登顶顶会|BlockSec 联合研究成果获 SIGMETRICS 2026 最佳论文 Runner-up
BlockSec 与浙江大学、香港城市大学、MBZUAI联合完成的研究论文《Shedding Light on Shadows: Automatically Tracing Illicit Money Flows on EVM-Compatible Blockchains》,获得 SIGMETRICS 2026 最佳论文 Runner-up。本届会议共有约 81 篇论文入选,最终 5 篇进入最佳论文候选名单,我们的论文位列其中。
这不仅代表研究成果获得了顶级会议的认可,也说明 BlockSec 长期积累的链上资金追踪经验,可以被整理成一套系统,在真实案件中跑出可验证、可复现的结果。
SIGMETRICS(ACM SIGMETRICS)是计算机系统性能测量与建模领域的顶级会议之一,本届会议于 2026 年 6 月在美国密歇根州安娜堡举行,由密歇根大学承办。
图1 SIGMETRICS 2026 最佳论文 Runner-up 证书
图2 霍奕程在密歇根大学 SIGMETRICS 2026 现场报告 MFTracer
链上的钱越来越多,追赃也越来越难
EVM 系的公链是今天加密资产流动性最集中的地方。以太坊、BSC、Polygon、Base 等链上沉淀了智能合约和庞大的 DeFi 生态,全网超过六成的总锁仓价值都集中在这些链上,整个加密市场约 2.65 万亿美元的市值、约 3220 亿美元的稳定币供应大多在这里流转。
资金高度集中,也意味着犯罪造成的损失同样集中。2025 年仅链上相关损失就达到约 110 亿美元,其中 Bybit 一案被盗约 15 亿美元,跨链洗钱的规模更是高达数百亿美元量级。犯罪分子拿到赃款之后没法直接套现,于是要做的第一件事就是洗钱,核心目的只有一个:切断资金链路,让下游的钱在表面上看起来和上游被盗的钱没有关系。
追赃要做的,恰恰是把这条被人为切断的链路重新接上。从受害者地址出发,穿过中间一层层的洗钱地址,一直追到最终的出金端点,把整张资金流拓扑还原出来,这是反洗钱调查里最关键、也最耗人力的一步。
图3 洗钱的本质是切断资金链路:资金从受害者账户经中间洗钱地址流向出金端点,犯罪分子刻意切断下游与上游被盗资金的关联,让下游的钱看起来干净
已有的办法为什么不够用
过去这些年,学术界关于链上资金追踪的研究主要集中在比特币上,做的是地址聚类、花费启发式、污点分析这类方法。比特币的账本模型相对简单,这些方法在 EVM 这种合约可编程、代币种类繁多、DeFi 语义复杂的环境里很难直接迁移。
行业里的资金调查工具是另一条路线,大多定位为专家辅助平台,强项在于图谱可视化、实体标注和交易检索。但资金图谱往往还要靠分析师手动一条边一条边地组织。链上资金追踪一直缺一套自动、快速、并且真正兼容 EVM 的系统,也缺一个能用来公平评测这类系统的数据集。
MFTracer:把资金追踪做成能自动跑的系统
针对这些问题,论文提出了链上资金自动追踪系统 MFTracer。它的思路是构建一次、追踪多案:先一次性把区块链交易历史整理成一个可复用的后端,之后每来一起案件,只要输入受害者或资金源头的地址,系统就能自动把隐藏在复杂合约和代币操作背后的真实资金流向还原出来,输出一张可以直接作为证据的资金流拓扑。为了解决交易数据量巨大、检索时容易路径爆炸的问题,MFTracer 在链上数据检索上做了专门的工程优化,把一次资金追踪从过去的小时级压缩到了分钟级,也能在实际环境里持续维护。
为了检验效果,我们公开了第一个面向这类系统的真实案件数据集 LaunderNetEVM41,覆盖超过 1.25 亿美元的被盗资产。在真实数据上,MFTracer 为约 1.209 亿美元的赃款给出了带强证据的资金流向,还新发现了 4183 条非法资金流动和 683 个洗钱地址。来自产业一线的资金追踪理解,可以被组织成经得起顶级会议评审、可验证、可复现的系统。
图4 MFTracer 的实战发现:1.209 亿美元强证据资金、4183 条新发现非法资金流、683 个新发现洗钱地址
自动化,不等于不需要人
把资金追踪做到能自动跑,是一个很强的结果,但它不是终点。覆盖率再高也不是 100%,而在追赃这件事上,一条关键线索的遗漏或者误判,代价都可能很大。
更重要的是,真实的资金调查远不止还原一张拓扑图。哪些资金流值得优先上报,一个端点对应的是交易所、混币器还是另一个犯罪团伙,怎么和执法机构、交易所协同去冻结和处置,这些判断今天仍然要由人和机构来完成。MFTracer 把将隐藏的资金关联自动还原成可用证据这一步往前推了一大步,而最终的定性、复核与处置,依然离不开经验丰富的调查人员。
论文作者
霍奕程、胡宇峰、周亚金、Ting Yu、吴磊、王聪
(本论文大部分工作为第一作者在BlockSec实习期间完成。)
论文可在 ACM 数字图书馆查阅。代码、数据集与相关发现均已在论文中给出链接。