虛擬貨幣交易所Cryptopia以ETH為主的數(shù)字資產(chǎn)遭到了黑客的盜取
2019年1月,黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia,盜取了以ETH為主的數(shù)字資產(chǎn)(當(dāng)時(shí)價(jià)值1,600萬(wàn)美元左右)之后銷聲匿跡。近日,隨著幣價(jià)的攀升,該黑客在沉寂了數(shù)月后,開(kāi)始密集的洗錢(qián)行動(dòng)。據(jù) PeckShield數(shù)字資產(chǎn)護(hù)航系統(tǒng)(AML)數(shù)據(jù)顯示,近兩天來(lái),該黑客已經(jīng)將4,787個(gè) ETH轉(zhuǎn)入了火幣交易所,而且仍有26,003個(gè) ETH等待被洗時(shí)機(jī)。
PeckShield安全人員梳理黑客洗錢(qián)路徑發(fā)現(xiàn):
1、黑客在攻擊成功后,一般會(huì)將資產(chǎn)分散到多個(gè)地址或直接轉(zhuǎn)移到新地址后沉寂一段時(shí)間以避開(kāi)風(fēng)頭;
2、在洗錢(qián)過(guò)程中,黑客會(huì)先轉(zhuǎn)移出少部分資產(chǎn)進(jìn)行嘗試,尋找最佳洗錢(qián)方式;
3、在少部分資產(chǎn)嘗試清洗成功后,才會(huì)處理剩余資產(chǎn),否則會(huì)繼續(xù)沉寂等待時(shí)機(jī)。
從本次洗錢(qián)路徑看,黑客是有通過(guò)去中心化交易所 EtherDelta,以BAT、ELF等代幣配對(duì)交易,進(jìn)行偽裝買(mǎi)賣(mài),逃離追蹤的想法。不過(guò),純鏈上交易信息清晰可查,黑客雖魔高一尺,但白帽安全人員布下了天羅地網(wǎng),能層層剖析,抽絲剝繭清晰還原黑客洗錢(qián)的全過(guò)程。
一圖概覽黑客洗錢(qián)全過(guò)程:
從圖1中能看到,黑客先將部分?jǐn)?shù)字資產(chǎn)轉(zhuǎn)移到一個(gè)地址,再偽裝成買(mǎi)家和賣(mài)家,在去中心化交易所 EtherDelta 中買(mǎi)賣(mài)交易,試圖逃避追蹤,之后將資產(chǎn)再次匯聚到一起進(jìn)入火幣交易所。進(jìn)一步的細(xì)節(jié)如下:
第一步:資產(chǎn)轉(zhuǎn)移
在交易所等巨額資產(chǎn)出現(xiàn)安全問(wèn)題后往往引來(lái)無(wú)數(shù)媒體關(guān)注,所有人都會(huì)緊盯資產(chǎn)流向,而此時(shí)黑客通常會(huì)沉寂數(shù)月乃至一年。在認(rèn)為避開(kāi)風(fēng)頭之后,抓住一個(gè)最佳時(shí)機(jī),開(kāi)始銷贓洗錢(qián)。
此次黑客估計(jì)是被市場(chǎng)回暖喚醒,先將5,000個(gè) ETH 以每筆1,000個(gè)的方式轉(zhuǎn)入一個(gè)新地址,并以此為起點(diǎn),開(kāi)始一輪洗錢(qián)操作。如果仔細(xì)地看這五筆交易,會(huì)發(fā)現(xiàn)它們共間隔16小時(shí),而且是在每轉(zhuǎn)出一筆后,進(jìn)入后續(xù)的偽裝成買(mǎi)家賣(mài)家操作。可見(jiàn)黑客格外的小心翼翼,先探探頭,試試水再說(shuō)。
第二步:偽裝買(mǎi)賣(mài)
黑客為了逃避資產(chǎn)追蹤,一般會(huì)將大額資產(chǎn),以小額多筆的形式分散到大量的地址中,再在各個(gè)地址上進(jìn)行頻繁的分散匯聚。而此次黑客采用了一種新方式,通過(guò)偽裝成去中心化交易所的買(mǎi)家和賣(mài)家,試圖以正常的掛單配對(duì)交易來(lái)逃避追蹤。
黑客將每次收到的1,000 ETH,再散成以約500個(gè) ETH 一筆進(jìn)入去中心化交易所,開(kāi)始買(mǎi)賣(mài)。從圖3和圖4中發(fā)現(xiàn),黑客以普通用戶的方式,不是僅用一兩筆,而是通過(guò)大量多筆的交易,完成從買(mǎi)家到賣(mài)家的資產(chǎn)轉(zhuǎn)移。
偽裝買(mǎi)家賣(mài)家,買(mǎi)賣(mài) BAT、ELF 代幣
下圖中可以看到黑客控制多個(gè)帳號(hào)偽裝成買(mǎi)家和賣(mài)家將資產(chǎn)倒手,圖中是黑客成交的多筆 ELF 和BAT 代幣的訂單。
具體來(lái)看買(mǎi)家在去中心化交易所 EtherDelta 合約上的一條交易(trade)記錄
(https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6)
在上圖中可以看到,買(mǎi)家與賣(mài)家的配對(duì)交易,僅接著賣(mài)家做了提現(xiàn)(withdraw)操作,對(duì)應(yīng)的著鏈上的交易記錄
(https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192)截圖如下:
第三步:再次匯聚,進(jìn)入交易所
通過(guò)去中心化交易所的倒手交易后,黑客已認(rèn)為能夠避免資產(chǎn)被追蹤,又將獲得的ETH匯總到一個(gè)地址,并分批次進(jìn)入火幣交易所。
至此,黑客最初的5,000枚 ETH,分批匯聚再進(jìn)入去中心化交易所,經(jīng)過(guò)倒手買(mǎi)賣(mài),再次匯聚進(jìn)入火幣,看似天衣無(wú)縫的操作,實(shí)則在鏈上留下了諸多痕跡。
截至發(fā)文時(shí),黑客共計(jì)將4,787個(gè) ETH 轉(zhuǎn)入了火幣交易所,PeckShield 正協(xié)助火幣交易所對(duì)涉及贓款實(shí)施封堵。目前尚有26,003個(gè) ETH 控制在黑客手中,存在進(jìn)一步洗錢(qián)的可能。PeckShield 正持續(xù)追蹤黑客下一步的洗錢(qián)行蹤。
今年1月份 Cryptopia 交易所遭黑客攻擊損失共計(jì)30,790個(gè) ETH。時(shí)隔3個(gè)月,當(dāng)時(shí)的ETH行情價(jià)格也已經(jīng)翻番了,黑客覺(jué)得時(shí)機(jī)差不多成熟了,開(kāi)始活躍出來(lái)洗錢(qián)了。整體來(lái)看,黑客此次行動(dòng)還是很小心謹(jǐn)慎的,通過(guò)分散轉(zhuǎn)移賬號(hào)、偽裝買(mǎi)賣(mài)等多種手段來(lái)逃離追蹤,但區(qū)塊鏈?zhǔn)澜?,一切鏈上行為都有跡可循,安全公司更道高一丈。
PeckShield 數(shù)字資產(chǎn)護(hù)航系統(tǒng)(AML)基于各大公鏈生態(tài)數(shù)據(jù)的全面挖掘和剖析,積累了海量高風(fēng)險(xiǎn)黑名單庫(kù),能夠從龐大的鏈上數(shù)據(jù)庫(kù)中精準(zhǔn)提煉出黑客的行蹤,并聯(lián)合全球各大交易所、社區(qū)治理單位等合作伙伴,對(duì)黑客洗錢(qián)行蹤展開(kāi)全鏈、全時(shí)段、反偽裝等步步追蹤和實(shí)時(shí)封堵。