与启发式分析
一、为什么要关注“外部交易数据”?
在前篇介绍的找零检测基础上,分析者可借助“比特币交易外部的线索”进一步提升置信度,从而暴露交易的隐私盲区。所谓外部交易数据,并非区块链上明文记录的输入/输出,而是衍生信息:
- 相同地址的多笔交易
- 多 UTXO 一次合作支出形成的 钱包聚类
- 多签脚本、版本号、锁定时间等 钱包指纹
- 链下数据采集:交易所充值地址、节点 IP、广播时间
这些信息一旦组合,就能抽丝剥茧,勾勒出单一主体的完整资金链。
二、用 DAG 交易图把 UTXO 跑成“一张网”
2.1 认识 DAG 交易图
DAG(Directed Acyclic Graph,有向无环图)天然适配比特币的 UTXO 模型:
- 节点 = 交易
- 边 = UTXO 的“出生/死亡”流程图
用 OXT 工具,把复杂流转可视化,追踪大额资金的“前世今生”只需几步:
- 粘贴交易 ID 打开 TRANSACTION 页
- 点击左侧 TX GRAPH ICON
- 通过“双击顶点”“滚轮缩放”即可展开/折叠
- 蓝色变绿色 → 选中高亮;橙色高亮 → 可疑找零
👉 点击体验可在浏览器里实时查看“peel chain”的一次完整拆解
小贴士:变更 线宽参数(BTC 数量权重)后,一下子就能捕捉大额尾单或小额拆分,找零地址瞬间浮出水面。
2.2 真实案例:peel chain 的“洋葱层”
模拟步骤(文字版):
- 步骤 A:交易 x 有 2 个输出,50 BTC → 交易所;0.37 BTC → 疑似找零
- 步骤 B:找零 UTXO 被作为输入,再拆 0.37 → 0.29 + 0.08
- 步骤 C:重复拆分,一条从 50 到若干小额地址的“洋葱皮”便呈现出来
值得注意的是:peel chain ≠ 违法,交易所、大额用户都常用此方法来简化手续费、避免找零地址暴露。
三、钱包指纹 3 维模型:一眼锁定软件
| 维度 | 观测指标 |
|---|---|
| 地址脚本 | P2PKH、P2WPKH、P2SH 占比 |
| 找零位置 | 找零是否总是最后一个输出 |
| 元数据 | 版本号、锁定时间、RBF 标记 |
当这三项都“雷同”,钱包指纹一致,高度暗示所有交易出自同一钱包程序。实例中,某托管混币服务一直用版本号 2 且锁定时间 0,熟练的调查员仅凭两块字段即可追踪。
四、钱包聚类:共同输入所有权启发法(CIOH)
当单笔交易把多地址 UTXO 捏在一起,分析师便会引用 CIOH:
“同一笔交易中作为输入的所有地址,由同一主体掌控”——这就是 CIOH 的硬假设。
4.1 分层 Deterministic 钱包的天然协助
HD 钱包会在余额不足时自动凑 UTXO,使 CIOH 几乎 90% 以上命中,集群结果贴“ANON”前缀即可导出匿名图谱。
4.2 ANON 集群能做些什么?
- 时间分布:周活跃图谱挑出“懒周六提现”
- 金额阶梯:每日出账量分布揭示套现节奏
- 备注笔记:研究者可二次标记“疑似混币器”
OXT 注册用户还能解锁“Days Balance、Address List”等进阶数据,将归属概率拔高到可信水平。
👉 制图还能看到同集群 365 天余额曲线,一眼识别大户何时空仓
五、集群归属两步走:从“匿名”到“实体”
| 方法 | 关键词示例 | 成功率 |
|---|---|---|
| 自证法 | 亲自充提测试交易所充值地址 | ★★★★☆ |
| OSINT 开源情报 | Reddit/Twitter 贴充值截图 | ★★☆☆☆ |
一旦归属完成,“交易所-Coinbase” 标签取代“ANON-2378472961”,匿名集群瞬间实名化,隐私壁垒轰然倒塌。
六、组合拳:用以上工具做 找零检测狂飙
三种外部数据叠进:
- 密钥指纹验证 – 确认是否同一钱包
- ANON 集群归属 – 鉴别某输出是给谁
- peel chain 模型 – 追踪资金流向终局
当用户把余款打到中心化交易所,找零输出突兀独立,无需拆算即可一眼锁定。
七、常见问题(FAQ)
Q1:如何避免钱包指纹泄露?
A1:启用 随机找零位置、升级交易版本号 或使用 隐私钱包,习惯性打乱脚本类型即可。
Q2:CIOH 会不会误伤多人签名或 CoinJoin?
A2:确实可能;Part 3 会系统介绍 PayJoin、CoinJoin 等对抗方案。
Q3:实时监控会触发地址黑名单吗?
A3:只有你在交易所 KYC 或链下暴露身份时,才会被精准匹配。
Q4:peel chain 是不是洗钱特征?
A4:如果长度异常且金额低于粉尘阈值,才可能触发风控。普通用户拆分找零,不必恐慌。
Q5:只用比特币核心钱包就高枕无忧吗?
A5:核心钱包默认也使用 HD 架构并自然合并 UTXO,同样有被 CIOH 风险,建议混合 CoinJoin 后再用。
Q6:DAG 图这么大,会不会把浏览器拖慢?
A6:OXT 支持分批懒加载,首次只渲染 3 层深度,性能无压力。
八、回望与前瞻
- Part 1:找零检测基本启发式
- Part 2:交易图 + 钱包聚类 = “链上可视化杀伤链”
Part 3(预告):
- 打破找零检测的随机钱包指纹
- 同额 CoinJoin 误导图谱
- PayJoin 直接击溃 CIOH
- Part 4(预告):发送/接收习惯如何泄密?现有隐私技术如何翻盘?
防患未然,从理解机制开始。完整跟踪案例、最新防护方案,敬请关注后续篇章!