隨著 DeFi、NFT、跨鏈橋等項目的火熱發展,黑客攻擊事件也層出不窮。有趣的是,據慢霧統計,80% 的黑客在洗幣過程中都使用了混幣平臺 Tornado.Cash,本文以 KuCoin 被盜事件為例,試圖從追蹤分析過程中找到一絲揭開 Tornado.Cash 匿名性的可能。
事件概述
據 KuCoin 官網公告,北京時間 2020 年 9 月 26 日凌晨,KuCoin 交易所的熱錢包地址出現大量異常的代幣提現,涉及?BTC、ETH?等主流幣以及 LINK、OCEN 等多種代幣,牽動了無數用戶的心。
圖?1
據慢霧 AML 團隊統計,本次事件被盜資金超 2.7 億美元,具體如下圖:
推特將首頁Logo更換為原來的藍色鴿子圖案:金色財經報道,馬斯克早前將推特首頁Logo更換為原來的藍色鴿子圖案,Dogecoin凌晨一度下跌9%。4月3日,推特網頁Logo被更換為柴犬表情圖像,Dogecoin當時一度上漲超30%。[2023/4/7 13:49:20]
圖 2
值得注意的是,我們全面追蹤后發現黑客在這次攻擊事件中大量使用了 Tornado.Cash 來清洗 ETH。在這篇文章中,我們將著重說明黑客如何將大量 ETH 轉入到 Tornado.Cash,并對 Tornado.Cash 的轉出進行分析,以分解出被盜資金可能流向的地址。
Tornado.Cash?是什么?
Tornado.Cash 是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash 使用一個智能合約,接受來自一個地址的 ETH 和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將 ETH 和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中(即存款)時,就會生成私人憑據(隨機密鑰),證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將 ETH 或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
貝萊德推出元宇宙平臺交易基金“iShares Metaverse UCITS” ETF:金色財經報道,資產管理巨頭貝萊德(BlackRock)宣布推出元宇宙交易平臺基金“iShares Metaverse UCITS” ETF,該 ETF 將追蹤STOXX Global Metaverse Index指數,并使用EconSight專利數據分析來識別市場領導者、創新者和元宇宙技術領域的專業公司,涉及與元宇宙相關的數字市場、游戲、醫療保健、制造業、軟硬件等領域。
貝萊德ETF產品策略師Omar Mouft表示,該公司將元宇宙視為全球通信和連接的下一個飛躍,有可能徹底改變許多領域和流程,重塑社會的方方面面。[2022/12/10 21:34:38]
如何轉入?
攻擊得手后,黑客開始大范圍地將資金分批轉移到各大交易所,但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后,黑客將目光轉向了 DeFi。
據慢霧 AML 旗下 MistTrack 反洗錢追蹤系統顯示,黑客 (0xeb31...c23) 先將 ERC20 代幣分散到不同的地址,接著使用 Uniswap、1inch 和 Kyber 將多數 ERC20 代幣換成了 ETH。
波卡生態DEX Mangata攻擊者已轉移1.17萬枚KSM:10月10日消息,波卡生態DEX Mangata發推稱,攻擊者已從攻擊地址轉出1.17萬枚KSM(約50萬美元),并在Moonriver上兌換為USDC和ETH。Mangata正在與執法部門聯系,并對攻擊者的IP地址以及與中心化交易所的交互進行了記錄。
據悉,Mangata于10月6日遭到治理攻擊,攻擊者通過控制治理投票權惡意轉移部分KSM,但Mangata并未透漏損失金額。[2022/10/10 10:29:30]
圖 3
大部分 ERC20 代幣兌換成 ETH 后,被整合到了以下主要地址:
表 1
在對 ETH 和 ERC20 代幣進行完整追蹤后,我們梳理出了資金是如何在黑客地址間移動,并分解出了資金是以怎樣的方式進入 Tornado.Cash。
元宇宙虛擬地產2026年前錄得增長將達53.7億美元:金色財經報道,根據市場研究公司 Technavio 發布的《最終用戶和地理區域的元宇宙房地產市場 - 2022-2026 年預測和分析》顯示,元宇宙虛擬地產 2026 年前的錄得增長將達 53.7 億美元,年復合增長率為 61.74%。根據地理細分,預測期內超過 41% 的增長來自北美市場,其次是歐洲和亞太地區。此外,企業市場份額將顯著增長,包括耐克、Facebook 和微軟在內的更多大公司將進入虛擬地產市場。(美通社)[2022/8/18 12:33:05]
圖 4
黑客將資金按時間先后順序轉入 Tornado.Cash 的詳情如下:
表 2?
Horizon跨鏈橋攻擊者地址剛剛轉移18036枚ETH:6月27日消息,鏈上數據顯示,被標記為Horizon跨鏈橋攻擊者的地址于北京時間15:10向0x1ec6f8開頭的錢包地址轉入約18036枚ETH。
此前消息,6月24日以太坊與Harmony間跨鏈橋Horizo??n遭遇攻擊,損失約1億美元。Harmony團隊在鏈上對Horizo??n Bridge攻擊者發出談判請求,未得到回復。DeFi黑客識別與激勵協議Lossless Protocol在Harmony跨鏈橋Horizo??n攻擊事件中已成功阻止7800萬枚AGG代幣被盜。[2022/6/27 1:33:48]
轉到了哪?
猜想
1.?巨額的 ETH 進入?Tornado.Cash,會集中表現出一些可追蹤的特征。
2. 以黑客急于變現的行為分析,猜想黑客將資金存入 Tornado.Cash 后會隨即提款,或下次存入時提款。
3. 分析攻擊者使用洗幣平臺的方式和行為,可以獲得資金的轉移地址。
可能的鏈上行為
1. 資金從?Tornado.Cash 轉出的時間范圍與黑客將資金轉入 Tornado.Cash 的時間范圍近似(轉出會延后于轉入)。
2. 一定時間段內,從 Tornado.Cash?轉出的資金會持續轉出到相同地址。
驗證
以黑客地址 (0x34a...c6b) 為例:
如表 2 結果所述,黑客在?2020-10-23 16:06:28 ~ 2020-10-26 10:32:24?(UTC) 間,以每次 100 ETH,存 115 次的方式將?11,500?ETH 存入?Tornado.Cash。為了方便說明,我們只截取了該地址在 2020-10-24 3:00:07~6:28:33 (UTC) 間的存款記錄,如下圖:
圖 5
接著,我們查看 Tornado.Cash:100 ETH 合約的交易記錄,找到地址 (0x34a...c6b) 在同一時間段(即 2020-10-24?3:00:07~6:28:33?(UTC))的存款記錄,下圖紅框地址 (0x82e...398) 在此時間段內大量提款的異常行為引起了我們的注意。
圖 6
查看該地址 (0x82e...398) 在此時間段的交易哈希,發現該地址并沒有將 ETH 提款給自己,而是作為一個合約調用者,將 ETH 都提款到了地址?(0xa4a...22f)。
圖 7
圖 8
同樣的方式,得出黑客地址 (0x34a...c6b) 經由 Tornado.Cash 提款分散到了其他地址,具體如下:
表 3
經過核對,發現從 Tornado.Cash 提款到表 3 中六個地址的數額竟與黑客存款數額 11,500 ETH 一致,這似乎驗證了我們的猜想。對其他地址的分析方法同理。
接著,我們繼續對這六個地址進行追蹤分析。據 MistTrack 反洗錢追蹤系統展示,黑客將部分資金以 50~53 ETH 不等轉向了 ChangeNOW、CoinSwitch、Binance 等交易平臺,另一部分資金進入第二層后也被黑客轉入了上述交易平臺,試圖變現。
圖 9
總結
本文主要說明了黑客是如何試圖使用 Tornado.Cash 來清洗盜竊的 ETH,分析結果不由得讓我們思考:Tornado.Cash 真的完全匿名嗎?一方面,既然能分析出部分提款地址,說明不存在絕對的匿名;另一方面,匿名性是具備的,或許只是 Tornado.Cash 不適合在短時間內混合如此大規模的資金而已。
截止目前,KuCoin 官方表示已聯合交易所、項目方、執法和安全機構追回約 2.4 億美元資金。從各種攻擊事件看來,DeFi 或許已成為黑客轉移資金的通道,而今監管已至,合規化的腳步愈發逼近,有合規需求的項目方,可以考慮接入慢霧 AML 系統 (aml.slowmist.com),即使黑客使用了 DeFi,也無處遁形。
By:Lisa@慢霧 AML 團隊
創作者經濟 3.0 時代,創作者通過用戶直接變現;而在 4.0 時代,粉絲和創作者之間界限日漸模糊,作品所有權將歸社區所有.
1900/1/1 0:00:00虧損厭惡每時每刻都在影響著投資人的決策。而這種偏見,導致投資人忍受不了割肉的痛,忍受不了短期虧損,浮盈過早落袋為安。經常買在高位,賣在低位.
1900/1/1 0:00:00觀點來源 | Insiderfinance整理出品 | 白澤研究院所有的區塊鏈在開發時都會面臨同樣的問題,被稱為“區塊鏈三難困境”的三難是去中心化、安全性和可擴展性.
1900/1/1 0:00:00“Any fool can know. The point is to understand.”— Albert Einstein元宇宙最重要的基礎設施是什么?我一定說是經濟系統.
1900/1/1 0:00:00Arcane的《The State of Lightning》強調了閃電網絡是如何讓世界各地的人們更容易接觸到比特幣的.
1900/1/1 0:00:00原文標題:《「邊玩邊賺」的范式轉變,區塊鏈大規模采用的關鍵?》隨著創新和顛覆性技術的發展, 「邊玩邊賺」游戲有望成為區塊鏈大規模采用的關鍵因素,并對社會產生積極影響.
1900/1/1 0:00:00