匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同地“组建”起反同盟,其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。
2022 上半年,这些群体的反动态如下:
交易平台/资金管理平台/项目方
Tether:2022 上半年共计屏蔽了 132 个 ETH 地址 ,这些地址上拥有的 USDT-ERC20 资产被冻结不可转移。
Circle:2022 上半年共计屏蔽了 18 个 ETH 地址 ,这些地址上拥有的 USDC-ERC20 资金被冻结不可转移。
监管方
美国财政部:4 月 14 日制裁 Ronin Network 黑客(LAZARUS GROUP)相关的地址,5 月 6 日制裁加密货币混币器 Blender,值得注意的是,美国财政部在此之前从未制裁过加密货币混币器。
区块链安全公司
Chainalysis:3 月 10 日,创建 SanctionsList 链上数据库合约 ,共计制裁 31 个地址 。
SlowMist:4 月 27 日,MistTrack 反追踪系统正式上线,专注于打击加密货币活动。
众所周知,造成区块链安全事件的黑客、黑色产业链、欺诈者和 Rug Pull 项目方一直是的主力,其中最臭名昭著的莫过于朝鲜 LAZARUS GROUP 黑客组织,给区块链生态安全带来巨大的威胁。
数据:GBTC交易量达到2022年6月以来的最高水平:金色财经报道,灰度的法庭胜利引发了GBTC股票的交易狂潮。根据雅虎财经的数据,全天有近2000万股GBTC股票易手,这是自2022年6月加密市场崩盘以来的最高水平。GBTC上涨18%至近21美元,这是自7月中旬比特币触及31,000美元以来的最高水平。[2023/8/30 13:05:32]
根据开源情报和链上数据分析推测 LAZARUS GROUP 上半年的动态如下:
1 月 17 日,Crypto.com 的少数用户账户遭到未经授权提款。
2 月 8 日,The IRA Financial 的 Gemini 托管账户被恶意提款。
3 月 23 日,Ronin Network 跨链桥被盗成为加密货币领域损失最大的黑客攻击事件之一。
在这些与 LAZARUS GROUP 相关的安全事件中,我们可以通过他们成体系的手法发现他们的痕迹:
初期:将 ETH 链上的获利资金全部兑换为 ETH,并将所有的 ETH 分批转入Tornado.Cash(大量)或者交易平台(少量)。
中期:从 Tornado.Cash 分批提款后兑换为 renBTC 代币跨链到 BTC 链。
后期:在 BTC 链上,从 renBTC 提款后汇总资金,并进一步转移到 Coinjoin 和混币器。
在黑客、黑色产业链、欺诈者和 Rug Pull 项目方过程中,自然少不了一些工具的帮忙,常见的工具有 ETH/BSC 链上的 Tornado.Cash,BTC 链上的 Coinjoin 工具(ChipMixer 等)、混币器(Blender、CryptoMixer 等)、隐私钱包(Wasabi、Samourai 等)、换币平台(ChangeNOW、SimpleSwap、FixedFloat 等)和一些交易平台。
报告:2021年至今已检测到超1500个针对潜在加密投资者的欺诈性网站:网络安全公司卡巴斯基表示,自2021年初以来,该公司发现了超过1500个欺诈性的网站,这些网站的目标是对加密货币挖矿感兴趣的潜在加密投资者或用户。在此期间,该公司阻止了超过7万名用户试图访问这些网站。该公司在一份报告中详细介绍了网络犯罪分子针对这类用户使用的最常见的手法。根据该报告,网络罪犯倾向于创建虚假的加密货币交易网站,以瞄准潜在的加密货币投资者。在这种情况下,据称用户会在加密交易所获得一张充值优惠券。然而要使用它,他们必须进行通常不超过0.005比特币(约200美元)的验证支付,这就成了网络罪犯的利润。(The Hindu Business Line)[2021/8/22 22:29:55]
一些常见工具上半年的存提款数据如下:
(Tornado.Cash 上半年存款/提款图)
Tornado.Cash:2022 上半年用户共计存款 955,277 ETH(约 24.42 亿美元)到 Tornado.Cash,共计从 Tornado.Cash 提款 892,573 ?ETH(约 22.49 亿美元)。
(ChipMixer 上半年存款/提款图)
ChipMixer:2022 上半年用户共计存款 26,021.89 BTC 到 ChipMixer,共计从 ChipMixer 提款 14,370.57 BTC。
共为2020 | 宙斯在线科技CEO Tony:区块链产业发展需政策指导、企业探索、全民参与:金色财经现场报道,2020年6月21日,由金色财经主办的共为2020·区块链创新应用论坛在深圳拉开帷幕。宙斯在线科技CEO、中软协区块链分会理事、中国气象环境社会化观测同盟发起人Tony在《跃迁:大变革后的格局与方向》圆桌对话中指出,宙斯气象系统(ZWS)是利用区块链技术,进行全球分布式气象环境数据收集的社会化观测区块链解决方案。实际上,气象环境领域的数据检测与政府无法分开,我们通过去中心化方式搜集的数据实际是能给到监管部门有力补充,我们是积极拥抱政府与监管的。区块链产业发展,要有政策性指导,继而是企业探索,最终形成全民参与。另外随着一些基础设施的建设和落地场景的不断完善,整合行业资源,会实现全行业的发展。[2020/6/21]
Blender:LAZARUS GROUP 使用此混币器洗 Ronin Network 跨链桥被盗的钱,于 5 月 6 日被美国财政部制裁,目前站点已不可用。
在反分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?的资金去了哪里?我们将通过上半年的典型安全事件来探索这两个问题。
发起攻击的手续费来自哪里?
(典型安全事件攻击手续费来源图)
根据典型安全事件攻击手续费来源图,典型安全事件的攻击手续费大多都来自 Tornado.Cash 提款,也有从换币平台、交易平台提款或从其他个人地址转移的情况。
动态 | 加密货币借贷公司 BlockFi 将于 2020 年推出 BTC 奖励信用卡:加密货币借贷公司 BlockFi 宣布将于 2020 年发行一款全新的 BTC 奖励信用卡,推进加密货币在全球范围的使用。该信用卡除了获得航空里程或现金返点之外,还可以基于每一笔交易获得 BTC 的返点,旨在以一种简单熟悉的方式引入新的加密货币持有人。[2020/1/2]
的资金去了哪里?
通过对上半年典型安全事件的整体分析,的主要流程发生在 ETH 链或 BTC 链,如果资金没有在这两条链上,黑客也会考虑将资金跨链到这两条链进一步变现。
通过对典型安全事件被盗资金的 ETH 和 BTC 流向进行分析,得到 ETH/BTC 资金流向图,能够初步评估出资金的态势。
(1)ETH 资金流向图
(典型安全事件 ETH 资金流向图)
(典型安全事件 ETH 资金流向比例饼图)
根据典型安全事件 ETH 资金流向图,74.6% 资金流向 Tornado.Cash,资金量高达 300,160 ETH;23.7% 资金保留在黑客地址,暂未进一步转移,资金量为 95,570 ETH;1.5% 资金流向交易平台,资金量为 6,250 ETH。
动态 | 2020年3月起,意大利银行业将使用分布式账本技术进行对账:据Finextra消息,意大利银行业协会(ABI)透露,到2020年3月,意大利的银行将使用分布式账本技术(DLT)进行对账,这将是意大利银行业首次使用区块链。据悉,此举是Spunta项目的一部分,该项目由协会的研究和创新部门ABI Lab管理,旨在国家银行间流程中实施DLT。 据此前报道,Spunta项目已有18家银行参与,其银行员工人数占到该国银行从业人员的78%。该项目基于区块链技术,旨在提高银行间对账系统的标准化程度。当时(二月)该项目处于“前期阶段”。[2019/6/19]
(2)BTC 资金图
(典型安全事件 BTC 资金流向图)
(典型安全事件 BTC 资金流向比例饼图)
根据典型安全事件 BTC 资金流向图,48.9% 资金流向 ChipMixer,资金量高达 3,460 BTC;36.5% 资金保留在黑客地址,暂未进一步转移,资金量为 2,586 BTC;6.2% 资金流向 Blender,3.8% 资金流向 CryptoMixer,2.1% 资金流向未知主体,1.3% 资金流向 renBTC,0.7% 资金流向 Wasabi Coinjoin,0.1% 资金流向 Binance 交易平台。
在正式开始反分析之前,我们首先要有一个高效的工具和一套有效应对复杂情况的分析方法。
基础工具 – MistTrack
(MistTrack 反追踪系统示例图)
MistTrack 反追踪系统(?https://misttrack.io/)是一套由慢雾科技创建的专注于打击加密货币活动的 SaaS 系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
AML Risk Score
MistTrack 反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算 AML 风险评分。当地址所属实体为高风险主体(如混币平台)或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。
Address Labels
MistTrack 反追踪系统积累了超 2 亿个钱包地址标签,地址标签主要包含 3 个分类:
1.它归属于什么实体,如 Coinbase、Binance
2.它的链上行为特征,如 DeFi 鲸鱼、MEV Bot 以及 ENS
3.一些链下情报数据,如曾使用过 imToken/MetaMask 钱包
Investigations
追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。
(MistTrack 追踪分析示例图)
通过标记 1 千多个地址实体、2 亿多个地址标签,10 万多个威胁情报地址,以及超过 9000 万个与恶意活动相关的地址,MistTrack 为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack 在反分析评估工作中起到至关重要的作用。
拓展方法 - 数据分析
MistTrack 可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在 ETH/BSC 链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成为 ETH/BSC 链上反的主战场。
新的手法需要新的分析方法,对 Tornado.Cash 转出分析的需求变得越来越普遍,此处我们将提出一个针对 Tornado.Cash 资金转出的分析方法。
记录目前已知的信息,已知信息包括转入 Tornado.Cash 总数,第一笔 Tornado.Cash 存款时间,第一笔 Tornado.Cash 存款的区块高度。
将参数填入我们准备的分析面板?(https://dune.com/awesome/Tornado-withdraw-analysis)。
得到初步的 Tornado.Cash 提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。
筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。
Tornado.Cash 转出分析结论。
(Dune Dashboard - Tornado.Cash 转出分析)
通过这个 Tornado.Cash 资金转出的分析方法,我们已成功分析出 Ronin Network 等多个安全事件从 Tornado.Cash 转出后的资金详情。
显而易见,这个 Tornado.Cash 资金转出的分析方法同样存在局限性:转入 Tornado.Cash 的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。
而在 BTC 链上,通过区块链反资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用平台。Blender 目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。
ChipMixer 流入资金量巨大,我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。
识别 ChipMixer 的提款特征。
根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内 ChipMixer 的提款记录。
对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。
ChipMixer 转出分析结论。
反仍然是区块链发展的重中之重,面对层出不穷的被黑事件,针对其独有的特点,相应的反规范也需要具体问题、具体分析、具体应对。文中所提到的典型安全事件具体见完整报告内容。
完整报告下载:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。