本篇主要集中解读 Ronin Network 安全事件反分析及工具方法介绍。
事件背景
工具及方法
在正式开始反分析之前,先介绍一个高效的工具和一套有效应对复杂情况的分析方法。
(MistTrack 反追踪系统示例图)
MistTrack 反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的 SaaS 系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
AML Risk Score
MistTrack 反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算 AML 风险评分。当地址所属实体为高风险主体(如混币平台)或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。
报告:以太坊Layer 2可以从区块链中获得收入,因为它们变得更具竞争力:金色财经报道,加密货币交易所Coinbase周一在一份研究报告中表示,以太坊需要Layer 2层区块链来帮助解决其成本和吞吐量方面的缺陷,尽管这些相同的扩展产品可能会从网络中榨取收入,因为它们变得具有竞争力而非互补性。
Coinbase 机构研究负责人 David Duong写道,Layer 2层可以成为承载大量经济活动的应用层,而以太坊专门用于存储交易数据,这是可行的。
此外,报告还称,Layer 2 的未来可能是一场“零和游戏”,因为容纳大多数 dapp 的 Layer 2 可以为整个以太坊生态系统提供动力。目前,以太坊上锁定的总价值(TVL)约为 689 亿美元,而Layer 2锁定的总价值为 52 亿美元。(Coindesk)[2022/8/9 12:13:38]
Address Labels
MistTrack 反追踪系统积累了超 2 亿个钱包地址标签,地址标签主要包含 3 个分类:
(1)它归属于什么实体,如 Coinbase、Binance
报告:Cardano链上活动今年迄今增长268%,月均增长16%:8月7日消息,近日,Kraken Intelligence发布了一份题为“2022年7月加密链上摘要:所有人都在关注ETH”的研究报告。从Cardano社区的角度来看,报告中最有趣的部分之一是关于“每日链上转账量(7天移动平均线)”的度量。
报告指出:“ADA链上活动继续大幅增长,今年迄今为止增长了268%,月平均增长了16%。虽然ADA链上交易量的增长没有单一的驱动力,但近几个月来,Cardano区块链出现了几个显著的发展。也就是说,该平台上的交易量增长可能得益于其首个DeFi交易所SundaeSwap和首个元宇宙游戏应用Pavia的推出。”
报告还表示:“开发者将该区块链的区块大小限制提高了10%,Cardano的生态系统上个月扩大到超过1000个项目,对即将到来的硬分叉的预期可能促进了ADA的交易量增长,还有一些其他的发展。然而,Vasil硬分叉最初定于6月,但后来被推迟了数周。”(Crypto Globe)[2022/8/7 12:07:36]
(2)它的链上行为特征,如 DeFi 鲸鱼、MEV Bot 以及 ENS
《中国区块链发展报告(2020)》正式发布:11月14日,“2020金融科技、监管科技、区块链蓝皮书发布会”在北京举行。大会发布了《中国金融科技发展报告(2020)》、《中国监管科技发展报告(2020)》、《中国区块链发展报告(2020)》。三部年度蓝皮书分别由中国人民银行科技司司长李伟、中国人民银行货币政策司司长孙国峰、中国证监会科技监管局局长姚前担任主编。三部蓝皮书的执行主编、北京区块链技术应用协会会长、中科金财董事长朱烨东表示,区块链去年的应用呈现爆发式增长,在政务服务、企业支付担保、海关监管、工业互联网融合等方面均有落地发展。从区块链的行业发展趋势来看,中国已经成为区块链全球最大的市场。区块链具有“强基础设施”属性,区块链“新基建”大有可为;区块链助力数据要素确权、共享及开放,赋能数字经济;区块链与实体经济、政务民生等领域深度融合发展;区块链与物联网、工业互联网等新技术融合趋势渐显,生态体系建设日趋完善。全球已有30多个国家或地区正在探索开放银行模式,国内有百余家银行、金融科技公司已经积极投入开放银行生态建设中。(上海证券报)[2020/11/17 21:02:25]
(3)一些链下情报数据,如曾使用过 imToken/MetaMask 钱包
报告:委内瑞拉在加密应用方面排名世界第三:8月27日消息,Chainanalysis Metrics一份报告显示,委内瑞拉在加密应用方面排名世界第三,仅次于乌克兰和俄罗斯。委内瑞拉存在严重的恶性通货膨胀,以至于人们愿意把比特币(BTC)作为避风港。(Coindesk)[2020/8/27]
Investigations
追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。
(MistTrack 追踪分析示例图)
通过标记 1 千多个地址实体、2 亿多个地址标签,10 万多个威胁情报地址,以及超过 9000 万个与恶意活动相关的地址,MistTrack 为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack 在反分析评估工作中起到至关重要的作用。
动态 | 报告:区块链可从信息透明可追溯、信息共享、信息认证及管理三大方面影响慈善公益:TokenInsight 在最新发布的《区块链赋能慈善公益》行业研究报告中指出,我国多个企业已运用区块链技术解决目前慈善公益出现的问题。区块链主要从信息透明可追溯、信息共享、信息认证及管理三大方面影响慈善公益。该报告依据这三大类描述了相关落地应用。慈善公益一度成为敏感词,出现如诈捐、捐,公益组织财务信息不明,众筹平台审核不严跑路等问题。这些问题反映出当前慈善公益具有的组织公信力低、信息不够公开的弱点。为解决这些问题,提高透明度是当前的突破口,区块链技术可解决这些问题。[2019/12/6]
MistTrack 可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在 ETH/BSC 链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成为 ETH/BSC 链上反的主战场。
新的手法需要新的分析方法,对 Tornado.Cash 转出分析的需求变得越来越普遍,此处我们将提出一个针对 Tornado.Cash 资金转出的分析方法:
记录目前已知的信息,已知信息包括转入 Tornado.Cash 总数,第一笔 Tornado.Cash 存款时间,第一笔 Tornado.Cash 存款的区块高度。
将参数填入我们准备的分析面板(https://dune.com/awesome/Tornado-withdraw-analysis)。
得到初步的 Tornado.Cash 提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。
筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。
Tornado.Cash 转出分析结论。
(Dune Dashboard - Tornado.Cash 转出分析)
通过这个 Tornado.Cash 资金转出的分析方法,我们已成功分析出 Ronin Network 等多个安全事件从 Tornado.Cash 转出后的资金详情。
显而易见,这个 Tornado.Cash 资金转出的分析方法同样存在局限性:
转入 Tornado.Cash 的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。
而在 BTC 链上,通过区块链反资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用平台。Blender 目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。
ChipMixer 流入资金量巨大,我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。
识别 ChipMixer 的提款特征。
输入地址类型
输出地址类型
输入数额特征
版本
锁定时间
bech32(bc1q...)
所有的输入数额都满足 Chips(即 0.001 ?* 2 的 n 次方,n < 14)的要求
区块高度 - 1/区块高度 - 2/区块高度 - ?3
根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内 ChipMixer 的提款记录。
对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。
ChipMixer 转出分析结论。
反分析详述
根据上述方法,针对 Ronin Network 安全事件做出以下分析:
黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96(ETH 链)
攻击手续费来源:SimpleSwap
资金转移:
(Ronin Bridge Exploiter 资金转移时间线)
ETH 资金转移:
黑客获利资金流向主体详情如下表:
注:其他未做统计的流向资金为洗币过程损失。
Tornado.Cash 资金转移:
注:数据有效时间截止于 7 月 20 日。
BTC 资金转移:
注:0.1 BTC 以下转移额不做统计。
ChipMixer 资金转移:
注:0.1 BTC 以下转移额不做统计。
总结
以上便是关于 Ronin Network 安全事件反分析以及工具方法介绍的全部内容,至此,关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成,可以直接点击顶部专题合集#区块链安全与反报告浏览查看。
完整报告下载:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
慢雾科技
个人专栏
阅读更多
金色早8点
Bress
PANews
链捕手
财经法学
成都链安
Odaily星球日报
区块律动BlockBeats
注:原文作者为 William M. PeasterNFT 可以是任何东西 -- 艺术、数字土地、音乐、视频,只要你说得出来的都可以.
1900/1/1 0:00:00Optic正在构建一个人工智能NFT验证协议,以提供欺诈相关NFT分析和社区NFT发现。Pantera最近领投了Optic的1100万美元种子轮融资,Kleiner Perkins、Lattice、OpenSea、Circle、Pol.
1900/1/1 0:00:00Gnosis safe是当今最受信任的数字资产管理平台。它将智能合约账户作为 web3 的所有权标准来解锁数字所有权。为了分散对这一关键基础设施的治理,Safe 正在推出 Safe Token 来管理 SafeDAO.
1900/1/1 0:00:00作者:Frank 仅从数据层面,Optimism 正缩小同 Artibrum 的差距,然而未来格局不得而知.
1900/1/1 0:00:00Shaun:Hello,大家好!欢迎收听本期 Yaki 叨叨 DAO,我是主持人 Shaun。熟悉加密圈的朋友们一定会经常听到一个词叫“治理”。不管我们谈论哪个赛道以及细分领域,治理的话题总会最终以某种形式出现在我们面前.
1900/1/1 0:00:00加密寒冬是一个漫长的时期,其特点是加密货币价格持续普遍下跌,这也阻碍了对该行业的热情。所以寒冬来了吗?目前,加密行业正在面临着其年龄历史中最关键的时期之一。自2021年11月达到69,000美元的历史新高以来,比特币现已下跌55%.
1900/1/1 0:00:00