報告解讀之 Ronin Network 安全事件及反洗錢分析_ADO:TOR

本篇主要集中解讀 Ronin Network 安全事件反洗錢分析及工具方法介紹。

事件背景

工具及方法

在正式開始反洗錢分析之前，先介紹一個高效的工具和一套有效應對復雜洗錢情況的分析方法。

（MistTrack 反洗錢追蹤系統示例圖）

MistTrack 反洗錢追蹤系統是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的 SaaS 系統，具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。

AML Risk Score

MistTrack 反洗錢追蹤系統主要從地址所屬實體、地址歷史交易活動、慢霧惡意錢包地址庫三方面為其計算 AML 風險評分。當地址所屬實體為高風險主體（如混幣平臺）或地址與已知的風險主體存在資金來往時，系統會將該地址標記為風險地址。同時，結合慢霧惡意錢包地址庫中的惡意地址數據集，對已核實的勒索、盜幣、釣魚欺詐等非法行為的涉案地址進行風險標記。

聯合國貿發會議報告：新冠疫情爆發以來，加密貨幣生態系統擴大2300%:8月13日消息，聯合國貿易和發展會議（UNCTAD）的一份報告顯示，印度加密貨幣持有者占比在世界上排名第七，2021年約有7.3%的印度人擁有加密貨幣。

在2021年數字貨幣持有者占人口比例排名前20的經濟體中，印度排在美國（8.3%）之后。

烏克蘭以12.7%的比例高居榜首，其次是俄羅斯和委內瑞拉，分別為11.9%和10.3%。新加坡（9.4%）和肯尼亞（8.5%）的排名高于美國。

在排名前20的經濟體中，有多達15個是發展中經濟體和新興市場經濟體。報告強調，在2019年新冠疫情爆發之后，全球加密貨幣的使用呈指數級增長。

根據UNCTAD的數據，在2019年9月至2021年6月期間，加密貨幣生態系統擴大了2300%，尤其是在發展中國家。（The Hindu Business Line）[2022/8/13 12:23:35]

Address Labels

MistTrack 反洗錢追蹤系統積累了超 2 億個錢包地址標簽，地址標簽主要包含 3 個分類：

Yearn.finance季度報告：三分之二收入來自yUSD vault:Yearn Finance（YFI）發布了第一份非正式季度報告，報告稱，Yearn Finance協議該季度的凈收入為379萬美元，其中大部分來自yVault的產品。yUSD vault占總收入的68%，是最大的收入來源。9月份引入的yETH vault在這段期間產生了54.5萬美元的收益，但為了降低風險和損失很快將其暫停。yETH vault仍然對存款人關閉，其收益不足1%，但是Yearn將在即將發布的第二版vault中重新推出yETH vault。報告指出，這些 vault的大部分收入來自于0.3%的提款費，并表示新的收費結構將很快實施。報告顯示，Yearn Finance總計30.6萬美元的運營支出中，行政薪酬和安全支出占比分別約為56%和27%。除了對生態系統貢獻者的一些資助外，還從費用中支付了一些審計和漏洞賞金。（Cointelegraph）[2020/12/10 14:46:33]

（1）它歸屬于什么實體，如 Coinbase、Binance

（2）它的鏈上行為特征，如 DeFi 鯨魚、MEV Bot 以及 ENS

動態 | WTO報告：DLT可提高交易透明度，降低成本:世界貿易組織（WTO）高級分析師Emmanuelle Ganne和Trade Finance Global的Deepesh Patel發表了題為“區塊鏈和DLT” 的報告，報告涵蓋了區塊鏈在金融、運輸、物流、邊境程序和農業等各個領域的使用案例。報告指出，DLT在金融領域有三大好處，分別為透明度提高、速度和效率提高和成本降低。而DLT面臨的挑戰是諸如“互操作性、標準化、法律關注和隱私”之類的技術問題。[2019/12/3]

（3）一些鏈下情報數據，如曾使用過 imToken/MetaMask 錢包

Investigations

追蹤和識別錢包地址上的加密資產流向，實時監控資金轉移，將鏈上和鏈下信息整合到一個面板中，為司法取證提供強有力的技術支持。

（MistTrack 追蹤分析示例圖）

通過標記 1 千多個地址實體、2 億多個地址標簽，10 萬多個威脅情報地址，以及超過 9000 萬個與惡意活動相關的地址，MistTrack 為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查，MistTrack 在反洗錢分析評估工作中起到至關重要的作用。

動態 | G7報告：加密貨幣未能提供可靠的支付或存儲價值:七國集團（G7）發布報告指出，到目前為止，包括比特幣在內的加密貨幣未能提供“可靠且有吸引力的”支付或存儲價值。報告表示，加密貨幣不是解決方案，因為它們高度易變，具有可擴展性限制，復雜的用戶界面以及治理和法規方面的其他挑戰。該組織表示：“因此，對于某些投資者和從事非法活動的投資者而言，加密資產更多地是一種高度投機的資產類別，而不是一種進行支付的手段。”（TheBlock）[2019/10/18]

MistTrack 可以滿足常見的反洗錢分析場景，而遇到復雜特殊的情況就需要其他的方法輔助分析。從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后，在 ETH/BSC 鏈上的資金都不約而同地流向了一片灰暗之地——Tornado.Cash，Tornado.Cash 已成為 ETH/BSC 鏈上反洗錢的主戰場。

新的洗錢手法需要新的分析方法，對 Tornado.Cash 轉出分析的需求變得越來越普遍，此處我們將提出一個針對 Tornado.Cash 資金轉出的分析方法：

記錄目前已知的信息，已知信息包括轉入 Tornado.Cash 總數，第一筆 Tornado.Cash 存款時間，第一筆 Tornado.Cash 存款的區塊高度。

動態 | 騰訊御見報告：勒索病、挖礦木馬是企業安全兩大核心威脅:1月14日，騰訊御見發布2018企業網絡安全年度報告。報告指出，隨著數字加密幣的普及，數字加密幣天然的匿名性、非法交易難以追蹤的特性令病木馬黑色產業如獲至寶。2018年，數字加密幣已徹底改變了病木馬黑色產業，使勒索病和挖礦木馬成為影響企業網絡安全的兩大核心威脅。勒索病直接要求受害者向指定數字加密幣錢包轉帳；挖礦木馬傳播者瘋狂入侵企業網絡，利用企業IT資源實現0成本挖礦（不管比特幣、門羅幣、以太坊幣跌成什么樣，利用僵尸網絡挖礦不需要購買礦機，也不需要自己付電費）。而暗網平臺大量存在的非法交易，更是數字加密幣持續火爆的土壤。[2019/1/14]

將參數填入我們準備的分析面板（https://dune.com/awesome/Tornado-withdraw-analysis）。

得到初步的 Tornado.Cash 提款數據結果，再使用特征分類的方式對數據結果做進一步篩選。

篩選后的結果是一批疑似黑客轉出的結果集，取概率最高的結果集并對它進行驗證。

Tornado.Cash 轉出分析結論。

（Dune Dashboard - Tornado.Cash 轉出分析）

通過這個 Tornado.Cash 資金轉出的分析方法，我們已成功分析出 Ronin Network 等多個安全事件從 Tornado.Cash 轉出后的資金詳情。

顯而易見，這個 Tornado.Cash 資金轉出的分析方法同樣存在局限性：

轉入 Tornado.Cash 的數量分類也是一個匿名集，資金量越大相應的匿名集數量越少，資金量越小則相反。所以對于資金量小的分析難度更大。

而在 BTC 鏈上，通過區塊鏈反洗錢資金態勢我們可以看到 ChipMixer 和 Blender 是黑客的常用洗錢平臺。Blender 目前已被美國財政部制裁，站點已不可用，這里不再做進一步的探討。

ChipMixer 流入洗錢資金量巨大，我們同樣需要提出一個針對 ChipMixer 資金轉出的分析方法。

識別 ChipMixer 的提款特征。

輸入地址類型

輸出地址類型

輸入數額特征

版本

鎖定時間

bech32(bc1q...)

所有的輸入數額都滿足 Chips(即 0.001 ?* 2 的 n 次方，n < 14)的要求

區塊高度 - 1/區塊高度 - 2/區塊高度 - ?3

根據上述提款特征對相應時間段的結構化區塊數據進行掃描和篩選，得到這個時間段內 ChipMixer 的提款記錄。

對提款記錄數據歸類結果集，取概率最高的結果集并對它進行驗證。

ChipMixer 轉出分析結論。

反洗錢分析詳述

根據上述方法，針對 Ronin Network 安全事件做出以下分析：

黑客地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96（ETH 鏈）

攻擊手續費來源：SimpleSwap

資金轉移：

（Ronin Bridge Exploiter 資金轉移時間線）

ETH 資金轉移：

黑客獲利資金流向主體詳情如下表：

注：其他未做統計的流向資金為洗幣過程損失。

Tornado.Cash 資金轉移：

注：數據有效時間截止于 7 月 20 日。

BTC 資金轉移：

注：0.1 BTC 以下轉移額不做統計。

ChipMixer 資金轉移：

注：0.1 BTC 以下轉移額不做統計。

總結

以上便是關于 Ronin Network 安全事件反洗錢分析以及工具方法介紹的全部內容，至此，關于?2022?上半年區塊鏈安全及反洗錢分析報告的四篇完整解讀已全部完成，可以直接點擊頂部專題合集#區塊鏈安全與反洗錢報告瀏覽查看。

完整報告下載：

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

慢霧科技

個人專欄

閱讀更多

金色早8點

Bress

PANews

鏈捕手

財經法學

成都鏈安

Odaily星球日報

區塊律動BlockBeats

Tags：TORNADOTORASHtorn幣最新利好消息PAPADOGE幣Protectorate ProtocolCASHDOG

DAI