纸质快递 | 基于行为感知的以太坊账户去匿名化

近日，浙江工业大学网络安全研究所、中山大学和北京理工大学联合发表的合作论文《Behavior-aware Account De-anonymization on Ethereum Interaction Graph》被IEEE Transactions on Information Forensics & Security（ TIFS），信息安全领域国际顶级学术期刊，在线出版。

TIFS是网络与信息安全领域的CCF-A期刊。 主要关注计算机与网络安全与可靠性领域的最新研究进展和技术，在网络与信息安全领域具有重要影响。

论文链接

资源链接

图1 论文相关信息

论文介绍

一、背景及动机

区块链本质上是一种分布式数据库技术，具有去中心化、不可篡改、可追溯、匿名等特点，为数字金融的发展带来重大变革。

加密货币是基于区块链技术最成功的应用之一。 自2009年比特币成为第一个去中心化的加密货币，到以以太坊为代表的具有平台属性的加密货币，再到Facebook提出的Libra项目，加密货币发展如火如荼，也带来了一系列风险。 加密货币中各个节点的身份信息无需公开和验证，信息传输可以匿名，这也为洗钱、赌博、钓鱼等不法活动带来便利。 由此产生的金融安全问题已经成为制约区块链生态健康发展的主要矛盾。

为防范金融风险，在监管层面，加密货币逐步纳入政府监管范围； 在技​​术层面，公开数据也推动了更多机构对区块链进行分析和研究，这也说明单纯使用区块链技术构建的应用很难发挥其价值，这就需要区块链与区块链的结合。人工智能、大数据等技术协同形成一体化解决方案。

图数据挖掘技术天然适用于区块链数据的分析。 从结构上看，区块链数据本质上可以用图来表示，节点代表地址，边代表交易、合约调用等行为。 将区块链交易数据建模成交易图后，可以利用图数据挖掘方法提取图结构关系中的特征，可有效用于下游学习任务（账户识别、异常交易行为检测等）。

现有的基于图学习的账户识别方法主要集中于人工特征工程和简单的图表示学习，取得了较好的效果，但仍存在诸多缺陷。

1）人工特征工程依赖专家知识，过于简单，无法捕捉区块链数据中潜在的高层信息，如交易模式等，信息表征能力相对较弱。

2）不同区块链金融平台的技术差异，使得不同平台之间的人工特征复用性较弱。 例如，以太坊数据具有与智能合约相关的特征，而比特币没有智能合约，这极大地限制了手工特征的跨平台复用。

3）图分析依赖于海量区块链数据构建的大规模交易图。 传统的基于图随机游走的表示学习或基于节点分类的图神经网络（GNN）依赖于全图训练，这将导致在计算大图时内存消耗大，时间成本高。

4）区块链平台上的交易数量日益增加，导致节点和边上的交易图更新频繁。 基于全图学习的方法不再适用于频繁扩充的图数据。

5）第三方平台公开的账户身份标签信息较少，标签的稀缺性制约了监督学习方法的推广。

基于以上问题，我们设计了一个行为感知的以太坊账户去匿名化框架（Ethident）。 我们首先从以太坊相关平台收集和整理大量涉及交易、智能合约、账户身份标签的数据，然后构建账户交互图。 针对传统图神经网络计算大图效率极低的问题，我们将基于节点分类的账户识别转化为基于子图分类的账户识别。 我们从完整交互图中提取目标账户的邻域子图，这允许 GNN 以小批量方式学习表示。 为了更好地捕捉账户行为模式，我们进一步设计了一种基于分层注意力的图编码器，它可以有效地表征节点级别的账户特征和子图级别的行为模式。 此外，我们引入了图数据增强和对比自监督机制，通过构建账户的多视图图来缓解在监督学习过程中可能导致模型泛化能力差的标签稀缺问题。 通过这种方式，我们的框架联合训练子图比较和子图分类任务，在账户识别任务上实现了最先进的性能。

2.账户交互图建模

将交易数据构建成交易图，并利用图分析方法挖掘交易数据中的有用信息，是研究区块链数据的常用技术手段。 在本文中，我们首先将原始以太坊交易数据建模为账户交互图。 我们主要关注四种类型的账户，即交易所、矿池、ICO 项目和钓鱼/黑客账户。 这些账户普遍存在于以太坊中，了解它们的行为模式可以帮助我们更好地了解以太坊生态。 根据收集到的标签信息，我们发现这四类账号的标签信息大部分是基于外部账号的。 因此，在构建交互图的过程中，我们将外部账户作为节点，将外部账户的调用信息转换为合约账户作为节点特征，将外部账户之间的多个共同交易融合并构建为有向边，以及两个外部账户之间的交易信息被构造为边缘特征。

图 2 账户交互图

3. 基于行为感知的账户去匿名化框架

我们提出的框架主要由四部分组成，如下图所示： 1）子图采样模块，用于从账户交互图中提取目标账户的微交互图； 2）子图扩充模块，用于生成额外的子图视图； 3）用于表示子图的层次图注意力编码器； 4) 联合优化子图比较和子图分类任务的训练模块。

图 3 行为感知以太坊账户去匿名化框架

子图采样模块：由原始交易数据构建的账户交互图规模较大，不适合后续图分析。 基于以下假设：

1）不同类型的账户有不同的行为模式，隐含在账户的局部结构中；

2) 包含账户邻域信息的以账户为中心的子图将在识别账户身份方面发挥关键作用；

3）子图是目标账户的感受野，其规模远小于整个交互图，更有利于高效的图学习；

通过引入子图抽样，我们将原来基于节点分类的账户去匿名化改造为基于子图分类的账户去匿名化。 在采样过程中，我们利用边上的不同信息（交易量、交易频率、平均交易量）对目标账户的各个邻域子图进行逐跳采样。

图4 子图采样模块，根据不同边信息进行采样

Hierarchical Graph Attention Encoder：在交互子图中识别目标账户时，不同的邻居账户通常对其贡献不同。 例如：

1）A、B两个账户都与C有交易联系，A、C涉及大额交易，B、C涉及小额交易，所以通常在识别C账户时，A账户可以提供更多的信息；

2）账户A和B都与C有交易联系，A和C有相似的合约调用行为，而B和C的合约调用习惯有较大差异，所以通常在识别账户C时，A账户可以提供更多的信息；

因此，考虑到邻域内不同账户对目标账户贡献的差异，我们首先在节点（账户）层面引入注意力机制以太坊违法，对不同邻域账户及相关交易过程中的信息进行加权聚合。表示学习，最终得到Account表示。

同时，为了学习账户的行为模式，我们需要考虑整个交互子图所代表的信息。 事实上，账户的行为模式与其身份相关，即不同身份的账户通常行为不同，具有不同的子图模式。 例如：

1）对于“交易所”的交互子图，中心“交易所”节点一般具有极高的中心性，与周围的邻居交互频繁，表现出较高的交易量和交易频率；

2）对于“庞氏骗局”或“赌博”的交互子图，具有高投入低回报两个显性特征：（1）中心节点与周围节点之间的双向边（双向交易）很少邻居，中心节点入度高，出度低； (2) 中心节点的入边（投资）通常包含比出边（回报）更大的交易量；

因此，交互子图中的不同账户对表征整个交互子图的行为模式有不同的贡献。 考虑到用于学习图级特征的传统池化模块（sum、mean 或 max pooling）过于简单，可能导致特征平滑，我们在这里提出了一种基于注意力的池化机制，通过学习子图的表示不同的节点。 contribution，最终得到目标账户的交互子图表示。

因此，我们的分层图注意力编码器可以有效地学习节点级别的帐户特征和子图级别的行为模式。

图 5 Hierarchical graph attention encoder

子图增广模块：现有的账户身份标注信息较少，会限制监督学习的泛化能力。 为了缓解账号标注数据的稀缺性，我们在这里引入图数据扩充技术，设计了多种数据扩充策略（节点丢弃、边去除、节点属性屏蔽、边属性屏蔽、子图采样），用于同一个账户生成多个不同的子图视角，有效扩展监督信号。

训练模块：在这个模块中，我们设计了一个结合数据增强的子图比较任务。 在此任务中，我们将同一账户的不同子图视角视为正对，将不同账户之间的子图视角视为负对。 通过子图比较，我们帮助模型学习同一账户在不同视角下的一致性，以及不同账户视角下的差异。 最后，我们将子图比较任务作为正则化项，结合子图分类任务进行模型训练，最终通过子图分类实现对以太坊账户的识别，即去匿名化。

4.实验与分析

在这一部分中，我们进行了全面而丰富的实验分析，全面评估了我们提出的框架在账户去匿名化（身份识别）方面的有效性和优越性。

性能评估：在性能评估实验中，我们比较了现有的手动特征方法、传统的图嵌入方法（随机游走类、图核类）、经典的图神经网络方法（GCN、GAT、GIN），以及一些提出的方法（trans2vec、 I2BGNN）用于以太坊账户识别任务。 从结果表中可以看出，我们提出的框架在不同类型的账户上取得了最佳性能。

表1 账户识别性能对比

行为模式分析：接下来我们结合真实账户微交互图分析不同类型账户的行为模式，评估不同子图采样策略对不同类型账户的适用性。

1）对于ICO账户，关键的行为模式是有大量的流出方从中心ICO账户向周边的支持者提供一定的投资回报。 由于投资行为通常涉及较高的交易金额，根据交易量对交互子图进行采样可以最大程度地保留ICO账户的行为模式；

2）对于挖矿账户，关键的行为模式是有大量具有一定累积奖励的出边从中心矿池到周边矿工节点。 由于以太坊的区块奖励在一段时间内是固定的，同一个矿池的矿工一般都有相对稳定的平均挖矿收益，所以根据平均交易量对交互子图进行采样可以保留挖矿账户的行为模式最大程度；

3）交易所账户通常与其客户交互频繁，处理大量交易订单，在交互图中表现为中心性极高（即大入度和出度）的中心节点。 因此，根据交易频率信息对交互子图进行采样更有好处；

4）Phishing或黑客账号的关键行为模式有一个明显的特点：中心节点与周围节点之间的双向边（双向交易）很少，中心节点入度高，出度低程度。 由于假代币兑换或勒索软件等非法欺诈通常会设置特定的门槛金额或固定赎金，这可以反映在平均交易量信息中，因此以平均交易量信息采样的子图可能更利于识别此类账户。

图6 账号微交互子图

此外，我们还在后续实验中对提出的去匿名化框架进行了全参数分析、消融分析、泛化分析和表示可视化分析，并对层次图注意力编码器和图数据增强进行了综合评估。 、子图抽样、联合学习设置、模型复杂性、框架在其他区块链平台（EOSIO）上的泛化，以及面对干扰账户时的稳健性。 该工作获得浙江省重点研发计划等项目资助。

Jiajun Zhou、Chenkai Hu、Jianlei Chi、Jiajing Wu、Meng Shen、Qi Xuan，“以太坊交互图上的行为感知帐户去匿名化”，载于 IEEE 信息取证与安全交易，卷。 17，第 3433-3448 页，2022 年以太坊违法，doi：10.1109/TIFS.2022.3208471。