攻擊者拼手速 詳解去中心化工具洗白Liquid被盜9000多萬美元_BTC:DAI

2021年8月19日，日本交易所 Liquid 熱錢包中價值 9,000 多萬美元加密資產被盜，據 PeckShield「派盾」統計包含：約 480 萬美元的 BTC（107.43 枚）、3,250 萬美元的 ETH、4,490 萬美元的 ERC-20 代幣（近百種代幣：AAVE、UNI、LINK、SNX、USDC）、183 萬美元的 TRON（含 USDT-TRON 和 2,393,334.86 枚 TRON）、1,290 萬美元的 XRP（11,467,479 枚）。?

據 PeckShield「派盾」旗下反洗錢態勢感知系統 CoinHolmes 顯示，截至目前 ETH 代幣暫未發生異動，仍鎖在攻擊者的地址里。

Cream Finance攻擊者將100萬枚DAI兌換為約529枚以太坊:金色財經報道，據PeckShield監測，Cream Finance攻擊者將100萬枚DAI兌換為約529枚以太坊，并轉入0xdeCE開頭地址。[2023/4/12 13:59:55]

攻擊者得手后，首先將 ERC-20 代幣快速轉入 UniSwap、SushiSwap、1inch 等 DEXs（去中心化交易所）中，通過 DEXs 將所獲近百種代幣兌換為 ETH 或通過 Ren 跨鏈橋兌換為 BTC，再將所兌換的 ETH 通過跨鏈橋轉至以太坊，最后從鏈上混幣器 Tornado.cash 流出，整個流程十分嫻熟，這一點也可以從攻擊者首先從處置 ERC-20 代幣看出。

由于所盜的 ERC-20 代幣中有些代幣流動性較差，容易遭到發行商凍結、交易回滾或者硬分叉等方式阻礙代幣轉出，攻擊者首先依次將這些代幣轉入不需要 KYC、無需注冊登錄、即用即走的 DEXs，然后將大部分代幣轉換為主流代幣 ETH，并匯集到新地址，再從隱私協議 Tornado.cash 流出。

DigiDaigaku：將向攻擊者尋求賠償:11月3日消息，DigiDaigaku官方就CEO Gabriel Leydon賬戶被盜并發布釣魚網站一事進行更新：Gabriel Leydon的推特帳戶因SIM卡調換（美國東部時間5:39PM）被盜。DigiDaigaku要求攻擊者降低其法律風險并刪除已發布的推文，在確定攻擊者身份后會提出指控并尋求損害賠償。[2022/11/3 12:13:22]

從 Etherscan 上可以看出，自8月19日上午4時19分開始，攻擊者開啟「價值優先」的掃蕩式兌換，首先從 USDT、USDC、DAI 等穩定幣開始清空，然后趕在代幣被凍結前將它們轉入 DEXs。

這是迄今為止，第二起中心化機構被盜通過去中心化機構洗錢的安全事件。據 PeckShield「派盾」統計，目前中心化機構被盜后，通過去中心化服務進行洗錢的案例還屈指可數，但類似的洗錢手段已經在 DeFi Protocols（去中心化協議）攻擊、跑路中呈現出增長的趨勢。

澳大利亞電信公司Optus發生用戶數據泄露事件，攻擊者索要100萬美元門羅幣:9月26日消息，澳大利亞第二大電信公司Optus近日發生大規模用戶數據泄露事件。其中一位攻擊者聲稱擁有相關信息，包括1120萬Optus客戶的用戶姓名、出生日期、電話號碼、電子郵件地址、家庭住址以及護照和駕照號碼在內的詳細信息，還公布兩個包含100條客戶信息的樣本，并索要100萬美元的門羅幣。（The Guardian）[2022/9/26 7:21:24]

攻擊者在得手后，大致將洗錢的流程分為三步：

1. 批量轉移：將所盜 ERC-20 資產轉入 DEXs，避免被凍結、回滾，同時將所盜資產進行整合，為下一步實施清洗做準備工作；

攻擊者利用88mph漏洞鑄造10萬美元的MPH代幣，目前該漏洞已修復:Web3去中心化API服務API3的Kiyo發推表示，DeFi固定利率生成協議88mph（MPH）似乎存在一個漏洞，一個攻擊者利用該漏洞鑄造了10萬美元的MPH代幣。截至目前，該漏洞已被修復。攻擊者持有的ETH來自幣安交易所，因此可以快速追蹤到地址，目前其正在出售ETH。[2020/11/18 21:08:13]

2. 批量兌換：通過 DEXs 或跨鏈橋將 ERC-20 代幣兌換為 ETH 或 BTC，通過跨鏈橋將加密資產歸置，為批量轉移到隱私協議做準備；

3. 隱蔽階段：將歸置后的 ETH 或 BTC 轉移到 Tornado Cash、Typhoon、Wasabi Wallet 等混幣工具中，混淆資產來源和最終收益者，抹除非法資產的痕跡，混淆資產源頭逃離追蹤。

動態 | 比特幣勒索軟件攻擊者威脅不愿付贖金的受害者:據報道，比特幣勒索軟件攻擊者公開羞辱并威脅要揭露不愿支付贖金的受害者。根據KrebsOnSecurity的報告，至少有一個流行的加密勒索軟件組織創建了公共網站，識別那些在遭受攻擊后選擇重建網絡運營而不是支付贖金的公司。這些公眾羞辱者是Maze Ransomware背后的組織。該組織對最近美國彭薩科拉市網絡攻擊負有責任，該攻擊要求100萬美元的比特幣贖金。網絡安全專家建議不要支付任何贖金，因為不能保證攻擊者在支付贖金后會解密受害者的文件。該網站向公眾開放，提供有關攻擊日期、被盜文件的性質以及受影響者的IP地址的信息。該網站還告訴訪問者“在這里等待他們的數據庫和私人文件。”KrebsOnSecurity聲稱，至少有一家公司屈服于公眾羞辱的壓力，支付了贖金，以避免出現在網站上。（CryptoGlobe）[2019/12/23]

Tornado Cash 是基于零知識證明在以太坊上實現的隱私交易中間件。它使用 zk-SNARK （Zero-Knowledge Succinct Non-Interactive Argument of Knowledge），能夠以不可追溯的方式將 ETH 以及 ERC20 代幣（目前支持 DAI，cDAI，USDC，USDT，WBTC）發送到任何地址。

在實際應用中，當用戶將加密貨幣存入隱私池后即可獲得一筆存款憑證，此后用戶可以通過存款憑證向任何地址中提取先前存入的加密貨幣。由于在存款憑證的生成和使用時轉賬的數據都不包含憑證本身，因此可以保證存取款兩筆轉賬完全獨立。另外，由于中繼服務的存在，取款時的以太坊地址甚至不需要擁有支付轉賬費用的 ETH，即可以提款至完全空白的地址。

事實上，Tornado Cash 并非無法破解的隱私協議。前段時間英國破獲的 DeFi 協議 StableMagnet Finance 跑路案反映出，在安全公司、交易所、社區和的聯動下，通過 CoinHolmes 反洗錢態勢感知系統對攻擊者資產進行持續追蹤，在社區持續收集項目方信息，并積極與合作的情況下，可通過分析追蹤社區反饋的線索鎖定涉案相關成員，并在物證人證的幫助下，迫使涉案相關成員歸還存放在 Tornado Cash 中的 ETH。

據 CoinHolmes 追蹤顯示，攻擊者將逾千萬枚 XRP 分四次轉入其地址后，分三批分別轉入 Binance、Huobi、Poloniex 等交易所。

Liquid 通過反洗錢態勢系統追蹤到此信息后，緊急聯系這幾家中心化機構將攻擊者地址設置黑名單，旨在緊急凍結被盜的 XRP 資產。

但在此之前攻擊者已經通過交易所將部分 XRP 轉換為 BTC，據 CoinHolmes 反洗錢態勢系統顯示，這些 XRP 已經被轉換為 192 枚 BTC，并經通過去中心化的混幣器 Wasabi 錢包流出。

Wasabi 錢包采用「CoinJoin」的方法，將多個用戶的交易匯總成一筆大額交易，其中包含多個輸入（input）和輸出（output）。隨著參與用戶的增長，私密性與可靠性就越強。此外，Wasabi 錢包還采用「區塊過濾器」，通過下載整個數據塊進一步打亂交易信息，來增強隱私性和抗審查性，這給相關執法機構追蹤此類資金的流轉帶來挑戰性。

隨著監管部門對中心化機構洗錢情況的嚴厲監管，中心化機構不斷提高 KYC 需求，使得中心化洗錢渠道遭到沉重打擊，去中心化工具越來越受到犯罪分?的青睞，越來越多的?法資?開始轉向去中心化渠道洗錢。PeckShield「派盾」建議相關執法部門引?新的監管?具和技術，為進一步有效遏制利?虛擬貨幣的洗錢做準備。

截至9月6日，CoinHolmes 監控到攻擊者的 BTC 地址發生異動，共轉出 90 BTC，CoinHolmes 將持續監控被盜加密資產的轉移。

Tags：ETHBTCDAIOINethicaldilemmaBTCHT2DAIPixl Coin

中幣