不知道大家是否還記得今年3月,發生的那筆接近2億美金的EulerFinance攻擊事件。經過EulerLabs與攻擊者的多輪協商之后,攻擊者已歸還從協議中盜取的所有資金。起初EulerFinance攻擊者為了混淆視聽,向某國家級背景黑客組織轉移了100枚ETH。隨后,該黑客組織對Euler的攻擊者發送了一條鏈上通知,要求其解密一條加密信息。包含此通知的這筆交易中,這個國家級背景黑客組織向Euler攻擊者發送了2枚ETH。但專家稱,該消息是一個網絡釣魚騙局,試圖竊取Euler攻擊者錢包的私鑰。難道是典型的「黑吃黑」?據了解,該國家級背景黑客組織長期以來一直對加密貨幣業務進行網絡攻擊,并組建了數個專業團隊——來進行網絡攻擊并清洗被盜資金。今天,我們就結合BeosinKYT反洗錢與分析平臺,起底這個國家級黑客都是如何對加密貨幣進行攻擊和清洗的?以下是該國家級背景黑客部分APT組織名信息:
圖源etda.or.th最近國外情報公司分析了該國家級背景黑客組織的攻擊活動,其中包含了對加密貨幣的攻擊。據研究人員稱,黑客組織會使用網絡釣魚技術試圖感染目標,然后攔截大筆加密貨幣轉賬,更改收款人地址,并將轉賬金額推至最大額,意圖在單筆交易中耗盡賬戶資金。你的加密貨幣是如何被黑客竊取的?
Beosin發現Move VM嚴重級別漏洞:金色財經報道,近日,區塊鏈安全公司Beosin發現Move VM嚴重級別漏洞。Beosin安全研究團隊在Move虛擬機中發現了一個沒有限制遞歸調用深度而導致的棧溢出漏洞,這個漏洞可以導致整個網絡崩潰(total network shutdown),還會讓新的validator節點無法加入到網絡中,甚至有可能導致硬分叉(hard fork)。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影響。目前該漏洞已被官方修復。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修復了此漏洞。[2023/6/15 21:37:59]
魚叉郵件作為誘餌
黑客組織使用來自虛假或欺騙性角色的魚叉式網絡釣魚電子郵件來接近他們的目標,在這些網站中包含虛假登錄頁面,誘騙受害者輸入帳戶憑據。下圖是黑客組織使用過的釣魚郵件誘餌,針對加密貨幣專業人士:
圖源卡巴斯基惡意安卓APP盜取
Beosin:BSC上項目Swap-LP項目遭受攻擊,損失609個ETH,約100萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月20日,BSC上項目Swap-LP項目遭受攻擊,攻擊者地址0xdEAd40082286F7e57a56D6e5EFE242b9AC83B137,累計獲利609個ETH,約100萬美元。資金仍在攻擊者地址。[2023/5/20 15:15:18]
國外情報公司觀察到黑客組織使用惡意Android應用程序,這些應用程序針對希望獲得加密貨幣貸款的中國用戶,該應用程序和關聯的域名可能會收集用戶憑據。黑客組織甚至會建立虛假的加密貨幣軟件開發公司,以誘騙受害者安裝看似合法的應用程序,這些應用程序在更新時會安裝后門。專家認為,黑客組織目前正在積極測試新的惡意軟件傳遞方法,例如,使用以前未使用的文件類型來感染受害者。替換Metamask插件
當黑客組織獲取到用戶主機權限時,會監視用戶數周或數月以收集鍵盤記錄并監控用戶的日常操作。如果黑客組織發現目標用戶使用了瀏覽器擴展錢包時,他們會將擴展源從WebStore更改為本地存儲,并將核心擴展組件替換為篡改版本。下圖對比顯示了兩個文件:一個合法的Metamaskbackground.js文件及黑客篡改代碼的變體,修改的代碼行以黃色突出顯示。
Beosin:攻擊者利用多簽錢包執行了修改TradingHelper合約的router地址的交易:2月21日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Hope Finance項目Rug Pull。Beosin安全團隊分析發現攻擊者(0xdfcb)利用多簽錢包(0x1fc2)執行了修改TradingHelper合約的router地址的交易,從而使GenesisRewardPool合約在使用openTrade函數進行借貸時,調用TradingHelper合約SwapWETH函數進行swap后并不會通過原本的sushiswap的router進行swap操作,而是直接將轉入的代幣發送給攻擊者(0x957d)從而獲利。攻擊者共兩次提取約180萬美金。
Beosin Trace追蹤發現攻擊者已將資金轉入跨鏈合約至以太鏈,最終資金都已進入tornado.cash。
Beosin提醒用戶:請勿在0x1FC2..E56c合約進行抵押操作,建議取消所有與該項目方相關的授權。[2023/2/21 12:19:54]
Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]
圖源卡巴斯基用戶交易的詳細信息會通過HTTP自動提交到黑客的C2服務器:
Beosin:BNBChain上THB項目遭受攻擊事件分析:10月1日消息,據Beosin EagleEye平臺監測顯示,THB項目遭受攻擊。Beosin安全團隊分析發現攻擊者0xbC62b9BA570aD783d21E5eB006F3665D3f6bBA93利用重入漏洞盜取THBR NFT,攻擊合約0xfed1b640633fd0a4d77315d229918ab1f6e612f9,攻擊交易0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0
目前盜取的8個NFT任在攻擊者賬戶(0xfeD1...12f9)。[2022/10/1 18:36:58]
圖源卡巴斯基在這種情況下,黑客設置了對特定發件人和收件人地址之間交易的監控。從而在發現大額轉賬時觸發通知并竊取資金。下圖是一個被木馬化的擴展:
圖源卡巴斯基以防萬一,需注意瀏覽器是否選擇開發者模式,如果使用的開發者模式,確保重要擴展來自網上商店:
社會工程手段攻擊
Beosin安全研究團隊同樣發現,黑客組織可能會通過社會工程手段,如仿冒交易平臺、發送欺詐性電子郵件等,來欺騙用戶將加密貨幣轉移到他們的賬戶中。仿冒交易平臺:偽裝成知名的加密貨幣交易平臺,通過仿冒的網站或應用程序,欺騙用戶輸入自己的賬戶信息,從而竊取用戶的資產。資金盤詐騙:創建虛假的加密貨幣資金盤,向用戶承諾高額回報,并引導用戶進行投資,然后將用戶的資金轉移到其他賬戶,并關閉資金盤。社交媒體欺詐:利用社交媒體平臺,如Twitter、Telegram、Reddit等,偽裝成加密貨幣交易專家或投資人,發布虛假的投資建議或價格分析,引誘用戶進行投資,從而騙取資金。擴展閱讀:加密大V遭遇木馬病,其錢包大額資產被盜給我們哪些啟示?黑客是如何清洗加密貨幣的?
通過混幣器清洗
此外,黑客組織還利用以太坊區塊鏈上最受歡迎的混幣器TornadoCash轉移資金,例如2020年某交易所被盜,當時被盜資金超過2.7億美元。黑客使用TornadoCash對被盜的ETH資金進行洗錢,在BeosinKYT中查看黑客的資金流向,如下所示有大額資金進入了Tornadocash。
BeosinKYT黑客組織攻擊地址總覽
BeosinKYT黑客組織地址資金流向圖那么,什么是TornadoCash?TornadoCash是一個以太坊上的隱私保護協議,旨在為用戶提供完全匿名的加密貨幣交易。它基于zk-SNARK技術,使用戶可以在不暴露任何個人信息的情況下進行交易,從而保護他們的隱私。TornadoCash的工作原理是將用戶的代幣混合在一起,使它們變得不可追蹤。用戶首先將代幣發送到智能合約,然后智能合約將這些代幣與其他用戶的代幣一起混合。混合完成后,用戶可以從智能合約中提取相同數量的代幣,但這些代幣已被混合,無法與原始發送的代幣進行關聯。TornadoCash支持以太幣和ERC-20代幣,用戶可以選擇不同的「混合池」進行交易。此外,TornadoCash也可以用于向其他人發送完全匿名的代幣,這使得它成為隱私保護的一個重要工具。需要注意的是,TornadoCash僅提供隱私保護,而不是匿名性。用戶需要采取適當的措施來保護他們的身份信息,以免被其他方式追蹤到。此外,使用TornadoCash也需要支付一定的交易費用,這些費用可能會高于普通交易的費用。除此之外,常見的混幣器還有:Blender.io:Blender是一家成立于2017年的比特幣區塊鏈上運行的虛擬貨幣混合器,也是第一個受到美國財政部制裁的混幣器。CoinMixer:從2017年開始就存在的老牌比特幣混幣協議,目前未受到政府制裁。ChipMixer:由越南運營商提供的暗網加密貨幣混幣器,從2017年至今洗掉價值超過30億美元的加密貨幣,該網站和后端服務器于2023年3月15日被聯邦警察局查封。Umbra:Umbra是一款可讓用戶在以太坊上進行私密轉帳的協議,特色在于只有收付雙方知道是誰收到這筆轉帳。CoinJoin:CoinJoin是歷史最為悠久的混幣器之一,專為比特幣和比特幣現金所開發。除了專門的混幣器外,利用FixedFloat、sideshift、ChangeNow等去中心化交易所兌換虛擬貨幣,也能達到洗錢的目的。通過哈希算力租賃或云挖礦服務清洗
黑客組織使用加密貨幣服務來清洗被盜資金,包括購買域名地址和支付服務費用,以及可能使用哈希算力租賃和云挖掘服務將被盜的加密貨幣洗成干凈的加密貨幣。
黑客組織使用被盜的比特幣來支付Namecheap服務哈希算力租賃允許客戶租用計算能力進行加密貨幣挖掘,哈希算力是指計算機或硬件用于運行和求解不同哈希算法的算力,這些算法用于新加密貨幣的生成并驅動加密貨幣之間進行交易,這個過程也被稱為挖礦,這可以用加密貨幣支付。情報公司表示,黑客組織使用這些服務來清洗被盜的加密貨幣,因此無法追溯到惡意操作。
黑客組織通過哈希算力租賃服務洗錢通過暗網市場清洗
黑客組織可能會使用暗網市場上的加密貨幣交易來進行洗錢。這些市場允許匿名交易,使得黑客可以在其中進行交易,以便將他們的黑錢變為可支配資金。黑客使用暗網市場對加密貨幣進行洗錢的過程可以大致分為以下幾個步驟:1在暗網市場上尋找買家:黑客會在暗網市場上尋找想要購買加密貨幣的買家。這些市場上有許多匿名交易的工具和服務,使得黑客可以更輕松地進行交易,同時減少被揭露的風險。2準備好洗錢的加密貨幣:黑客需要將他們從非法活動中獲得的加密貨幣準備好,以便在交易時快速轉移資金,同時減少交易被追蹤的風險。3完成交易:黑客會通過暗網市場上的匿名交易工具和服務完成交易,將加密貨幣轉移到買家的地址中。這些交易可能涉及多種加密貨幣和支付方式。4將洗錢所得轉移到合法渠道:黑客需要將他們從暗網市場上獲得的加密貨幣轉移到合法的渠道中,以便能夠使用這些資金進行日常生活和業務活動。這可能包括將加密貨幣轉換為法定貨幣,或將其投資于其他合法資產。使用代理賬戶清洗
黑客組織可能會使用代理賬戶,以避免被追蹤。這些代理賬戶可能由境外同伙或在海外的留學生等人員持有。以下是可能的代理賬戶洗錢手法:通過控制他人賬戶來洗錢:政府或其代理人員可能會控制他人的銀行賬戶來進行洗錢。這些受控制的賬戶可能是在境外的同胞或關系密切的個人賬戶。購買現成的代理賬戶:另一種可能的手法是購買已有的代理賬戶。這些賬戶可能由境外同伙或在境外的代理人員創建和持有。創建虛假公司和賬戶:可能會創建虛假公司和賬戶,將其用作代理賬戶來進行洗錢。這種手法通常涉及虛假身份、地址和聯系方式等信息,以躲避監管和審查。
Tags:加密貨幣SINEOSTOR加密貨幣市場最新消息分析sinoc幣未來能漲多少倍EOSWINAirtor Protocol
4月21日,據官方公告,Binance即將上線第31個Launchpad項目OpenCampus,并開啟BNB專場,此次售賣將基于投入模式.
1900/1/1 0:00:00Tips: AMM與RFQ實際代表著DeFi和TradFi思維模式的差別AMM提高資金利用效率的方式是通過LP杠桿化實現的RFQ模式對于跨鏈交易有天然的優勢CorePools的引入將顯著改變Ba.
1900/1/1 0:00:00在2023香港Web3嘉年華上的「香港Web3發展新動向:從Web2到Web3的演進與融合」分會場二中,香港數碼港管理有限公司首席企業發展官陳志恒發表演講.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 在Coinbase推出基于OPStack的全新以太坊L2網絡Base之后,a16z也出手了.
1900/1/1 0:00:00有關公鏈發展的突破問題討論再多也不為過,近期有一個En-Tan-Mo的項目,該項目頗有學術派氣質,其定位為基于納什均衡和價值傳遞理論的新一代區塊鏈項目,并且有兩位諾獎得主作為顧問參與.
1900/1/1 0:00:00原文來源于Dappradar,白澤研究院編譯。因篇幅原因略有內容刪改,建議感興趣的讀者閱讀原文:隨著BoredApeYachtClub(BAYC)成立兩周年的臨近,現在正是回顧YugaLabs不.
1900/1/1 0:00:00