ELD:圖文追蹤TokenStore『跑路』資產洗錢行蹤

6月10日，巴比特發出消息稱，一款叫做TokenStore的理財錢包疑似跑路。區塊鏈安全公司PeckShield隨即介入對”跑路”資金展開追蹤調查。幾天以來，PeckShield數字資產護航系統(AML)，通過對一些涉及”跑路”的關鍵鏈上地址進行鎖定追蹤發現，本次跑路事件關乎超2,100名投資者和數億元數字資產。被卷走加密資產涉及：BTC、ETH、ETC、XRP、EOS、LTC、USDT等多個主流加密貨幣。截至目前，PeckShield已經追蹤到部分幣種的”跑路”流向，并在巴比特媒體和火幣交易所等生態伙伴的協助下，盡可能的幫助受害者挽回資產損失：06月11日早晨，PeckShield追蹤到跑路資金中EOS資產，分別有25,803個EOS流入火幣交易所，1,581個EOS流入ZB交易所，XRP資產中，有281,807個XRP流入幣安交易所，708,178個XRP流入火幣交易所。06月11日晚間，火幣和ZB交易所分別對涉及的可疑賬號實施了”凍結”或”提幣功能限制”等緊急處理。6月12日，PeckShield追蹤到跑路資金中ETH資產，總計約36,271個ETH被分散在4個主要地址當中，暫未發現流入交易所。06月13日下午，PeckShield追蹤到跑路資金中ETC資產，已經有5筆總計42,746個ETC流入一個疑似交易所的地址。……與此同時，已經有將近千名”受害者”向PeckShield安全人員提供了一些相關交易地址，給PeckShield安全人員鎖定跑路資金流向提供了非常大的幫助。整體而言，此次TokenStore錢包”跑路”事件，所波及用戶數目，造成損失之大，涉及加密貨幣代幣種類繁多，波及面之廣，影響之惡劣觸目驚心。PeckShield正持續追蹤贓款進一步流向，并及時披露給媒體、交易所等生態伙伴，合大家之力，眾志成城，盡可能幫助受害者挽回資產損失。關于TokenStore錢包，官方宣稱其具有“AlphaGo智能搬磚套利”，“穩賺不賠，收益穩定”等功能，同時鑒于它采用推薦人獲取收益手段，吸引了大量用戶參與。一般區塊鏈鏈上資產進行轉移/洗錢都會經歷逃離追蹤和洗錢拋售兩個階段：將資產分散至不同地址，進行批量轉移，以提高追蹤的難度；等待合適時機，將贓款分批匯入交易所，進行洗錢。此次TokenStore跑路事件涉及的加密貨幣共有BTC、ETH、ETC、XRP、EOS、LTC、USDT等。PeckShield目前已經追蹤到BTC、ETH、EOS、XRP、ETC等重點數字資產的流向情況，接下來將分幾個篇章分別向大家介紹。ETH篇

Argo Blockchain Q1收入1140萬美元，較上一季度增長15%:金色財經報道，加密礦業公司Argo Blockchain第一季度收入為1140萬美元，比上一季度增長15%。本季度，Argo開采了491枚BTC。礦業利潤率為49%，而上一季度為35%。截至3月31日，該公司的資產負債表上有1420萬美元現金和85枚BTC的加密貨幣儲備。[2023/6/6 21:19:31]

根據受害者反饋的信息，追查到其中有一部分TokenStore錢包的用戶最近20天頻繁與以下地址交互：

以0x6634...地址為例，該地址僅05月31日當天就有398筆資金流入，而這一天正是TokenStore官方宣稱『系統全面升級維護』的日子，至此之后TokenStore錢包就“消失”了，數千名用戶踏上了維權之路。從ETH區塊鏈瀏覽器可以看到該地址于06月10日出現了”異動”，余額中21,476個ETH被轉移到了一個新地址0x5d9f…中，下圖為ETH轉移的動向圖。

紅杉資本Surge啟動第八批孵化加速計劃：2家元宇宙游戲創企入圍:3月1日消息，紅杉資本Surge啟動第八批孵化加速計劃“Surge 08”，2家元宇宙游戲初創公司入圍，分別是針對Z世代玩家的元宇宙游戲平臺AltWord、以及AI合成數據集合初創公司Bifrost，后者的模型可以為游戲、元宇宙等領域訓練AI模型。

紅杉資本表示，他們在種子輪和pre-A輪階段對這些初創公司的投資上限為300萬美元，截至目前Surge孵化創企的融資總規模已超過20億美元。[2023/3/1 12:36:30]

PeckShield安全人員分析認為TokenStore跑路事件之ETH資產轉移的幾個階段：大量用戶通過交易所提現ETH至用戶在TokenStore生成的用戶地址中；05月31日前后，這些用戶存在于TokenStore的地址都向0x6634…地址轉賬；而在06月10日，多達21,476個ETH從0x6634xxx地址轉移至0x5d9f…地址中。這么多在TokenStore生成的地址在短時間內均向0x6634…地址轉賬？這一行為非常的可疑，PeckShield安全人員認為用戶存在TokenStore中的地址很有可能私鑰為他人控制了，是何人所為，相信大家炳若觀火。由于以太坊網絡上創建地址沒有成本，地址沒有標記說明，用戶的資金被多次轉往了多個不同地址，這給資產追蹤帶來了很大難度。PeckShield安全人員通過反復的查證地址關聯和流向，最終發現用戶的資產主要被匯聚到如下4個可疑地址：

20%以上節點在以太坊主網第7次影子分叉中掉線，原因系Besu客戶端bug:6月27日消息，以太坊基金會發布的第141期核心開發者線上會議中提到，于6月22日進行的以太坊主網第7次影子分叉進展并不順利，20%的節點在Merge激活時掉線，此后甚至更多節點接連掉線。會議中談到，Besu客戶端的存儲格式問題是此次測試的主要故障來源，客戶端團隊目前正試圖修復該問題，并暫定第八次主網影子分叉將于7月的第一周進行。[2022/6/27 1:34:18]

EOS篇

最早，06月11日，PeckShield安全人員在捕獲一些關鍵地址后，就發現分別有25,803個EOS轉入火幣交易所，1,581個EOS流入ZB交易所，交易所已經對相關賬戶采取了凍結等舉措。另外，根據PeckShield安全人員深入追蹤發現，目前還有320,077個EOS存儲于12個賬戶中，且尚未發生轉移。如下為截至目前，EOS資產轉移路徑圖：

MetaMask等至少10款瀏覽器插件錢包存在安全漏洞，部分錢包已修復漏洞:6月16日消息，包括 MetaMask 和 Phantom 在內的至少 10 款瀏覽器插件錢包由于 Javascript 語言中的某個問題導致可能存在暴露登錄信息的可能性，該漏洞會使得助記詞在內存中存儲一段時間從而被攻擊者利用。目前 MetaMask 及 Phantom 已修復了該漏洞。

MetaMask 表示，只有全部滿足硬盤未加密、助記詞被導入至不信任的設備或電腦被黑以及在導入時使用了顯示助記詞功能這三個條件才有被黑的可能性。Halborn 因披露該漏洞而獲得了 5 萬美元的獎金，并建議用戶切換到新的錢包地址。Halborn 的聯合創始人 Steve Walbroehl 表示，該漏洞已存在了很長時間，出于謹慎考慮最好更換錢包地址。（CoinDesk）[2022/6/16 4:30:56]

在此，PeckShield安全人員還原了TokenStore跑路事件中EOS資產轉移的幾個階段：TokenStore錢包跑路后，用戶存放于錢包中的大量資金被迅速轉移至newaccountcc地址；newaccountcc將部分資金轉入火幣交易所；之后，newaccountcc中的剩余資金又被多次混淆到不同的地址和交易所。在分析這些地址行為時，newaccountcc賬戶引起了PeckShield安全人員的重點關注，該賬戶創建于2019年05月31日，第一筆資金就來源于TokenStore賬戶交易：

之后TokenStore的充幣和提幣賬戶多次往該賬戶轉賬，而該賬戶在收到EOS后立即向火幣交易所進行了轉賬：

至此，PeckShield安全人員以ETH，EOS為例分析了此次TokenStore錢包跑路事件后的資產轉移情況，由于大量的未知資產還在流動，PeckShield安全人員的追蹤工作還在持續進行中，更多資產的轉移詳情PeckShield安全人員會在后續文章中持續更新。PeckShield數字資產護航系統基于各大公鏈生態數據的全面挖掘和剖析，積累了海量高風險黑名單庫，能夠從龐大的鏈上數據庫中精準提煉出黑客的行蹤，并聯合全球各大交易所、社區治理單位等合作伙伴，對黑客洗錢行蹤展開全鏈、全時段、反偽裝等步步追蹤和實時封堵。

Tags：SHIELDELDSHISTORPolyShield.FinanceHighest Yield Savings ServiceShinjiru InuSTORM幣

Luna