買比特幣 買比特幣
Ctrl+D 買比特幣
ads

TOR:黑客是如何通過Tornado.Cash洗白贓款的?_Aqua Unicorn

Author:

Time:1900/1/1 0:00:00

作者:Lisa@慢霧AML團隊

原標題:《鏈上追蹤:洗幣手法科普之Tornado.Cash》

前段時間,我們發布了鏈上追蹤:洗幣手法科普之PeelChain,今天繼續該系列。這次的主題是混幣器Tornado.Cash。

隨著黑客盜幣事件愈演愈烈,Tornado.Cash也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向Tornado.Cash。我們曾對Tornado.Cash的匿名性進行過探討,詳見:慢霧AML:“揭開”Tornado.Cash的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過?Tornado.Cash?洗幣的。

基礎知識

Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。

Cypher:將發布更多有關使儲戶完整并挽救項目的計劃信息:金色財經報道,Solana生態DEX Cypher 發布黑客攻擊事件進展稱,團隊目前正在進行多項并發工作,將與 OtterSec、Neodyme 和 SolShield 合作,進行事后分析,并了解有關漏洞利用、攻擊向量和發現的更多背景信息。將隨后發布更多有關使儲戶完整并挽救該項目的計劃的信息/新聞。不管怎樣,請受影響的每個人保持耐心,因為這些過程通常需要時間,但我們將在前進過程中保持更新。[2023/8/9 21:33:17]

案例分析

今天要分析的是一個真實案例,當受害平臺找到我們時,在Ethereum、BSC、Polygon三條鏈上的被盜資金均被黑客轉入?Tornado.Cash,所以我們主要分析?Tornado.Cash?的部分。

富達疑似正在考慮收購灰度或申請比特幣現貨ETF:金色財經報道,據Arch Public聯合創始人Andrew Parish稱,管理著4.24萬億美元資產的全球第三大資產管理公司富達可能正在考慮收購Grayscale(灰度)或申請比特幣現貨ETF。

截至發稿時,富達未對此進行進一步評論。[2023/6/19 21:47:46]

黑客地址:

0x489...1F4(Ethereum/BSC/Polygon)

0x24f...bB1(BSC)

Ethereum部分

借助慢霧MistTrack反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。

從部分展示結果來看,可以看到交易行為里黑客使用較多的除了Bridge就是混合器Mixer,這些對我們分析黑客畫像十分重要。

社交代幣平臺Rally關閉以太坊側鏈:金色財經報道,社交代幣平臺 Rally 周二表示,它正在放棄其以太坊側鏈,并在發給用戶(創作者及其持有代幣的粉絲社區)的電子郵件中警告他們,他們的加密資產可能很快就會陷入困境。Rally 將 2022 年“充滿挑戰的一年”和“宏觀逆風”稱為“在當前環境下難以克服”。這家初創公司上一次在 2021 年從投資者那里籌集了 5700 萬美元。根據數據網站Nansen的數據,自 2022 年 1 月 31 日以來,Rally 的代幣 RLY 已下跌 93% 。周二其價格基本沒有變化。[2023/2/1 11:39:54]

接著,我們對Ethereum上的資金與行為進行深入分析:據慢霧MistTrack反洗錢追蹤系統的分析,黑客將2450ETH以?5x10ETH+24x100ETH的形式分批轉入?Tornado.Cash,將198ETH轉入FixedFloat,這讓我們繼續追蹤?Tornado.Cash?部分留了個心眼。

韓國法院駁回對Terra總務負責人Yoo的逮捕令:10月7日消息,韓國一家法院駁回了對Terra總務負責人Yoo的逮捕令,質疑拘留是否必要,還提出了潛在的疑問,即LUNA是否最終屬于韓國法律定義下的證券。

此前消息,韓國首爾南區檢察官辦公室對Terra總務負責人Yoo發出法庭逮捕令,罪名包括違反資本市場法、欺詐和失職等。(韓聯社)[2022/10/7 18:41:49]

既然想要嘗試追蹤黑客從?Tornado.Cash?轉出的地址,那我們就得從Ethereum上第一筆資金轉入?Tornado.Cash?的時間點開始,我們發現第一筆10ETH和第二筆10ETH間的時間跨度較大,所以我們先從跨度小的100ETH開始分析。

定位到Tornado.Cash:100ETH合約相對應的交易,發現從?Tornado.Cash?轉出的地址非常多。經過慢霧MistTrack的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址。

Binance美國CEO:我們70%的交易量來自于機構:金色財經報道,Bitcoin Magazine在社交媒體上表示,Binance美國CEO稱,我們70%的交易量來自于機構。[2022/6/25 1:30:40]

據慢霧MistTrack的分析,地址將?Tornado.Cash?轉給它的ETH轉到地址,接著把ETH分為三筆轉到了FixedFloat。

當然,這也可能是巧合,我們需要繼續驗證。

繼續分析,接連發現三個地址均有同樣的特征:

A→B→FixedFloat

A→FixedFloat

在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是24個地址,符合我們的假設。

Polygon部分

如下圖,黑客將獲利的365,247MATIC中的部分MATIC分7次轉到?Tornado.Cash。

而剩下的25,246.722MATIC轉到了地址,接著追蹤這部分資金,我們發現黑客將25,246.721MATIC轉到了FixedFloat,這讓我們不禁思考黑客在Polygon上是否會以同樣的手法來洗幣。

我們首先定位到Tornado:100,000MATIC合約與上圖最后三筆對應的交易,同時發現從?Tornado.Cash?合約轉出的地址并不多,此時我們可以逐個分析。

很快,我們就發現了第一個讓我們覺得有問題的地址。我們看到了熟悉的FixedFloat地址,不僅?FixedFloat?轉MATIC到地址,從地址轉出資金的接收地址也都將MATIC轉給了?FixedFloat。

分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對FixedFloat實在獨有偏愛,不過這也成了抓住他的把柄。

BSC部分

下面我們來分析BSC部分。BSC上黑客地址有兩個,我們先來看地址:

黑客地址分17次轉了1700ETH到?Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧MistTrack的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。

分析過程中,地址引起了我們的注意。如圖,據慢霧MistTrack顯示,該地址將?Tornado.Cash?轉給它的ETH轉出給了SimpleSwap。

繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:

A→SimpleSwap

A→B→SimpleSwap

另一個黑客地址是以10BNB為單位轉到了?Tornado.Cash。

而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。

總結

本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用Tornado.Cash來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從Tornado.Cash提幣后或直接或經過一層中間地址轉移到常用的混幣平臺。當然,這只是通過Tornado.Cash洗幣的其中一種方法,更多手法仍等著我們發現。

Tags:ADOTORNORNTORADO.NetworkTORN幣Aqua UnicornProspectors Gold

以太坊價格
AZU:NFT領域再現釣魚攻擊,數字資產安全引社區熱議?_TAL

DeFianceCapital創始人兼Crypto投資者ArthurOx最近受到了網絡釣魚攻擊。黑客設法破解了Ox的錢包,并控制了價值超過150萬美元的NFT.

1900/1/1 0:00:00
DAO:DAO:自組織運動的新興領導者_區塊鏈

作者:UI369 來源:mIrror 譯者:Harper,DAOSquare照片:同樣叫做DAO的一把中國單刃劍的3D效果圖。DAO是目前web3世界中最熱門的現象.

1900/1/1 0:00:00
SOLA:Messari深度解析:為什么公鏈NEAR值得關注_區塊鏈用大白話解釋

原標題|萬字長文:NEAR優劣勢詳盡解析公鏈的競爭一直是加密行業關注的熱點,2021年更是呈現了百花齊放的繁盛狀態,無論是生態還是代幣漲幅,各大公鏈都取得了不錯的成績.

1900/1/1 0:00:00
NFT:a16z合伙人:我們為什么應該在Web 3中創業?_WEB

作者:ChrisDixon編譯:Kxp,律動BlockBeats本文梳理自a16z合伙人ChrisDixon在個人社交媒體平臺上的觀點.

1900/1/1 0:00:00
API:火星周刊 | Luna完成三箭資本領投的10億美元融資;Interlay獲波卡第十次平行鏈插槽拍賣_PIT

整理|Rachel 火星編輯時刻 《Paradigm與紅杉輪番加注,L2技術公司StarkWare憑什么估值超20億美金?》關于StarkWare創業和發展.

1900/1/1 0:00:00
區塊鏈:淺談EVM兼容性:為什么非EVM公鏈都在擁抱EVM?_MOS

原文作者:Denis 原文標題:《EVMcompatibilityandthefutureofblockchains》 原文編譯:谷昱,鏈捕手 以太坊在第一波“以太坊殺手”中幸存下來.

1900/1/1 0:00:00
ads