PeckShield：图文拆解巨鲸账号被盗大案，一个专业娴熟的黑客团伙所为

在区块链世界的黑暗丛林中隐藏着一批技术专业实力过硬的黑客，也有着一群早期因投资比特币赚得盆满钵满的币圈大佬。理论上，大佬只将其链上地址透露出来的话，黑客技术实力再过硬也无可奈何，但倘若大佬的链下身份也被识破的话，一场蓄谋已久的盗窃大案也就此拉开序幕。02月22日，一名自称“zhoujianfu”的用户在Reddit发帖称遭受黑客攻击，被盗了1,547个BTC和60,000个BCH，价值约2.6亿人民币。据受害者声称，他的SIM手机卡被破解从而导致资金被盗。PeckShield安全团队认为，SIM卡攻击，是通过绕过运营商的安全措施，将受害者的SIM卡进行复制或者重新办理，从而达到控制被盗者SIM卡的目的。一旦获得被盗者的手机号码控制权，通过短信验证码验证机制，就可以获取被盗者绝大多数的账户权限，这也包括绝大多数被盗者的加密货币账户。锁定目标

这名TwitterID为zhoujianfu的用户，在宣称被盗后很快就被锁定身份为JoshJones，他有一个非常显赫的身份，曾经最大交易所Mt.Gox的第二大债权人，而门头沟拥有43,768枚比特币。几乎在其Reddit发帖后的同时，大家就知道其真实身份，可见这位大佬平日在网络世界里处事并不低调，其拥有大量加密货币想必也是尽人皆知的事实，何况技高一筹的黑客。因此，黑客或许早就盯上了他。图文拆解：巨鲸账户被盗资产去向

黄立成宣布将发起ApeCoin提案收购BAYC、MAYC等蓝筹NFT:6月22日消息，“麻吉大哥”黄立成在社交媒体宣布将发起ApeCoin AIP提案，拟收购1000枚“无聊猿”BAYC、2000枚“变异猿”MAYC、以及一些CryptoPunks蓝筹NFT。黄立成表示将会把这些NFT捐赠给全世界的博物馆，并询问社区是否还要增加购买其他NFT项目，据悉该提案将由ApeCoin特别委员会成员Bored Ape G撰写。此前黄立成曾发文称ApeCoin DAO的架构存在一定问题，过于中心化，导致DAO的投资愿景无法实现。[2023/6/22 21:53:54]

此次1,547个BTC被盗是近几年最大的个人被黑大案。据受害者反映，他的BTC链上地址是1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone。PeckShield安全团队旗下可视化数字资产追踪系统CoinHolmes囊括了数十个交易所，超6,000万地址标签，涉及BTC、ETH、EOS、USDT等多种主流数字资产。根据受害者提供的地址，CoinHolmes很快锁定了黑客的相关地址，并展开了定向追踪和剖析，最终绘制了一个可视化路径转移全景图：

ApeCoin DAO社区关于新增投票“弃权”选项的提案已获通过:2月2日消息，ApeCoin DAO社区关于新增投票“弃权”选项的AIP 200提案以71.76%的支持率获得投票通过。根据该提案内容，除“赞成”和“反对”之外，添加的“弃权”选项可以让社区成员积极参与投票而不必偏袒任何一方，从而使更多APE持有者参与DAO治理。一旦通过，ApeCoin DAO将会尽快添加弃权按钮。[2023/2/2 11:42:47]

如图所示，此次黑客转移链上资金的手法非常专业、复杂，以致于用可视化工具做出来之后已经没了明晰的分层和脉络。比特币本身就有复杂的UTXO系统，基于此，黑客又用了大批量的账号分散和转移资金，甚至还启用了混淆系统。一顿操作猛如虎，黑客就像窜进了一个黑暗丛林当中一样。资金分散转移并小额拆分

套利者利用Bored Ape NFTX vault获得超6万枚ApeCoin空投:3月17日消息，Parsec Finance创始人Will Sheehan在社交媒体上表示，有套利者利用Bored Ape NFTX vault获得 60564枚ApeCoin空投，具体操作方式为先购买vault Token、然后赎回完整池、再认领APE空投，最后重新供给该池。[2022/3/17 14:03:16]

通过跟进分析巨鲸账户被盗的BTC资产，PeckShield安全人员发现黑客在盗取1,547个BTC后，迅速把资金切割分散，进行小额拆分。黑客这样做的用意正是以比特币UTXO找零系统的复杂性来大批量分散账户和资金，进行增加追踪的难度和时间成本。黑客短时间内把资金主要分散到了七个主要地址，各个地址资金情况如下：

比特币挖矿委员会成员：这不是新的OPEC:上市比特币矿企Argo Blockchain首席执行官Peter Wall表示，由马斯克和MicroStrategy CEO Michael Saylor牵头成立的比特币挖矿委员会不会改变比特币的代码或同质性，不会区分清洁和不清洁的比特币。他表示：我们不会谈论比特币的代码或区块大小，也不会做任何改变比特币本质的事。我们都喜欢现在的比特币，这种去中心化的无需许可的系统。针对有关密室协商的质疑，他打趣道：这不是一个新的OPEC。这个组织只是帮助大家携起手来，共同协商。我们都是独立的、去中心化的矿商，组建这样一个志愿组织，只是为了影响彼此，推动行业发展。

注：OPEC是石油输出国组织，简称欧佩克。亚、非、拉石油生产国为协调成员国石油政策、反对西方石油垄断资本的剥削和控制而建立的国际组织，1960年9月成立。（（Coindesk）[2021/5/25 22:41:43]

以bc1qre5开头的地址为例，PeckShield使用旗下数字资产可视化追踪平台CoinHolmes绘制了其资产流向转移图，从下图中我们可以看出地址上的资金在每笔交易中切割，转入大额资金的地址会沿着前进方向继续小额拆分。

声音 | PeckShield: 12月份多起竞猜类游戏攻击者系同一黑客:突发的各类EOS竞猜类黑客攻击事件，不仅给开发者带来庞大的数字资产损失，还严重影响DApp生态的平衡，如何追缴受损资金成为摆在安全公司、ECAF社区、交易所等面前的难题。最近，PeckShield安全盾风控平台DAppShield通过持续黑名单库扫描和链上数据追踪发现，去年12月份以来先后攻击过EOS竞猜游戏LuckBet、EOS Buff、ggeos等多个EOS竞猜游戏的4个黑客帐号之间存在关联，确定系同一黑客。数月以来，该黑客通过攻击各类EOS竞猜类游戏已经持续获利上万个EOS。PeckShield安全盾正全面布控追踪近段时间遭黑客攻击损失的资金流向，且正积极寻求各大相关交易所协助，希望尽可能帮助游戏开发者追缴受损资金。[2019/1/11]

资金与其他交易混淆

通过对黑客短时间分散并小额拆分盗取的1,547BTC的分析，我们已经能够看出黑客的专业性和复杂性。但在完成这一步分散操作后，黑客还在进一步试图通过更复杂的混淆系统，让资产追踪变得极其困难。PeckShield安全人员跟进分析发现，黑客在转移资金的过程中还夹杂着其他交易的UTXO作为混淆，以上文分析的bc1qre5开头的地址为例，下图红框标记的交易资金并不在此次被盗的1,547BTC资金中，同时6ef39b开头的交易除了包含bc1qre开头地址的资金，还混杂着其他UTXO。

比特币混币并不是一个新的概念，它最早起源于暗网，黑客或者犯罪分子将获取的BTC混在一起，以避免被追踪。具体来说，混币就是在一个交易中包含大量的输入和输出，将交易信息混乱打散，从而加大找出输入与输出之间关联性的难度。虽然比特币地址本身具备匿名性，但是相关交易数据是完全公开透明的，通过交易的地址关联，对数据的分析，是能够进行链上追踪并锁定地址背后身份的。所以为了避免被跟踪监测，黑客一般都会对盗取的比特币进行混币操作。部分资金流入交易所

PeckShield安全人员统计发现，自02月22日事件发生发至02月26日，短短4天时间，黑客共用了上百个地址来转移资金，最深的层级达到了20层。在资金拆分转移的过程中，有少部分资金已流入了交易所。依靠于CoinHolmes链上追踪的海量地址标签和实时的机器学习算法更新，即使是交易所新生成的地址，我们也能够准确并实时的分析出。据PeckShield统计，目前有11.19个BTC通过多次交易流入到了1LZVz7开头的Bittrex交易所地址。

流入Bittrex交易所的关键路径图如上图所示，如前文所述，在流入交易所前黑客已经采取了混币的方式，PeckShield安全人员因此判断，有一部分资金黑客可能并没有直接转至交易所，而是通过类似场外OTC的方式等方式进行了清洗。除了流入交易所的部分资金外，截至目前，大部分被盗资金还驻留在黑客地址中，PeckShield也正锁定监控目标资金转移进一步的动向。结语

PeckShield有理由相信，这次黑客应该是一支专业和技术过硬的黑客团伙。该团伙从选定目标，到链上+链下长时间的追踪和突破，着实下了不少功夫。这似乎给一些早期投资加密货币且获利颇丰的大佬们提了一个醒，赚了钱别瞎嘚瑟，有人在时刻盯着您嘞。尽管非对称加密私钥系统给个人账户加持了，以现在计算机算力几乎不可能攻破的链上防御工程，但个人私钥管理实属于链下行为，黑客可以借助用户在互联网上一些旧有的毛糙习惯进行突破，此次SIM卡攻击正是其中一种。常言道，“不怕贼偷，就怕贼惦记。”如果说，只知道链上地址，黑客尝试破解用户私钥需要穿越几世轮回，持续上亿年的话，而一旦用户的链上地址和链下身份对上了号，那黑客实施攻击的方式也无疑多了上万种可能。

标签：比特币SHICOINCOIShizzle NizzleMFIT Coincoinone官网下载

欧易交易所app官网下载热门资讯