免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
边肖:记得要集中注意力。
来源:慢雾科技
近期,区块链安全事件频发,德夫、跨链桥、NFT和交易所均损失惨重。除了从技术上分析事件发生的原因以示警告,我们还应该看看被盗资产。加密货币的匿名性使得它不可避免地被用于洗钱和资产转移。随着各国政策的更新和完善,拥抱监管和合规将是未来的一个趋势。因此,分析被盗资产的流向和攻击者的洗钱手段,实时监控链条动态就显得尤为重要。
慢雾反洗钱团队利用其MistTrack 反洗钱追踪系统,以最近发生的两起事件为例,通过分析攻击者的洗钱手段和资产流向,窥见一二。
概述
2021年8月17日凌晨3:13,XSURGE官方发布了关于SurgeBNB漏洞的声明,称无法修复该漏洞,因为SurgeBNB合同不可更改,已被废弃,但强烈建议用户尽快搬出Surge BNB,该漏洞随时可能被攻击者触发。
可惜3:59 AM官方说被攻击了。
事件相关地址
通过对比类似合同,我们还发现了其他攻击者信息。
资金流向分析
经过分析,这一事件是由于其合约的sell功能导致的重入漏洞,也就是说,攻击者通过持续交易,以更低的令牌价格获得了更多的浪涌令牌。攻击者如何获利并转移资金?
我们以攻击者1创建的契约为例,分析一下攻击者的获利过程。首先,19:39:29年8月16日(UTC),攻击者1在智能链(BSC)中创建了攻击契约1。闪电贷借出10000 BNB后,买入浪涌代币,以“卖了再买”的方式来回交易多次,最终获利12161 BNB。然后分别创建了合约2-6,用同样的方法获利。最后,进攻者1获利13112 BNB。
攻击成功后,黑客没有用钱等待时机,而是直接开始转移资金,希望洗钱获利。经过两层大额转账,黑客轻松将资金转入交易所:
第一层洗币 :将资金不等额分散到多个地址
攻击者起初将盈利的13112 BNB随机分成两部分,将一部分BNB转移到不同的地址,金额不同,然后通过PancakeSwap和1inch将另一部分BNB换成ETH,再转移到不同的地址。最后,13112名BNB被转移到下图所示的30个不同地址。
二级洗币:资金的直接或批量兑换和转账。
经过对30个地址的资金转移情况的不断分析,我们逐渐得出攻击者的转移方式主要有以下几种:
1.直接把BNB换成ETH,直接或者批量转投币安。
2,部分bnb由ETH转到彼岸,部分bnb转到其他地址。汇合后,由ETH转往碧安。取地址(0x77b.22d)作为一个例子:
3,ETH直接或批量转入碧安。
截至目前,已有13112名BNB转移到了碧安。
思考:不难看出,攻击者在此次事件中转移出资产的核心方式是“交换、收集、批量和多层”,大部分资金最终去了货币交易所,但这并不意味着大部分被盗资产目前脱离了攻击者的控制,现在非常需要全球交易以合规的方式联合起来,阻断攻击者黑色资产的变现。
leMagnet 跑路事件概述
北京时间 6 月 23 日凌晨,币安智能链 (BSC) 上稳定币兑换自动做市商 StableMagnet 卷走用户 2400 万美元跑路。然而在事件发生前,部分用户曾收到匿名组织发来的信件,信件中暗示 StableMagnet 将 Rug Pull,但用户只是半信半疑没有做出过多举动。2400 万美元被带走的同时,用户的钱包也被洗劫,官方网站、电报群、推特全都“查无此人”。从震惊无措中缓过来的受害者们立刻联络起来,社区部分“科学家”们自发组建了核心调查组,联合币安的力量,展开了一场跌宕起伏的自救行动。
事件相关地址
项目方跑路地址:0x8bea99d414c9c50beb456c3c971e8936b151cb39
资金流向分析
经过分析,此次问题出在智能合约调用的底层函数库 ,而项目方在底层函数库 SwapUtils Library 中植入了后门,一开始就为跑路做好了准备。收割 资金,利用漏洞,卷走资金,一切就从下图的交易开始了………
在这笔交易中,项目方带走了超 800 万枚 BSC-USD、超 720 万枚 USDC 以及超 700 万枚 BUSD。资金到手,项目方没有过多停顿,立马就开始转移资金。
第一层 洗币:少部分兑换后,将资金等额分散到多个地址
为了后续更统一方便地转移,项目方先将 1,137,821 BUSD 换成 1,137,477 USDC,将 781,878 BUSD 换成 781,467 BSC-USD。
接着分别将 BUSD、USDC、BSC-USD 等额分散到以下地址:
第二层 洗币:部分资金兑换后进行跨链并转入混币平台,部分资金直接转入币安
BUSD 部分
根据分析,上图中的一部分 BUSD 换成 91 anyBTC 跨链到地址 A(bc1...gp0)。
一部分 BUSD 换成 60 anyBTC 跨链到地址 B(bc1...kfu)。
USDC 部分
根据分析,上图中的一部分 USDC 兑换为 anyETH,跨链到 5 个以太坊地址。
另一部分 USDC 兑换为 USDT,跨链到 5 个以太坊地址。
接着,将 ETH 都转移到了地址 C(0xfa9...d7b) 和地址 D(0x456...b9f)。
而这两个地址,少部分转到了第一层表格中的地址,多数转移到了 Tornado.Cash。
而 USDT 被换成 DAI,一部分停留在地址,一部分已转到混币平台 Tornado.Cash。
BSC-USD 部分
上图中的 BSC-USD 资金,皆分批转到了币安。
据了解,事件发生后几天,币安提供了嫌犯可能在香港的有效线索,社区调查者的线索也指向香港,但嫌犯在明知身份已泄露的情况下仍拒绝配合。受害者们只能将眼光转向警方,好在分别于香港、英国实现了立案。正在焦灼之时,英国警方立即受理并对该事件展开行动,在社区与匿名组织给出的有效信息支持下,警方开启了抓捕行动。值得庆幸的是,在社区与英国警方的联合力量下,回收了 90% 资产,并抓获了部分嫌疑人,这也是 DeFi 攻击史上首次由警方发起链上退款的事件。
思考:不难看出,Tornado.Cash 等混币服务系统、闪兑平台以及一些免 KYC 的中心化机构,目前都是洗钱的重灾区。另外,在该跑路事件中英国警方起到了非常重要的作用,每个平台应该将合规与安全监管重视起来,必要时与监管执法机构合作,打击不法行为。
经过上述分析,不难发现币安似乎很受攻击者的青睐。作为全球领先的加密货币交易所之一,币安最近遭遇了多个国家的监管风波,8 月 6 日,币安 CEO 赵长鹏在推特上表示,币安将从被动合规转向主动合规,随后币安上线了一系列拥抱合规的平台安全策略。监管的意义在某些攻击事件中也不言而喻,例如 Tether 对被盗的 USDT 的冻结、慢雾联合交易所对被盗资金的冻结。在合规监管方面,慢雾发布了 AML 系统,交易平台接入 AML 系统后,一方面交易平台在收到相关盗币资金时会收到提醒,另一方面可以更好地识别高风险账户,保持平台合规性,避免平台陷入涉及洗钱的境况。 作为行业领先的安全公司,慢雾始终关注着每一件安全事件,当攻击事件发生后,我们会迅速采集攻击者相关的地址录入到 AML 系统,并进行持续监控与拉黑。 目前,慢雾 AML 系统旗下的恶意地址库已涵盖从暗网到全球数百个交易所的有关内容,包含 BTC、ETH、EOS、XRP、TRX、USDT 等恶意钱包地址,数量已突破 10 万,可识别地址标签近 2 亿, 为追踪黑客攻击、洗币行为提供了全面的情报支撑。
欢迎点击 此免费试用慢雾 AML 系统,通过监测链上活动的实时动态,提高整个平台的风控安全与合规等级。