区块链链上追踪基础篇【中】：地址标签的识别（2）

上一篇介绍了根据地址类型的最基本的识别方式。这一篇将介绍 Account 模型下的自动化追踪与标记方法。

既然提到了 Account 模型，为此有必要介绍一下区块链交易过程中最常见的两种模型，即，Account 和 UTXO 模型：

Account 是账户余额模型。

Account 作为账户余额模型，与我们日常理解的账户记录方式非常相似，例如：张三付5块钱给李四。

在 Account 模型中表示为：张三Balance - 5 ； 李四Balance + 5 ；

UTXO 是未花费模型。

UTXO是Unspent Transaction Output的缩写，即“未被花费的交易”。一笔UTXO交易，可以有多个转出和多个转入，且转入转出没有对应关系。

例如，张三有6个5块钱，分别给了李四22块、王五5块，自己剩3块钱。

用UTXO记账需要表示为：

输入 -> 张三：6个5块钱；

输出 -> 李四：1个22块钱，王五：1个5块钱，张三：1个3块钱；

这就导致了一个结果，当我们在区块链浏览器中看两种交易模型的交易记录时，其形势有较大差异。例如，ETH 作为 Account 模型的典型代表，它的每笔交易在浏览器里看是这样的：

从区块链浏览器的交易记录中不难看出，每一笔交易都是一对一的方式记录下来的。

而作为UTXO模型的典型代表，BTC的交易记录方式就不太友好了：

交易过程比较明显的看出，地址bc1作为输入，支付给了3GD 一笔BTC，剩下的钱作为零钱找零一样又回到了自己的 bc1 地址中。当然，找零的钱也可以不回到 bc1 而是回到自己所掌控私钥的另一个地址，这也是当前各类钱包App的主流做法，也是保护隐私的一种推荐做法。这样的方式在极大程度上增加了链上资金的追踪难度，不是简单的几条规则就可以识别到的。所以限于篇幅问题，我们先以相对简单的 Account 模型的追踪、标记为入手点。

Account模型下的自动化扩展与标签标记

因为 Account 模型的交易方式与我们所理解的传统交易方式非常相似，基本就是一条链式的资金流转过程：A给B，B给C，C给D ……

我们以黑客盗币追踪为案例来做讲解。当我们假设A地址为黑客地址，即，当出现盗币时，丢失的资金第一笔转入的地址为A，那么，理论上：

• A转账给B，B也应为黑客地址

• B转账给C，C也为黑客地址

• C转账给D，D也为黑客地址

• 如此反复 ……

  （如下图，A至N都为黑地址）

如此简单，按照Account模型的原理来看，这样一路标记下来，就可以在完成交易追踪的同时还标记了一堆新增的黑客地址标签。

但是实际上，并非完全如此。

仅以地址B为例，其实，在很多情况下B并不一定是被黑客所持有的地址，比如，B是一个另受害者，因为贪图便宜而低价交易了黑客盗窃来的资产。或者，B是某个平台的地址，虽被黑客个人使用但并非完全个人持有。在这些情况下如果贸然将B也标记为黑客地址，就会出现错误，而这些错误在一些场景中被使用则可能会造成更大的损失。

所以，对B也需要进行二次判断，以确认是否可将B标记为黑客地址：

• B是否有其他标签，尤其是否有“中心化”类别的标签

• B是否为首次出现的地址，若不是，历史交易特征是否符合个人地址行为

• B地址是否有明显的非个人地址特征，如，B是一个合约地址

即便完成了以上的判断，依然需要对B进行持续监控，以确认其在后续一段时间内是否呈现出非个人地址的交易特征，例如：

• B是否进行了零钱整理，将转入资产等量汇聚到了另一个地址上

• B地址上资产种类和数量是否多，交易是否频繁

当地址 B 被这一系列的补充规则二次排除之后，才基本具备标记为“黑客地址”的可能性。通过这一系列规则，跟着盗币地址的资金链路一路追下去，可以实现自动化的追踪和地址标记。

上面我们提到了中心化 、零钱整理、个人地址这些名词，可能这些标签定义对于初次接触的读者来说还有些陌生，这也导致上面所描述的整个判断逻辑无法完全应用落地，所以，我们在下一篇会带来关于中心化平台的说明、定义和最常见的两种识别手段。读懂了中心化平台的识别，不但可以解决此处的几个名词问题，还可以更好的完成今天这篇 Account 追踪模型的分析规则。

【本篇完】