慢雾：复盘 Liquid 交易平台被盗 9000 多万美元事件

北京时间2021年8月19日10:05，日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看，Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种，币种之多，数额之高，令人惊叹。

慢雾AML团队利用旗下MistTrack反追踪系统分析统计，Liquid共计损失约9,135万美元，包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。

慢雾AML团队全面追踪了各币种的资金流向情况，也还原了攻击者的洗币手法，接下来分几个部分向大家介绍。

BTC部分

攻击者相关地址

慢雾AML团队对被盗的BTC进行全盘追踪后发现，攻击者主要使用了“二分法”的洗币手法。所谓“二分法”，是指地址A将资金转到地址B和C，而转移到地址B的数额多数情况下是极小的，转移到地址C的数额占大部分，地址C又将资金转到D和E，依次类推，直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额，要么以二分法的方式继续转移，要么转到交易平台，要么停留在地址，要么通过Wasabi等混币平台混币后转出。

慢雾：区块链因黑客攻击损失总金额已超300亿美元:金色财经报道，据慢雾统计数据显示，自2012年1月以来，区块链黑客造成的损失总金额约为30,011,604,576.24美元；黑客事件总数达到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻击中损失最大的类别，损失金额分别为10,953,323,803.39美元、3,123,297,416.28美元，2,005,030,543.30美元。另外合约漏洞、Rug Pull、闪电贷攻击是最常见的攻击方式，分别发生黑客事件137起，106起，87起。[2023/7/7 22:24:09]

以攻击者地址为例：

据MistTrack反追踪系统显示，共107.5BTC从Liquid交易平台转出到攻击者地址，再以8~21不等的BTC转移到下表7个地址。

慢雾：共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息，慢雾首席信息安全官23pds发推表示，针对共享Apple ID导致资产被盗现象，核心问题是应用没有和设备码绑定，目前99%的钱包、交易App等都都存在此类问题，没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行，攻击者在配合其他手法如社工、爆破等获取的密码，导致资产被盗。23pds提醒用户不要使用共享Apple ID等，同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

为了更直观的展示，我们只截取了地址资金流向的一部分，让大家更理解“二分法”洗币。

以图中红框的小额转入地址为例继续追踪，结果如下：

可以看到，攻击者对该地址继续使用了二分法，0.0027BTC停留在地址，而0.0143BTC转移到Kraken交易平台。

慢雾：去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息，2022年3月29日，Acutus的ACOWriter合约遭受攻击，其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控，攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 14:25:07]

攻击者对其他BTC地址也使用了类似的方法，这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记，帮助客户做出有效的事前防范，规避风险。

ETH与ERC20代币部分

攻击者相关地址

经过慢雾AML团队对上图几个地址的深度分析，总结了攻击者对ETH/ERC20代币的几个处理方式。

慢雾：Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息，Badger DAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。据慢雾MistTrack分析，截止目前黑客已将获利的加密货币换成 renBTC，并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]

1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。

2.部分ERC20代币直接转到交易平台，部分ERC20代币直接转到地址1并停留。

3.攻击者将地址1上的ETH不等额分散到多个地址，其中16,660ETH通过Tornado.Cash转出。

地址2的538.27ETH仍握在攻击者手里，没有异动。

4.攻击者分三次将部分资金从Tornado.cash转出，分别将5,600ETH转入6个地址。

其中5,430ETH转到不同的3个地址。

另外170ETH转到不同的3个交易平台。

攻击者接着将3个地址的ETH换成renBTC，以跨链的方式跨到BTC链，再通过前文提及的类似的“二分法”将跨链后的BTC转移。

以地址为例：

以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果，该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。

TRX/TRC20部分

攻击者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

资金流向分析

据MistTrack反追踪系统分析显示，攻击者地址上的TRC20兑换为TRX。再将所有的TRX分别转移到Huobi、Binance交易平台。

XRP部分

攻击者相关地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

资金流向分析

攻击者将11,508,495XRP转出到3个地址。

接着，攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。

总结

本次Liquid交易平台被盗安全事件中，攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移，之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前，大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台，11,508,516枚XRP转入交易平台，攻击者以太坊地址2存有538.27ETH，以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币，慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。

攻击事件事关用户的数字资产安全，随着被盗数额越来越大，资产流动越来越频繁，加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统，在收到相关“脏币”时会收到提醒，可以更好地识别高风险账户，避免平台陷入涉及的境况，拥抱监管与合规的大势。

来源链接：mp.weixin.qq.com

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

慢雾

慢雾

慢雾科技是一家专注区块链生态安全的国家高新技术企业，通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括：安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品，已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多

标签：BTCETHRC20RC20XBTC币CBETH币brc20创始人

火币APP热门资讯