以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

鏈上追蹤:洗幣手法科普之 Tornado.Cash_ORN:Bunicorn Universal Reward

Author:

Time:1900/1/1 0:00:00

這次的主題是混幣器 Tornado.Cash。

隨著黑客盜幣事件愈演愈烈,Tornado.Cash 也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向 Tornado.Cash。我們曾對 Tornado.Cash 的匿名性進行過探討,詳見:慢霧 AML:“揭開” Tornado.Cash 的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過 Tornado.Cash 洗幣的。

基礎知識

Tornado.Cash 是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash 使用一個智能合約,接受來自一個地址的 ETH 和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將 ETH 和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中(即存款)時,就會生成私人憑據(隨機密鑰),證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將 ETH 或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。

案例分析

今天要分析的是一個真實案例,當受害平臺找到我們時(具體不便透露),在 Ethereum、BSC、Polygon 三條鏈上的被盜資金均被黑客轉入 Tornado.Cash,所以我們主要分析 Tornado.Cash 的部分。

8月Ronin鏈上NFT交易額不足100萬美元,創迄今歷史第二低記錄:金色財經報道,據cryptoslam數據顯示,8月Ronin鏈上交易額僅為939,432.05美元,創下迄今為止歷史第二低交易記錄。歷史數據顯示,Ronin鏈上交易額歷史低點發生在 2021年4月,當月交易額為777,294.56美元,鏈上交易額歷史最高點發生在2021年8月,當月交易額為848,240,858.15美元。[2022/9/1 13:02:15]

黑客地址:

(為保護受害平臺,文中地址均做了處理)

0x489...1F4(Ethereum/BSC/Polygon)

0x24f...bB1(BSC)

Ethereum 部分

借助慢霧 MistTrack 反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。

從部分展示結果來看,可以看到交易行為里黑客使用較多的除了 Bridge 就是混合器 Mixer,這些對我們分析黑客畫像十分重要。

芝加哥NFT畫廊imnotArt舉辦大型實體及鏈上展覽:8月14日消息,芝加哥首個NFT畫廊imnotArt于周六推出首個大型展覽\"新數字:誕生于芝加哥\"(The New Digital: Born in Chicago)。據悉,該展覽將持續到8月22日,展出的藝術作品包括Chuck Anderson、Sophie Sturdevant、Sean Williams、Willea Zwey和Joey the Photographer的新作品。每件NFT作品都被描繪在一個大屏幕上,且每個作品都有二維碼,觀眾可用手機掃描,即會出現網站及藝術家和藝術品的信息,以及相關拍賣鏈接。(Decrypt)[2021/8/14 1:55:06]

接著,我們對 Ethereum 上的資金與行為進行深入分析:據慢霧 MistTrack 反洗錢追蹤系統的分析,黑客將 2450 ETH 以?5x10 ETH+24x100 ETH 的形式分批轉入 Tornado.Cash,將 198 ETH 轉入 FixedFloat,這讓我們繼續追蹤 Tornado.Cash 部分留了個心眼。

雄安新區完成首筆鏈上數字人民幣工資代發:據官方消息,中國銀行河北雄安分行聯合中國雄安集團數字城市科技有限公司,成功實現雄安新區首筆鏈上數字人民幣工資代發。該筆業務通過雄安新區區塊鏈資金支付平臺,向春季造林項目建設者以數字人民幣形式發放工資。該業務由工程分包商通過雄安區塊鏈資金支付平臺發起數字人民幣工資支付申請,并將建設者數字錢包 ID、發放金額等工資信息上鏈存證,由銀行根據鏈上撥付申請將工資款項從分包商對公錢包以數字人民幣形式批量發放至建設者對私數字錢包。[2021/6/14 23:35:13]

既然想要嘗試追蹤黑客從 Tornado.Cash 轉出的地址,那我們就得從 Ethereum 上第一筆資金轉入 Tornado.Cash 的時間點開始,我們發現第一筆 10 ETH 和第二筆 10 ETH 間的時間跨度較大,所以我們先從跨度小的 100 ETH 開始分析。

定位到 Tornado.Cash:100 ETH 合約相對應的交易,發現從 Tornado.Cash 轉出的地址非常多。經過慢霧 MistTrack 的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址(0x40F…952)。

獨家 | BTC 24h鏈上交易量上升19.98%:據歐科云鏈OKLink數據顯示,2020-06-05 BTC 24h鏈上活躍地址數總計894169,前日24h總計959970,較前日下降6.85%;鏈上交易量總計595056.78BTC,前日24h總計495948.98BTC,較前日上升19.98%;鏈上交易筆數總計315676,前日24h總計315512,較前日上升0.05%;BTC鏈上活躍度下降。

截至上午10時,全網算力約為105.85EH/s,較前日上升1.81EH/s,全網算力呈上升趨勢。[2020/6/5]

據慢霧 MistTrack 的分析,地址(0x40F…952)將?Tornado.Cash 轉給它的 ETH 轉到地址(0x8a1…Ca7),接著把 ETH 分為三筆轉到了 FixedFloat。

動態 | 閃電實驗室新技術允許一種區塊鏈的本地貨幣在另一條鏈上進行交易:據coindesk消息,閃電實驗室(Lighting Labs)開發者Alex Bosworth正在研究一種比原子互換(atomic swaps)更好的技術——“深陷式互換(submarine swaps)”,這種技術允許一種區塊鏈的本地加密貨幣在另一條鏈上進行交易,并且無需中間商,如今正在實時的閃電網絡上進行測試。[2018/9/10]

當然,這也可能是巧合,我們需要繼續驗證。

繼續分析,接連發現三個地址均有同樣的特征:

A→B→(多筆)FixedFloat

A→(多筆)FixedFloat

在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是 24 個地址,符合我們的假設。

Polygon 部分

如下圖,黑客將獲利的 365,247 MATIC 中的部分 MATIC 分 7 次轉到 Tornado.Cash。

而剩下的 25,246.722 MATIC 轉到了地址(0x75a…5c1),接著追蹤這部分資金,我們發現黑客將 25,246.721 MATIC 轉到了 FixedFloat,這讓我們不禁思考黑客在 Polygon 上是否會以同樣的手法來洗幣。

我們首先定位到 Tornado:100,000 MATIC 合約與上圖最后三筆對應的交易,同時發現從 Tornado.Cash 合約轉出的地址并不多,此時我們可以逐個分析。

很快,我們就發現了第一個讓我們覺得有問題的地址(0x12e…69e)。我們看到了熟悉的 FixedFloat 地址,不僅?FixedFloat 轉 MATIC 到地址(0x12e…69e),從地址(0x12e…69e)轉出資金的接收地址也都將 MATIC 轉給了 FixedFloat。

分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對 FixedFloat 實在獨有偏愛,不過這也成了抓住他的把柄。

BSC 部分

下面我們來分析 BSC 部分。BSC 上黑客地址有兩個,我們先來看地址(0x489…1F4):

黑客地址分 17 次轉了 1700 ETH 到 Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧 MistTrack 的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。

分析過程中,地址(0x152…fB2)引起了我們的注意。如圖,據慢霧 MistTrack 顯示,該地址將 Tornado.Cash 轉給它的 ETH 轉出給了 SimpleSwap。

繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:

A→SimpleSwap

A→B→SimpleSwap

另一個黑客地址(0x24f…bB1)是以 10 BNB 為單位轉到了 Tornado.Cash。

而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。

總結

本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用 Tornado.Cash 來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從 Tornado.Cash 提幣后或直接或經過一層中間地址轉移到常用的混幣平臺(FixedFloat/SimpleSwap/Sideshift.ai)。當然,這只是通過 Tornado.Cash 洗幣的其中一種方法,更多手法仍等著我們發現。

而想要更有效率更準確地分析出結果,必然得借助工具。憑借超 2 億個錢包地址標簽,慢霧?MistTrack 反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址,如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過 MistTrack 反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像,在反洗錢分析評估工作中起到至關重要的作用,為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。

Tags:ORNTORTORNADOBunicorn Universal Rewardtoro幣合法嗎torn幣最新利好消息shibadoge幣潛力

火必交易所
太陽朋克:以太坊時代對公共物品的重新認識_WEB3:太陽幣

Gitcoin 的聯合創始人 Scott Moore 和 ENS 的社區負責人 Alisha.eth 最近分享討論公共物品、社區參與,以及我們需要的工具,以建立我們想要生活的未來.

1900/1/1 0:00:00
Meebits老鼠倉?BAYC收購的消息提前泄露了嗎?_BIT:bitmart交易所排名

3 月 15 日,專注于 Web3 的爆料賬號 NFT Ethics 在社交媒體上發布若干購買記錄和地址.

1900/1/1 0:00:00
195萬NFT用戶創造超170億美元市場 你是其中一員嗎?_NFT:Mongol NFT

今天你鑄造 NFT 了嗎?截至3月9日,全球持有 NFT 的用戶已經上漲到195萬人,創造了超170億美元的市場.

1900/1/1 0:00:00
區塊鏈概念股是什么 有什么作用?_ENT:RIO

經過這兩年各行各業的不斷提起,區塊鏈已經不是一個陌生的詞了,隨之出現的“區塊鏈概念股”。那么,區塊鏈概念股是什么,又有什么作用呢? 區塊鏈概念股是什么? 概念股是指具有某種特別內涵的股票,而這一.

1900/1/1 0:00:00
把「騙子」寫在臉上的 NFTflow 為何還能 Rug Pull?_NBA:coinbase是哪個國家的

一個名為【NFTflow】在周一發生了?Rug Pull,其官方社交賬號(@NftflowStarkNet)已注銷,網站訪問也報錯 404.

1900/1/1 0:00:00
招兵買馬 張一鳴和字節跳動半只腳踏進元宇宙_PIC:元宇宙算不算騙局

原標題:《張一鳴半只腳踏進元宇宙》字節跳動正在為旗下VR業務Pico大規模招兵買馬。服務器端開發工程師、人機工程專家、視覺感知算法工程師、軟件測試、電池專家……打開字節跳動招聘官網,《中國企業家.

1900/1/1 0:00:00
ads