買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > SAND > Info

ADO:慢霧 AML:“揭開” Tornado.Cash 的匿名面紗_ASH

Author:

Time:1900/1/1 0:00:00

By:慢霧AML團隊

隨著DeFi、NFT、跨鏈橋等項目的火熱發展,黑客攻擊事件也層出不窮。有趣的是,據慢霧統計,80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash,本文以KuCoin被盜事件為例,試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。

事件概述

據KuCoin官網公告,北京時間2020年9月26日凌晨,KuCoin交易所的熱錢包地址出現大量異常的代幣提現,涉及BTC、ETH等主流幣以及LINK、OCEN等多種代幣,牽動了無數用戶的心。

圖1

據慢霧AML團隊統計,本次事件被盜資金超2.7億美元,具體如下圖:

圖2

值得注意的是,我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中,我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash,并對Tornado.Cash的轉出進行分析,以分解出被盜資金可能流向的地址。

慢霧:過去一周加密領域因安全事件累計損失3060萬美元:7月24日消息,據慢霧統計,上周加密領域因遭遇攻擊累計損失3060萬美元,攻擊者利用了不同的攻擊向量。這些事件包括Alphapo熱錢包被盜(損失2300萬美元)、Conic Finance遭閃電貸攻擊(損失30萬美元)以及重入攻擊(損失320萬美元)、GMETA發生RugPull(損失360萬美元)、BNO遭閃電貸攻擊(損失50萬美元)等。[2023/7/24 15:55:56]

Tornado.Cash是什么?

Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。

慢霧:Poly Network再次遭遇黑客攻擊,黑客已獲利價值超439萬美元的主流資產:金色財經報道,據慢霧區情報,Poly Network再次遭遇黑客攻擊。分析發現,主要黑客獲利地址為0xe0af…a599。根據MistTrack團隊追蹤溯源分析,ETH鏈第一筆手續費為Tornado Cash: 1 ETH,BSC鏈手續費來源為Kucoin和ChangeNOW,Polygon鏈手續費來源為FixedFloat。黑客的使用平臺痕跡有Kucoin、FixedFloat、ChangeNOW、Tornado Cash、Uniswap、PancakeSwap、OpenOcean、Wing等。

截止目前,部分被盜Token (sUSD、RFuel、COOK等)被黑客通過Uniswap和PancakeSwap兌換成價值122萬美元的主流資產,剩余被盜資金被分散到多條鏈60多個地址中,暫未進一步轉移,全部黑客地址已被錄入慢霧AML惡意地址庫。[2023/7/2 22:13:22]

如何轉入?

攻擊得手后,黑客開始大范圍地將資金分批轉移到各大交易所,但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后,黑客將目光轉向了DeFi。

慢霧:警惕高危Apache Log4j2遠程代碼執行漏洞:據慢霧安全情報,在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置,經多方驗證,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架,建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響,并盡快升級新版本。[2021/12/10 7:30:00]

據慢霧AML旗下MistTrack反洗錢追蹤系統顯示,黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址,接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。

圖3

大部分ERC20代幣兌換成ETH后,被整合到了以下主要地址:

表1

在對ETH和ERC20代幣進行完整追蹤后,我們梳理出了資金是如何在黑客地址間移動,并分解出了資金是以怎樣的方式進入Tornado.Cash。

動態 | 慢霧區塊鏈攻防對抗總結:11 月數據泄露趨勢愈發普遍:據慢霧 BTI 系統監測發現,暗網中陸續出現區塊鏈相關的數據泄露情報,包括:GateHub 140 萬用戶信息、數字貨幣交易所用戶信息等,此前 BitMex 也因工作失誤導致大量用戶郵箱信息泄露。11 月另一個重大安全事件是韓國交易所 Upbit 被黑導致 34.2 萬 ETH 從熱錢包中被盜,慢霧安全團隊懷疑該事件可能和 APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。

過去數月,慢霧 BTI 系統還曾披露假充值漏洞攻擊、供應鏈攻擊、提幣地址劫持替換攻擊等,慢霧安全團隊在此提醒各項目方,做好安全漏洞自查,進一步增強人員安全意識及平臺風控體系,必要時可聯系專業的區塊鏈安全公司尋求幫助,避免遭受損失。(IMEOS)[2019/12/1]

圖4

黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下:

表2

轉到了哪?

猜想

動態 | 慢霧安全團隊發布門羅幣攻擊嚴重漏洞預警:慢霧安全團隊注意到,門羅幣修復新型假充值攻擊漏洞,問題出現在錢包處理隱身地址(stealth address)收款的校驗機制上。隱身地址是門羅幣匿名的關鍵機制之一,如果使用了這個機制來接收用戶的匿名轉賬,攻擊者可以向隱身地址發起惡意構造的重復轉賬,交易所錢包沒對這些重復轉賬進行正確性校驗的話,就可能會導致“假充值”攻擊發生,從而造成嚴重損失。[2018/9/27]

****

巨額的ETH進入Tornado.Cash,會集中表現出一些可追蹤的特征。2.以黑客急于變現的行為分析,猜想黑客將資金存入Tornado.Cash后會隨即提款,或下次存入時提款。

3.分析攻擊者使用洗幣平臺的方式和行為,可以獲得資金的轉移地址。

可能的鏈上行為

****

資金從Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。2.一定時間段內,從Tornado.Cash轉出的資金會持續轉出到相同地址。

驗證

****

以黑客地址(0x34a...c6b)為例:

如表2結果所述,黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)間,以每次100ETH,存115次的方式將11,500ETH存入Tornado.Cash。為了方便說明,我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄,如下圖:

圖5

接著,我們查看_Tornado.Cash:100ETH_合約的交易記錄,找到地址(0x34a...c6b)在同一時間段的存款記錄,下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。

圖6

查看該地址(0x82e...398)在此時間段的交易哈希,發現該地址并沒有將ETH提款給自己,而是作為一個合約調用者,將ETH都提款到了地址(0xa4a...22f)。

圖7

圖8

同樣的方式,得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址,具體如下:

表3

經過核對,發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致,這似乎驗證了我們的猜想。對其他地址的分析方法同理。

接著,我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示,黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺,另一部分資金進入第二層后也被黑客轉入了上述交易平臺,試圖變現。

圖9

總結

本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH,分析結果不由得讓我們思考:Tornado.Cash真的完全匿名嗎?一方面,既然能分析出部分提款地址,說明不存在絕對的匿名;另一方面,匿名性是具備的,或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。

截止目前,KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來,DeFi或許已成為黑客轉移資金的通道,而今監管已至,合規化的腳步愈發逼近,有合規需求的項目方,可以考慮接入慢霧AML系統(aml.slowmist.com),即使黑客使用了DeFi,也無處遁形。

往期回顧

DeFi平臺CreamFinance再遭攻擊,1.3億美金被盜

慢霧區|區塊鏈被黑檔案庫升級上線

慢霧:復盤Liquid交易平臺被盜9000多萬美元事件

天價手續費分析:我不是真土豪

Avalanche鏈上閃電貸攻擊事件——ZabuFinance被黑分析

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags:ORNADOTORASHtorn幣行情ZILLADOGE價格Historianash幣什么時候上交易所

SAND
以太坊:以太坊2021年Q3季度報告:生態發展迅速,基礎指標全面上漲_TIM

以太坊2021年Q3季度的報告新鮮出爐,讓我們來看看與以往季度報告相比,Q3季度發生了哪些新變化~ 協議 網絡收入增長了511%.

1900/1/1 0:00:00
GAT:Losercoin 全職業系列NFT盲盒再創新高,第三階段盲盒10月29日重磅上線_買比特幣真的很賺錢嗎有沒有風險

Losercoin全職業系列NFT盲盒于10月18日正式發售,截止10月29日新一批盲盒發售前,共解鎖盲盒4000個,當天發售最快2分06秒售罄.

1900/1/1 0:00:00
USD:明星項目周報 | NEAR啟動8億美元生態基金;Cream Finance再遭攻擊(10.25-10.31)_Yearn DeFi Fork

10月25日-10月31日一周時間內,明星項目進展中值得關注的事件有:NEAR啟動8億美元生態基金.

1900/1/1 0:00:00
ETH:SKALE上基于NFT的AMM交易所Ruby.Exchange完成280萬美元融資,NGC等參投_Polkalokr

巴比特訊,10月27日,SKALE上基于NFT的AMM交易所Ruby.Exchange宣布完成280萬美元融資.

1900/1/1 0:00:00
ripple:Ripple Q3報告:RippleNet交易量較去年翻倍,ODL交易每季度增長130%_Monsta XRP

據CoinGape10月30日消息,Ripple發布第三季度XRP市場報告,自愿提供透明度和定期更新公司對加密市場狀況的看法,如季度銷售更新、與XRP相關的公告和對上一季度市場發展的評論.

1900/1/1 0:00:00
KSM:Gate.io 支持一鍵參與KSM插槽拍賣活動火熱進行中(目前Bit.Country Pioneer領先)_GAT

第13次波卡插槽拍賣正在火熱進行中。目前Bit.CountryPioneer以102,005.5519KSM的質押量排名靠前,截至2021年11月3日14:00,Gate.ioNEER鎖倉理財已.

1900/1/1 0:00:00
ads