隨著DeFi、NFT、跨鏈橋等項目的火熱發展,黑客攻擊事件也層出不窮。有趣的是,據慢霧統計,80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash,本文以KuCoin被盜事件為例,試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。
事件概述
據KuCoin官網公告,北京時間2020年9月26日凌晨,KuCoin交易所的熱錢包地址出現大量異常的代幣提現,涉及?BTC、ETH?等主流幣以及LINK、OCEN等多種代幣,牽動了無數用戶的心。
圖?1
據慢霧AML團隊統計,本次事件被盜資金超2.7億美元,具體如下圖:
Beosin:ETH鏈上COPE代幣項目存在后門:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,ETH鏈上COPE 代幣項目存在后門,特權地址可以調用偽造的Approve銷毀任意地址的余額。提醒用戶注意資金安全。[2023/7/21 15:50:29]
圖2
值得注意的是,我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中,我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash,并對Tornado.Cash的轉出進行分析,以分解出被盜資金可能流向的地址。
Tornado.Cash?是什么?
Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
穆迪下調Silvergate評級,前景為負面:金色財經報道,在 Silvergate Capital 及其銀行子公司 Silvergate Bank 的獨立基準信用評估從 ba3 下調至 b2 后,穆迪下調了該銀行的評級。Silvergate Capital 的長期發行人評級從 B1 下調至 B3,展望仍為負面。穆迪在一份報告中表示,雖然該公司已裁員約 40%,但鑒于以加密貨幣為中心的公司的存款大幅下降,我們預計盈利能力將在未來幾個季度受到嚴重挑戰。[2023/2/21 12:20:17]
如何轉入?
攻擊得手后,黑客開始大范圍地將資金分批轉移到各大交易所,但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后,黑客將目光轉向了DeFi。
據慢霧AML旗下MistTrack反洗錢追蹤系統顯示,黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址,接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。
被FTX收購的LedgerPrime在Clearpool推出單一借貸池:10月26日消息,數字資產投資公司LedgerPrime宣布在Clearpool的DeFi 協議上推出單一借貸池,并僅在 Clearpool Polygon 市場上提供。
LedgerPrime 是一家多策略數字資產投資公司,在2017年由Ledger Holdings推出,隨后于2021年被FTX US收購。Clearpool是一個面向機構借款人的去中心化資本市場生態系統,使機構能夠安全地訪問數字資產和 DeFi。[2022/10/26 16:39:09]
圖3
大部分ERC20代幣兌換成ETH后,被整合到了以下主要地址:
Web3安全生態基礎設施Go Plus Security與Dtools達成戰略合作:8月24日消息,據官方推特,GoPlus Security 與 Web3 ALL-IN-ONE 工具 Dtools 達成合作,并為其最新上線的 Token 安全檢測功能提供了全方位的安全數據支持。用戶可以在 Dtools 上的多個入口輕松進行 Token 安全檢測,規避投資過程中的潛在風險。
據悉,GoPlus Security 作為 Web3 的 \"安全基礎設施\",提供開放、無需許可、用戶驅動的安全服務。除了Token安全檢測API外,GoPlus Security還推出了惡意地址庫API、NFT安全檢測API、風險授權檢測API、dApp安全信息API等,從多場景多角度守護Web3安全。
Dtools 是一個 Web3 的 ALL-IN-ONE 工具,旨在滿足 Web3 探索者的需求。[2022/8/24 12:44:48]
表1
在對ETH和ERC20代幣進行完整追蹤后,我們梳理出了資金是如何在黑客地址間移動,并分解出了資金是以怎樣的方式進入Tornado.Cash。
混合區塊鏈平臺Waves Enterprise宣布推出DAO,并將開源其整個代碼庫:5月31日消息,混合區塊鏈平臺Waves Enterprise今天宣布將轉向去中心化的治理模式,并來源其整個代碼庫。
Waves Enterprise棧和WE生態系統的進一步發展將不是由一組中心化公司管理,而是由一個企業級的DAO管理。WE DAO旨在將Waves Enterprise技術的權力、管轄權和管理權下放給治理委員會和WE生態系統的活躍成員。最初,該委員會將包括三家在區塊鏈領域擁有豐富經驗的公司——Waves Labs、Waves Association和Tokenomika。隨后,該委員會將邀請其他成員,包括依賴區塊鏈技術的企業、風險基金、安全公司等。(Business Wire)[2022/6/1 3:54:00]
圖4
黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下:
表2?
轉到了哪?
猜想
1.?巨額的ETH進入?Tornado.Cash,會集中表現出一些可追蹤的特征。
2.以黑客急于變現的行為分析,猜想黑客將資金存入Tornado.Cash后會隨即提款,或下次存入時提款。
3.分析攻擊者使用洗幣平臺的方式和行為,可以獲得資金的轉移地址。
可能的鏈上行為
1.資金從?Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。
2.一定時間段內,從Tornado.Cash?轉出的資金會持續轉出到相同地址。
驗證
以黑客地址(0x34a...c6b)為例:
如表2結果所述,黑客在?2020-10-2316:06:28~2020-10-2610:32:24?(UTC)間,以每次100ETH,存115次的方式將?11,500?ETH存入?Tornado.Cash。為了方便說明,我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄,如下圖:
圖5
接著,我們查看Tornado.Cash:100ETH合約的交易記錄,找到地址(0x34a...c6b)在同一時間段的存款記錄,下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。
圖6
查看該地址(0x82e...398)在此時間段的交易哈希,發現該地址并沒有將ETH提款給自己,而是作為一個合約調用者,將ETH都提款到了地址?(0xa4a...22f)。
圖7
圖8
同樣的方式,得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址,具體如下:
表3
經過核對,發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致,這似乎驗證了我們的猜想。對其他地址的分析方法同理。
接著,我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示,黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺,另一部分資金進入第二層后也被黑客轉入了上述交易平臺,試圖變現。
圖9
總結
本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH,分析結果不由得讓我們思考:Tornado.Cash真的完全匿名嗎?一方面,既然能分析出部分提款地址,說明不存在絕對的匿名;另一方面,匿名性是具備的,或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。
截止目前,KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來,DeFi或許已成為黑客轉移資金的通道,而今監管已至,合規化的腳步愈發逼近,有合規需求的項目方,可以考慮接入慢霧AML系統(aml.slowmist.com),即使黑客使用了DeFi,也無處遁形。
By:Lisa@慢霧AML團隊
為什么DAO需要章程? 這與國家建立憲法的原因一致。建立其治理體系和基本規則,建立共同愿景,保障參與者的基本權利和保護,保護其免受內部接管和外部攻擊.
1900/1/1 0:00:00數字技術與國家貨幣政策體系、國際貨幣體系未來之間的聯系備受市場關注。10月22日,由中國金融四十人論壇主辦的第三屆外灘金融峰會在上海舉行.
1900/1/1 0:00:00加密貨幣是一項巨大的實驗,而代幣經濟學是該實驗的重要組成部分。「Tokenomics」一詞是代幣和經濟學的混合體,其含義與經濟學相當相似。代幣經濟學研究人們如何與代幣互動.
1900/1/1 0:00:0010月23日,在2021全球財富管理論壇上,北京城市副中心“北京法定數字貨幣試驗區”正式揭牌。據悉,在人民銀行和北京市地方金融監督管理局大力支持下,工、農、中、建、交、郵儲六大國有銀行在北京城市.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:1583.16億美元 DeFi總市值數據來源:Coingecko2.
1900/1/1 0:00:00在區塊鏈技術早期,加密貨幣處于經濟的灰色地帶,其應用的獨特性來源于監管的缺失。但隨著金融機構進入該行業,區塊鏈采用率飆升,監管者的風險核算方式也發生了變化.
1900/1/1 0:00:00