近期,区块链安全事件频发,无论是DeFi、跨链桥、NFT还是交易所,都损失惨重。除了对事件发生的原因进行技术分析以警示,我们也应将视线看向被盗资产方面。加密货币的匿名属性,使其难免被用于和资产转移,随着各国政策的更新与完善,拥抱监管与合规必是未来的一个趋势,因此,对被盗资产流向及攻击者洗币手法进行分析、对链上动态进行实时监测显得尤为重要。
慢雾AML团队利用旗下MistTrack反追踪系统,以近期发生的其中两个事件为例,通过剖析攻击者的洗币手法及资产的流向来窥见一二。
XSURGE攻击事件
概述
2021年8月17日3:13AM,XSURGE官方发布关于SurgeBNB漏洞的声明,称由于SurgeBNB合约不可更改且已被放弃,因此无法修补该漏洞,但强烈建议用户尽快移出SurgereBNB,该漏洞随时可能被攻击者触发。
不幸的是,在3:59AM,官方就表示遭遇攻击。
事件相关地址通过比对相似合约,我们还发现了其他攻击者信息。资金流向分析
经过分析,本次事件是由于其合约的sell函数导致了重入漏洞,也就是说攻击者通过不断买卖的操作,以更低的代币价格获取到了更多的SURGE代币。那攻击者具体是怎样进行获利并转移资金的呢?
我们以攻击者1创建的合约为例来分析攻击者的获利过程。首先,8月16日19:39:29(UTC),攻击者1在币安智能链(BSC)创建了攻击合约1,闪电贷借出10,000BNB后购买SURGE代币,多次以“卖出再买入”的方式来回交易,最后获利12,161BNB。接着分别创建了合约2-6,以同样的方式获利,最终攻击者1获利13,112BNB。攻击成功后,黑客并没有持币观望等待时机,而是直接开始转移资金,想获利,经过两层大的转移,黑客轻而易举地将资金转移到了交易所:
第一层洗币:将资金不等额分散到多个地址
攻击者先是将获利的13,112BNB随机分成了两大部分,将一部分BNB以不等的金额陆续转出到不同地址,将另一部分BNB先通过PancakeSwap、1inch换成ETH后再转出到不同地址,最终13,112BNB被转移到下图的30个不同地址。第二层洗币:将资金直接或分批兑换转移
经过对30个地址资金转移的不断分析,我们渐渐总结出了攻击者的转移方式主要有以下几种:
1、将BNB直接换成ETH,直接或分批转到币安。2、部分BNB换成ETH转到币安,部分BNB转到其他地址,汇聚后一起换成ETH,再分批转到币安。以地址(0x77b...22d)为例:3、ETH直接或分批分层转到币安截至目前,13,112BNB均转移至币安。
思考:不难看出,该事件的攻击者转出资产的核心方式还是“兑换、汇集、分批、多层”,最终大部分资金都到了币安交易所,但这并不意味着目前大部分被盗资产脱离攻击者的控制,此刻就非常需要全球交易所以合规的方式联合起来,阻断攻击者的黑资产变现行为。
StableMagnet跑路事件
概述
北京时间6月23日凌晨,币安智能链(BSC)上稳定币兑换自动做市商StableMagnet卷走用户2400万美元跑路。然而在事件发生前,部分用户曾收到匿名组织发来的信件,信件中暗示StableMagnet将RugPull,但用户只是半信半疑没有做出过多举动。2400万美元被带走的同时,用户的钱包也被洗劫,官方网站、电报群、推特全都“查无此人”。从震惊无措中缓过来的受害者们立刻联络起来,社区部分“科学家”们自发组建了核心调查组,联合币安的力量,展开了一场跌宕起伏的自救行动。
事件相关地址
项目方跑路地址:0x8bea99d414c9c50beb456c3c971e8936b151cb39
资金流向分析
经过分析,此次问题出在智能合约调用的底层函数库,而项目方在底层函数库SwapUtilsLibrary中植入了后门,一开始就为跑路做好了准备。收割资金,利用漏洞,卷走资金,一切就从下图的交易开始了………在这笔交易中,项目方带走了超800万枚BSC-USD、超720万枚USDC以及超700万枚BUSD。资金到手,项目方没有过多停顿,立马就开始转移资金。
第一层洗币:少部分兑换后,将资金等额分散到多个地址
为了后续更统一方便地转移,项目方先将1,137,821BUSD换成1,137,477USDC,将781,878BUSD换成781,467BSC-USD。接着分别将BUSD、USDC、BSC-USD等额分散到以下地址:第二层洗币:部分资金兑换后进行跨链并转入混币平台,部分资金直接转入币安
BUSD部分
根据分析,上图中的一部分BUSD换成91anyBTC跨链到地址A(bc1...gp0)。一部分BUSD换成60anyBTC跨链到地址B(bc1...kfu)。USDC部分
根据分析,上图中的一部分USDC兑换为anyETH,跨链到5个以太坊地址。另一部分USDC兑换为USDT,跨链到5个以太坊地址。接着,将ETH都转移到了地址C(0xfa9...d7b)和地址D(0x456...b9f)。而这两个地址,少部分转到了第一层表格中的地址,多数转移到了Tornado.Cash。而USDT被换成DAI,一部分停留在地址,一部分已转到混币平台Tornado.Cash。BSC-USD部分
上图中的BSC-USD资金,皆分批转到了币安。据了解,事件发生后几天,币安提供了嫌犯可能在香港的有效线索,社区调查者的线索也指向香港,但嫌犯在明知身份已泄露的情况下仍拒绝配合。受害者们只能将眼光转向,好在分别于香港、英国实现了立案。正在焦灼之时,英国立即受理并对该事件展开行动,在社区与匿名组织给出的有效信息支持下,开启了抓捕行动。值得庆幸的是,在社区与英国的联合力量下,回收了90%资产,并抓获了部分嫌疑人,这也是DeFi攻击史上首次由发起链上退款的事件。
思考:不难看出,Tornado.Cash等混币服务系统、闪兑平台以及一些免KYC的中心化机构,目前都是的重灾区。另外,在该跑路事件中英国起到了非常重要的作用,每个平台应该将合规与安全监管重视起来,必要时与监管执法机构合作,打击不法行为。
总结
经过上述分析,不难发现币安似乎很受攻击者的青睐。作为全球领先的加密货币交易所之一,币安最近遭遇了多个国家的监管风波,8月6日,币安CEO赵长鹏在推特上表示,币安将从被动合规转向主动合规,随后币安上线了一系列拥抱合规的平台安全策略。监管的意义在某些攻击事件中也不言而喻,例如Tether对被盗的USDT的冻结、慢雾联合交易所对被盗资金的冻结。
在合规监管方面,慢雾发布了AML系统,交易平台接入AML系统后,一方面交易平台在收到相关盗币资金时会收到提醒,另一方面可以更好地识别高风险账户,保持平台合规性,避免平台陷入涉及的境况。作为行业领先的安全公司,慢雾始终关注着每一件安全事件,当攻击事件发生后,我们会迅速采集攻击者相关的地址录入到AML系统,并进行持续监控与拉黑。目前,慢雾AML系统旗下的恶意地址库已涵盖从暗网到全球数百个交易所的有关内容,包含BTC、ETH、EOS、XRP、TRX、USDT等恶意钱包地址,数量已突破10万,可识别地址标签近2亿,为追踪黑客攻击、洗币行为提供了全面的情报支撑。
欢迎点击此免费试用慢雾AML系统,通过监测链上活动的实时动态,提高整个平台的风控安全与合规等级。
来源链接:mp.weixin.qq.com
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
慢雾
慢雾
慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。