隨著DeFi、NFT、跨鏈橋等項目的火熱發展,黑客攻擊事件也層出不窮。有趣的是,據慢霧統計,80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash,本文以KuCoin被盜事件為例,試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。
事件概述
據KuCoin官網公告,北京時間2020年9月26日凌晨,KuCoin交易所的熱錢包地址出現大量異常的代幣提現,涉及?BTC、ETH?等主流幣以及LINK、OCEN等多種代幣,牽動了無數用戶的心。
圖?1
據慢霧AML團隊統計,本次事件被盜資金超2.7億美元,具體如下圖:
數據:Circle金庫將8000萬枚USDC轉入Crypto.com:5月25日消息,據 Whale Alert 監測數據顯示,北京時間 10:16:59,Circle 金庫將 8000 萬枚 USDC 轉入 Crypto.com。[2023/5/25 10:38:56]
圖2
值得注意的是,我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中,我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash,并對Tornado.Cash的轉出進行分析,以分解出被盜資金可能流向的地址。
Tornado.Cash?是什么?
Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
Bitget推出多地址充值與地址簿功能:4月24日消息,Bitget正式將單一地址充值升級為多地址充值,首期支持50個地址充值,無需切換賬戶,可有效避免女巫攻擊,未來還將支持zkSync等網絡的多地址充值。本次升級也推出地址簿功能,方便用戶批量將地址導出到本地,離線管理地址。另Bitget同步上線BGB質押免手續費服務。作為Bitget平臺的用戶,質押BGB可享受包括以太坊主網、Arbitrum主網、Tron主網等多鏈加密資產免手續費提現服務。[2023/4/24 14:23:19]
如何轉入?
攻擊得手后,黑客開始大范圍地將資金分批轉移到各大交易所,但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后,黑客將目光轉向了DeFi。
據慢霧AML旗下MistTrack反洗錢追蹤系統顯示,黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址,接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。
數據:過去一周USDC流通量減少21億美元:金色財經報道,據官方數據,3月17日至3月24日期間,Circle共發行5億美元USDC,贖回26億美元USDC,流通量減少約21億美元。截至3月17日,USDC總流通量為346億美元,儲備量為346億美元,其中現金56億美元,短期美國國債290億美元。[2023/3/26 13:27:08]
圖3
大部分ERC20代幣兌換成ETH后,被整合到了以下主要地址:
表1
在對ETH和ERC20代幣進行完整追蹤后,我們梳理出了資金是如何在黑客地址間移動,并分解出了資金是以怎樣的方式進入Tornado.Cash。
20,000枚ETH從未知錢包轉移到Binance:金色財經報道,據Whale Alert數據顯示,20,000枚ETH (價值約33,439,102USD) 從未知錢包轉移到Binance。[2022/9/7 13:12:38]
圖4
黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下:
表2?
轉到了哪?
猜想
1.?巨額的ETH進入?Tornado.Cash,會集中表現出一些可追蹤的特征。
2.以黑客急于變現的行為分析,猜想黑客將資金存入Tornado.Cash后會隨即提款,或下次存入時提款。
goblintown.wtf系列NFT24小時交易額為90.35萬美元:金色財經消息,據NFTGo.io數據顯示,goblintown.wtf系列NFT總市值達6264萬美元,在所有NFT項目總市值排名中位列第38;其24小時交易額為90.35萬美元,跌幅達12.69%。截止發稿時,該系列NFT當前地板價為3ETH,漲幅為3.81%。[2022/6/13 4:21:22]
3.分析攻擊者使用洗幣平臺的方式和行為,可以獲得資金的轉移地址。
可能的鏈上行為
1.資金從?Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。
2.一定時間段內,從Tornado.Cash?轉出的資金會持續轉出到相同地址。
驗證
以黑客地址(0x34a...c6b)為例:
如表2結果所述,黑客在?2020-10-2316:06:28~2020-10-2610:32:24?(UTC)間,以每次100ETH,存115次的方式將?11,500?ETH存入?Tornado.Cash。為了方便說明,我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄,如下圖:
圖5
接著,我們查看Tornado.Cash:100ETH合約的交易記錄,找到地址(0x34a...c6b)在同一時間段的存款記錄,下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。
圖6
查看該地址(0x82e...398)在此時間段的交易哈希,發現該地址并沒有將ETH提款給自己,而是作為一個合約調用者,將ETH都提款到了地址?(0xa4a...22f)。
圖7
圖8
同樣的方式,得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址,具體如下:
表3
經過核對,發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致,這似乎驗證了我們的猜想。對其他地址的分析方法同理。
接著,我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示,黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺,另一部分資金進入第二層后也被黑客轉入了上述交易平臺,試圖變現。
圖9
總結
本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH,分析結果不由得讓我們思考:Tornado.Cash真的完全匿名嗎?一方面,既然能分析出部分提款地址,說明不存在絕對的匿名;另一方面,匿名性是具備的,或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。
截止目前,KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來,DeFi或許已成為黑客轉移資金的通道,而今監管已至,合規化的腳步愈發逼近,有合規需求的項目方,可以考慮接入慢霧AML系統(aml.slowmist.com),即使黑客使用了DeFi,也無處遁形。
By:Lisa@慢霧AML團隊
Tags:Tornado.CashTORNORNADOTornado FinanceBunicorn Universal Rewardpolkadotted音標
Taproot升級內容 Taproot是自2017年Segwit升級以來對比特幣協議的第一次更改。升級包括三個獨立的比特幣改進提案(BIP):BIP340、BIP341和BIP342.
1900/1/1 0:00:00《福布斯》于10月28日發文談到NFT稅收問題。關于NFT,可能很多人的印象還停留在2021年8月,NBA球星庫里花費18萬美元購買的,穿著西裝的BAYCNFT頭像;這不是因為而后沒有發生其他關.
1900/1/1 0:00:002017年3月3日,任天堂公布了旗下最新的游戲主機NS,這款主機很快以新奇的游玩體驗和出色的游戲陣容成為了各路玩家的新寵.
1900/1/1 0:00:0010月6日,Euterpe白皮書正式在SSCI美國核心法學期刊《布法羅法律評論》上公開發表。這是成功發表于SSCI核心法學期刊的區塊鏈項目白皮書.
1900/1/1 0:00:00現在,越來越多的著名的傳統藝術家和攝影師正在進入NFT領域。Gamble是一位擁有數十年經驗的知名攝影師,他拍攝的照片經常出現在《生活》和《紐約客》等知名版物.
1900/1/1 0:00:002021年,隨著NFT概念的出圈與VR\AR等技術的發展,元宇宙概念照進現實。就虛擬現實而言,元宇宙擁有無限大的舞臺;對于參與用戶而言,元宇宙代表了無界的想象力;對于每家公司而言,元宇宙時代的命.
1900/1/1 0:00:00