用户案例
风控利器:BlockSec 用图+标签破解 Crypto 合规难题
导读:FATF“旅行规则”、欧盟 MiCA 法案、OFAC 制裁都对加密风控技术提出了新要求,如何在全新监管体系下,建立安全合规的加密风控系统?一起来看 BlockSec 的“答卷”:BlockSec 是全球领先的区块链安全公司,基于 NebulaGraph 构建了强⼤的加密⻛险控制系统,确保从数据捕获到⻛险洞察的全链条⾼效运作。 作者谢云飞,毕业于浙江大学软件学院,现担任 BlockSec 安全研发工程师,负责 Crypto 地址标签、图数据库相关工作,在香港 nMeetUp 上分享了 NebulaGraph 在 BlockSec 的应用。
一、加密金融的崛起与合规挑战
加密货币市场正在经历前所未有的快速演进。从最初的小众技术实验,到如今已成为一股不可忽视的全球金融力量。
截至 2025 年中,加密市场总市值突破 3 万亿美元,几乎占全球股票总市值的 3%,全球活跃用户超过 6 亿,每日交易量突破 2000 亿美元。Coinbase 和安永⼀份调研报告显示,有 85% 的机构正在或计划配置加密资产。
然而,光鲜的背后隐藏着"黑暗森林",在监管体系尚未完全建⽴之前,加密世界充斥着各种各样的犯罪活动。
从诱导用户泄露私钥的钓⻥攻击,到利⽤智能合约漏洞的恶意签名和钱包盗窃;再到震惊世界的 PolyNetwork 6 亿美元被盗事件和 Bybit 14 亿美元被盗事件等⼤型⿊客攻击;还有利⽤⼈性弱点的杀猪盘、虚假项⽬收割等⾦融诈骗,以及利⽤加密货币进⾏⽀付的勒索软件和暗⽹交易。
这些⾮法活动不仅导致巨⼤的资产损失,也带来了严重的监管灾难。它可能引发⼤规模罚款,吊销牌照,导致合规体系崩溃,甚⾄造成相关机构的声誉破产和⾦融隔离,最终导致整个加密⽣态系统的萎缩。
正是在这样的背景下,合规的曙光开始照亮全球加密领域。FATF 的"旅行规则"、欧盟 MiCA 法案、OFAC 制裁等监管框架逐步形成,对加密风控技术提出了三大核心挑战:
Who are you?如何将链上地址与真实身份绑定
Where is your money from?如何构建资金流分析系统进行动态风险评估
With whom do you transact?如何实现实时交易审查和复杂洗钱模式识别
本文将深入探讨,BlockSec 如何利用 NebulaGraph 图数据库,构建一个能够应对全新挑战的加密风控系统。
二、核心思想:从交易数据到风险网络
链上资金流的基本单位:转账
要构建有效的风控系统,首先需要理解加密资产资金流动的最基本单位——转账(Transfer)。
![图片](https://nebula-cdn.nebula-graph.com.cn/nebula-website-5.0/share/Blocksec-hongkong/blocksec5.webp
无论是 DeFi 操作中的借贷、流动性挖矿,还是交易平台上的数字资产交换,甚至是跨链桥协议中的资金锁定与铸造,所有复杂的链上价值转移活动,底层都归结为最基本的代币转账。
然而,原始链上数据异常复杂:包含多笔转账的批处理、复杂的 swap 逻辑以及跨链消息传递。这要求我们具备相应的技术能力来解析这些数据并提取有用信息。
我们的目标是从这些海量的、复杂的链上"原子单元"中,构建风险分析的基础,包括噪声过滤(如移除垃圾代币)和资金流图(Fund Flow Graph)的建立。
风险网络:图是骨架,标签是灵魂
链上资金流构成一个复杂网络。在这个网络中,图(Graph)是骨架,而标签(Labels)则是灵魂。
想象你面前只有原始的区块链数据:匿名地址间的连接,如从"0x098b…2f96"到"0x1361…1f39"再到"0xd90e…f31b"的转账。这些数据构建了一个"匿名骨架"——我们看到结构化的连接,但缺乏有意义的上下文信息。我们知道有资金在流动,但不知道是谁在流动、为什么流动,以及这些资金代表什么。
当我们为这些地址和交易赋予标签时,数据便有了生命。
例如,给"0x098b…2f96"和"0x1361…1f39"打上"Lazarus Group: Ronin Bridge Exploiter"的标签,给"0xd90e…f31b"打上"Tornado.Cash Router"的标签。我们就能清晰地看到:著名的朝鲜黑客组织"Lazarus Group"在 Ronin Bridge 攻击后,将 3000 以太通过被制裁的混币器 Tornado.Cash 进行洗钱。
通过标签,匿名的骨架变成了有血有肉、充满洞察力的风险图谱。标签赋予了数据意义,让我们能够从海量链上数据中准确识别高风险实体和行为。
精准画像:链上风险分类体系
通过结合图分析和精细的标签系统,我们能够对链上风险进行精准画像。系统需要有能力识别和标记多种威胁类型,帮助我们全面理解和应对加密世界的"黑暗森林"。例如:
漏洞利用(Exploit):针对 DeFi 协议的漏洞利用以获取非法收益
钓鱼攻击(Phish):通过社会工程学和欺骗手段进行盗窃
杀猪盘(Pig-Butchering):通过情感诱导进行欺诈性投资
勒索软件(Ransomware):网络犯罪分子勒索赎金的默认支付方式
恐怖主义融资(Terrorist Financing):利用匿名性进行秘密资金转移
暗网业务(DarkWeb Business):用于非法商品和服务的地下加密市场
受制裁(Sanctioned):受到官方制裁的地址或实体
洗钱(Laundering):清洗非法资金的行为
混币器(Mixer):用于混淆交易路径的协议或服务
被封锁(Blocked):被知名智能合约列入黑名单的地址
通过对这些威胁的精确识别和分类,风控系统能够提供多维度的风险评估。
三、技术实现:用 NebulaGraph 构建风控系统
选择 NebulaGraph 的原因
首先,性能优势是我们考虑的首要因素。加密货币网络每天产生海量的交易数据,仅以太坊每日交易量就超过百万笔,而我们需要实时处理这些复杂的资金流向关系。NebulaGraph 的分布式架构和优异的并发处理能力,能够轻松应对百亿级别的节点和边的查询需求,确保我们在毫秒级时间内完成复杂的图遍历分析。
其次,灵活的数据模型让我们能够更好地刻画区块链世界的复杂关系。从地址到地址的转账关系,从地址到协议的交互关系,从地址到标签的归属关系,这些多维度的关联数据在传统关系型数据库中处理起来异常复杂,而 NebulaGraph 的属性图模型天然契合这种多层次的关系表达。
最后,生态兼容性也是重要考量。NebulaGraph 原生支持 ISO-GQL,降低了我们团队的学习成本,同时其丰富的可视化工具和 API 接口,让我们能够快速构建直观的资金流分析界面,为合规团队提供更好的用户体验。
系统架构:风控系统的四大支柱
BlockSec 的风控系统基于四大支柱构建,它们协同工作,共同支撑起整个系统的功能。
数据层(Data Layer)负责从不同的区块链网络(如 BSC、ETH 和 Tron 的全节点)实时提取和处理经过过滤的链上资金流数据。通过数据提取器进行"转账挖掘",并利用多重过滤器管道进行数据清洗,确保数据的准确性和相关性。
情报层(Intelligence Layer)是系统的"大脑",通过 7x24 小时不间断的情报收集器,从公共 API、OSINT(开源情报)源、监管机构名单等多种情报来源获取信息。这些原始情报经过情报处理器,生成精准的地址标签,为后续的风险分析提供关键上下文。
存储层(Storage Layer)是系统的核心基础设施,由 NebulaGraph 提供支持。选择NebulaGraph 的原因在于其卓越的图数据存储和查询能力,能够高效地处理海量的地址和交易关系,为风险网络构建提供坚实基础。
计算层(Computation Layer)部署了预定义和自定义的风险引擎。这些引擎利用存储层中的图数据和情报层提供的标签,执行高级的风险模式检测和威胁评估。这些引擎通过 nGQL(NebulaGraph Query Language)查询接口与系统进行交互,获取实时的风险分析结果。
这四大支柱共同构成了强大的加密风险控制系统,确保从数据捕获到风险洞察的全链条高效运作。
风险定性:赋予数据"意义"的标签
标签是风险网络的"灵魂",那么这些至关重要的标签从何而来?如何确保其准确性?这正是定性分析的关键。
我们的标签来源是多维度的:
链上启发式(On-Chain Heuristics):分析区块链上的行为模式,构建钓鱼检测引擎和攻击检测引擎,对钓鱼地址和攻击交易进行识别。
链下情报(Off-Chain Intelligence):从公开渠道收集信息,包括社交媒体(Twitter, Telegram)、官方法律文件以及与第三方情报合作伙伴的协作。如果一个地址被官方机构列为制裁对象,或在公开社区被广泛确认为黑客攻击者,就会被打上相应标签。
人工分析(Human Analysis):作为自动化系统的重要补充,专家团队进行深入调查,验证自动化发现,并发现系统可能遗漏的新型、复杂的犯罪模式。
确保标签准确性是系统的生命线。我们采取以下策略:
自动化交叉验证(Automated Cross-Validation):系统自动聚合和交叉引用来自多个情报源的数据。如果一个地址被多个独立来源标记为诈骗,那么这个标签的置信度更高。
人机结合反馈循环(Human-in-the-Loop Feedback):利用产品套件(如MetaSleuth、Phalcon、API 服务)形成持续反馈循环。当分析师在使用这些工具进行调查时,如果发现任何标签错误或需要更新,可以立即修正并反馈到系统中,从而不断优化标签的准确性和覆盖率。
通过这种多源输入和严谨的验证机制,我们力求让每一个标签都精准可靠,真正赋予链上数据以意义。
风险量化:建立可计算的风险模型
有了高质量的标签,我们就可以进一步回答一个关键问题:一笔资金中,究竟有多少比例来源于诈骗者?有多少来源于攻击者?这就是风险量化的目标,构建一个可计算的风险模型。
我们应用了一种启发式算法,核心步骤如下:
法币敞口计算(Fiat Exposure Calculation):利用价格预言机计算每一笔代币转账的美元等值。这确保了在不同资产之间,对风险和贡献进行一致的比较。无论转账的是以太坊、USDT 还是其他代币,都统一转化为美元价值进行分析。
时间序列过滤(Time Series Filtering):只保留符合时间序列规则的边。一个地址不能在收到资金之前就花费这些资金。通过这种过滤,能够排除那些不符合实际资金流动的路径。
按比例分配污染(Haircut Strategy):应用按比例的权重分配,并引入一个阈值来剪枝那些贡献很小或无关紧要的路径。这可以防止结果被微不足道的噪声资金来源所污染,让风险归因更加清晰。
通过这三个步骤,我们能够构建一个相对精确又灵活的风险量化模型,为高风险交易的归因提供量化依据。
四、案例:高风险交易的分析
论终归要服务于实践。我们通过一个简单案例理解上述三个步骤是如何工作的。
假设有一个资金流图,其中矩形代表独立地址,箭头代表代币转账方向,时间值表示交易发生的时间戳,代币数量代表转账金额。
核心问题是:A2 到 A1 的转账中,有多少美元来源于"Exploiter",有多少来源于"Scammer"?
首先,将所有代币数量换算成美元价值。
第一步是识别有效的时间过滤路径。以 A2 转账给 A1 的交易作为参考点,发生在 Time 800。所有发生在 Time 800之 后,且试图流入 A2 并影响本次转账的资金,都将被认为是无效路径。
- Exploiter → A3 ($5,000, Time 600) → A3 → A2 ($5,000, Time 700):有效路径
Exploiter 在 Time 600 向 A3 转账 5000 美元,A3 ⼜在 Time 700 将这 5000 美元转给 A2。由于 Time 600 和 Time 700 都早于 A2→A1 转账的Time 800,因此这笔资⾦在 A2 进⾏转账时是存在于 A2 的。这是图中标注的红⾊路径之⼀。
- Scammer → A2 ($5,000, Time 750):有效路径
Scammer 在 Time 750 直接向 A2 转账 5000 美元。Time 750 早于 Time800,因此这笔资⾦也已到达 A2。这是图中标注的另⼀条红⾊路径。
- Exploiter → A3 ($9,000, Time 810):无效路径
尽管资⾦来源于 Exploiter,但转账发⽣在 Time 810,这晚于 A2→A1 转账的 Time 800。这意味着这笔资⾦在 A2 进⾏ Time 800 的转账时,还未到达 A2。因此,它不能被视为本次 A2→A1 转账的来源。
- A3 → A2 ($10,000, Time 900):无效路径
同样,转账发⽣在 Time 900,晚于 Time 800。
经过时间过滤,在 Time 800 之前,A2 总共从有效路径获得 10000 美元资金(Exploiter 通过 A3 流入 5000美元 + Scammer 直接流入 5000 美元)。
第二步是对 A2→A1 转账进行按比例分配。A2→A1 转账金额是 20000 美元,而 A2 通过所有有效路径收到的资金总额是 10000 美元。
计算已知风险来源在 10000 美元总额中的比例:
来自 Exploiter 的资金:5000美元 ÷ 10000美元 = 50%
来自 Scammer 的资金:5000美元 ÷ 10000美元 = 50%
第三步,将这些比例应用到 A2→A1 的 20000 美元转账中:
归因于 Exploiter 的资金:20000 美元 × 50% = 10000 美元
归因于 Scammer 的资金:20000 美元 × 50% = 10000 美元
尽管 A2 转出了 20000美元,但其中有 10000 美元可以明确追溯到 Exploiter,另外 10000 美元可以追溯到 Scammer.
通过这种法币敞⼝计算、时间序列过滤和按⽐例分配的⽅法,我们的系统能够精准地量化和追溯⾼⻛险资⾦的来源,即使在复杂的交易⽹络中也能保持清晰的洞察⼒。
五、风控系统的价值与挑战大模型
业务价值
风控系统的核心价值可分为三个层面:事前预防、事中控制和事后追溯。
事前预防:构建主动防御体系
核心能力是风险交易的实时阻断。在交易所处理用户充值、或 DeFi 协议处理用户交互时,可以通过 API 实时查询关联地址的风险评分。一旦评分超过阈值,系统可以自动暂停或拒绝该笔交易,将风险拦截在门外。
事中控制:提升合作伙伴安全基线
核心能力是交易对手与项目的尽职调查(Due Diligence)。当评估一个新的 DeFi 项目进行集成、或与某个机构进行大额交易时,可以通过图分析全面审查其合约地址、主要钱包的历史行为和资金网络。这能有效识别其是否与"高风险实体"有紧密关联,为合作决策提供关键依据。
事后追溯:提供精准的调查与证据支持
核心能力是链上资金的深度穿透与溯源。在发生安全事件(如项目被盗)后,为项目方和执法机构提供清晰、可视化的资金流向报告。系统能够快速追踪被盗资金经过多层地址跳转向交易所的完整路径,为资产冻结和追回争取宝贵的时间窗口。
挑战与局限
构建这套系统并非一劳永逸,BlockSec 始终面临三大核心挑战:
数据的挑战:标签的质量与广度决定系统上限
准确性是生命线:一个错误的标签(如将普通地址误标为黑客)可能导致灾难性误判。标签的生成和验证需要极其严谨的流程。覆盖度是天花板:面对每天都在增长的海量新地址,如何快速、有效地识别并打上标签,是系统能力所能触及范围的根本限制。
复杂性的挑战:跨链、Layer2 与隐私技术
跨链追踪的"断点":资金通过跨链桥在不同区块链网络(如以太坊到 BSC)之间转移时,会形成事实上的分析"断点"。将这些独立的图谱快速有效地连接起来,是巨大的工程技术难题。新兴生态的适配:Layer2 解决方案(如 Arbitrum, Optimism)和各类新兴公链层出不穷,每条链的数据结构和特点都不同,要求系统必须具备极高的扩展性和快速的适配能力。
对抗性的挑战:与黑产的持续"军备竞赛"
"道高一尺,魔高一丈":在优化追踪算法的同时,黑产也在持续升级其反追踪手段。例如,利用去中心化交易所(DEX)进行快速、小额、多路径的资产置换;利用暂未被充分标记的新型混币协议;或通过代码混淆来规避自动化分析。这是一场永不停息的竞赛:风控系统必须保持迭代和进化,才能在与恶意行为者的持续对抗中保持优势。
六、结语
加密金融的崛起带来了前所未有的机遇,也带来了巨大的合规挑战。通过 NebulaGraph,BlockSec 构建起一个从交易数据到风险网络的强大风控系统,为加密金融的健康发展提供技术保障。
未来,随着监管框架的不断完善和技术的持续进步,我们相信加密风控将变得更加精准、高效和智能化,也祝愿 NebulaGraph 为全球加密金融的合规发展提供更稳定更坚实的支撑。
⏬本文 PPT 下载地址
https://discuss.nebula-graph.com.cn/t/topic/17047
🔍NebulaGraph 在全新监管体系下的风控解决方案
🔍NebulaGraph 在复杂关系场景的核心优势
