近期,區塊鏈安全事件頻發,無論是DeFi、跨鏈橋、NFT還是交易所,都損失慘重。除了對事件發生的原因進行技術分析以警示,我們也應將視線看向被盜資產方面。加密貨幣的匿名屬性,使其難免被用于洗錢和資產轉移,隨著各國政策的更新與完善,擁抱監管與合規必是未來的一個趨勢,因此,對被盜資產流向及攻擊者洗幣手法進行分析、對鏈上動態進行實時監測顯得尤為重要。
慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統,以近期發生的其中兩個事件為例,通過剖析攻擊者的洗幣手法及資產的流向來窺見一二。
XSURGE攻擊事件
概述
2021年8月17日3:13AM,XSURGE官方發布關于SurgeBNB漏洞的聲明,稱由于SurgeBNB合約不可更改且已被放棄,因此無法修補該漏洞,但強烈建議用戶盡快移出SurgereBNB,該漏洞隨時可能被攻擊者觸發。
不幸的是,在3:59AM,官方就表示遭遇攻擊。
事件相關地址通過比對相似合約,我們還發現了其他攻擊者信息。資金流向分析
DeFi協議WDZD Swap曾遭遇攻擊,損失達110萬美元:金色財經報道,據區塊鏈安全公司CertiK的報告,DeFi協議WDZD Swap于5月19日被攻擊,損失達110萬美元,攻擊者系一個鏈上標記為“Fake_Phishing750”的黑客,此前曾對另一個名為“Swap X”的協議進行了攻擊。目前WDZD Swap的Telegram官方頻道已禁言,已被設置為僅允許管理員發帖。[2023/5/26 10:41:00]
經過分析,本次事件是由于其合約的sell函數導致了重入漏洞,也就是說攻擊者通過不斷買賣的操作,以更低的代幣價格獲取到了更多的SURGE代幣。那攻擊者具體是怎樣進行獲利并轉移資金的呢?
我們以攻擊者1創建的合約為例來分析攻擊者的獲利過程。首先,8月16日19:39:29(UTC),攻擊者1在幣安智能鏈(BSC)創建了攻擊合約1,閃電貸借出10,000BNB后購買SURGE代幣,多次以“賣出再買入”的方式來回交易,最后獲利12,161BNB。接著分別創建了合約2-6,以同樣的方式獲利,最終攻擊者1獲利13,112BNB。攻擊成功后,黑客并沒有持幣觀望等待時機,而是直接開始轉移資金,想洗錢獲利,經過兩層大的轉移,黑客輕而易舉地將資金轉移到了交易所:
數據:DeFi協議鎖倉量較五月低位增長135%:據歐科云鏈鏈上大師數據顯示,截至今日16時,DeFi協議全網鎖倉量為1477億美元,較五月末低位回升135.94%。其中借貸協議鎖倉量462.5億美元,占比31.3%;DEX鎖倉量403.5億美元,占比27.3%。[2021/9/16 23:29:44]
第一層洗幣:將資金不等額分散到多個地址
攻擊者先是將獲利的13,112BNB隨機分成了兩大部分,將一部分BNB以不等的金額陸續轉出到不同地址,將另一部分BNB先通過PancakeSwap、1inch換成ETH后再轉出到不同地址,最終13,112BNB被轉移到下圖的30個不同地址。第二層洗幣:將資金直接或分批兌換轉移
經過對30個地址資金轉移的不斷分析,我們漸漸總結出了攻擊者的轉移方式主要有以下幾種:
1、將BNB直接換成ETH,直接或分批轉到幣安。2、部分BNB換成ETH轉到幣安,部分BNB轉到其他地址,匯聚后一起換成ETH,再分批轉到幣安。以地址(0x77b...22d)為例:3、ETH直接或分批分層轉到幣安截至目前,13,112BNB均轉移至幣安。
DeFi 概念板塊今日平均跌幅為3.41%:金色財經行情顯示,DeFi 概念板塊今日平均跌幅為3.41%。47個幣種中6個上漲,41個下跌,其中領漲幣種為:BZRX(+15.28%)、YFV(+13.08%)、TRB(+5.55%)。領跌幣種為:SWFTC(-11.45%)、YFII(-9.03%)、MKR(-8.28%)。[2021/8/17 22:18:29]
思考:不難看出,該事件的攻擊者轉出資產的核心方式還是“兌換、匯集、分批、多層”,最終大部分資金都到了幣安交易所,但這并不意味著目前大部分被盜資產脫離攻擊者的控制,此刻就非常需要全球交易所以合規的方式聯合起來,阻斷攻擊者的黑資產變現行為。
StableMagnet跑路事件
概述
北京時間6月23日凌晨,幣安智能鏈(BSC)上穩定幣兌換自動做市商StableMagnet卷走用戶2400萬美元跑路。然而在事件發生前,部分用戶曾收到匿名組織發來的信件,信件中暗示StableMagnet將RugPull,但用戶只是半信半疑沒有做出過多舉動。2400萬美元被帶走的同時,用戶的錢包也被洗劫,官方網站、電報群、推特全都“查無此人”。從震驚無措中緩過來的受害者們立刻聯絡起來,社區部分“科學家”們自發組建了核心調查組,聯合幣安的力量,展開了一場跌宕起伏的自救行動。
報告:第一季度調整后DeFi TVL增長50% NFT交易量增長超25倍:CoinDesk今日發布了2021年第一季度行業趨勢報告。報告稱,經過一年的指數增長和活動之后,去中心化金融(DeFi)已開始降溫。在2021年第一季度,DeFi應用程序的加密資產管理總規模的美元價值似乎增長了150%,從大約200億美元增至500億美元。但是,大部分活動反映了以太坊和其他基于以太坊的代幣的美元價值不斷上升,而不是所管理的加密資產實際數量的增長。在調整此“價格效應”后,可以看到DeFi的總鎖定價值(TVL)在本季度增長了50%,并在3月底逐步修正。此外,去中心化交易所(DEX)的交易量也出現了類似的穩定增長模式,并且在第一季度末略有下降。搶走DeFi風頭的是NFT行業,交易量增長了25倍以上,某些市場的估值超過20億美元。[2021/4/22 20:45:40]
事件相關地址
項目方跑路地址:0x8bea99d414c9c50beb456c3c971e8936b151cb39
資金流向分析
聚幣Jubi DeFi將于9月25日上線一鍵挖礦FLM:據官方消息,聚幣Jubi DeFi板塊將于9月25日上線一鍵0成本無損挖礦FLM(Flamingo),用戶可在聚幣Ju.com使用JT、NEO、BTC、ETH、USDT、ONT 一鍵挖礦FLM。本次挖礦屬于無損挖礦,聚幣承擔由于交易及鏈上費用帶來的磨損。挖礦無需KYC,所有用戶均可參與。
Flamingo是一個基于Neo的互操作性全棧DeFi協議,主要由五個模塊組成,包括跨鏈資產網關—Wrapper,鏈上資產流動性交易所—Swap,一站式資管中心—Vault,基于AMM的永續合約交易平臺—Perp,以及去中心化治理機制—DAO。FLM是Flamingo的治理通證,將基于Flamingo項目參與者的貢獻度進行100%分配,無任何的預售、預挖及團隊分配。[2020/9/23]
經過分析,此次問題出在智能合約調用的底層函數庫,而項目方在底層函數庫SwapUtilsLibrary中植入了后門,一開始就為跑路做好了準備。收割資金,利用漏洞,卷走資金,一切就從下圖的交易開始了………在這筆交易中,項目方帶走了超800萬枚BSC-USD、超720萬枚USDC以及超700萬枚BUSD。資金到手,項目方沒有過多停頓,立馬就開始轉移資金。
第一層洗幣:少部分兌換后,將資金等額分散到多個地址
為了后續更統一方便地轉移,項目方先將1,137,821BUSD換成1,137,477USDC,將781,878BUSD換成781,467BSC-USD。接著分別將BUSD、USDC、BSC-USD等額分散到以下地址:第二層洗幣:部分資金兌換后進行跨鏈并轉入混幣平臺,部分資金直接轉入幣安
BUSD部分
根據分析,上圖中的一部分BUSD換成91anyBTC跨鏈到地址A(bc1...gp0)。一部分BUSD換成60anyBTC跨鏈到地址B(bc1...kfu)。USDC部分
根據分析,上圖中的一部分USDC兌換為anyETH,跨鏈到5個以太坊地址。另一部分USDC兌換為USDT,跨鏈到5個以太坊地址。接著,將ETH都轉移到了地址C(0xfa9...d7b)和地址D(0x456...b9f)。而這兩個地址,少部分轉到了第一層表格中的地址,多數轉移到了Tornado.Cash。而USDT被換成DAI,一部分停留在地址,一部分已轉到混幣平臺Tornado.Cash。BSC-USD部分
上圖中的BSC-USD資金,皆分批轉到了幣安。據了解,事件發生后幾天,幣安提供了嫌犯可能在香港的有效線索,社區調查者的線索也指向香港,但嫌犯在明知身份已泄露的情況下仍拒絕配合。受害者們只能將眼光轉向,好在分別于香港、英國實現了立案。正在焦灼之時,英國立即受理并對該事件展開行動,在社區與匿名組織給出的有效信息支持下,開啟了抓捕行動。值得慶幸的是,在社區與英國的聯合力量下,回收了90%資產,并抓獲了部分嫌疑人,這也是DeFi攻擊史上首次由發起鏈上退款的事件。
思考:不難看出,Tornado.Cash等混幣服務系統、閃兌平臺以及一些免KYC的中心化機構,目前都是洗錢的重災區。另外,在該跑路事件中英國起到了非常重要的作用,每個平臺應該將合規與安全監管重視起來,必要時與監管執法機構合作,打擊不法行為。
總結
經過上述分析,不難發現幣安似乎很受攻擊者的青睞。作為全球領先的加密貨幣交易所之一,幣安最近遭遇了多個國家的監管風波,8月6日,幣安CEO趙長鵬在推特上表示,幣安將從被動合規轉向主動合規,隨后幣安上線了一系列擁抱合規的平臺安全策略。監管的意義在某些攻擊事件中也不言而喻,例如Tether對被盜的USDT的凍結、慢霧聯合交易所對被盜資金的凍結。
在合規監管方面,慢霧發布了AML系統,交易平臺接入AML系統后,一方面交易平臺在收到相關盜幣資金時會收到提醒,另一方面可以更好地識別高風險賬戶,保持平臺合規性,避免平臺陷入涉及洗錢的境況。作為行業領先的安全公司,慢霧始終關注著每一件安全事件,當攻擊事件發生后,我們會迅速采集攻擊者相關的地址錄入到AML系統,并進行持續監控與拉黑。目前,慢霧AML系統旗下的惡意地址庫已涵蓋從暗網到全球數百個交易所的有關內容,包含BTC、ETH、EOS、XRP、TRX、USDT等惡意錢包地址,數量已突破10萬,可識別地址標簽近2億,為追蹤黑客攻擊、洗幣行為提供了全面的情報支撐。
歡迎點擊此免費試用慢霧AML系統,通過監測鏈上活動的實時動態,提高整個平臺的風控安全與合規等級。
來源鏈接:mp.weixin.qq.com
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
慢霧
慢霧
慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多
親愛的ZT用戶: ZT創新板即將上線SNY,并開啟SNY/USDT交易對。具體上線時間如下:交易:2021年9月2日17:00?; SNY 項目簡介:Synthetify是一個即將推出的合成資產.
1900/1/1 0:00:00為支持Kusama平行鏈插槽競拍,Gate.io開啟“質押KSM,一鍵參與KSM插槽拍賣活動”,第六次平行鏈拍賣活動將于北京時間9月1日20:00開啟,用戶鎖倉KSM即可為支持的項目助力.
1900/1/1 0:00:00Odaily星球日報消息,新加坡時間2021年8月30日20:00,Polygon第一次全球GrantsHackathon在DoraHacks開發者平臺HackerLink正式開啟項目提交通道.
1900/1/1 0:00:008月31日12:00—9月7日12:00我們將開啟BlockBank(BBANK)超級空投福利,$10,000美元BBANK等你來拿!新用戶請點擊注冊Gate.io并參與活動.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線FLOKI,并開啟FLOKI/USDT交易對。具體上線時間如下:交易:2021年9月1日17:00?; FLOKI ZT創新板5月20日上線WOLF:據官網公.
1900/1/1 0:00:00尊敬的中幣用戶: ????中幣將于香港時間2021年8月31日上線FET。具體安排如下:???1、2021年8月31日18:00開放FET充值;???2、2021年9月1日16:00開放FET/.
1900/1/1 0:00:00