解密：美國司法部起訴中國OTC承兌商洗錢案件_EOS:EOST

編者按：本文來自PeckShield，Odaily星球日報經授權轉載。2020年03月02日，美國司法部以陰謀洗錢和無證經營匯款為由，對名為田寅寅和李家東兩位中國人發起了公訴，并凍結了他們的全部資產。理由是，他們二人在2017年12月至2019年04月期間，幫助朝鮮政府下轄黑客組織LazarusGroup提供了價值超1億美元的洗幣服務。由于美國司法部并未公布這些被盜資金的具體來源，涉及洗錢的加密貨幣交易路徑，甚至當事人李家東還聲稱自己只是受害者，一時間這樁案件成了媒體和坊間熱議的焦點。究竟是哪幾個交易所被盜了，黑客具體洗錢路徑又是怎樣的，田和李兩位承兌商是在哪個環節參與的？由于美國司法部并沒有公布被盜交易所的名稱和地址以及田和李涉案的關鍵細節，區塊鏈安全公司PeckShield第一時間介入追蹤研究分析，基于美國司法部僅公布的20個地址向上追溯、取證并以可視化圖文方式還原整個案件的來龍去脈。

新聞和互聯網自由倡導組織和加密用戶一起支持維基解密創始人:2月10日消息，新聞和互聯網自由倡導組織加入加密用戶以支持維基解密創始人Julian Assange。本周一，美國公民自由聯盟、電子前沿基金會、新聞自由基金會等24個機構簽署了一封信，要求拜登政府放棄目前正在英國進行的對維基解密創始人Julian Assange的引渡程序。Assange是比特幣支持者，其維基解密在比特幣發展的最初幾年發揮了重要作用。此前消息，Assange被捕以來維基解密已收到超40萬美元的比特幣捐款。（Cointelegraph）[2021/2/10 19:22:58]

如上圖所示，事情經過簡單總結為：北韓黑客組織LazarusGroup先通過釣魚獲取交易所私鑰等手段，攻擊了四個數字資產交易所；之后黑客用PeelChain等手法把所竊的資產轉入另外4個交易所，VCE1到VCE4；再然后黑客又使用PeelChain把資產轉移到負責洗錢的兩位責任人的交易所VCE5和VCE6的賬戶中，最后換成法幣完成整個過程。美國司法部這次起訴的就是最后一環負責洗錢的田寅寅和李家東。在接下來篇幅中，PeckShield將從被盜交易所源頭說起、對黑客洗錢的具體路徑進行系統性的拆解分析，為你復盤、解密整個案件的全過程。圖文拆解：OTC承兌商洗錢案件

歷史上的今天 | 維基解密創始人阿桑奇被判入獄50周:2019年5月1日，荷蘭央行（DNB）支付和市場基礎設施主管Petra Hielkema表示，采用區塊鏈和人工智能等新技術將成為DNB支付戰略2018-2021的關鍵方向，因此將繼續試驗區塊鏈技術。

2019年5月1日，接受加密貨幣捐贈的“維基解密”網站創始人朱利安·阿桑奇（Julian Assange）5月1日在英國被判入獄50周，罪名是他7年前違反保釋條例進入厄瓜多爾駐英使館尋求庇護。[2020/5/1]

通常情況下，黑客在攻擊得手后，洗錢流程大體分為三步：

1）處置階段：非法獲利者將被盜資產整理歸置并為下一步實施分層清洗做準備；2）離析階段：Layering是一個系統性的交易，也是整個流程中最關鍵技術含量最高的一個過程，用于混淆資產來源和最終收益者，使得當初的非法資產變成“合法所得”；3）歸并階段：將洗白后的資產“合法”轉走，至此之后，攻擊者手里擁有的非法資產的痕跡已經被抹除干凈，不會引起有關部門的關注。根據美國司法部提供的信息，有四個交易所被盜，PeckShield安全團隊通過追溯田和李兩人的20個關聯比特幣地址在鏈上數據，根據這些鏈上行為特性，結合PeckShield交易所被盜資料庫的數據信息，最終鎖定是下面四個交易所被盜：

動態 | Reddit網友：維基解密或已累計4054枚比特幣:據Bitzarena消息，Reddit用戶“Boredguy32”發帖稱，維基解密可能已經積累了4054枚比特幣。根據目前的價格，這筆資金價值約4823萬美元。該用戶從兩個錢包中計算出了這項總金額，這兩個錢包據稱與2006年啟動的非盈利媒體計劃有關。目前尚不清楚維基解密是否仍持有這筆資金。鑒于維基解密的運作性質，可能也有相當大的資金流出，用于支付法律費用，并支持披露機密信息所需的運作。[2019/7/8]

(注：Bter交易所在2017年倒閉后其資產由另一個交易所接管，我們這里仍使用Bter的名字）在弄清楚贓款源頭之后，我們來看一下被盜資產的洗錢路徑及流向情況，黑客總共將洗錢分成了三步：一、處置階段：放置資產至清洗系統在Bter、Bithumb、Upbit、Youbit交易所被盜事件發生后的數月內，攻擊者開始通過各種手段處置他們的非法獲利。將獲利資產流到自己可以控制的賬號之中，為下一步的清洗做準備。二、離析階段：分層、混淆資產逃離追蹤離析過程中，攻擊者試圖利用PeelChain的技術手段將手里的資產不斷拆分成小筆資產，并將這些小筆資產存入交易所。下圖中我們挑選了一筆比較典型的拆分過程，對于第一筆2,000BTC的流程細述如下。

動態 | pixEOS 上瑪麗蓮夢露圖案的解密題已被破解 破解者獲得207個 EOS:據 IMEOS 報道， eosforumanon 在 pixEOS 畫布發布瑪麗蓮夢露圖案的解密題目，稱偶然發現了這道解密圖謎底是 EOS 賬戶私鑰，并且已經對密碼進行了一些研究，但因占用了太多時間，所以發布出來一起解謎。該用戶也在 pixEOS 上分享了自己解謎的過程和目前找到的線索。

圖中私鑰對應的 EOS 賬戶名稱為 nibogonibogo，Twitter 帳戶為@nibo_go。 私鑰線索已于兩個小時前被名為“rvrkingfishr” 的 EOS 賬戶持有者破解，原有的207個EOS（約750美元）已被轉移到該賬號。rvrkingfishr 也在該解密帖子下說明了此事。[2019/2/27]

針對加密貨幣勒索的GandCrab病 360已集成解密工具:近日，GandCrab勒索病在國內流行度頗高。它會加密圖片、文檔、視頻、壓縮包等文件類型，在原文件名之后加上.GDCB后綴，再向受害者勒索加密貨幣。據悉，這是首個要求將達世幣作為贖金的勒索病。今日《金融界》文章稱，360安全衛士“解密大師”根據國外流出的解密私鑰，已集成解密工具，可破解目前主流的GandCrab病，幫助中招者一鍵掃描并解密恢復文件，并附有具體步驟。[2018/3/7]

1）攻擊者的其中一個地址先前獲利1,999BTC，先將這一筆大額資產拆分成1,500+500BTC；2）其中1,500BTC再拆分成三個各500BTC的地址，此時看到原先的2,000BTC被拆到了4個新地址之中，而原地址中的余額已經歸零；3）500BTC轉成20~50BTC的大小往Yobit交易所充值，并將剩下的資產找零到一個新的地址中，此時完成一筆充值；4）使用新地址重復步驟3，直到原始的500BTC全部存入交易所為止。這一過程中攻擊者也往其它交易所充值記錄，比如Bittrex、KuCoin、HitBTC。攻擊者通過數百次這樣子的拆分流程之后，原始的非法BTC資產全部流入了各大交易所，完成了初步洗錢操作。如下圖所示，我們進一步分析發現，在完成初步洗錢操作后，狡猾的攻擊者并沒有直接轉入自己的錢包，而是再次使用PeelChain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主賬號分離出幾十個BTC存入OTC帳號變現，經過幾十或上百次的操作，最終成功將數千個BTC進行了混淆、清洗。

三、歸并階段：整合資產伺機套現攻擊者在完成上一步的洗錢操作之后，開始嘗試進行將非法所得進行OTC拋售套現。在上圖描述的過程中，從2018年11月28日到12月20日，攻擊者總共把3,951個BTC分一百多次存入田寅寅的Huobi和Coincola三個OTC帳號中變現，最后剩余的9.8個BTC目前還存放在攻擊者中轉地址上。

結語

綜上，PeckShield安全團隊通過追蹤大量鏈上數據展開分析，理清了此次OTC承兌商洗錢事件的來龍去脈。受害交易所分別為Bter、Bithumb、Upbit、Youbit，據不完全統計損失至少超3億美元，且在攻擊得手后，黑客分三步實施了專業、周密、復雜的分散洗錢操作，最終成功實現了部分套現。PeckShield認為，黑客盜取資產后實施洗錢，不管過程多周密復雜，一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求，交易所應加強AML反洗錢和資金合規化方向的審查工作。PeckShield安全團隊基于機器學習算法、威脅情報和暗網信息等積累了超6,000萬+地址標簽信息，掌握了大量了黑客團伙及在逃贓款關聯地址和交易信息，并做了7*24小時鏈上異動預警服務。典型安全事件包括，PlusToken跑路資產、幣安被盜資產、Upbit被盜資產等。這些贓款的每一步流向不僅牽動著投資者的心，更有可能對關聯交易所資產產生污染，因此，交易所資產合規化接下來將是大勢所趨，務必得引起高度重視。相關交易所若需開展資產合規化服務，可及時與我們取得聯系。

Tags：BTCEOSBITSHIsbtc幣最高漲到多少EOSTbitkeep錢包官網ios版本Shiba Cloud

比特幣交易所