By:慢霧AML團隊
隨著DeFi、NFT、跨鏈橋等項目的火熱發展,黑客攻擊事件也層出不窮。有趣的是,據慢霧統計,80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash,本文以KuCoin被盜事件為例,試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。
事件概述
據KuCoin官網公告,北京時間2020年9月26日凌晨,KuCoin交易所的熱錢包地址出現大量異常的代幣提現,涉及BTC、ETH等主流幣以及LINK、OCEN等多種代幣,牽動了無數用戶的心。
圖1
據慢霧AML團隊統計,本次事件被盜資金超2.7億美元,具體如下圖:
圖2
值得注意的是,我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中,我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash,并對Tornado.Cash的轉出進行分析,以分解出被盜資金可能流向的地址。
慢霧余弦:Ordinals Wallet被SIM Swap劫持走賬號并發布釣魚鏈接:金色財經報道,慢霧創始人余弦在X平臺(原推特)表示,Ordinals Wallet被SIM Swap劫持走了賬號,發布了釣魚鏈接,釣魚組織是PinkDrainer。[2023/9/7 13:23:26]
Tornado.Cash是什么?
Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
如何轉入?
攻擊得手后,黑客開始大范圍地將資金分批轉移到各大交易所,但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后,黑客將目光轉向了DeFi。
慢霧余弦:Stake.com被盜地址仍有資金不斷進入:9月4日消息,慢霧創始人余弦在社交媒體上發文表示,Stake.com被盜地址目前仍有資金不斷進入,也許是Stake.com的服務沒有停止,或者部份玩家仍不知情。[2023/9/4 13:17:05]
據慢霧AML旗下MistTrack反洗錢追蹤系統顯示,黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址,接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。
圖3
大部分ERC20代幣兌換成ETH后,被整合到了以下主要地址:
表1
在對ETH和ERC20代幣進行完整追蹤后,我們梳理出了資金是如何在黑客地址間移動,并分解出了資金是以怎樣的方式進入Tornado.Cash。
圖4
黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下:
表2
轉到了哪?
慢霧:CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息,慢霧發推稱,CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示,TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX,而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]
猜想
****
巨額的ETH進入Tornado.Cash,會集中表現出一些可追蹤的特征。2.以黑客急于變現的行為分析,猜想黑客將資金存入Tornado.Cash后會隨即提款,或下次存入時提款。
3.分析攻擊者使用洗幣平臺的方式和行為,可以獲得資金的轉移地址。
可能的鏈上行為
慢霧安全預警:Nacos出現遠程代碼執行漏洞攻擊案例,請相關方及時升級:金色財經報道,據慢霧區消息,Nacos 出現遠程代碼執行漏洞攻擊案例。Nacos 是 Alibaba 開源的一個更易于構建云原生應用的動態服務發現、配置管理和服務管理平臺,幫助用戶快速實現動態服務發現、服務配置、服務元數據及流量管理。Nacos 在處理某些基于 Jraft 的請求時,采用 Hessian 進行反序列化,但并未設置限制,導致應用存在遠程代碼執行(RCE)漏洞。其中,1.4.1 <= Nacos < 1.4.6,使用 cluster 集群模式運行受影響;1.4.0、2.0.0 <= Nacos < 2.2.3,任意模式啟動均受到影響。加密貨幣行業有大量平臺采用此方案,請注意風險,并將 Nacos 升級到官方最新新版本。[2023/6/9 21:25:29]
****
資金從Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。2.一定時間段內,從Tornado.Cash轉出的資金會持續轉出到相同地址。
慢霧完成對EOS鏈上流動性挖礦項目Diamond的安全審計:基于EOS的流動性挖礦項目Diamond.finance官方宣布,該項目智能合約已成功通過慢霧(SlowMist)的安全審計。[2020/9/6]
驗證
****
以黑客地址(0x34a...c6b)為例:
如表2結果所述,黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)間,以每次100ETH,存115次的方式將11,500ETH存入Tornado.Cash。為了方便說明,我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄,如下圖:
圖5
接著,我們查看_Tornado.Cash:100ETH_合約的交易記錄,找到地址(0x34a...c6b)在同一時間段的存款記錄,下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。
圖6
查看該地址(0x82e...398)在此時間段的交易哈希,發現該地址并沒有將ETH提款給自己,而是作為一個合約調用者,將ETH都提款到了地址(0xa4a...22f)。
圖7
圖8
同樣的方式,得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址,具體如下:
表3
經過核對,發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致,這似乎驗證了我們的猜想。對其他地址的分析方法同理。
接著,我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示,黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺,另一部分資金進入第二層后也被黑客轉入了上述交易平臺,試圖變現。
圖9
總結
本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH,分析結果不由得讓我們思考:Tornado.Cash真的完全匿名嗎?一方面,既然能分析出部分提款地址,說明不存在絕對的匿名;另一方面,匿名性是具備的,或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。
截止目前,KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來,DeFi或許已成為黑客轉移資金的通道,而今監管已至,合規化的腳步愈發逼近,有合規需求的項目方,可以考慮接入慢霧AML系統(aml.slowmist.com),即使黑客使用了DeFi,也無處遁形。
往期回顧
DeFi平臺CreamFinance再遭攻擊,1.3億美金被盜
慢霧區|區塊鏈被黑檔案庫升級上線
慢霧:復盤Liquid交易平臺被盜9000多萬美元事件
天價手續費分析:我不是真土豪
Avalanche鏈上閃電貸攻擊事件——ZabuFinance被黑分析
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
慢霧
慢霧
慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多
市場上有幾種去中心化杠桿代幣模型,包括SetProtocol、Tracer和PhoenixFinance。它們都對杠桿頭寸的代幣化應用了非常不同的方法.
1900/1/1 0:00:0011月3日消息,微軟正在調整旗下的指標性產品,包括PowerPoint和Excel,以創建一個更加企業化的元宇宙版本.
1900/1/1 0:00:00如果說比特幣是區塊鏈的始祖,那么以太坊可以說是區塊鏈2.0的開端。比特幣的出現,讓人們第一次知道了價值是如何通過網絡來傳輸,而以太坊智能合約的創造,打開了區塊鏈發展的大門.
1900/1/1 0:00:00尊敬的IDCM點心交易平臺用戶:為充分滿足用戶的交易需求,IDCM將于2021年11月5日10:00開放BNB/USDT交易業務,后續將開通更多的主流幣幣種.
1900/1/1 0:00:00尊敬的XT用戶: 因KDC錢包維護,XT.COM現已暫停KDC充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00Gate.iohasaddedENJ/USDTperpetualcontracttrading(USDTmargin).
1900/1/1 0:00:00