Cryptopia 倒閉背后，黑客究竟如何洗白盜來的幣？_ETH:CRYP

5月15日新西蘭加密貨幣交易所Cryptopia宣布停運并清算，并表示已指派正大會計師事務所對資產進行清算，將持續數月。今年1月該交易所遭遇連續兩次的黑客攻擊，損失超過1600萬美元。本文將深度還原黑客如何洗掉從Cryptopia那里盜來的黑幣的。

原文標題：《圖文剖析Cryptopia交易所黑客洗錢行蹤》作者：PeckShield團隊

2019年1月，黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia，盜取了以ETH為主的數字資產之后銷聲匿跡。近日，隨著幣價的攀升，該黑客在沉寂了數月后，開始密集的洗錢行動。據PeckShield數字資產護航系統數據顯示，近兩天來，該黑客已經將4,787個ETH轉入了火幣交易所，而且仍有26,003個ETH等待被洗時機。

PeckShield安全人員梳理黑客洗錢路徑發現

知情人士：Crypto.com NFT部門重組，負責人Joe Conyers IIII離職:6月18日消息，據兩位知情人士透露，剛剛經歷一輪大規模裁員的加密貨幣交易所Crypto.com，已與其新興NFT業務負責人分道揚鑣。

據悉，Joe Conyers IIII于2021年3月加入Crypto.com，幫助其建立NFT平臺。消息人士稱，Conyers（工作地點為紐約）上周在該部門重組過程中離開這家總部位于新加坡的公司。一位消息人士表示，選擇重組而非裁員，是為了提高效率。

Crypto.com發言人拒絕就Conyers和重組背后的理由置評，但表示NFT部門是公司“最優先考慮的部門之一”。

據此前報道，由于市場持續低迷，Crypto.com將裁員5%。（Blockworks）[2022/6/18 4:36:21]

1、黑客在攻擊成功后，一般會將資產分散到多個地址或直接轉移到新地址后沉寂一段時間以避開風頭；2、在洗錢過程中，黑客會先轉移出少部分資產進行嘗試，尋找最佳洗錢方式；3、在少部分資產嘗試清洗成功后，才會處理剩余資產，否則會繼續沉寂等待時機。

Crypto.com的EVM兼容鏈Cronos主網發布日期推遲至11月8日:10月15日消息，Crypto.com首席執行官Kris Marszalek近日發推稱，Crypto.com的EVM兼容鏈Cronos在Cassini激勵測試網期間，Cronos團隊發現幾個與Cosmos跨鏈橋Gravity Bridge和以太坊go-ethereum客戶端（Geth）相關的問題，為確保安全啟動，主網發布日期改至11月8日。Cronos團隊將刪除某些Gravity Bridge元素并應用適當的go-ethereum修復錯誤，并將準備一個新的測試網。[2021/10/15 20:32:04]

從本次洗錢路徑看，黑客是有通過去中心化交易所EtherDelta，以BAT、ELF等代幣配對交易，進行偽裝買賣，逃離追蹤的想法。不過，純鏈上交易信息清晰可查，黑客雖魔高一尺，但白帽安全人員布下了天羅地網，能層層剖析，抽絲剝繭清晰還原黑客洗錢的全過程。

Crypto.com CEO：Cronos主網發布將成為DeFi生態系統的催化劑:10月10日消息，Crypto.com首席執行官Eric Anziani發推稱，Cronos主網的發布將成為Cosmos及其之外巨大而繁榮的DeFi生態系統的催化劑。Crypto.com研究團隊最近研究了機構如何適應和采用DeFi，并朝著更美好的未來前進。在DeFi中，資產管理協議的功能類似于具有智能合約的傳統基金，為投資者提供了比基金管理更強的控制力、透明度和效率。（Coinquora）[2021/10/10 20:18:45]

一圖概覽黑客洗錢全過程：

圖1:黑客盜取的ETH完整流向圖

從圖1中能看到，黑客先將部分數字資產轉移到一個地址，再偽裝成買家和賣家，在去中心化交易所EtherDelta中買賣交易，試圖逃避追蹤，之后將資產再次匯聚到一起進入火幣交易所。進一步的細節如下：

CryptoQuant首席執行官：比特幣交易所鯨魚比率已升至2020年2月以來最高值:CryptoQuant首席執行官Ki Young Ju發推文稱，比特幣交易所鯨魚比率在8月份大幅飆升，已達到90%，這是自2020年2月（3月13日黑色星期四之前）以來的最高值。該指標的增加意味著來自加密巨鯨的拋售壓力正在上升，Ju提醒用戶不要在比特幣多頭頭寸上使用太多的杠桿。（U.today）[2021/8/10 1:46:48]

第一步：資產轉移

在交易所等巨額資產出現安全問題后往往引來無數媒體關注，所有人都會緊盯資產流向，而此時黑客通常會沉寂數月乃至一年。在認為避開風頭之后，抓住一個最佳時機，開始銷贓洗錢。

此次黑客估計是被市場回暖喚醒，先將5,000個ETH以每筆1,000個的方式轉入一個新地址，并以此為起點，開始一輪洗錢操作。如果仔細地看這五筆交易，會發現它們共間隔16小時，而且是在每轉出一筆后，進入后續的偽裝成買家賣家操作。可見黑客格外的小心翼翼，先探探頭，試試水再說。

維基解密宣布推出第一批Wikileaks CryptoKittie 別以特朗普和希拉里命名:維基解密宣布推出第一批Wikileaks CryptoKitties。兩只價值數千美元的初代加密貓分別以特朗普和希拉里命名，被送給了以上兩位上的冤家對頭。除了特朗普和希拉里那兩只，剩下8只分別對應著維基解密這些年爆料的大新聞，分別是：NSA監控門、伊拉克戰爭、CIA的Vault 7黑客工具、敘利亞戰爭、希拉里的“郵件門”、俄羅斯的黑客入侵、TPP協議以及阿富汗戰爭。[2018/1/12]

圖2:黑客將部分資產轉移到一個新地址

第二步：偽裝買賣

黑客為了逃避資產追蹤，一般會將大額資產，以小額多筆的形式分散到大量的地址中，再在各個地址上進行頻繁的分散匯聚。而此次黑客采用了一種新方式，通過偽裝成去中心化交易所的買家和賣家，試圖以正常的掛單配對交易來逃避追蹤。

圖3:黑客偽裝成買家

圖4:黑客控制的地址買賣

黑客將每次收到的1,000ETH，再散成以約500個ETH一筆進入去中心化交易所，開始買賣。從圖3和圖4中發現，黑客以普通用戶的方式，不是僅用一兩筆，而是通過大量多筆的交易，完成從買家到賣家的資產轉移。

偽裝買家賣家，買賣BAT、ELF代幣

下圖中可以看到黑客控制多個帳號偽裝成買家和賣家將資產倒手，圖中是黑客成交的多筆ELF和BAT代幣的訂單。

圖5:黑客偽裝成買家交易ELF、BAT代幣

具體來看買家在去中心化交易所EtherDelta合約上的一條交易記錄

圖6:買家在EtherDelta上的交易記錄

在上圖中可以看到，買家與賣家的配對交易，僅接著賣家做了提現操作，對應的著鏈上的交易記錄

截圖如下：

圖7:賣家在EtherDelta上的提現記錄

第三步：再次匯聚，進入交易所

通過去中心化交易所的倒手交易后，黑客已認為能夠避免資產被追蹤，又將獲得的ETH匯總到一個地址，并分批次進入火幣交易所。

圖8:黑客資產匯總進入火幣交易所

至此，黑客最初的5,000枚ETH，分批匯聚再進入去中心化交易所，經過倒手買賣，再次匯聚進入火幣，看似天衣無縫的操作，實則在鏈上留下了諸多痕跡。

截至發文時，黑客共計將4,787個ETH轉入了火幣交易所，PeckShield正協助火幣交易所對涉及贓款實施封堵。目前尚有26,003個ETH控制在黑客手中，存在進一步洗錢的可能。PeckShield正持續追蹤黑客下一步的洗錢行蹤。

今年1月份Cryptopia交易所遭黑客攻擊損失共計30,790個ETH。時隔3個月，當時的ETH行情價格也已經翻番了，黑客覺得時機差不多成熟了，開始活躍出來洗錢了。整體來看，黑客此次行動還是很小心謹慎的，通過分散轉移賬號、偽裝買賣等多種手段來逃離追蹤，但區塊鏈世界，一切鏈上行為都有跡可循，安全公司更道高一丈。

黑客洗錢地址一覽

黑客洗錢初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

偽裝買家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1

偽裝賣家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba

偽裝賣家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

資產匯總地址0x3d40897675A7467A73610c3ABbBc8292835e67F2

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627832.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

BCH硬分叉后重組并非51%攻擊，而是從小偷那里奪回應有的幣

下一篇：

監控地址，阻斷黑幣，保護聲譽：慢霧AML為交易所開啟「鷹眼」

Tags：ETHCRYPCRYPTCRYQETHMy Crypto PlayTokocryptoCryptorg

狗狗幣最新價格