SSP Editorial Team

什么是链上分析?

·阅读 6 分钟·作者:SSP Editorial Team
区块链浏览器视图,显示按实体分组的交易流向

链上分析是一门从公开的区块链数据中推断真实身份、意图与风险的学问。你签过的每一笔交易都永久留在一本任何人都能查阅的账本里。没有管理员可以隐藏它,没有到期日,也没有隐私开关。专业公司——以及越来越多只用一台笔记本的爱好者——靠着把原始历史转化为具名实体、行为画像和风险评分来谋生。

如果你曾经向主流交易所收发过加密资产、支付过自由职业者、铸造过 NFT 或给创作者打过赏,你就已经留下了链上足迹。理解分析师能看见与看不见的部分,是决定你在乎多少、以及该如何应对的第一步。

链上分析究竟在做什么

整套工作可以拆解为三项相互叠加的核心操作。

1. 地址聚类(clustering)。 区块链暴露的是单个地址,但一个人或一家企业通常会控制许多地址。分析师用启发式规则将这些地址归入同一聚类——这些规则并非证据,但在统计上相当可靠。Bitcoin 上的经典例子是共同输入所有权启发式:如果一笔交易在一次签名中花费了多个输入,这些输入几乎可以肯定属于同一个钱包。找零地址检测——识别哪一笔输出是退回给发送方的余额——是另一种。两者结合,能把成千上万的原始地址折叠成一张小得多的实体图谱。

2. 实体标注(labelling)。 在有人给它贴上名字之前,聚类只是一团地址。标签来自外部证据:从交易所注册资料中抓取到的入金地址、法庭文件公布的地址、OFAC 等制裁名单、受害者披露的黑客钱包,以及人们自己在 Twitter 或 Etherscan 上贴出的地址。聚类中只要有一个地址被打上标签,标签就会传播到整个聚类。

3. 资金流分析(flow analysis)。 聚类被标注后,分析师就能跟随资金跨多跳追溯:谁给谁转账、金额多少、时间何时、经过哪些中介——包括 mixer、跨链桥和交易所。

谁在做链上分析

商业一侧由少数几家公司主导,而长尾上的独立研究者则填补缝隙。

  • Chainalysis(chainalysis.com)是历史最悠久也最知名的公司。它向交易所出售合规工具,向美国执法机构提供调查工具,并发布被广泛引用的年度 Crypto Crime Report
  • Elliptic(elliptic.co)总部位于英国,专注于为银行、交易所和政府机构提供金融犯罪合规服务。
  • TRM Labs(trmlabs.com)赛道相近,强调跨链风险评分。
  • Arkham(arkm.com)更面向普通用户:提供带有实体标签的免费区块浏览器,并运营一个公开的 Intel Exchange,用户可在其中悬赏对特定地址进行去匿名化。
  • Nansen(nansen.ai)专注于为 DeFi 和 NFT 钱包打标签——"聪明钱"、基金、做市商——服务对象是交易员,而非调查人员。

提及这些公司既不是背书也不是批评。它们只是定义了今天技术上和商业上能做到什么。除此之外,个人研究者——其中以 ZachXBT 最为人所知——经常只用免费工具就能发布调查报告。这种能力已经不再稀有。

假名不等于匿名

这是大多数新手忽略的关键。Bitcoin、Ethereum 以及绝大多数其他链都是假名的:你的真名不会写在链上,但你活动的一份永久、公开、机器可读的记录却会。匿名意味着分析师无法把活动与某个人挂钩,而假名只意味着他们还没有挂钩。

这种关联很少是密码学层面的,通常很平淡:

  • 中心化交易所的 KYC 检查,把一整批入金和出金地址与你的护照绑定。
  • 一次性通过点对点交易员出金,而那位交易员日后又与调查人员合作。
  • 一个钱包地址出现在推文里、论坛签名里、众筹页面上,或一个 ENS 名字里。
  • 从一个与已被人肉化名挂钩的钱包里铸造了 NFT。
  • dust 攻击——有人给你发送一笔极微小的金额,只要你日后把它和其他币一起花掉,它们就会被一起打上指纹。

一旦你的聚类中任何一个地址被识别,它过去触及的每一笔交易和未来触及的每一笔都会继承这个身份。没有"清空历史"按钮,也永远不会有。每签一笔交易,你能合理推诿的空间就缩小一分。

普通用户能做什么

一旦你的币上了链,你就无法选择退出链上分析,但你可以靠几个习惯缩小被攻击面。

  • 为不相关的关系使用全新的收款地址。 包括 SSP 在内的大多数现代钱包,默认每次都会生成一个新的收款地址——接受默认设置,不要反复把同一个地址发给别人。这对入账最有用;花费仍会从你更广的 UTXO 集合中提取,可能重新关联聚类,但每一点努力都能削弱信号。
  • 警惕 dust。 如果一个你不认识的钱包给你发来零头的 satoshi 或毫无价值的代币,不要把它与你的真实余额合并花掉。许多钱包会自动标记可疑的 dust;让它原地待着。
  • 不要公开你实际在用的地址。 在推特上喊"打赏请发到 bc1q..."会把一个公开身份永久地绑到一个聚类上。请使用一个永不重复利用、也不用于任何敏感场景的专用地址。
  • 把 KYC 渠道视为身份锚点。 任何以你名义进出交易所的资金都可能被归因到你。请相应规划。
  • 使用隐私工具时保持清醒。 Coinjoin 服务、注重隐私的链以及 mixer,都各自伴随着监管、对手方或技术上的风险。本文并不是任何方向的推荐——只是提醒你,"隐私"不是一项可以事后随便加装的免费功能。

接下来可以读什么

链上分析的故事不是关于抓罪犯,也不是关于老大哥——它只是一个永久、公开账本运行下的自然结果。你越早把钱包历史当作"默认公开"来对待,在选择重用哪些地址、信任哪些平台、分享多少信息时就能做出越好的决定。

如果你想继续夯实基本功,有两篇相关阅读值得花时间:

  • 助记词最佳实践——因为再干净的链上足迹,也救不了一个泄露的助记词。
  • 什么是 2-of-2 多重签名?——SSP 的威胁模型,以及两把独立密钥如何抬高任何想把你的活动与单台失陷设备挂钩的分析师所需的门槛。

分享本文