宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:美国执法部门破获2016 年 Bitfinex 被黑案件细节分析

作者:

时间:1900/1/1 0:00:00

当地时间周二美国司法部发布公告称,它已经查获了价值36亿美元的比特币,这些比特币与2016年加密货币交易所Bitfinex的黑客事件有关。34岁的IlyaLichtenstein和其31岁的妻子HeatherMorgan在纽约被捕,两人被指控共谋和罪。

美国司法部公告称,这是司法部有史以来最大规模的金融扣押,此次调查由IRS-CI华盛顿特区办事处的网络犯罪部门、联邦调查局的芝加哥办事处和国土安全调查局纽约办事处领导,德国安斯巴赫警察局在此次调查期间提供了协助。

事件背景

根据慢雾AML掌握的情报数据分析显示,Bitfinex在2016年8月遭受网络攻击,有2072笔比特币交易在Bitfinex未授权的情况下转出,然后资金分散存储在2072个钱包地址中,统计显示Bitfinex共计损失119,754.8121BTC。事发当时价值约6000万美元,按今天的价格计算,被盗总额约为45亿美元。

慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

慢雾AML曾于2月1日监测到Bitfinex被盗资金出现大额异动,后被证实该异动资金正是被司法部扣押了的94,643.2984BTC,约占被盗总额的79%,目前这些资金保管在美国政府的钱包地址

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

事件梳理

慢雾AML根据美国司法部公布的statement_of_facts.pdf文件进行梳理,将此案的关键要点和细节分享如下:

1、美国执法部门通过控制Lichtenstein的云盘账号,获取到了一份写着2000多个钱包地址和对应私钥的文件。该文件中的地址应该就是上文提到的2072个盗币黑客钱包地址,然后美国司法部才有能力扣押并将比特币集中转移到

慢雾:PREMINT攻击者共窃取约300枚NFT,总计获利约280枚ETH:7月18日消息,慢雾监测数据显示,攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT,卖出后总计获利约280枚ETH。此前报道,黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击,从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

2、从2017年1月开始,被盗资金才开始转移,其通过剥离链技术,将被盗资金不断拆分、打散,然后进入了7个独立的AlphaBay平台账号进行混币,使BTC无法被轻易追踪。从结果看,使用AlphaBay进行混币的比特币约为25000BTC。

慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。

针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

3、混币后,大部分资金被转入到8个在交易所-1注册的账号,这些账号的邮箱都是用的同一家印度的邮箱服务提供商。除此之外,这8个账号使用过相同的登录IP,并且都是在2016年8月左右注册的。更为致命的是,在Lichtenstein的云盘里有一份Excel表格,记录着这8个账号的各种信息,而且其中6个账号还被他标记为FROZEN。美国司法部统计发现,交易所-1里的8个账号共冻结着价值18.6万美元的资产。

慢雾:Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报,2022年1月18日,bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示,此次攻击是由于setTrustedForwarder函数未做权限限制,且在获取调用者地址的函数_msg.sender()中,写了一个特殊的判断,导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]

4、混币后还有部分资金被转入到交易所-2和一家美国的交易所,在这两家交易所上注册的账号,有些也是使用的上文提到的那一家印度的邮箱服务提供商。这些信息也是在上文提到的Lichtenstein的云盘中的Excel表格里发现的。通过VCE2和VCE4,Lichtenstein夫妇成功把Bitfinex被盗的BTC换成了法币,收入囊中。不过,他们在VCE4上有2个用俄罗斯邮箱注册的账号,因为频繁充值XMR而且无法说明资金来源,导致账号被平台封禁。美国司法部统计发现,上面冻结了价值约15.5万美元的资产。

5、在账号被冻结前,从交易所-1提币的资金,大部分到了另一家美国的交易所。在Bitfinex被盗前的2015年1月13日,Lichtenstein在VCE5交易所上用自己真实的身份和私人邮箱注册了账号并进行了KYC认证。在VCE5交易所上,Lichtenstein用BTC与平台上的商户购买了黄金,并快递到了自己真实的家庭住址。

6、除了前面提到的VCE1、VCE2、VCE4、VCE5这几家交易所被他们用来,Lichtenstein夫妇还注册了VCE7、VCE8、VCE9、VCE10等交易所用来。资金主要都是通过从VCE1提币来的,不过在VCE7-10这些交易所上注册的账号,都是用Lichtenstein夫妇的真实身份和他的公司来做KYC认证的。美国司法部统计发现,从2017年3月到2021年10月,Lichtenstein夫妇在VCE7上的3个账号共计收到了约290万美元等值的比特币资金。在这些交易所上,Lichtenstein进一步通过买卖altcoins、NFT等方式来,并通过比特币ATM机器进行变现。

链路

事件疑点

从2016年8月Bitfinex被盗,到现在过去了约6年的时间,在这期间美国执法部门是如何进行的深入调查,我们不得而知。通过公布的statement_of_facts.pdf文件内容我们可以发现,Lichtenstein的云盘中存储着大量的账号和细节,相当于一本完美的“账本”,给执法部门认定犯罪事实提供了有力的支撑。

但是回过头全局来看,执法部门是怎么锁定Lichtenstein是嫌疑人的呢?

还有个细节是,美国司法部并没有控诉Lichtenstein夫妇涉嫌非法攻击Bitfinex并盗取资金。

最后一个疑问是,从2016年8月Bitfinex被盗,到2017年1月被盗资金开始转移,这其中的5个月时间发生了什么?真正攻击Bitfinex的盗币黑客又是谁?

参考资料:

https://www.justice.gov/opa/press-release/file/1470186/download

22-mj-22-StatementofFacts.pdf?

标签:VCESTEENSFINVCEGG价格STEEPAENS价格CashCow Finance

以太坊价格今日行情热门资讯
第一个将“国家区块链创新应用等试点”写进省政府工作报告,广东已经为区块链落地铺好了快车道

来源:财联社|区块链日报 记者徐赐豪 原标题:《广东推动国家区块链创新应用试点的底气在哪里?》近日,广东省政府工作报告指出,加快建设广州人工智能与数字经济试验区,推动数字人民币、国家区块链创新应用等试点落户.

1900/1/1 0:00:00
Andre Cronje新项目Solidly在Immunefi平台发布漏洞赏金计划

巴比特讯,2月4日,AndreCronje新项目Solidly在Web3漏洞赏金平台Immunefi上发布漏洞赏金计划,本次计划将专注于Solidly的智能合约.

1900/1/1 0:00:00
前CFTC主席Chris Giancarlo加入区块链初创公司Digital Asset董事会

据Cointelegraph消息,1月25日,前美国商品期货交易委员会主席ChrisGiancarlo宣布加入区块链初创公司DigitalAsset董事会.

1900/1/1 0:00:00
SRM报告:加密货币日益流行,金融机构需要注意并做好准备

据BusinessWire2月16日消息,为美国和欧洲的金融机构、制造业、零售和其他行业提供服务的独立咨询公司SRM,发布了其最新报告《加密货币2022:将威胁转化为机遇》.

1900/1/1 0:00:00
CoinGecko联合创始人:元宇宙是跨越数字和物理世界、开放和封闭平台的体验

据CoinDesk2月21日消息,CoinGecko联合创始人BobbyOng在接受采访时对“元宇宙”的定义发表了看法。他表示,”我喜欢MatthewBell的定义,因为他已经非常全面地涵盖了这个定义.

1900/1/1 0:00:00
火力全开!无锡的元宇宙入口正在打开

作者:董宇佳 来源:财联社 新年伊始,国内多个城市对元宇宙的积极表态已悉数尽显。在其它城市释放布局元宇宙的信号还停留在报告之时,位于江苏南部的无锡市已马不停蹄开始相关工作的推进.

1900/1/1 0:00:00