以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ADO:慢霧 AML:“揭開” Tornado.Cash 的匿名面紗

Author:

Time:1900/1/1 0:00:00

By:慢霧AML團隊

隨著DeFi、NFT、跨鏈橋等項目的火熱發展,黑客攻擊事件也層出不窮。有趣的是,據慢霧統計,80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash,本文以KuCoin被盜事件為例,試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。

事件概述

據KuCoin官網公告,北京時間2020年9月26日凌晨,KuCoin交易所的熱錢包地址出現大量異常的代幣提現,涉及BTC、ETH等主流幣以及LINK、OCEN等多種代幣,牽動了無數用戶的心。

圖1

據慢霧AML團隊統計,本次事件被盜資金超2.7億美元,具體如下圖:

圖2

值得注意的是,我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中,我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash,并對Tornado.Cash的轉出進行分析,以分解出被盜資金可能流向的地址。

動態 | 慢霧預警:數字貨幣用戶注意郵件釣魚、撞庫風險:慢霧安全團隊今日捕獲到某知名數字貨幣交易所郵件發送配置不當,導致大量用戶郵箱泄露。鑒于數字貨幣行業用戶喜歡多平臺注冊的特殊性,請大家謹防郵件釣魚 和撞庫風險![2019/11/1]

Tornado.Cash是什么?

Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。

如何轉入?

攻擊得手后,黑客開始大范圍地將資金分批轉移到各大交易所,但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后,黑客將目光轉向了DeFi。

聲音 | 慢霧科技余弦:數字貨幣行業缺乏國家相關的監管背書,有很多的亂象:據《每日經濟新聞》消息,區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析,簡單來說,幣圈的風險主要有兩個。第一個風險是地下黑客,當前的幣圈,無論是基礎設施還是上層建筑都比較脆弱,相對互聯網來說,攻擊者的攻擊成本很低。通過這些攻擊手法,地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管,缺乏國家相關的監管背書,有很多的亂象,比如說各種資金盤、等,這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全,余弦表示,這是一個新的行業,小白投資者應該多學習這個行業的知識,不要只看表面。隨著知識的加深,對很多表面上的包裝、噱頭,自己就會有一些判斷。另外,存儲數字貨幣的手機、電腦,要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣,這是最基本的安全防范。[2019/8/30]

據慢霧AML旗下MistTrack反洗錢追蹤系統顯示,黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址,接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。

聲音 | 慢霧科技聯合創始人余弦:隱私不是拿來保護的 是拿來控制的:據巴比特消息,慢霧科技聯合創始人余弦今日在活動中表示:“我覺得隱私不是拿來保護的。我的觀點是,隱私是拿來控制的。大家都知道我們國家的法律里面有一個關于隱私的權利,大家都有隱私權,當然不一定所有人都會深刻地了解這個東西,包括你在使用很多互聯網應用的時候,你可能不一定會它的隱私條款。”[2019/5/16]

圖3

大部分ERC20代幣兌換成ETH后,被整合到了以下主要地址:

表1

在對ETH和ERC20代幣進行完整追蹤后,我們梳理出了資金是如何在黑客地址間移動,并分解出了資金是以怎樣的方式進入Tornado.Cash。

圖4

黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下:

表2

轉到了哪?

猜想

****

巨額的ETH進入Tornado.Cash,會集中表現出一些可追蹤的特征。2.以黑客急于變現的行為分析,猜想黑客將資金存入Tornado.Cash后會隨即提款,或下次存入時提款。

動態 | 慢霧預警:高清視頻會議系統Zoom存在高危漏洞:據慢霧區消息,知名高清視頻會議系統 Zoom 被披露出現高危漏洞。該漏洞利用過程及漏洞概念驗證代碼(PoC),攻擊者可以在同網段或遠程,通過構造惡意 UDP 數據包,針對使用 Zoom 桌面版本(包括 MacOS、Linux、Windows)的用戶進行遠程控制等攻擊。慢霧安全團隊注意到數字貨幣相關項目方流行使用 Zoom 來進行遠程視頻會議,Zoom 官方已經發布新版本修復了這個漏洞,請注意及時更新。[2018/12/3]

3.分析攻擊者使用洗幣平臺的方式和行為,可以獲得資金的轉移地址。

可能的鏈上行為

****

資金從Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。2.一定時間段內,從Tornado.Cash轉出的資金會持續轉出到相同地址。

驗證

****

以黑客地址(0x34a...c6b)為例:

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”,慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊,但以太坊上智能合約不受影響,因為以太坊網絡Gas值尚在正常范圍內。目前,Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證,用戶需等待5秒才能訪問網站。據悉,5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

如表2結果所述,黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)間,以每次100ETH,存115次的方式將11,500ETH存入Tornado.Cash。為了方便說明,我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄,如下圖:

圖5

接著,我們查看_Tornado.Cash:100ETH_合約的交易記錄,找到地址(0x34a...c6b)在同一時間段的存款記錄,下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。

圖6

查看該地址(0x82e...398)在此時間段的交易哈希,發現該地址并沒有將ETH提款給自己,而是作為一個合約調用者,將ETH都提款到了地址(0xa4a...22f)。

圖7

圖8

同樣的方式,得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址,具體如下:

表3

經過核對,發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致,這似乎驗證了我們的猜想。對其他地址的分析方法同理。

接著,我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示,黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺,另一部分資金進入第二層后也被黑客轉入了上述交易平臺,試圖變現。

圖9

總結

本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH,分析結果不由得讓我們思考:Tornado.Cash真的完全匿名嗎?一方面,既然能分析出部分提款地址,說明不存在絕對的匿名;另一方面,匿名性是具備的,或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。

截止目前,KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來,DeFi或許已成為黑客轉移資金的通道,而今監管已至,合規化的腳步愈發逼近,有合規需求的項目方,可以考慮接入慢霧AML系統(aml.slowmist.com),即使黑客使用了DeFi,也無處遁形。

往期回顧

DeFi平臺CreamFinance再遭攻擊,1.3億美金被盜

慢霧區|區塊鏈被黑檔案庫升級上線

慢霧:復盤Liquid交易平臺被盜9000多萬美元事件

天價手續費分析:我不是真土豪

Avalanche鏈上閃電貸攻擊事件——ZabuFinance被黑分析

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags:ADOASHCASTORADO.NetworkiDASHELCASH價格TORII價格

萊特幣最新價格
STAR:StarShip (STARSHIP)

一、項目介紹 STARSHIP利用前沿區塊鏈技術的進步,戰略性地增強財富的存儲和分配,同時提供卓越的用戶體驗。STARSHIP項目旨在以最有效和最簡單的方式為用戶提供業務增長.

1900/1/1 0:00:00
HTT:BSV舊充值地址即將失效,請獲取新地址充值

尊敬的中幣用戶: ???由于BSV錢包升級,BSV舊充值地址將于2021年10月31日失效,請之前已經獲取過BSV充值地址的用戶重新獲取地址,使用新地址充值。請以充值頁面顯示的充值地址為準.

1900/1/1 0:00:00
BAL:BKEX Global 關于上線 FLOKI(Floki Inu)并開放充值功能的公告

尊敬的用戶:?????????????BKEXGlobal即將上線FLOKI,詳情如下:上線交易對:FLOKI/USDT幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2021年1.

1900/1/1 0:00:00
KIN:FLOKINOMICS (FLOKIN)

一、項目介紹 Flokinomics已經成為了市場上第一個手動通縮機制分紅的代幣、第一個在大型交易所上市的通縮機制代幣和第一個BSC界上的代幣化NFT買賣市場.現在正在顛覆著整個加密貨幣領域.

1900/1/1 0:00:00
BAL:BKEX Global 已完成平臺幣BKK第42次二級市場周回購

尊敬的用戶:??? BKEXGlobal自2020年10月19日開啟BKK周回購銷毀制度,并于2021年10月25日00:00~2021年10月31日23:59完成第42次二級市場周回購.

1900/1/1 0:00:00
PPL:專注于NFT生態系統的投資公司Sfermion宣布其1億美元的風投基金Fund II完成籌款,Animoca Brands等參投

據Businesswire消息,11月1日,專注于NFT生態系統的投資公司Sfermion宣布其1億美元的風投基金FundII完成籌款.

1900/1/1 0:00:00
ads