2019年1月，黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia，盜取了以ETH為主的數(shù)字資產(chǎn)（當(dāng)時價值1，600萬美元左右）之后銷聲匿跡。近日，隨著幣價的攀升，該黑客在沉寂了數(shù)月后，開始密集的洗錢行動。據(jù) PeckShield數(shù)字資產(chǎn)護航系統(tǒng)（AML）數(shù)據(jù)顯示，近兩天來，該黑客已經(jīng)將4，787個 ETH轉(zhuǎn)入了火幣交易所，而且仍有26，003個 ETH等待被洗時機。

PeckShield安全人員梳理黑客洗錢路徑發(fā)現(xiàn)：

1、黑客在攻擊成功后，一般會將資產(chǎn)分散到多個地址或直接轉(zhuǎn)移到新地址后沉寂一段時間以避開風(fēng)頭；

2、在洗錢過程中，黑客會先轉(zhuǎn)移出少部分資產(chǎn)進行嘗試，尋找最佳洗錢方式；

3、在少部分資產(chǎn)嘗試清洗成功后，才會處理剩余資產(chǎn)，否則會繼續(xù)沉寂等待時機。

從本次洗錢路徑看，黑客是有通過去中心化交易所 EtherDelta，以BAT、ELF等代幣配對交易，進行偽裝買賣，逃離追蹤的想法。不過，純鏈上交易信息清晰可查，黑客雖魔高一尺，但白帽安全人員布下了天羅地網(wǎng)，能層層剖析，抽絲剝繭清晰還原黑客洗錢的全過程。

一圖概覽黑客洗錢全過程：

從圖1中能看到，黑客先將部分?jǐn)?shù)字資產(chǎn)轉(zhuǎn)移到一個地址，再偽裝成買家和賣家，在去中心化交易所 EtherDelta 中買賣交易，試圖逃避追蹤，之后將資產(chǎn)再次匯聚到一起進入火幣交易所。進一步的細節(jié)如下：

第一步：資產(chǎn)轉(zhuǎn)移

在交易所等巨額資產(chǎn)出現(xiàn)安全問題后往往引來無數(shù)媒體關(guān)注，所有人都會緊盯資產(chǎn)流向，而此時黑客通常會沉寂數(shù)月乃至一年。在認為避開風(fēng)頭之后，抓住一個最佳時機，開始銷贓洗錢。

此次黑客估計是被市場回暖喚醒，先將5，000個 ETH 以每筆1，000個的方式轉(zhuǎn)入一個新地址，并以此為起點，開始一輪洗錢操作。如果仔細地看這五筆交易，會發(fā)現(xiàn)它們共間隔16小時，而且是在每轉(zhuǎn)出一筆后，進入后續(xù)的偽裝成買家賣家操作?？梢姾诳透裢獾男⌒囊硪?，先探探頭，試試水再說。

第二步：偽裝買賣

黑客為了逃避資產(chǎn)追蹤，一般會將大額資產(chǎn)，以小額多筆的形式分散到大量的地址中，再在各個地址上進行頻繁的分散匯聚。而此次黑客采用了一種新方式，通過偽裝成去中心化交易所的買家和賣家，試圖以正常的掛單配對交易來逃避追蹤。

黑客將每次收到的1，000 ETH，再散成以約500個 ETH 一筆進入去中心化交易所，開始買賣。從圖3和圖4中發(fā)現(xiàn)，黑客以普通用戶的方式，不是僅用一兩筆，而是通過大量多筆的交易，完成從買家到賣家的資產(chǎn)轉(zhuǎn)移。

偽裝買家賣家，買賣 BAT、ELF 代幣

下圖中可以看到黑客控制多個帳號偽裝成買家和賣家將資產(chǎn)倒手，圖中是黑客成交的多筆 ELF 和BAT 代幣的訂單。

具體來看買家在去中心化交易所 EtherDelta 合約上的一條交易（trade）記錄

（https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6）

在上圖中可以看到，買家與賣家的配對交易，僅接著賣家做了提現(xiàn)（withdraw）操作，對應(yīng)的著鏈上的交易記錄

（https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192）截圖如下：

第三步：再次匯聚，進入交易所

通過去中心化交易所的倒手交易后，黑客已認為能夠避免資產(chǎn)被追蹤，又將獲得的ETH匯總到一個地址，并分批次進入火幣交易所。

至此，黑客最初的5，000枚 ETH，分批匯聚再進入去中心化交易所，經(jīng)過倒手買賣，再次匯聚進入火幣，看似天衣無縫的操作，實則在鏈上留下了諸多痕跡。

截至發(fā)文時，黑客共計將4，787個 ETH 轉(zhuǎn)入了火幣交易所，PeckShield 正協(xié)助火幣交易所對涉及贓款實施封堵。目前尚有26，003個 ETH 控制在黑客手中，存在進一步洗錢的可能。PeckShield 正持續(xù)追蹤黑客下一步的洗錢行蹤。

今年1月份 Cryptopia 交易所遭黑客攻擊損失共計30，790個 ETH。時隔3個月，當(dāng)時的ETH行情價格也已經(jīng)翻番了，黑客覺得時機差不多成熟了，開始活躍出來洗錢了。整體來看，黑客此次行動還是很小心謹(jǐn)慎的，通過分散轉(zhuǎn)移賬號、偽裝買賣等多種手段來逃離追蹤，但區(qū)塊鏈?zhǔn)澜?，一切鏈上行為都有跡可循，安全公司更道高一丈。

PeckShield 數(shù)字資產(chǎn)護航系統(tǒng)（AML）基于各大公鏈生態(tài)數(shù)據(jù)的全面挖掘和剖析，積累了海量高風(fēng)險黑名單庫，能夠從龐大的鏈上數(shù)據(jù)庫中精準(zhǔn)提煉出黑客的行蹤，并聯(lián)合全球各大交易所、社區(qū)治理單位等合作伙伴，對黑客洗錢行蹤展開全鏈、全時段、反偽裝等步步追蹤和實時封堵。