两年前恰逢Wannacry暴发没多久，小编发布了《“数”说Wannacry的 *** C钱包》一文，遭受许多小伙伴们的关心。文章内容从 *** C基础特点、交易数据收集、交易记录剖析、现金流数据可视化等好几个层面详细介绍了Wannacry恶性事件所涉及到的三个比特币账户。因为“涉案人员”帐户仍未迁移“脏款”，因此 那时候只剖析了资产的来源于，并沒有就动向进行科学研究。

有热情小伙伴们提醒，帐户在2017年8月3日对资产开展了迁移实际操作，那麼我们一起来看一下帐户里的钱来到哪？这2年来帐户发生什么事？

Tip1：为简单化叙述，原文中各自将wannacry的三个 *** C钱包重新命名为以下：

*** C钱包

通称

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

11钱包

12t9YDPgwueZ9NyMgw519p7AA8isjr6 *** w

12钱包

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

13钱包

Tip2：全部采集数据截止时间为2019年6月。

0×01 When 迁移時间

历经对三个钱包全部交易记录开展筛选，现有397笔交易，在其中6笔转走，每一个钱包各自相匹配2笔，实际如下图：

图1 11钱包转出记录

图2 12钱包转出记录

图3 13钱包转出记录

6笔交易各自产生在20170803日的11:39:15、12:28:20、12:41:34这三个時刻，必须表明的是交易時间同样的交易记录都记述在同一块上，因此 出块时间全是一样的。由此能够推测，有些人在中国北京时间2017年8月3日（间距5.12共83天）12点上下对三个帐户开展了实际操作，转离开了里边的钱。

0×02 Where 资产动向

1、帐户里一共要多少钱

三个钱包的转到交易订单数各自为：11钱包119笔, 12钱包136笔, 13钱包138笔，从遍布状况看无显著差别，也合乎《“数”说wannacry的 *** C钱包》里边提及的wannacry病毒程序对支付帐户的随机化。

图4 各钱包转到交易占有率图

截止2017.8.3日，各钱包接到的 *** C金额各自为：14.41067602btc、17.77113037btc、19.74510304btc，总共51.92690943btc。

图5 各钱包转到额度占有率图

2、资产去哪里了

为了更好地回应这个问题，大家必须对2017.8.3日的转走数据信息开展搜集跟踪，大家依然应用scrapy架构开展爬取，因为数据来源网址应用了js脚本 *** ，因此 urllib获得到的內容并不是是真正呈现的数据信息，因而引进selenium phantomjs的 *** 启用无页面电脑浏览器对网页页面开展爬取。（高版本号的selenium早已放弃了对phantomjs的适用，能够采用chrome或Firefox浏览器开展，一般 为了更好地降低資源耗费采用headless没头方式）

Step1:明确 *** 爬虫通道

为了更好地跟踪钱包里金钱动向，必须紧抓转出交易抽丝剥茧，因此 3个钱包在8.3日的6笔转走记录是关键， *** 爬虫的通道即是6笔转走记录，6条转走交易的id以下：

d17829f8097ed86fa2e961b5ccefc51877673f649196621bf90e03f42f1e9ab8

ef0ac1c130740138805bfb7cd605456e440266db1fd85ae5b4a852a7172fcf2f

35e5d5fe8c8128cfa6884f56be5817e4138c58c91b79d78d3e78a8d365b9d8a7

409803bb5e124fd028c0482027c7722e84ce55b78204b279d3a44aba5e7c1698

8def6458a46234ab0e040602e7852ff5cf58650f3f1102803b1d4bca4cc293a1

a028bb2d4c795cb8a8fd2f03285934fba8747fa84296fb7711dcda179b21cc4c

依据数据信息特性，大家制做以下的二张表来各自记录交易概述和交易详细信息。

表1：交易概述。记录每单交易的id、块高宽比、确定数、出块时间、rawtx、虚似尺寸、权重值、键入、輸出、Sigops、挖矿费、挖矿利率。

图6 交易记录因素

表2：交易详细信息。记录每一笔现金流详细信息，包含交易Id、钱包详细地址、注入排出种类、btc总数、上一笔或下一笔交易id。下面的图所显示本笔交易共包括3条现金流信息内容，1笔键入资产，2笔輸出资产。

图7 交易详细信息因素

Step2：逐渐爬取

因为 *** 爬虫是以6个通道详细地址为起始点爬取，沿着现金流跟踪，仅有进行一个交易记录的爬取才可以获得到下一个交易的网页页面详细地址，因此 另外爬取的较大 要求数只有是6，这巨大限定了 *** 爬虫的工作效能。为了更好地简单化爬取全过程，这儿只爬取了一部分数据信息开展剖析。

Step3：大数据可视化

大家对11钱包的两根转出记录开展跟踪，共搜集到593笔交易，涉及到40756条现金流。将数据信息开展恢复出厂设置解决后，导进gephi中开展数据可视化展现。

图8 钱包11的交易数据可视化