北京时间2021年8月19日10:05,日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看,Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种,币种之多,数额之高,令人惊叹。
慢雾AML团队利用旗下MistTrack反追踪系统分析统计,Liquid共计损失约9,135万美元,包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。
慢雾AML团队全面追踪了各币种的资金流向情况,也还原了攻击者的洗币手法,接下来分几个部分向大家介绍。
BTC部分
攻击者相关地址
慢雾AML团队对被盗的BTC进行全盘追踪后发现,攻击者主要使用了“二分法”的洗币手法。所谓“二分法”,是指地址A将资金转到地址B和C,而转移到地址B的数额多数情况下是极小的,转移到地址C的数额占大部分,地址C又将资金转到D和E,依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以二分法的方式继续转移,要么转到交易平台,要么停留在地址,要么通过Wasabi等混币平台混币后转出。
慢雾:警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道,近期,慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试,通过一个如图这样的“Root 签名”即可以极低成本(特指“零元购”)钓走目标用户在 Blur 平台授权的所有 NFT,Blur 平台的这个“Root 签名”格式类似“盲签”,用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕,当发现来非 Blur 官方域名(blur.io)的“Root 签名”,一定要拒绝,避免潜在的资产损失。[2023/3/7 12:46:39]
以攻击者地址为例:
据MistTrack反追踪系统显示,共107.5BTC从Liquid交易平台转出到攻击者地址,再以8~21不等的BTC转移到下表7个地址。
慢雾:V神相关地址近日于Uniswap卖出3000枚以太坊:11月14日消息,据慢雾监测显示,以太坊创始人Vitalik Buterin地址(0xe692开头)近日在Uniswap V3上分三笔将3000枚以太坊(约400万美元)兑换成了USDC。[2022/11/14 13:03:22]
为了更直观的展示,我们只截取了地址资金流向的一部分,让大家更理解“二分法”洗币。
以图中红框的小额转入地址为例继续追踪,结果如下:
可以看到,攻击者对该地址继续使用了二分法,0.0027BTC停留在地址,而0.0143BTC转移到Kraken交易平台。
攻击者对其他BTC地址也使用了类似的方法,这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记,帮助客户做出有效的事前防范,规避风险。
慢雾:DOD合约中的BUSD代币被非预期取出,主要是DOD低价情况下与合约锁定的BUSD将产生套利空间:据慢雾区情报,2022 年 3 月 10 日, BSC 链上的 DOD 项目中锁定的 BUSD 代币被非预期的取出。慢雾安全团队进行分析原因如下:
1. DOD 项目使用了一种特定的锁仓机制,当 DOD 合约中 BUSD 数量大于 99,999,000 或 DOD 销毁数量超过 99,999,000,000,000 或 DOD 总供应量低于 1,000,000,000 时将触发 DOD 合约解锁,若不满足以上条件,DOD 合约也将在五年后自动解锁。DOD 合约解锁后的情况下,用户向 DOD 合约中转入指定数量的 DOD 代币后将获取该数量 1/10 的 BUSD 代币,即转入的 DOD 代币数量越多获得的 BUSD 也越多。
2. 但由于 DOD 代币价格较低,恶意用户使用了 2.8 个 BNB 即兑换出 99,990,000 个 DOD。
3. 随后从各个池子中闪电贷借出大量的 BUSD 转入 DOD 合约中,以满足合约中 BUSD 数量大于 99,999,000 的解锁条件。
4. 之后只需要调用 DOD 合约中的 swap 函数,将持有的 DOD 代币转入 DOD 合约中,既可取出 1/10 转入数量的 BUSD 代币。
5. 因此 DOD 合约中的 BUSD 代币被非预期的取出。
本次 DOD 合约中的 BUSD 代币被非预期取出的主要原因在于项目方并未考虑到 DOD 低价情况下与合约中锁定的 BUSD 将产生套利空间。慢雾安全团队建议在进行经济模型设计时应充分考虑各方面因素带来的影响。[2022/3/10 13:48:45]
ETH与ERC20代币部分
声音 | 慢雾:99%以上的勒索病使用BTC进行交易:据慢雾消息,勒索病已经成为全球最大的安全威胁之一,99%以上的勒索病使用BTC进行交易,到目前为止BTC的价格已经涨到了一万多美元,最近一两年针对企业的勒索病攻击也越来越多,根据Malwarebytes统计的数据,全球TO B的勒索病攻击,从2018年6月以来已经增加了363%,同时BTC的价格也直线上涨,黑客现在看准了数字货币市场,主要通过以下几个方式对数字货币进行攻击:
1.通过勒索病进行攻击,直接勒索BTC。
2.通过恶意程序,盗取受害者数字货币钱包。
3.通过数字货币网站漏洞进行攻击,盗取数字货币。[2019/8/25]
攻击者相关地址
经过慢雾AML团队对上图几个地址的深度分析,总结了攻击者对ETH/ERC20代币的几个处理方式。
1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。
分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]
2.部分ERC20代币直接转到交易平台,部分ERC20代币直接转到地址1并停留。
3.攻击者将地址1上的ETH不等额分散到多个地址,其中16\,660ETH通过Tornado.Cash转出。
地址2的538.27ETH仍握在攻击者手里,没有异动。
4.攻击者分三次将部分资金从Tornado.cash转出,分别将5\,600ETH转入6个地址。
其中5,430ETH转到不同的3个地址。
另外170ETH转到不同的3个交易平台。
攻击者接着将3个地址的ETH换成renBTC,以跨链的方式跨到BTC链,再通过前文提及的类似的“二分法”将跨链后的BTC转移。
以地址为例:
以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果,该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。
TRX/TRC20部分
攻击者地址
TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp
资金流向分析
据MistTrack反追踪系统分析显示,攻击者地址上的TRC20兑换为TRX。
再将所有的TRX分别转移到Huobi、Binance交易平台。
XRP部分
攻击者相关地址
rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby
资金流向分析
攻击者将11,508,495XRP转出到3个地址。
接着,攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。
总结
本次Liquid交易平台被盗安全事件中,攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。
截止目前,大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台,11,508,516枚XRP转入交易平台,攻击者以太坊地址2存有538.27ETH,以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币,慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。
攻击事件事关用户的数字资产安全,随着被盗数额越来越大,资产流动越来越频繁,加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统,在收到相关“脏币”时会收到提醒,可以更好地识别高风险账户,避免平台陷入涉及的境况,拥抱监管与合规的大势。
Aurora Labs 为Web3企业推出 Borealis Business:6月30日消息.
1900/1/1 0:00:00据sharecast9月15日报道,加密投资者财富管理平台Abra今天宣布已完成5500万美元C轮融资,该轮融资由IGNIA和BlockchainCapital领投.
1900/1/1 0:00:00来源:Twitter作者:A16z合伙人JonLai当游戏中的真钱交易不顶用时,为什么边玩边赚模式却可行?AxieInfinity、暗黑破坏神3、星战前夜、反恐精英这些游戏如何能够相互借鉴?本贴.
1900/1/1 0:00:00《区块链行业观察》专栏·第51篇作者丨JoanneMolinaro,NathanA.Beaver图片丨来源于网络许多公司需要强大的供应链可追溯性,对于最普遍的追踪挑战.
1900/1/1 0:00:00国际清算银行在其9月份的报告中表示,私人数字资产可以与中央银行运营的数字货币共存。该报告遵循亚洲部分地区对私人Crypto的政策禁令——这是一个有趣的更新,因为它是CBDC试验和试点启动的领跑者.
1900/1/1 0:00:00以推动人民币国际化使用和加速人民币资产国际化进程为目的,结合我国债券市场发展现状,借鉴沪港通、深港通、债券通实践经验,同时参考国际前沿探索.
1900/1/1 0:00:00