By:慢雾AML团队
随着DeFi、NFT、跨链桥等项目的火热发展,黑客攻击事件也层出不穷。有趣的是,据慢雾统计,80%的黑客在洗币过程中都使用了混币平台Tornado.Cash,本文以KuCoin被盗事件为例,试图从追踪分析过程中找到一丝揭开Tornado.Cash匿名性的可能。
事件概述
据KuCoin官网公告,北京时间2020年9月26日凌晨,KuCoin交易所的热钱包地址出现大量异常的代币提现,涉及BTC、ETH等主流币以及LINK、OCEN等多种代币,牵动了无数用户的心。
图1
据慢雾AML团队统计,本次事件被盗资金超2.7亿美元,具体如下图:
图2
值得注意的是,我们全面追踪后发现黑客在这次攻击事件中大量使用了Tornado.Cash来清洗ETH。在这篇文章中,我们将着重说明黑客如何将大量ETH转入到Tornado.Cash,并对Tornado.Cash的转出进行分析,以分解出被盗资金可能流向的地址。
Pavan Sukhdev:比特币不是一种货币而是一种资产:环境倡导组织WWF International 总裁Pavan Sukhdev 在最近的一次采访中评论说比特币和黄金仍然是高度投机性的资产,与许多其他专家似乎暗示的一样,它们并不能完全达到抗通胀工具的目的。根据 Sukhdev 的说法,比特币还没有准备好在艰难时期保持资金安全这一新角色。在最近的一次采访中,他甚至说比特币甚至不是一种货币,而是一种资产,几乎不可能用于交易目的。他解释说:比特币不是货币,它是一种资产,当你拥有像比特币一样波动的东西时,比特币会从 60,000 美元跌至 30,000 美元,然后在陡峭区域回升至 40,000 美元。与大多数主要加密货币一样,比特币最初是作为一种支付工具而创建的。一些可能会压倒信用卡、支票,尤其是法定货币的东西。然而,考虑到资产的波动性,这是一个缓慢的过程。比特币极易受到价格波动的影响,因此一些零售商和商店由于担心失去利润而不愿对 BTC 支付说“是”。(livebitcoinnews)[2021/8/1 1:27:29]
Tornado.Cash是什么?
奢侈品区块链公司SUKU将运动鞋追踪系统从以太坊转到Hedera:追踪奢侈品的区块链初创公司SUKU将其高端运动鞋认证系统从以太坊区块链转移到Hedera Hashgraph,因为以太坊上的费用过高。(Coindesk)[2021/2/3 18:49:26]
Tornado.Cash是一种完全去中心化的非托管协议,通过打破源地址和目标地址之间的链上链接来提高交易隐私。为了保护隐私,Tornado.Cash使用一个智能合约,接受来自一个地址的ETH和其他代币存款,并允许他们提款到不同的地址,即以隐藏发送地址的方式将ETH和其他代币发送到任何地址。这些智能合约充当混合所有存入资产的池,当你将资金放入池中时,就会生成私人凭据,证明你已执行了存款操作。而后,此私人凭据作为你提款时的私钥,合约将ETH或其他代币转移给指定的接收地址,同一用户可以使用不同的提款地址。
如何转入?
攻击得手后,黑客开始大范围地将资金分批转移到各大交易所,但还没来得及变现就被多家交易所冻结了。在经历了白忙一场的后,黑客将目光转向了DeFi。
库币DeFi专区今日行情:DeFi整体回调,SUKU领涨34%:据库币KuCoin交易所DeFi专区数据显示,库币已上线COMP、AMPL、MKR等15个DeFi项目,共30个交易对。DeFi项目今日行情整体回调,ORN、PLT、COMP分别下跌19%、19%、10%。SUKU领涨DeFi板块,24h小时涨幅超34%,现报价0.319USDT;JST 24h涨幅超6%,现报价0.078USDT;AKRO 24h涨幅超5%,现报价0.029USDT。库币数字货币交易所,为来自207个国家的500万用户提供币币、法币、合约、矿池、借贷等一站式服务。[2020/8/14]
据慢雾AML旗下MistTrack反追踪系统显示,黑客(0xeb31...c23)先将ERC20代币分散到不同的地址,接着使用Uniswap、1inch和Kyber将多数ERC20代币换成了ETH。
图3
大部分ERC20代币兑换成ETH后,被整合到了以下主要地址:
表1
在对ETH和ERC20代币进行完整追踪后,我们梳理出了资金是如何在黑客地址间移动,并分解出了资金是以怎样的方式进入Tornado.Cash。
行情 | Gate.io Startup首发区项目MovieBloc今日跌超20%:Gate.io Startup首发区项目MovieBloc(MBL)持续下跌,现跌至0.0010美元,较开盘价(0.0012美元)已下跌23%,较今日最高价格(0.002114美元)下跌超过50%。跌幅较大,请做好风险控制。[2019/5/6]
图4
黑客将资金按时间先后顺序转入Tornado.Cash的详情如下:
表2
转到了哪?
猜想
****
巨额的ETH进入Tornado.Cash,会集中表现出一些可追踪的特征。2.以黑客急于变现的行为分析,猜想黑客将资金存入Tornado.Cash后会随即提款,或下次存入时提款。
3.分析攻击者使用洗币平台的方式和行为,可以获得资金的转移地址。
可能的链上行为
****
资金从Tornado.Cash转出的时间范围与黑客将资金转入Tornado.Cash的时间范围近似。2.一定时间段内,从Tornado.Cash转出的资金会持续转出到相同地址。
加密风投PanteraCapital旗下基金已获近1.65亿美元资金:美国证券交易委员会(SEC)最新一份文件显示,加密货币风险投资公司PanteraCapital旗下基金PanteraVentureFundIII,已经从近200名投资者那里获得了1.647亿美元的私募资金。该募资金额已是该基金首次向美国市场监管机构提交申请后的两倍。据悉,Pantera最初希望为VentureFundIII筹集1.75亿美元。此外,Pantera在一篇博客文章中透露,基金主要投资于数字资产领域的基础设施、金融和交易。(coindesk)[2020/8/17]
验证
****
以黑客地址(0x34a...c6b)为例:
如表2结果所述,黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)间,以每次100ETH,存115次的方式将11,500ETH存入Tornado.Cash。为了方便说明,我们只截取了该地址在2020-10-243:00:07~6:28:33(UTC)间的存款记录,如下图:
图5
接着,我们查看_Tornado.Cash:100ETH_合约的交易记录,找到地址(0x34a...c6b)在同一时间段的存款记录,下图红框地址(0x82e...398)在此时间段内大量提款的异常行为引起了我们的注意。
图6
查看该地址(0x82e...398)在此时间段的交易哈希,发现该地址并没有将ETH提款给自己,而是作为一个合约调用者,将ETH都提款到了地址(0xa4a...22f)。
图7
图8
同样的方式,得出黑客地址(0x34a...c6b)经由Tornado.Cash提款分散到了其他地址,具体如下:
表3
经过核对,发现从Tornado.Cash提款到表3中六个地址的数额竟与黑客存款数额11,500ETH一致,这似乎验证了我们的猜想。对其他地址的分析方法同理。
接着,我们继续对这六个地址进行追踪分析。据MistTrack反追踪系统展示,黑客将部分资金以50~53ETH不等转向了ChangeNOW、CoinSwitch、Binance等交易平台,另一部分资金进入第二层后也被黑客转入了上述交易平台,试图变现。
图9
总结
本文主要说明了黑客是如何试图使用Tornado.Cash来清洗盗窃的ETH,分析结果不由得让我们思考:Tornado.Cash真的完全匿名吗?一方面,既然能分析出部分提款地址,说明不存在绝对的匿名;另一方面,匿名性是具备的,或许只是Tornado.Cash不适合在短时间内混合如此大规模的资金而已。
截止目前,KuCoin官方表示已联合交易所、项目方、执法和安全机构追回约2.4亿美元资金。从各种攻击事件看来,DeFi或许已成为黑客转移资金的通道,而今监管已至,合规化的脚步愈发逼近,有合规需求的项目方,可以考虑接入慢雾AML系统(aml.slowmist.com),即使黑客使用了DeFi,也无处遁形。
往期回顾
DeFi平台CreamFinance再遭攻击,1.3亿美金被盗
慢雾区|区块链被黑档案库升级上线
慢雾:复盘Liquid交易平台被盗9000多万美元事件
天价手续费分析:我不是真土豪
Avalanche链上闪电贷攻击事件——ZabuFinance被黑分析
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
慢雾
慢雾
慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。