VCE:慢雾：美国执法部门破获2016年Bitfinex被盗案件始末分析_TENSHI币

当地时间周二美国司法部发布公告称，它已经查获了价值36亿美元的比特币，这些比特币与2016年加密

货币

交易所

Bitfinex的黑客事件有关。34岁的IlyaLichtenstein和其31岁的妻子HeatherMorgan在纽约被捕，两人被指控共谋和罪。

美国司法部公告称，这是司法部有史以来最大规模的

金融

扣押，此次调查由IRS-CI华盛顿特区办事处的网络犯罪部门、联邦调查局的芝加哥办事处和国土

安全

调查局纽约办事处领导，德国安斯巴赫警察局在此次调查期间提供了协助。

事件背景

根据慢雾AML掌握的情报数据分析显示，Bitfinex在2016年8月遭受网络攻击，

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

有2072笔比特币交易在Bitfinex未授权的情况下转出，然后资金分散存储在2072个

钱包

地址中，统计显示Bitfinex共计损失119,754.8121BTC

。

事发当时价值约6000万美元，按今天的价格计算，被盗总额约为45亿美元。

慢雾：利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。

在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。

攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。[2023/5/21 15:17:00]

慢雾AML曾于2月1日监测到

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

Bitfinex

被盗资金出现大额异动，后被证实该异动资金正是被司法部扣押了的94,643.2984BTC，约占被盗总额的79%，目前这些资金保管在美国政府的钱包地址

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

慢雾：AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报，近期 AToken 钱包(atoken.com)疑似遭受到攻击，用户在使用 AToken 钱包后，币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了，但是并没有得到 AToken 团队的回复和处理。

如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作：

1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。

2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。

3. 参考慢雾安全团队梳理的数字资产安全解决方案，对数字资产进行妥善的管理。

4. 留存相应有问题的 AToken 钱包 APP 的安装包，用于后续可能需要的取证等操作。

5. 如果资产已经被盗，可以先梳理被盗事件的时间线，以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]

!webp\"data-img-size-val=\"898,450\"\u002F\\>

分析 | 慢雾：韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址（rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu）被盗 20,000,000 枚 XRP（价值 $6,000,000），通过慢雾安全团队的进一步分析，疑似攻击者地址（rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1）于 UTC 时间 03/29/2019?13:46 新建并激活，此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包（g4ydomrxhege）疑似被黑，损失 3,132,672 枚 EOS，且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]

事件梳理

慢雾AML根据美国司法部公布的statement_of_facts.pdf文件进行梳理，将此案的关键要点和细节分享如下：

1、

美国执法部门通过控制Lichtenstein的云盘账号，获取到了一份写着2000多个钱包地址和对应私钥的文件

。

该文件中的地址应该就是上文提到的2072个盗币黑客钱包地址，然后美国司法部才有能力扣押并将比特币集中转移到

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

!webp\"data-img-size-val=\"940,549\"\u002F\\>

2、从2017年1月开始，被盗资金才开始转移，其通过剥离链技术，将被盗资金不断拆分、打散，然后进入了7个独立的AlphaBay

平台账号进行混币，使BT

C无法被轻易追踪。从结果看，使用AlphaBay进行混币的比特币约为25000BTC。

3、混币后，大部分资金被转入到8个在交易所-1注册的账号，这些账号的邮箱都是用的同一家印度的邮箱服务提供商。除此之外，这8个账号使用过相同的登录IP，并且都是在2016年8月左右注册的。

更为致命的是，在Lichtenstein的云盘里有一份Excel表格，记录着这8个账号的各种信息

，

而且其中6个账号还被他标记为FROZEN。美国司法部统计发现，交易所-1里的8个账号共冻结着价值18.6万美元的资产。

4、混币后还有部分资金被转入到交易所-2和一家美国的交易所，在这两家交易所上注册的账号，有些也是使用的上文提到的那一家印度的邮箱服务提供商。这些信息也是在上文提到的Lichtenstein的云盘中的Excel表格里发现的。通过VCE2和VCE4，Lichtenstein夫妇成功把Bitfinex被盗的BTC换成了法币，收入囊中。不过，他们在VCE4上有2个用俄罗斯邮箱注册的账号，因为频繁充值

XMR

而且无法说明资金来源，导致账号被平台封禁。美国司法部统计发现，上面冻结了价值约15.5万美元的资产。

!webp\"data-img-size-val=\"1140,1098\"\u002F\\>

5、在账号被冻结前，从交易所-1提币的资金，大部分到了另一家美国的交易所。

在Bitfinex被盗前的2015年1月13日，Lichtenstein在VCE5交易所上用自己真实的身份和私人邮箱注册了账号并进行了KYC认证

。

在VCE5交易所上，Lichtenstein用BTC与平台上的商户购买了黄金，并快递到了自己真实的家庭住址。

!webp\"data-img-size-val=\"1105,676\"\u002F\\>

6、除了前面提到的VCE1、VCE2、VCE4、VCE5这几家交易所被他们用来，Lichtenstein夫妇还注册了VCE7、VCE8、VCE9、VCE10等交易所用来。资金主要都是通过从VCE1提币来的，不过在VCE7-10这些交易所上注册的账号，都是用Lichtenstein夫妇的真实身份和他的公司来做KYC认证的。美国司法部统计发现，从2017年3月到2021年10月，Lichtenstein夫妇在VCE7上的3个账号共计收到了约290万美元等值的比特币资金。在这些交易所上，Lichtenstein进一步通过买卖altcoins、

NFT

等方式来，并通过比特币ATM机器进行变现。

链路

!webp\"data-img-size-val=\"1280,468\"\u002F\\>

事件疑点

从2016年8月Bitfinex被盗，到现在过去了约6年的时间，在这期间美国执法部门是如何进行的深入调查，我们不得而知。通过公布的statement_of_facts.pdf文件内容我们可以发现，Lichtenstein的云盘中存储着大量的账号和细节，相当于一本完美的“账本”，给执法部门认定犯罪事实提供了有力的支撑。

但是回过头全局来看，执法部门是怎么锁定Lichtenstein是嫌疑人的呢？

还有个细节是，美国司法部并没有控诉Lichtenstein夫妇涉嫌非法攻击Bitfinex并盗取资金。

最后一个疑问是，从2016年8月Bitfinex被盗，到2017年1月被盗资金开始转移，这其中的5个月时间发生了什么？真正攻击Bitfinex的盗币黑客又是谁？

参考资料：

https:\u002F\u002Fwww.justice.gov\u002Fopa\u002Fpress-release\u002Ffile\u002F1470186\u002Fdownload

22-mj-22-StatementofFacts.pdf

标签：VCENSTENSTENSVCE价格MONSTR价格Evens CoinTENSHI币

ICP热门资讯