慢霧：復盤 Liquid 交易平臺被盜 9000 多萬美元事件_RC20

北京時間2021年8月19日10:05，日本加密交易平臺Liquid稱其熱錢包遭到攻擊。從官方發布的報告來看，Liquid交易平臺上被盜幣種涉及BTC、ETH、ERC20代幣、TRX、TRC20代幣、XRP等超70種，幣種之多，數額之高，令人驚嘆。

慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統分析統計，Liquid共計損失約9,135萬美元，包括約462萬美元的BTC、3,216萬美元的ETH、4,290萬美元的ERC20代幣、23萬美元的TRX、160萬美元的TRC20、1,093萬美元的XRP。

慢霧AML團隊全面追蹤了各幣種的資金流向情況，也還原了攻擊者的洗幣手法，接下來分幾個部分向大家介紹。

BTC部分

攻擊者相關地址

慢霧AML團隊對被盜的BTC進行全盤追蹤后發現，攻擊者主要使用了“二分法”的洗幣手法。所謂“二分法”，是指地址A將資金轉到地址B和C，而轉移到地址B的數額多數情況下是極小的，轉移到地址C的數額占大部分，地址C又將資金轉到D和E，依次類推，直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額，要么以二分法的方式繼續轉移，要么轉到交易平臺，要么停留在地址，要么通過Wasabi等混幣平臺混幣后轉出。

慢霧：Distrust發現嚴重漏洞，影響使用Libbitcoin Explorer3.x版本的加密錢包:金色財經報道，據慢霧區消息，Distrust 發現了一個嚴重的漏洞，影響了使用 Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解 Mersenne Twister 偽隨機數生成器（PRNG）來訪問錢包的私鑰，目前已在現實世界中造成了實際影響。

漏洞詳情：該漏洞源于 Libbitcoin Explorer 3.x 版本中的偽隨機數生成器（PRNG）實現。該實現使用了 Mersenne Twister 算法，并且僅使用了 32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。

影響范圍：該漏洞影響了所有使用 Libbitcoin Explorer 3.x 版本生成錢包的用戶，以及使用 libbitcoin-system 3.6 開發庫的應用。

已知受影響的加密貨幣包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

風險評估：由于該漏洞的存在，攻擊者可以訪問并控制用戶的錢包，從而竊取其中的資金。截至 2023 年 8 月，已有超過 $900,000 美元的加密貨幣資產被盜。

解決方案：我們強烈建議所有使用 Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包，并將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。[2023/8/10 16:18:20]

以攻擊者地址為例：

慢霧：正協助Poly Network追查攻擊者，黑客已實現439萬美元主流資產變現:7月2日消息，慢霧首席信息安全官23pds在社交媒體發文表示，慢霧團隊正在與Poly Network官方一起努力追查攻擊者，并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]

據MistTrack反洗錢追蹤系統顯示，共107.5BTC從Liquid交易平臺轉出到攻擊者地址，再以8~21不等的BTC轉移到下表7個地址。

為了更直觀的展示，我們只截取了地址資金流向的一部分，讓大家更理解“二分法”洗幣。

以圖中紅框的小額轉入地址為例繼續追蹤，結果如下：

可以看到，攻擊者對該地址繼續使用了二分法，0.0027BTC停留在地址，而0.0143BTC轉移到Kraken交易平臺。

慢霧：Badger DAO黑客已通過renBTC將約1125 BTC跨鏈轉移到10 個BTC地址:12月2日消息，Badger DAO遭遇黑客攻擊，用戶資產在未經授權的情況下被轉移。據慢霧MistTrack分析，截止目前黑客已將獲利的加密貨幣換成 renBTC，并通過renBTC 將約 1125 BTC 跨鏈轉移到 10 個 BTC 地址。慢霧 MistTrack 將持續監控被盜資金的轉移。[2021/12/2 12:46:11]

攻擊者對其他BTC地址也使用了類似的方法，這里就不再重復講解。慢霧AML團隊將對資金停留地址進行持續監控及標記，幫助客戶做出有效的事前防范，規避風險。

ETH與ERC20代幣部分

攻擊者相關地址

經過慢霧AML團隊對上圖幾個地址的深度分析，總結了攻擊者對ETH/ERC20代幣的幾個處理方式。

動態 | 慢霧：巨鯨被盜2.6億元資產，或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶（zhoujianfu）被盜價值2.6億元的BTC和BCH，慢霧安全團隊目前得到的推測如下：該大戶私鑰自己可以控制，他在Reddit上發了BTC簽名，已驗證是對的，且猜測是使用了一款很知名的去中心化錢包服務，而且這種去中心化錢包居然還需要SIM卡認證，也就是說有用戶系統，可以開啟基于SIM卡的短信雙因素認證，猜測可能是Blockchain.info，因為它吻合這些特征，且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報，Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節，包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

1.部分ERC20代幣通過Uniswap、Balancer、SushiSwap、1inch等平臺將代幣兌換為ETH后最終都轉到地址1。

2.部分ERC20代幣直接轉到交易平臺，部分ERC20代幣直接轉到地址1并停留。

3.攻擊者將地址1上的ETH不等額分散到多個地址，其中16,660ETH通過Tornado.Cash轉出。

地址2的538.27ETH仍握在攻擊者手里，沒有異動。

4.攻擊者分三次將部分資金從Tornado.cash轉出，分別將5,600ETH轉入6個地址。

其中5,430ETH轉到不同的3個地址。

另外170ETH轉到不同的3個交易平臺。

攻擊者接著將3個地址的ETH換成renBTC，以跨鏈的方式跨到BTC鏈，再通過前文提及的類似的“二分法”將跨鏈后的BTC轉移。

以地址為例：

以跨鏈后的其中一個BTC地址為例。根據MistTrack反洗錢追蹤系統如下圖的顯示結果，該地址通過renBTC轉入的87.7BTC均通過混幣平臺Wasabi轉出。

TRX/TRC20部分

攻擊者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

資金流向分析

據MistTrack反洗錢追蹤系統分析顯示，攻擊者地址上的TRC20兌換為TRX。再將所有的TRX分別轉移到Huobi、Binance交易平臺。

XRP部分

攻擊者相關地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

資金流向分析

攻擊者將11,508,495XRP轉出到3個地址。

接著，攻擊者將3個地址的XRP分別轉到Binance、Huobi、Poloniex交易所。

總結

本次Liquid交易平臺被盜安全事件中，攻擊者以迅雷不及掩耳之速就將一個交易平臺內超70種貨幣全部轉移，之后再通過換幣平臺、混幣平臺以及其他交易平臺將資金順利洗出。

截止目前，大部分被盜資產還控制在攻擊者手中。21,244,326.3枚TRX轉入交易平臺，11,508,516枚XRP轉入交易平臺，攻擊者以太坊地址2存有538.27ETH，以太坊地址1仍有8.9ETH以及價值近540萬美元的多種ERC20代幣，慢霧AML團隊將持續對異常資金地址進行實時監控與拉黑。

攻擊事件事關用戶的數字資產安全，隨著被盜數額越來越大，資產流動越來越頻繁，加速合規化成了迫在眉睫的事情。慢霧AML團隊建議各大交易平臺接入慢霧AML系統，在收到相關“臟幣”時會收到提醒，可以更好地識別高風險賬戶，避免平臺陷入涉及洗錢的境況，擁抱監管與合規的大勢。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags：BTCETHC20RC20MWBTC價格Tether CNHerc20幣的類型brc20錢包有哪些

USDC