ELD:幣安被盜 7000 幣哪去了？一文還原佛系黑客淡定銷贓全過程

幣安于5月8日早晨被盜走7074個比隔壁，這是2019年以來，繼Cryptopia、DragonEx和Bithumb之后，第四個遭黑客攻擊的大型數字貨幣交易平臺。通過本文我們能夠清晰地看到，幣安被盜后的24小時內，佛系黑客的淡定「銷贓」全過程。

原文標題：《圖文還原幣安被盜7,074枚BTC轉移全過程》

全球知名的交易所幣安于05月08日上午發布公告稱，當天凌晨1時15分，幣安遭到了黑客大規模的系統性攻擊，黑客獲取了大量API密鑰，谷歌驗證2FA碼等信息，一次性提走了7,000枚BTC。

這是2019年以來，繼Cryptopia、DragonEx和Bithumb之后，第四個遭黑客攻擊的大型數字貨幣交易平臺。根據區塊鏈安全公司PeckShield數字資產護航系統的數據顯示，本次黑客攻擊事件中，幣安共計損失了7,074枚BTC，恰逢數字貨幣市場行情整體回暖的關鍵時刻，幣安的突然遭襲會不會成為刺激行情下行的又一只黑天鵝？

幣安被印度反洗錢機構進行調查:據知情人士透露，印度的反洗錢機構正在審查幣安是否涉及參與業務。

知情人士說，執法局已傳喚幣安高管進行訊問，正在等待回應。因為此事正在調查中，被傳喚者將不被具名。印度正在調查由中國運營商運營的應用，這些應用在過去10個月內聚集了超過100億盧比（1.34億美元），并涉嫌通過WazirX數字資產交易所洗錢，而幣安于2019年收購了WazirX。（彭博社）[2021/7/30 1:25:06]

PeckShield安全人員深入剖析了黑客實施攻擊的全過程，并對被盜鏈上資產進行全路徑還原發現：

1、黑客從攻擊成功并未及時拋售，大概率會長期持幣；2、為了逃避追蹤，黑客分批多次轉移了被盜資產，但只是最基礎的換地址操作；3、資產最終被分散至7個主要新地址，暫時尚未監測到流入交易所，并沒有拋售的跡象。

動態 | 區塊鏈分析公司：幣安被盜比特幣再次移動:區塊鏈分析公司Coinfirm稱，黑客現在正在訪問包含幣安5月被盜比特幣的錢包。黑客在幾次轉賬中移動了1,060.64474480 BTC（超過610萬美元）。此后黑客將資金再次拆分轉移。最終，黑客向bc1qcg開頭錢包轉移了約1021枚比特幣，此后沒有移動。[2019/6/14]

透過以下三張數字資產全路徑轉移圖，我們可以清晰地看到幣安被盜后的24小時內，佛系黑客的淡定「銷贓」全過程。

第一步：20個主要分散存儲地址

圖1：黑客將盜取的7,074枚BTC分散至20個主要地址

大部分黑客攻擊得手之后，如果是團伙作案的話，第一步大概率是將資金轉往非知名交易所，趁事情沒曝光前悄悄拋售、提現、分贓。然而，本次黑客攻擊得手之后，首先采取的是資金分散存儲，將7,074枚BTC以每個地址100枚-600枚不等的額度分散于20個主要(大于1枚BTC）新地址。

動態 | 幣安被盜7074枚BTC已被黑客匯聚轉移至7個主要新地址:據PeckShield數字資產護航系統數據顯示，昨天晚間22:35分起，幣安交易所熱錢包被盜取的7074枚BTC出現多次異動，黑客將此前20個地址中的若干地址余額匯聚起來，將資金統一轉移至bc1q2rdpy、16SMGihY9、1MNwMURYw、16SMGihY9、bc1qnf2ja、bc1qx3628、bc1q3a5hd開頭的7個新地址，其中前6個地址分別有1,060枚BTC，最后一個地址轉入707枚BTC，加上其他小額地址，本次幣安被盜的7,074枚BTC已基本全部被轉移。PeckShield在此提醒各大交易所留意最新的資金流向，并對相關新地址做及時凍結處理。[2019/5/9]

第二步：開始匯聚地址，實施資產轉移

動態 | 何一否認幣安被盜10000BTC：平臺內部轉賬:針對與SYS漏洞相關的幣安異常交易，且有10000比特幣被盜傳言，幣安聯合創始人何一回應稱是平臺內部轉賬，并非被盜，不用擔心。何一詳細解釋全過程表示：首先，API賬戶異常是客觀事實，所以目前已經刪除所有API，對于沒有經過自己的確認做了第三方授權或者做了授權自己不知道的賬戶，所有的都需要重新綁一遍API。但是這個轉賬并沒有轉出幣安，所以不用擔心。第二個問題，由于API異常所以SYS被拉高了，在價格拉高的過程中，幣安對于所有非主動進行交易的個別賬戶會進行異常的回滾。此外，何一還稱，“這就是一個看上去會比較異常的正常轉賬，大家會把那個理解為被盜我們也能夠理解。但外面傳聞越說越夸張，越說越嚇人。且不說不是真的被盜了，就算真被盜了幣安也賠得起，我們做平臺的一直都是把用戶放在第一位的。”[2018/7/4]

圖2：黑客開始啟動資金整理

在將所盜取7,074枚BTC分散存儲開后，7個小時后，黑客再一次開始整理資金，先清空了20個地址中的2個地址，并將2個分別存儲有566枚和671枚的BTC匯聚成1,226枚BTC轉入bc1qkwu、bc1q3a5開頭的兩個新地址。最終又將該筆資金中的其中519.9枚BTC匯入另一個地址，剩余的707.1枚BTC作為最終分布的7個地址之一尚無異動。

第三步：資產最終分散至7個新地址，暫無異動

圖3：幣安被盜7,074枚BTC轉移全過程

通過上一步操作，黑客表露出了進一步匯聚資產的意思，但并沒有即時進行。又隔了5個小時，晚間22:35分起，黑客將此前20個地址中的若干地址余額匯聚起來，將資金轉移至bc1q2rdpy、16SMGihY9、1MNwMURYw、bc1qw7g5u、bc1qnf2ja、bc1qx3628、bc1q3a5hd開頭的7個新地址，其中前6個地址分別有1,060.64枚BTC，最后一個地址轉入707.1枚BTC，加上其他小額地址，本次幣安被盜的7,074枚BTC已基本全部被轉移。

截止目前，黑客分散后的7個主要地址，尚未監測到有進一步的異動。初步判斷，短時間內黑客應該不會有轉往交易所銷贓的意思，最終以每個地址1,060枚BTC分散存儲，或許只是為了方便存儲管理。整體而言，目前所有被盜資產尚控制在黑客手中，PeckShield數字資產護航系統已對黑客全部關聯地址實施了全程監控和實時異動預警。

附：被盜7,074枚BTC最終停留主要地址

最終被盜資產分布地址

bc1q2rdpyt8ed9pm56u9t0zjf94zrdu6gufa47pf621060.64BTC16SMGihY94H8UjRcxwsLnDtxRt7cRLkvoC1060.64BTC1MNwMURYw1LkPnnpda2DQkkUsXXeKL9pmR1060.64BTCbc1qw7g5uxxl750t0h2fh9xajwuxp4qt634yh3vg5q1060.64BTCbc1qx3628eh9tdnm0uzculu8k6r2ywfkc5zns2hp0k1060.64BTCbc1qnf2ja3ffqzc3hskanjse6p8zag52fm6jgmmg9u1060.64BTCbc1q3a5hd36jrqeseqa27nm40srkgxy8lk0v0tpjtp707.1BTC

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627218.html

幣安

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

慢霧創始人余弦：真正的黑客究竟什么樣？

Tags：BTCELDSHISHIELDBTC Hashrate TokenEndless BattlefieldSHIBN幣Safe Shield

Coinw