Peckshield派盾旗下的反洗錢反欺詐系統(tǒng)CoinHolmes顯示，Colonial Pipeline支付贖金75BTC后，這75BTC被分別轉(zhuǎn)至開頭為bc1qxu和開頭為bc1qu5的兩個錢包地址，贖金占比分別大約為84%和16%。

此前分析過DarkSide這個駭客組織已經(jīng)形成完整的勒索即服務(wù)(RaaS)產(chǎn)業(yè)鏈，開發(fā)者向下游提供作案工具和方法，然后抽成獲利。從資金流轉(zhuǎn)圖可以看出，這一次被FBI凍結(jié)的是下游勒索的資金(開頭為bc1qxu，63.7BTC)，開發(fā)者的資金自收到后就沒有動過(開頭為bc1qu5，11.2 BTC)。

屬于下游勒索錢包的開頭為bc1qxu的63.7BTC先是轉(zhuǎn)到了開頭為3EYkxQ的地址，隨后轉(zhuǎn)入開頭為bc1qq2的地址，再分兩筆分別轉(zhuǎn)入開頭為bc1qpx的目標(biāo)地址(FBI掌握私鑰的地址， 63.7BTC)和另一地址(5.9BTC)。

本周一釋出的一份宣誓書顯示，追回此筆贖款源于聯(lián)邦調(diào)查局(FBI)掌握了轉(zhuǎn)賬過程中某一關(guān)鍵錢包的私鑰，但并未透露FBI是如何獲得該私鑰的。

PeckShield反洗錢專家表示：FBI很可能追蹤到了勒索軟件在美國的服服器代理，然后被查獲，私鑰可能存在服服器上面。

早前DarkSide的網(wǎng)站遭封鎖，他們隨后發(fā)文宣布解散，并將支付服服器上的資金轉(zhuǎn)移到了一個未知的地址。

以我們以往幫助警方追蹤涉及洗錢的虛擬貨幣案例來看，一般情況下，通過追蹤和分析資金流向，分析交易模式和對方訊息，如果犯罪嫌疑人使用中心化交易機構(gòu)洗錢，可通過定位中心化交易機構(gòu)，并出具司法對證，封堵疑似涉案資金，鎖定涉案嫌疑人。

但是，在Colonial Pipeline的案例中，資產(chǎn)并未流入中心化交易機構(gòu)，所以FBI應(yīng)該不是通過這種方式查封這筆款項的。此外，目前還沒有跡象顯示有私鑰泄漏的可能，我們的判斷傾向于FBI從服服器代理著手追回這筆贖金。PeckShield反洗錢專家解釋道。