事件背景
被稱為台版 N 號房的「創意私房」有大量不法偷拍的未成年性影像,也因為藝人黃子佼被揭露從該平台購買影片且為高級會員,近期受到大量關注。衛福部長薛瑞元 10 日也在立法院表示,將於當日發文給數發部對「創意私房」進行網域封鎖。但是封網之後呢?這些透過兒少剝削以及偷拍而獲利的人,究竟是誰?又是否可以將他們繩之以法?
長期經營區塊鏈與加密貨幣相關內容的《區塊勢》在其臉書粉專貼文,以網址搭配全球資訊網的數位檔案館「網路時光機」,取得 4 個「創意私房」在不同時期使用的「非託管型」收款錢包地址,:
XREX 交易所區塊鏈金融犯罪調查師陳梅慧 Miffy 延續以上錢包資訊,進一步追查這 4 個錢包在收到購買影片的錢之後,把錢往哪裡分配了?XREX 公開這份鏈上金流報告以及技術分析,更精準地瞄準「創意私房」背後的收款者,也就是真實世界中,那些透過偷拍與性暴力實際獲得收益的人。
「創意私房」鏈上金流報告,試圖回答什麼問題?
- 有多少人付款給「創意私房」取得會員資格?從他們的錢包,我們如何推敲他們的真實身份?
- 「創意私房」使用哪些錢包收款?誰可能是持有這些錢包的人?
- 「創意私房」的錢包收款之後,把資金轉給了誰?
- 為什麼「創意私房」要轉錢到這些錢包呢?這些受益者的角色又是什麼?
- 這些鏈上的證據可以如何協助執法單位採取行動?
- 「創意私房」整個犯罪結構的金流上下游關係,是什麼麼樣?
- 區塊鏈上有哪些工具與分析可以成為案件線索,找尋犯罪集團背後的網絡?
「創意私房」鏈上金流報告的重點結論
4 個「創意私房」的錢包使用情形
「創意私房」金流的上下游潛在相關人
備註:
- 入金到「創意私房」之所以用交易筆數來表示,是因為用戶從交易所打款出去,在鏈上是以交易所的熱錢包發出,而不是單一用戶專屬的錢包。若要追查,需要交易所後續對照到個別用戶。交易筆數並不直接代表是一名用戶,也有可能是一名用戶的多筆交易。
- 充值錢包都會是可以對應到單一個人的專屬充值錢包,一個錢包就會是一個人,後續的偵查與辨識會更容易。
- 入金的交易筆數和收款的錢包數量,「創意私房」的 4 個錢包之間可能會有所重疊。
收到最多「創意私房」資金的前十大「託管型錢包」
第一大受益於「創意私房」的「託管型錢包」
收款最多的「託管型錢包」是位於 Binance 交易所的 TNFw********************4,我們使用錢包資料庫 OKLink 工具查找這個錢包的交易資訊,可以發現這個錢包已經活躍了 3 年,再用 Misttrack 工具觀察其資金來源, 5 個錢包皆與「創意私房」有關,且該錢包於 2021 年 12 月 5 日起至 2023 年 4 月 29 日長期接收來自「創意私房」的資金,共收款了 73 次,獲得超過 6.6 萬 USDT,價值超過 200 萬台幣,如下圖所示:
「創意私房」錢包的最新動態
「創意私房」4 個被公開的錢包中,最新一次的資金轉移在 2024 年 4 月10 日 23:19:18,從 OKX 交易所匯入「創意私房」第 4 個收款錢包 TA2G85LLXqtbcMwwZUKn4gDdQ9EkoHRp8V ,也就是說這個錢包至今還是被頻繁地使用,處於活躍狀態。
本份報告使用的區塊鏈分析工具
鏈上分析平台,將區塊鏈上的交易紀錄與地址等等,轉變為可視化資訊,方便「鏈上偵探」們追蹤資金流向,也可以用來當做追蹤鯨魚動向的工具。
- MistTrack
-查找區塊鏈錢包的標籤,例如:屬於哪一家交易所、是否曾被標註為不法集團等等。
-免費試用 30 天 - Arkham
-了解多個錢包之間的交互關係,將其交易圖像化。
-免費 - BitQuery
-了解單一錢包的整體金流並將其圖像化,生成完整的幣流圖像。
-免費 - OKLink
–查找錢包地址資料庫,觀察特定錢包的完整交易紀錄及相關細節。
–免費
證明「創意私房」錢包的關聯並逆追實際持有者
在區塊鏈上轉移代幣會需要 gas fee(註一),可透由追蹤 gas fee 來源,串接錢包的關聯並找尋實際持有人的資訊。移轉 Tron 鏈上發行的 TRC-20 USDT,需要以 TRX 來支付 gas fee。以區塊鏈分析工具 Arkham 觀察《區塊勢》取得的 4 個「創意私房」在不同時期使用的收款錢包地址之間的 TRX 交易互動。
如果一個錢包要頻繁地移轉USDT,就會充值大量的 TRX。一個具有結構且有組織的集團,無論是詐騙集團還是「創意私房」這樣的平臺所使用的錢包,都會有這樣的特徵。
下圖是用 Arkham 可視化工具所產生的關係圖。可以看出,中間 4 個「創意私房」的錢包,裡面的 TRX 都有共同的來源,並且在 TRX 的交易上也密切互動,透露這 4 個錢包有高度可能性是由同一人或同一集團持有。
從上圖中即可發現,「創意私房」第 4 個錢包 TA2G85LLXqtbcMwwZUKn4gDdQ9EkoHRp8V 有一筆來自 MEXC 交易所,共 5,066 顆 TRX 的充值紀錄。這可以幫助執法單位依這筆交易專屬的交易哈希(transaction hash)(註二)向 MEXC 交易所調閱用戶的實名驗證資料,知道背後的藏鏡人為何。
除了前述的一筆 TRX 交易紀錄,嘗試再向上找尋 gas fee 的來源。 第 1 個錢包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 是「創意私房」4 個錢包中最早期的,2021 年 11 月 30 日 16:03:21 進行第一次的 gas fee 儲值。
接下來,我們以可視化工具 Bitquery 觀察「創意私房」第 1 個錢包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 的 TRX 來源及流向,如下圖所示:
從可視化工具 Bitquery 所產生的圖,我們可以發現「創意私房」在 TRX 移轉上的「層轉」關係,其中有部分錢包匯入了 TRX 就立刻再轉出。資金的「快進快出」在一般單純的交易行為中較為少見,是協助判定異常交易的特徵之一。
依據 Bitquery 產生的圖製作成更清楚的表格如下,標示為橘色的部分是「創意私房」的 4 個錢包。這個表格是以「創意私房」的第 1 個錢包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 為起點,檢視其上下游資金的層轉關係。
這個表格不只可以看到錢包之間的層轉關係,也可以發現「創意私房」的 4 個錢包之間具有高度相關。同時,我們也在下方標示特定錢包的特徵,例如:快進快出、屬於特定交易所、主要的 TRX 來源或流出的錢包等等。
由上表知,有很多用來支付 gas fee 的 TRX 從 Binance 交易所,先跳轉一層去中心化的「非託管型錢包」後,再轉入「創意私房」的第 1 個錢包 TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ 。
下表整理出這些交易哈希,執法單位可以透過 Binance 交易所獲取相關的實名驗證資訊,了解究竟是誰提供「創意私房」移轉資金時所需的 TRX 手續費。
我們挑選了提供 TRX 來源且同時有「快進快出」行為的三個錢包,使用 MistTrack 工具檢視,如下圖,可以看到「創意私房」的 4 個收款錢包,已經被標示為「不法服務」,綠色星星則是層轉錢包,在最左則是 Binance 交易所的熱錢包,代表是 Binance 用戶將 TRX 提領到了「層轉」錢包,在短時間內又轉入創意私房收款錢包。
以下 3 個錢包間TRX的移轉,在箭頭上方以灰色字體標示了其交易時間,可以看出在交易所提領了 TRX 之後,都在短短數分鐘內移轉,出現組織性的「快進快出」以及「大量提領 gas fee 移轉」的行為特徵。
標示為綠色星星的「層轉」錢包:TMv9PwYkekUeSXwKR5Vpek4uGcAkGMaaUg
標示為綠色星星的「層轉」錢包:TJnQv8rYMKTZEXzb8QgjTsGn9BRm2SPgjm
標示為綠色星星的「層轉」錢包:TJxKcEZ1czkYB285sUeJ1FgX8d8hkVu4WP
「創意私房」持續有新進會員?從 USDT 付款抽絲剝繭
我們使用網路時光機工具檢視「創意私房」的貼文,雖然是同一篇貼文,但不同時期的紀錄可以觀察到,「創意私房」不斷調整其會員付費方式、使用的錢包地址還有 USDT 匯率等等。使用錢包資料庫 OKLink 整理,從交易所熱錢包提幣,也就是入金至 4 個「創意私房」收款錢包的交易次數共 2,233 筆。
以網路時光機留存的「創意私房」錢包地址與收款資訊,因為舊會員很可能是以不定額的方式儲值,或不同的金額升級成高級會員,又或是集團背後的人相互打款,因為沒有公開資訊,故較難推估。
但根據既有資訊,我們可以試圖歸納「創意私房」透過這 4 個收款錢包,在不同時期擁有的新進會員數量,因為單筆入金的金額理應落在一定的區間。
網路時光機紀錄「創意私房」貼文的時間:2022 年 8 月 12 日
網路時光機紀錄「創意私房」貼文的時間:2023 年 1 月 28 日
網路時光機紀錄「創意私房」貼文的時間:2023 年 10 月 4 日
網路時光機紀錄「創意私房」貼文的時間:2024 年 4 月 9 日
備註:最近的紀錄未能留存到最新的入金錢包地址,網站經營者更改為以郵件諮詢才能取得錢包地址,故本報告以《區塊勢 》貼文中的錢包地址進行統計。
「創意私房」究竟誰獲利?從 USDT 移轉調查「下游」
為什麼「創意私房」這 4 個收款錢包,會把收到的款項再發送到其他錢包?可以確知的是他們有利益牽扯,透由追蹤「創意私房」4 個收款錢包的 USDT 去向,可以幫助我們找到主要的受益者。
究竟是誰透過販售非法的偷拍影片與性剝削影片,收到了錢?他們的角色可能是網站管理者、工作人員、提供影片者、營運者或購買器材的人,也有可能是會員的退款,這個我們不得而知,需要檢調介入進一步偵查分析並採取動作。
值得關注的是,交易所是唯一擁有用戶實名驗證資料的單位,所以找到中心化交易所的「託管型錢包」非常關鍵,透過實名驗證及其他可辨識資訊,可以交集比對「創意私房」背後的集團。
下圖,我們以可視化工具 Bitquery 概覽「創意私房」4 個收款錢包的整體資金流向,搭配圖表和表格整理,可以看出與其互動的錢包,並以此做之後的受益錢包對應資料。
「創意私房」的第 1 個收款錢包:TJxBDgdAmD1NPy6ih4E6RBM4YQWZRACakZ
「創意私房」的第 2 個收款錢包:TUQbf1PgWvxKethbrYLFY842UL6Z41RiKC
「創意私房」的第 3 個收款錢包:TPbRDKYYi5qT3Ayutw6NV31bvNX9zGivZx
透過可視化工具 Bitquery,我們除了可以得知「創意私房」4 個錢包與哪些錢包有上下游關係外,也可以觀察到,「創意私房」4 個收款錢包中的 3 個都有大量資金移轉到單一錢包。
使用區塊鏈分析工具 MistTrack 整理出「創意私房」 4 個收款錢包,以及 2 個層轉錢包的資金去向,可以得知可能的主要受益者。以下受益者錢包清單僅留下可調閱實名驗證資料的中心化交易所「託管型錢包」,並依照金額大小排序如下表所示:
可追查之「創意私房」相關錢包整理
提供「創意私房」gas fee 的交易哈希
關於 XREX 集團
XREX 是一家應區塊鏈技術而生的國際金融機構,與銀行、政府及用戶密切合作,共同改寫金融定義。創立於 2018 年,XREX 提供一站式的服務,包括:數位資產託管、錢包、跨境支付、法幣與加密貨幣轉換、加密貨幣交易所、多元化資產投資、法幣出入金服務等等。
XREX 前身是資安軟體公司阿碼科技,擁有超過 15 年的國際資安實戰經驗,兼具進攻與防守技術。XREX 已取得新加坡大型支付機構(Major Payment Institution)執照的原則性許可,也是已完成台灣金管會的洗錢防制法令遵循聲明的合格業者。
註一:gas fee 是在區塊鏈驗證中,用戶支付給礦工執行特定行為(如:加密貨幣移轉、執行智能合約等等)所需要消耗的燃料。 區塊鏈上的每筆交易都需要消耗大量的算力,礦工需要負擔設備、營運與電費等成本,因此為了獎勵礦工,區塊鏈上的交易才需要用戶支付費用,也就是所謂的 gas fee。
註二:每一筆在區塊鏈上的交易都會有一個獨一無二且經過加密的交易哈希(transaction hash),概念有點像是傳統金融中的交易水單編號、交易記錄編號等等。每一個交易哈希都是一串英數組合的編碼,可以在區塊鏈帳本上查找出該編號交易的內容,包括發起人、接收者、交易金額或傳遞的資訊等。