近期,区块链安全事件频发,无论是DeFi、跨链桥、NFT还是交易所,都损失惨重。除了对事件发生的原因进行技术分析以警示,我们也应将视线看向被盗资产方面。加密货币的匿名属性,使其难免被用于和资产转移,随着各国政策的更新与完善,拥抱监管与合规必是未来的一个趋势,因此,对被盗资产流向及攻击者洗币手法进行分析、对链上动态进行实时监测显得尤为重要。
慢雾AML团队利用旗下MistTrack反追踪系统,以近期发生的其中两个事件为例,通过剖析攻击者的洗币手法及资产的流向来窥见一二。
XSURGE攻击事件
概述
2021年8月17日3:13AM,XSURGE官方发布关于SurgeBNB漏洞的声明,称由于SurgeBNB合约不可更改且已被放弃,因此无法修补该漏洞,但强烈建议用户尽快移出SurgereBNB,该漏洞随时可能被攻击者触发。
不幸的是,在3:59AM,官方就表示遭遇攻击。
事件相关地址通过比对相似合约,我们还发现了其他攻击者信息。资金流向分析
DeFi借贷协议OpenLeverage推出质押借贷服务,并将在Arb上发二次空投:4月18日消息,据官方推特,去中心化借贷和保证金交易协议OpenLeverage宣布已经在Arbitrum上上线了质押借贷协议,可以给Arb上所有的长尾项目提供质押和借贷服务,此外,OpenLeverage即将在Arb上推出第二个追溯奖励计划(空投),以鼓励协议使用、市场创造和流动性增加。[2023/4/19 14:11:59]
经过分析,本次事件是由于其合约的sell函数导致了重入漏洞,也就是说攻击者通过不断买卖的操作,以更低的代币价格获取到了更多的SURGE代币。那攻击者具体是怎样进行获利并转移资金的呢?
我们以攻击者1创建的合约为例来分析攻击者的获利过程。首先,8月16日19:39:29(UTC),攻击者1在币安智能链(BSC)创建了攻击合约1,闪电贷借出10,000BNB后购买SURGE代币,多次以“卖出再买入”的方式来回交易,最后获利12,161BNB。接着分别创建了合约2-6,以同样的方式获利,最终攻击者1获利13,112BNB。攻击成功后,黑客并没有持币观望等待时机,而是直接开始转移资金,想获利,经过两层大的转移,黑客轻而易举地将资金转移到了交易所:
基于Arbitrum的DeFi协议Radiant将于2月16日发布V2版本:金色财经报道,基于Arbitrum的DeFi协议Radiant将于2月16日发布V2版本,V2发布的新功能包括仅授予为协议增加价值的“俱乐部成员”的释放量、对20多个新代币的抵押支持以及在其他五个区块链上分发产品。Radiant将部署在BNB Chain上,团队表示其最终愿景是在所在所有EVM链上部署Radiant Protocol。
此外,Radiant对其代币经济学进行修改的提案已通过,向贷方和借款人发放代币的期限从两年延长为五年。[2023/2/10 11:59:17]
第一层洗币:将资金不等额分散到多个地址
攻击者先是将获利的13,112BNB随机分成了两大部分,将一部分BNB以不等的金额陆续转出到不同地址,将另一部分BNB先通过PancakeSwap、1inch换成ETH后再转出到不同地址,最终13,112BNB被转移到下图的30个不同地址。第二层洗币:将资金直接或分批兑换转移
经过对30个地址资金转移的不断分析,我们渐渐总结出了攻击者的转移方式主要有以下几种:
MXC抹茶 MX DeFi 机池挖矿产品锁仓总价值突破2000万USDT:据官方消息,MXC抹茶 MX DeFi 机池第三、第四、第五期挖矿产品锁仓总价值突破2000万USDT,其中挖矿新币BTCTRON(TRC20-BTC)锁仓价值突破810万USDT。
据了解,MX DeFi最新三期挖矿产品支持质押MX、USDT或ETH挖BTCTRON(TRC20-BTC)、KFC(Chicken Finance)和FIN(DeFiner),单个质押池质押代币认购额度无上限限制。
MX DeFi是通过质押MX、USDT、ETH或其他指定代币,按质押资产占该质押池总资产的比例,获取新币挖矿收益的流动性挖矿产品。通过MX DeFi参与挖矿,可降低用户参与门槛及手续费成本,并减少筛选项目、流程操作失误等风险。[2020/10/13]
1、将BNB直接换成ETH,直接或分批转到币安。2、部分BNB换成ETH转到币安,部分BNB转到其他地址,汇聚后一起换成ETH,再分批转到币安。以地址(0x77b...22d)为例:3、ETH直接或分批分层转到币安截至目前,13,112BNB均转移至币安。
OKEx DeFi播报:DeFi总市值101.5亿美元,OKEx平台FRONT领涨:据OKEx统计,DeFi项目当前总市值为101.5亿美元,总锁仓量为132.8亿美元,DeFi赚币产品累计总投资额215,860,000美元。
行情方面,今日DeFi代币普涨,OKEx平台DeFi币种涨幅前三位分别是FRONT、REN、BAND。
截至17:00,OKEx平台热门DeFi币种及赚币产品数据如下:[2020/10/12]
思考:不难看出,该事件的攻击者转出资产的核心方式还是“兑换、汇集、分批、多层”,最终大部分资金都到了币安交易所,但这并不意味着目前大部分被盗资产脱离攻击者的控制,此刻就非常需要全球交易所以合规的方式联合起来,阻断攻击者的黑资产变现行为。
StableMagnet跑路事件
概述
北京时间6月23日凌晨,币安智能链(BSC)上稳定币兑换自动做市商StableMagnet卷走用户2400万美元跑路。然而在事件发生前,部分用户曾收到匿名组织发来的信件,信件中暗示StableMagnet将RugPull,但用户只是半信半疑没有做出过多举动。2400万美元被带走的同时,用户的钱包也被洗劫,官方网站、电报群、推特全都“查无此人”。从震惊无措中缓过来的受害者们立刻联络起来,社区部分“科学家”们自发组建了核心调查组,联合币安的力量,展开了一场跌宕起伏的自救行动。
Gate.io将上线SASHIMI流动性DeFi锁仓GT理财:根据Gate.io信息,Sashimi将上线GT锁仓挖矿,包括GT/ETH交易对和GT/sashimi交易对。
据了解,此次更新将在征求社区意见和等待48小时锁定期后生效。生效后GT将上线Sashimi流动性挖矿平台,去中心化平台的用户可以通过抵押GT获得收益回报。Gate.io平台同时将上线SASHIMI流动性挖矿理财产品。详情可关注Gate.io理财宝。由于DeFi类产品风险较高,投资请务必注意风险。[2020/9/13]
事件相关地址
项目方跑路地址:0x8bea99d414c9c50beb456c3c971e8936b151cb39
资金流向分析
经过分析,此次问题出在智能合约调用的底层函数库,而项目方在底层函数库SwapUtilsLibrary中植入了后门,一开始就为跑路做好了准备。收割资金,利用漏洞,卷走资金,一切就从下图的交易开始了………在这笔交易中,项目方带走了超800万枚BSC-USD、超720万枚USDC以及超700万枚BUSD。资金到手,项目方没有过多停顿,立马就开始转移资金。
第一层洗币:少部分兑换后,将资金等额分散到多个地址
为了后续更统一方便地转移,项目方先将1,137,821BUSD换成1,137,477USDC,将781,878BUSD换成781,467BSC-USD。接着分别将BUSD、USDC、BSC-USD等额分散到以下地址:第二层洗币:部分资金兑换后进行跨链并转入混币平台,部分资金直接转入币安
BUSD部分
根据分析,上图中的一部分BUSD换成91anyBTC跨链到地址A(bc1...gp0)。一部分BUSD换成60anyBTC跨链到地址B(bc1...kfu)。USDC部分
根据分析,上图中的一部分USDC兑换为anyETH,跨链到5个以太坊地址。另一部分USDC兑换为USDT,跨链到5个以太坊地址。接着,将ETH都转移到了地址C(0xfa9...d7b)和地址D(0x456...b9f)。而这两个地址,少部分转到了第一层表格中的地址,多数转移到了Tornado.Cash。而USDT被换成DAI,一部分停留在地址,一部分已转到混币平台Tornado.Cash。BSC-USD部分
上图中的BSC-USD资金,皆分批转到了币安。据了解,事件发生后几天,币安提供了嫌犯可能在香港的有效线索,社区调查者的线索也指向香港,但嫌犯在明知身份已泄露的情况下仍拒绝配合。受害者们只能将眼光转向,好在分别于香港、英国实现了立案。正在焦灼之时,英国立即受理并对该事件展开行动,在社区与匿名组织给出的有效信息支持下,开启了抓捕行动。值得庆幸的是,在社区与英国的联合力量下,回收了90%资产,并抓获了部分嫌疑人,这也是DeFi攻击史上首次由发起链上退款的事件。
思考:不难看出,Tornado.Cash等混币服务系统、闪兑平台以及一些免KYC的中心化机构,目前都是的重灾区。另外,在该跑路事件中英国起到了非常重要的作用,每个平台应该将合规与安全监管重视起来,必要时与监管执法机构合作,打击不法行为。
总结
经过上述分析,不难发现币安似乎很受攻击者的青睐。作为全球领先的加密货币交易所之一,币安最近遭遇了多个国家的监管风波,8月6日,币安CEO赵长鹏在推特上表示,币安将从被动合规转向主动合规,随后币安上线了一系列拥抱合规的平台安全策略。监管的意义在某些攻击事件中也不言而喻,例如Tether对被盗的USDT的冻结、慢雾联合交易所对被盗资金的冻结。
在合规监管方面,慢雾发布了AML系统,交易平台接入AML系统后,一方面交易平台在收到相关盗币资金时会收到提醒,另一方面可以更好地识别高风险账户,保持平台合规性,避免平台陷入涉及的境况。作为行业领先的安全公司,慢雾始终关注着每一件安全事件,当攻击事件发生后,我们会迅速采集攻击者相关的地址录入到AML系统,并进行持续监控与拉黑。目前,慢雾AML系统旗下的恶意地址库已涵盖从暗网到全球数百个交易所的有关内容,包含BTC、ETH、EOS、XRP、TRX、USDT等恶意钱包地址,数量已突破10万,可识别地址标签近2亿,为追踪黑客攻击、洗币行为提供了全面的情报支撑。
欢迎点击此免费试用慢雾AML系统,通过监测链上活动的实时动态,提高整个平台的风控安全与合规等级。
来源链接:mp.weixin.qq.com
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
慢雾
慢雾
慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多
亲爱的ZT用户:ZT创新板即将上线VEMP,并开启VEMP/USDT交易对。具体上线时间如下:充值:已开启;交易:2021年9月1日16:30;VEMP项目简介:vEmpire是一个拥有充分民主.
1900/1/1 0:00:00据SushiSwap最新周报,在过去一年里,Sushi上的交易量超过1026.9亿美元、使用用户超过100万.
1900/1/1 0:00:00亲爱的用户:HomiEx已完成对TRX、BTT、JST持有者的NFT第三轮空投,请在钱包账户查看.
1900/1/1 0:00:00PixelConFi像素漫游者社区换头像活动进行的如火如荼,#PixelC?像素漫游者社群也初具规模,紧跟潮流的PixelConFi当然不会止步于此.
1900/1/1 0:00:00据科技边角料消息,北京奇虎科技有限公司、中国信息通信研究院日前联合公开一种“基于联盟区块链的标识解析方法、装置、存储介质及服务器”专利,申请日期为2021年4月29日.
1900/1/1 0:00:00链闻消息,Web3.0项目MaskNetwork宣布以159枚以太坊买入CryptoPunk#6128,并将作为NFT资产存入MaskDAO.
1900/1/1 0:00:00