作者:Lisa@慢霧AML團隊
原標題:《鏈上追蹤:洗幣手法科普之Tornado.Cash》
前段時間,我們發布了鏈上追蹤:洗幣手法科普之PeelChain,今天繼續該系列。這次的主題是混幣器Tornado.Cash。
隨著黑客盜幣事件愈演愈烈,Tornado.Cash也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向Tornado.Cash。我們曾對Tornado.Cash的匿名性進行過探討,詳見:慢霧AML:“揭開”Tornado.Cash的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過?Tornado.Cash?洗幣的。
基礎知識
Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
Galaxy Digital創始人:現在是購買黃金、白銀和比特幣的最佳時機:金色財經報道,Galaxy Digital創始人兼首席執行官Michael Novogratz表示,美國正面臨信貸緊縮,現在是購買黃金、白銀和比特幣的最佳時機。他在接受CNBC采訪時解釋說:“美國和全球都將面臨信貸緊縮。你應該投資黃金和白銀……還有比特幣。”
他指出,銀行通常通過減少放貸來重建資本,這意味著信貸緊縮即將到來,他指出,大宗商品市場等指標已經預示著經濟衰退。除了對美國經濟艱難時期的預測外,Novogratz還表達了對加密貨幣的看漲情緒。(Cointelegraph)[2023/3/16 13:07:54]
案例分析
今天要分析的是一個真實案例,當受害平臺找到我們時,在Ethereum、BSC、Polygon三條鏈上的被盜資金均被黑客轉入?Tornado.Cash,所以我們主要分析?Tornado.Cash?的部分。
派盾:New Free Dao攻擊者將1200枚BNB轉移至Tornado Cash:金色財經報道,據派盾預警監測,New Free Dao項目攻擊者地址將1200枚BNB(約31萬美元)轉移至Tornado Cash。
據此前報道,NewFreeDAO項目遭受黑客攻擊,損失約4481.3 WBNB(約125萬美元)。[2023/1/10 11:03:31]
黑客地址:
0x489...1F4(Ethereum/BSC/Polygon)
0x24f...bB1(BSC)
Ethereum部分
借助慢霧MistTrack反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。
上周在兩筆交易中轉移了10000個比特幣,價值超過2億美元:金色財經報道,8月28日,據加密數據分析平臺CryptoQuant的一篇帖子,交易了5000個至少七年未移動的 BTC。第二天,LookIntoBitcoin的數據跟蹤器顯示又轉移了5000BTC。
分析師表示,交易數據不足以得出任何重大結論,也沒有確鑿的證據證明這些加密貨幣被轉移的原因。即使比特幣價格在20000美元左右,遠低于其近69,000美元的歷史高點,長期持有者也可能希望退出市場。或者可能只是持有人只是對帳戶狀態進行了一些管理更改。
Coin Metrics 的首席區塊鏈數據工程師 Antoine Le Calvez 也注意到了這些交易。他認為這些加密貨幣與加密貨幣交易所 Kraken 有某種聯系。[2022/9/3 13:05:50]
從部分展示結果來看,可以看到交易行為里黑客使用較多的除了Bridge就是混合器Mixer,這些對我們分析黑客畫像十分重要。
Jacobi Asset Management推出比特幣ETF,將于7月在Euronext Amsterdam上市:6月30日消息,Jacobi Asset Management周四宣布推出Jacobi Bitcoin ETF,將于7月在泛歐交易所旗下Euronext Amsterdam上市,交易代碼為BCOIN。
Jacobi Bitcoin ETF于2021年10月獲得根西島金融服務委員會(GFSC)的監管批準,Fidelity Digital Assets將與Flow Traders和DRW一起提供托管服務,以做市商的身份促進交易。(Business Wire)[2022/6/30 1:42:07]
接著,我們對Ethereum上的資金與行為進行深入分析:據慢霧MistTrack反洗錢追蹤系統的分析,黑客將2450ETH以?5x10ETH+24x100ETH的形式分批轉入?Tornado.Cash,將198ETH轉入FixedFloat,這讓我們繼續追蹤?Tornado.Cash?部分留了個心眼。
以太坊DevCon演講者申請延長至7月6日:6月29日消息,以太坊基金會DevCon團隊宣布演講者申請截止日期已延長一周,新截止日期為UTC時間7月5日23:59(北京時間7月6日7:59),申請人將在7月底之前收到有關其申請狀態的回復。鏈上DevCon拍賣和抽獎活動“DevCon VI的第一張門票”將于2022年7月5日開始,該活動將在Arbitrum上進行,最低出價為0.25ETH,收益將捐贈給公益事業,參與拍賣和抽獎的用戶將獲得一個POAP NFT,公開售票將在拍賣結束后開始。[2022/6/29 1:38:40]
既然想要嘗試追蹤黑客從?Tornado.Cash?轉出的地址,那我們就得從Ethereum上第一筆資金轉入?Tornado.Cash?的時間點開始,我們發現第一筆10ETH和第二筆10ETH間的時間跨度較大,所以我們先從跨度小的100ETH開始分析。
定位到Tornado.Cash:100ETH合約相對應的交易,發現從?Tornado.Cash?轉出的地址非常多。經過慢霧MistTrack的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址。
據慢霧MistTrack的分析,地址將?Tornado.Cash?轉給它的ETH轉到地址,接著把ETH分為三筆轉到了FixedFloat。
當然,這也可能是巧合,我們需要繼續驗證。
繼續分析,接連發現三個地址均有同樣的特征:
A→B→FixedFloat
A→FixedFloat
在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是24個地址,符合我們的假設。
Polygon部分
如下圖,黑客將獲利的365,247MATIC中的部分MATIC分7次轉到?Tornado.Cash。
而剩下的25,246.722MATIC轉到了地址,接著追蹤這部分資金,我們發現黑客將25,246.721MATIC轉到了FixedFloat,這讓我們不禁思考黑客在Polygon上是否會以同樣的手法來洗幣。
我們首先定位到Tornado:100,000MATIC合約與上圖最后三筆對應的交易,同時發現從?Tornado.Cash?合約轉出的地址并不多,此時我們可以逐個分析。
很快,我們就發現了第一個讓我們覺得有問題的地址。我們看到了熟悉的FixedFloat地址,不僅?FixedFloat?轉MATIC到地址,從地址轉出資金的接收地址也都將MATIC轉給了?FixedFloat。
分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對FixedFloat實在獨有偏愛,不過這也成了抓住他的把柄。
BSC部分
下面我們來分析BSC部分。BSC上黑客地址有兩個,我們先來看地址:
黑客地址分17次轉了1700ETH到?Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧MistTrack的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。
分析過程中,地址引起了我們的注意。如圖,據慢霧MistTrack顯示,該地址將?Tornado.Cash?轉給它的ETH轉出給了SimpleSwap。
繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:
A→SimpleSwap
A→B→SimpleSwap
另一個黑客地址是以10BNB為單位轉到了?Tornado.Cash。
而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。
總結
本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用Tornado.Cash來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從Tornado.Cash提幣后或直接或經過一層中間地址轉移到常用的混幣平臺。當然,這只是通過Tornado.Cash洗幣的其中一種方法,更多手法仍等著我們發現。
3月19日,YugaLabs在推特上公布其新項目“Otherside”的宣傳視頻。BoredApeYachtClub的無聊猿與眾多NFT角色空中“會晤”,更像是拉開了“猿宇宙”的序幕.
1900/1/1 0:00:00作者:0xOar 出品:SeerLabs 前言: 近期頻發的跨鏈安全問題吸引市場的廣泛關注,本文希望從產品設計的角度入手,給讀者講述為什么這個賽道的產品安全問題這么多.
1900/1/1 0:00:00來源:?BloombergIntelligence作者:MikeMcGlone,BI高級商品策略師編譯:?Moni星球日報原油價格在時隔14后年再次突破每桶100美元大關,對于比特幣來說.
1900/1/1 0:00:00原文標題:《讀懂區塊鏈「橋」:如何打破Crypto世界的信任邊界?》原文作者:ArjunChand原文編譯:南風,Unitimes加密生態系統在過去十年中迅速發展.
1900/1/1 0:00:00國際運動品牌PUMA正在NFT的浪潮中找尋新的自我。3月2日,PUMA推特換下了經典的美洲獅飛躍頭像,取而代之的是CoolCats系列NFT形象.
1900/1/1 0:00:00作者:Vargason,CGVFOF研究員 編譯:Gavin 前言 在過去的一年里,BSC、Solana、Avalanche等公鏈不斷挑戰著以太坊,但經過幾輪市場大洗禮.
1900/1/1 0:00:00