前段時間,我們發布了一篇 Bitfinex 被黑案件細節分析的文章,引起了劇烈的討論。文中提到了一種洗幣方式——剝離鏈(Peel Chain)技術,借此事件寫一些與鏈上追蹤相關的文章給大家學習。
什么是 Peel Chain
剝離鏈(Peel Chain)——是指一種通過一系列冗長的小額交易來清洗大量加密貨幣的技術。這種洗幣方式通常從一個“臟”地址開始,該地址可能與非法活動有關,例如地址 A 將資金轉到地址 B 和 C,而轉移到地址 B 的數額多數情況下是極小的,轉移到地址 C 的數額占大部分,地址 C 又將資金轉到 D(小額)和 E(大額),依次類推,直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額,要么以 Peel Chain 的方式繼續轉移,要么轉到交易/暗網平臺,要么停留在地址,要么通過混幣平臺轉出。
Flow鏈上NFT交易總額突破8億美元,創歷史新高:金色財經報道,據最新數據顯示,Flow鏈上NFT交易總額已突破8億美元,創下歷史新高,本文撰寫時為800,669,701美元,交易總量為12,757,700筆。[2021/12/13 7:35:41]
案例分析
2016 年 8 月 3 日,知名加密貨幣交易所 Bitfinex 發公告稱,黑客入侵了其系統并盜走約 119,755 枚比特幣。事發當時價值約 6000 萬美元,按今天的價格計算,被盜總額約為 45 億美元。據慢霧 AML 旗下反洗錢追蹤系統?MistTrack 分析,黑客最初將被盜資產分散存儲在 2072 個錢包地址中,經 MistTrack 標記如下圖。
Tether完成2.5億枚USDT代幣鏈上轉換:Whale Alert數據顯示,北京時間1月30日19:27,2.5億枚USDT從幣安交易所轉至Tether Treasury。交易哈希為:d7f703a85f6725b830701306b074e0ceb01a16d5ea529257b04e18d6b01522a5。對此,Tether首席技術官Paolo Ardoino表示這次USDT轉移是交易所的鏈上代幣轉換,具體由TRC20代幣轉換為ERC20代幣。[2021/1/30 18:28:21]
從 2017 年 1 月開始,黑客開始密集轉移資產。我們對 2072 個地址進行分析后,發現黑客將大部分地址上的資金都進行了轉移,而轉移方式正是我們今天要說的剝離鏈(Peel Chain)。
Tether在以太坊鏈上增發1.5億USDT(已授權未發行):據Whale Alert數據顯示,北京時間09月17日22:43,USDT發行方Tether在以太坊鏈上增發1.5億USDT,交易哈希為:0xe77880eef2ca3c9cabe90af906a707ab0f59d9d0803c913cf0b1799e3cc9754c。
對此,Tether首席技術官PaoloArdoino表示,以太坊網絡補充了1.5億枚USDT的庫存。請注意,這是一筆已授權但未發行的交易,這意味著該金額將用作下一次發行請求的庫存。[2020/9/18]
以黑客地址 19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM 為例:
動態 | DeFi 鏈上流動性資金池 KeeperDAO 正式啟動:基于 DeFi 的鏈上流動性提供方 KeeperDAO 宣布正式啟動,該服務旨在通過經濟激勵策略鼓勵代幣持有者集中參與合約,以協調保證金交易、貸款和交易所等應用領域中的清算和再平衡,也就是說,KeeperDAO 允許戶將資金集中到以太坊智能合約中,并通過鏈上套利和清算的機會來獲得共同利益,這既讓所有參與者以博弈方式獲得被動收入,又確保去中心化金融應用的流動性和有序性。為了最大化對閑置資金的利用,資金池中所有資產也將持續給 Compound,dYdX 等提供借貸。此外,KeeperDAO 參與者不需要自己搭建基礎設施和機器人,設計付費優先策略等等,這大大降低了準入門檻。[2019/12/27]
據 MistTrack 反洗錢追蹤系統顯示,約 30.668 BTC 從 Bitfinex 交易平臺轉到黑客地址(19X...BDM),再通過兩次直線轉移將 BTC 轉移到地址(3CA...AcW)。
再來看地址(3CA...AcW)的資金流向:
首先,地址(3CA...AcW)將 30.6675 BTC 分為小額 2.27 BTC 和大額 28.39 BTC 分別轉到地址 1 和地址 2;接著,地址 1 將 2.27 BTC 分為小額 0.16 BTC 和大額 2.11 BTC 分別轉到地址 3 和地址 4;地址 3 再以同樣的方式將 0.16 BTC 分別轉到地址 5 和地址 6,其他地址同理。
為了更直觀的展示,我們截取了資金流向的一部分,讓大家更理解這種洗幣方法。
從上圖可以看到,資金被轉移到兩個地址,接著兩個地址分別又轉到另兩個地址,數額越來越小,出現的地址也越來越多,只至最后有部分資金通過 wasabi 混幣轉出或轉到 Hydra Market 暗網市場。當然,這還只是一小部分的資金流向,但我們不難看出,為了躲避追蹤,黑客非常有“耐心”。
我們再以另一個黑客地址 1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE 為例,更多地了解 Peel Chain 手法的特征。
據區塊鏈瀏覽器顯示,該黑客地址盜走了 271.22 BTC。我們接著以大額轉移地址為目標進行追蹤:
……
雖然中間省略了部分轉移情況,但我們還是能清楚地看出 Peel Chain 手法的特征:
一般從一個單一的“臟”地址開始;
通常不斷拆分到兩個地址;
以大額和小額進行拆分;
資金停留或混幣或進入交易所/暗網平臺。
總結
剝離鏈(Peel Chain)技術常常被黑客使用,一方面是因為每次單獨轉移的金額很小,幾乎不會引發交易平臺的風控提醒,另一方面是由于這種洗幣鏈路極度冗長和復雜,會使他們盜取的資產變得極難追蹤。
對于一些復雜冗長的剝離鏈(Peel Chain),黑客通常使用計算機程序自動化該過程。盡管如此,我們仍可以使用腳本及追蹤工具來追蹤此類事件。憑借支持多幣種、數量超 10 萬的惡意地址庫,慢霧 AML 旗下反洗錢追蹤系統 MistTrack 將幫助加密貨幣交易平臺、用戶個人等追蹤溯源,實時監控拉黑黑客地址并聯動各大交易平臺凍結資金,為資金安全更好地保駕護航。
相關鏈接:
https://en.bitcoin.it/wiki/Privacy
https://aml.slowmist.com/mistTrack.html
Tags:BTCEELAINCHAXBTC元一代幣SEELE最新消息Chain Estate DAOCross Chain Finance
以太坊主網完成倫敦硬分叉升級后,使得以太坊 EIP-1559 提案開始生效,這也意味著距離 PoW 轉 PoS 更近一步.
1900/1/1 0:00:00全國兩會召開在即,近日2022年全國31個省區市兩會全部閉幕。與過去兩年一樣,區塊鏈多次被提及。據不完全統計,目前有16個省份的政府工作報告中,明確提到發展區塊鏈相關的產業.
1900/1/1 0:00:00世界疫情持續多時,國外許多博物館因訪客人數下降,門票收入大跌,導致資金緊張,甚或面臨倒閉危機。近日,包括烏菲茲美術館在內的四所意大利重要博物館攜手合作,推出限量的名畫藏品 NFT ,希望借此籌謀.
1900/1/1 0:00:001.一文了解2022地方政府工作報告中的區塊鏈/元宇宙全國兩會召開在即,近日2022年全國31個省區市兩會全部閉幕。與過去兩年一樣,區塊鏈多次被提及.
1900/1/1 0:00:002021年“元宇宙”成功入選由國家語言資源監測與研究中心發布的“2021年度十大網絡用語”,其火爆程度可見一斑,它所描繪的畫卷是人們對互聯網的終極想象.
1900/1/1 0:00:00Web3最前沿的錢包并不像你想象的那樣去中心化。MetaMask禁止了某些司法管轄區的用戶訪問其服務以及與以太坊的交互.
1900/1/1 0:00:00