ADO:慢霧 AML：“揭開” Tornado.Cash 的匿名面紗

By：慢霧AML團隊

隨著DeFi、NFT、跨鏈橋等項目的火熱發展，黑客攻擊事件也層出不窮。有趣的是，據慢霧統計，80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash，本文以KuCoin被盜事件為例，試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。

事件概述

據KuCoin官網公告，北京時間2020年9月26日凌晨，KuCoin交易所的熱錢包地址出現大量異常的代幣提現，涉及BTC、ETH等主流幣以及LINK、OCEN等多種代幣，牽動了無數用戶的心。

圖1

據慢霧AML團隊統計，本次事件被盜資金超2.7億美元，具體如下圖：

圖2

值得注意的是，我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中，我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash，并對Tornado.Cash的轉出進行分析，以分解出被盜資金可能流向的地址。

動態 | 慢霧預警：數字貨幣用戶注意郵件釣魚、撞庫風險:慢霧安全團隊今日捕獲到某知名數字貨幣交易所郵件發送配置不當，導致大量用戶郵箱泄露。鑒于數字貨幣行業用戶喜歡多平臺注冊的特殊性，請大家謹防郵件釣魚 和撞庫風險！[2019/11/1]

Tornado.Cash是什么？

Tornado.Cash是一種完全去中心化的非托管協議，通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私，Tornado.Cash使用一個智能合約，接受來自一個地址的ETH和其他代幣存款，并允許他們提款到不同的地址，即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池，當你將資金放入池中時，就會生成私人憑據，證明你已執行了存款操作。而后，此私人憑據作為你提款時的私鑰，合約將ETH或其他代幣轉移給指定的接收地址，同一用戶可以使用不同的提款地址。

如何轉入？

攻擊得手后，黑客開始大范圍地將資金分批轉移到各大交易所，但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后，黑客將目光轉向了DeFi。

聲音 | 慢霧科技余弦：數字貨幣行業缺乏國家相關的監管背書，有很多的亂象:據《每日經濟新聞》消息，區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析，簡單來說，幣圈的風險主要有兩個。第一個風險是地下黑客，當前的幣圈，無論是基礎設施還是上層建筑都比較脆弱，相對互聯網來說，攻擊者的攻擊成本很低。通過這些攻擊手法，地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管，缺乏國家相關的監管背書，有很多的亂象，比如說各種資金盤、等，這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全，余弦表示，這是一個新的行業，小白投資者應該多學習這個行業的知識，不要只看表面。隨著知識的加深，對很多表面上的包裝、噱頭，自己就會有一些判斷。另外，存儲數字貨幣的手機、電腦，要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣，這是最基本的安全防范。[2019/8/30]

據慢霧AML旗下MistTrack反洗錢追蹤系統顯示，黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址，接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。

聲音 | 慢霧科技聯合創始人余弦：隱私不是拿來保護的 是拿來控制的:據巴比特消息，慢霧科技聯合創始人余弦今日在活動中表示：“我覺得隱私不是拿來保護的。我的觀點是，隱私是拿來控制的。大家都知道我們國家的法律里面有一個關于隱私的權利，大家都有隱私權，當然不一定所有人都會深刻地了解這個東西，包括你在使用很多互聯網應用的時候，你可能不一定會它的隱私條款。”[2019/5/16]

圖3

大部分ERC20代幣兌換成ETH后，被整合到了以下主要地址：

表1

在對ETH和ERC20代幣進行完整追蹤后，我們梳理出了資金是如何在黑客地址間移動，并分解出了資金是以怎樣的方式進入Tornado.Cash。

圖4

黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下：

表2

轉到了哪？

猜想

****

巨額的ETH進入Tornado.Cash，會集中表現出一些可追蹤的特征。2.以黑客急于變現的行為分析，猜想黑客將資金存入Tornado.Cash后會隨即提款，或下次存入時提款。

動態 | 慢霧預警：高清視頻會議系統Zoom存在高危漏洞:據慢霧區消息，知名高清視頻會議系統 Zoom 被披露出現高危漏洞。該漏洞利用過程及漏洞概念驗證代碼(PoC)，攻擊者可以在同網段或遠程，通過構造惡意 UDP 數據包，針對使用 Zoom 桌面版本（包括 MacOS、Linux、Windows）的用戶進行遠程控制等攻擊。慢霧安全團隊注意到數字貨幣相關項目方流行使用 Zoom 來進行遠程視頻會議，Zoom 官方已經發布新版本修復了這個漏洞，請注意及時更新。[2018/12/3]

3.分析攻擊者使用洗幣平臺的方式和行為，可以獲得資金的轉移地址。

可能的鏈上行為

****

資金從Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。2.一定時間段內，從Tornado.Cash轉出的資金會持續轉出到相同地址。

驗證

****

以黑客地址(0x34a...c6b)為例：

動態 | 網傳“Fomo 3D遭受黑客攻擊” 慢霧安全團隊判斷為DDoS攻擊:網傳“Fomo 3D遭受黑客攻擊”，慢霧安全團隊判斷為Fomo 3D網站遭受了DDoS攻擊，但以太坊上智能合約不受影響，因為以太坊網絡Gas值尚在正常范圍內。目前，Fomo 3D網站使用的安全管理網站Cloudflare已開啟高防驗證，用戶需等待5秒才能訪問網站。據悉，5秒等待時間幾乎是Cloudflare的最高級DDoS防御策略。[2018/7/31]

如表2結果所述，黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)間，以每次100ETH，存115次的方式將11,500ETH存入Tornado.Cash。為了方便說明，我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄，如下圖：

圖5

接著，我們查看_Tornado.Cash:100ETH_合約的交易記錄，找到地址(0x34a...c6b)在同一時間段的存款記錄，下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。

圖6

查看該地址(0x82e...398)在此時間段的交易哈希，發現該地址并沒有將ETH提款給自己，而是作為一個合約調用者，將ETH都提款到了地址(0xa4a...22f)。

圖7

圖8

同樣的方式，得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址，具體如下：

表3

經過核對，發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致，這似乎驗證了我們的猜想。對其他地址的分析方法同理。

接著，我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示，黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺，另一部分資金進入第二層后也被黑客轉入了上述交易平臺，試圖變現。

圖9

總結

本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH，分析結果不由得讓我們思考：Tornado.Cash真的完全匿名嗎？一方面，既然能分析出部分提款地址，說明不存在絕對的匿名；另一方面，匿名性是具備的，或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。

截止目前，KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來，DeFi或許已成為黑客轉移資金的通道，而今監管已至，合規化的腳步愈發逼近，有合規需求的項目方，可以考慮接入慢霧AML系統(aml.slowmist.com)，即使黑客使用了DeFi，也無處遁形。

往期回顧

DeFi平臺CreamFinance再遭攻擊，1.3億美金被盜

慢霧區|區塊鏈被黑檔案庫升級上線

慢霧：復盤Liquid交易平臺被盜9000多萬美元事件

天價手續費分析：我不是真土豪

Avalanche鏈上閃電貸攻擊事件——ZabuFinance被黑分析

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags：ADOASHCASTORADO.NetworkiDASHELCASH價格TORII價格

萊特幣最新價格