5月15日新西兰加密货币交易所Cryptopia宣布停运并清算,并表示已指派正大会计师事务所对资产进行清算,将持续数月。今年1月该交易所遭遇连续两次的黑客攻击,损失超过1600万美元。本文将深度还原黑客如何洗掉从Cryptopia那里盗来的黑币的。
原文标题:《图文剖析Cryptopia交易所黑客行踪》作者:PeckShield团队
2019年1月,黑客攻击了新西兰的虚拟货币交易所Cryptopia,盗取了以ETH为主的数字资产之后销声匿迹。近日,随着币价的攀升,该黑客在沉寂了数月后,开始密集的行动。据PeckShield数字资产护航系统数据显示,近两天来,该黑客已经将4,787个ETH转入了火币交易所,而且仍有26,003个ETH等待被洗时机。
PeckShield安全人员梳理黑客路径发现
COLOPL集团旗下区块链游戏公司Brilliantcrypto与Coincheck达成合作:金色财经报道,Brilliantcrypto已与加密资产交易服务提供商Coincheck在IEO(首次交易所发行)之前建立合作伙伴关系。通过此次合作,并将 Brilliantcrypto 目前正在开发的区块链游戏与 Coincheck 的加密资产交易服务连接起来,两家公司正在合作在全球范围内创造新的游戏体验和 GameFi 市场。[2023/7/20 11:07:34]
1、黑客在攻击成功后,一般会将资产分散到多个地址或直接转移到新地址后沉寂一段时间以避开风头;2、在过程中,黑客会先转移出少部分资产进行尝试,寻找最佳方式;3、在少部分资产尝试清洗成功后,才会处理剩余资产,否则会继续沉寂等待时机。
从本次路径看,黑客是有通过去中心化交易所EtherDelta,以BAT、ELF等代币配对交易,进行伪装买卖,逃离追踪的想法。不过,纯链上交易信息清晰可查,黑客虽魔高一尺,但白帽安全人员布下了天罗地网,能层层剖析,抽丝剥茧清晰还原黑客的全过程。
0xd6开头的地址将超过1820亿个SHIB转移到Gemini和Crypto.com:金色财经报道,分析公司 Lookonchain 引用的数据显示,地址为(0xd6)开头的钱包将超过 1820 亿个 SHIB 转移到Gemini 和 Crypto.com 。三个月前,同一个钱包将超过 2000 亿个 SHIB 转移到Crypto.com并以美元出售。当时市场价格下跌了7%。
Etherscan 数据显示,地址为(0xd6)开头的钱包持有超过 3.1 万亿个 SHIB,按当前价格计算价值近 4000 万美元。这略高于 SHIB 代币总供应量的 0.3%。\u2028此外,该钱包于 2020 年 8 月获得了 SHIB 代币,初始投资为 10 个以太坊,价值约 3,000 多美元。[2023/2/27 12:32:19]
一图概览黑客全过程:
何一:来自传统金融界的从业者认为使用客户资金是正常的,但Crypto不是银行:11月12日消息,币安联合创始人兼Binance Labs负责人何一发推称,来自传统金融(TradFi)背景的人认为使用客户资金是正常的,但Crypto不是银行。简单地将Crypto视为货币或股票可能会导致风险管理出现问题——类似于将您的种子短语放入保险库并希望这能保证安全。
(可悲的)现实是,大多数快速崛起和衰落的团队都是来自TradFi世界的“blue blood(蓝血贵族)”,属于极少数可能最能与监管机构沟通的人。这些人的衰落对处于起步阶段的Crypto行业造成了极其不公平的偏见。(更可悲的是)直到那些人倒下的那一刻,他们都不知道自己为什么会倒下,只是希望“如果牛市来了,我不会死”。[2022/11/12 12:54:41]
图1:黑客盗取的ETH完整流向图
CryptoPunks系列NFT近24小时交易额跌幅超20%:金色财经报道,据NFTGo.io数据最新数据显示,CryptoPunks系列NFT总市值为828,651.18 ETH,过去24小时的交易额为514.47 ETH,跌幅达22.25%;地板价为65.95ETH,持有NFT地址总数为3619个。[2022/10/25 16:37:43]
从图1中能看到,黑客先将部分数字资产转移到一个地址,再伪装成买家和卖家,在去中心化交易所EtherDelta中买卖交易,试图逃避追踪,之后将资产再次汇聚到一起进入火币交易所。进一步的细节如下:
第一步:资产转移
在交易所等巨额资产出现安全问题后往往引来无数媒体关注,所有人都会紧盯资产流向,而此时黑客通常会沉寂数月乃至一年。在认为避开风头之后,抓住一个最佳时机,开始销赃。
美国快餐连锁店Quiznos与Crypto.com及The NFT Agency合作发布NFT系列:11月15日消息,美国快餐连锁店Quiznos宣布与Crypto.com和The NFT Agency合作推出一系列NFT,以Quiznos“Out of this World”三明治币为特色,销售持续24小时,收入将支持一个致力于为处于危机中的社区和国家结束饥饿的非盈利组织。这些艺术品由3D数字艺术家Sameer Baloch创建,展示了宇航员在整个加密星系中前往不同行星执行任务,目的是引入创新和替代的可持续性方法。(Business Wire)[2021/11/15 6:52:52]
此次黑客估计是被市场回暖唤醒,先将5,000个ETH以每笔1,000个的方式转入一个新地址,并以此为起点,开始一轮操作。如果仔细地看这五笔交易,会发现它们共间隔16小时,而且是在每转出一笔后,进入后续的伪装成买家卖家操作。可见黑客格外的小心翼翼,先探探头,试试水再说。
图2:黑客将部分资产转移到一个新地址
第二步:伪装买卖
黑客为了逃避资产追踪,一般会将大额资产,以小额多笔的形式分散到大量的地址中,再在各个地址上进行频繁的分散汇聚。而此次黑客采用了一种新方式,通过伪装成去中心化交易所的买家和卖家,试图以正常的挂单配对交易来逃避追踪。
图3:黑客伪装成买家
图4:黑客控制的地址买卖
黑客将每次收到的1,000ETH,再散成以约500个ETH一笔进入去中心化交易所,开始买卖。从图3和图4中发现,黑客以普通用户的方式,不是仅用一两笔,而是通过大量多笔的交易,完成从买家到卖家的资产转移。
伪装买家卖家,买卖BAT、ELF代币
下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手,图中是黑客成交的多笔ELF和BAT代币的订单。
图5:黑客伪装成买家交易ELF、BAT代币
具体来看买家在去中心化交易所EtherDelta合约上的一条交易记录
图6:买家在EtherDelta上的交易记录
在上图中可以看到,买家与卖家的配对交易,仅接着卖家做了提现操作,对应的着链上的交易记录
截图如下:
图7:卖家在EtherDelta上的提现记录
第三步:再次汇聚,进入交易所
通过去中心化交易所的倒手交易后,黑客已认为能够避免资产被追踪,又将获得的ETH汇总到一个地址,并分批次进入火币交易所。
图8:黑客资产汇总进入火币交易所
至此,黑客最初的5,000枚ETH,分批汇聚再进入去中心化交易所,经过倒手买卖,再次汇聚进入火币,看似天衣无缝的操作,实则在链上留下了诸多痕迹。
截至发文时,黑客共计将4,787个ETH转入了火币交易所,PeckShield正协助火币交易所对涉及赃款实施封堵。目前尚有26,003个ETH控制在黑客手中,存在进一步的可能。PeckShield正持续追踪黑客下一步的行踪。
今年1月份Cryptopia交易所遭黑客攻击损失共计30,790个ETH。时隔3个月,当时的ETH行情价格也已经翻番了,黑客觉得时机差不多成熟了,开始活跃出来了。整体来看,黑客此次行动还是很小心谨慎的,通过分散转移账号、伪装买卖等多种手段来逃离追踪,但区块链世界,一切链上行为都有迹可循,安全公司更道高一丈。
黑客地址一览
黑客初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11
伪装买家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1
伪装卖家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba
伪装卖家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f
资产汇总地址0x3d40897675A7467A73610c3ABbBc8292835e67F2
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
PeckShield
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627832.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
BCH硬分叉后重组并非51%攻击,而是从小偷那里夺回应有的币
下一篇:
监控地址,阻断黑币,保护声誉:慢雾AML为交易所开启「鹰眼」
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。