Peckshield旗下的反洗钱和欺诈系统CoinHolmes显示，在Colonial Pipeline支付了75BTC的赎金后，75BTC被转移到以bc1qxu和bc1qu5开头的两个钱包地址，赎金分别约占84%和16%。

之前已经分析过，黑客组织DarkSide已经形成了完整的RaaS产业链，开发者为下游犯罪提供工具和方法，然后获利。从资金流程图可以看出，这次FBI冻结的资金是下游勒索的资金(从bc1qxu开始，63.7BTC)，开发商的资金自收到后一直没有动过(从bc1qu5开始，11.2 BTC)。

属于下游勒索钱包的63.7BTC，以bc1qxu开头，先转到开头为3EYkxQ的地址，再转到开头为bc1qq2的地址，再转到开头为bc1qpx的目标地址(FBI持有私钥，63.7BTC)和另一个地址(5.9BTC)。

根据周一公布的宣誓书，赎金的追回是因为联邦调查局在转移过程中掌握了一个钥匙钱包的私钥，但没有披露联邦调查局是如何获得私钥的。

PeckShield反洗钱专家表示：FBI很可能在美国追查到了ransomware的服务器代理，然后就被查封了，私钥可能就存储在服务器上了。

此前，DarkSide的网站被封，随后他们宣布解散，并将支付服务器上的资金转移到一个未知地址。

过去，我们帮助警方跟踪涉及洗钱的虚拟货币案件。一般情况下，犯罪嫌疑人通过跟踪分析资金流向，分析交易方式和对方信息，如果利用集中交易机构洗钱，可以定位到集中交易机构，并出具司法证明，封锁涉案嫌疑资金，锁定涉案嫌疑人。

但在殖民管道案中，资产并没有流入集中交易机构，FBI不应该以这种方式扣押资金。另外，目前没有迹象表明私钥可能被泄露，我们的判断倾向于FBI向服务器代理追回赎金。PeckShield反洗钱专家解释。