北京时间2021年8月19日10:05,日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看,Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种,币种之多,数额之高,令人惊叹。
慢雾AML团队利用旗下MistTrack反追踪系统分析统计,Liquid共计损失约9,135万美元,包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。
慢雾AML团队全面追踪了各币种的资金流向情况,也还原了攻击者的洗币手法,接下来分几个部分向大家介绍。
BTC部分
攻击者相关地址
慢雾AML团队对被盗的BTC进行全盘追踪后发现,攻击者主要使用了“二分法”的洗币手法。所谓“二分法”,是指地址A将资金转到地址B和C,而转移到地址B的数额多数情况下是极小的,转移到地址C的数额占大部分,地址C又将资金转到D和E,依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以二分法的方式继续转移,要么转到交易平台,要么停留在地址,要么通过Wasabi等混币平台混币后转出。
慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。
慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]
以攻击者地址为例:
据MistTrack反追踪系统显示,共107.5BTC从Liquid交易平台转出到攻击者地址,再以8~21不等的BTC转移到下表7个地址。
慢雾:警惕针对 Blur NFT 市场的批量挂单签名“零元购”钓鱼风险:金色财经报道,近期,慢雾生态安全合作伙伴 Scam Sniffer 演示了一个针对 Blur NFT 市场批量挂单签名的“零元购”钓鱼攻击测试,通过一个如图这样的“Root 签名”即可以极低成本(特指“零元购”)钓走目标用户在 Blur 平台授权的所有 NFT,Blur 平台的这个“Root 签名”格式类似“盲签”,用户无法识别这种签名的影响。慢雾安全团队验证了该攻击的可行性及危害性。特此提醒 Blur 平台的所有用户警惕,当发现来非 Blur 官方域名(blur.io)的“Root 签名”,一定要拒绝,避免潜在的资产损失。[2023/3/7 12:46:39]
为了更直观的展示,我们只截取了地址资金流向的一部分,让大家更理解“二分法”洗币。
以图中红框的小额转入地址为例继续追踪,结果如下:
慢雾:BXH 第一次被盗资金再次转移,BTC 网络余额超 2700 BTC:金色财经报道,10月8日凌晨(UTC+8),慢雾监控到 BXH 第一次被盗资金再次出现异动,经慢雾 MistTrack 分析,异动详情如下:
黑客地址 0x48c9...7d79 将部分资金(213.77 BTCB,5 BNB 和 1 ETH)转移至新地址 0xc01f...2aef,接着将资金兑换为 renBTC 跨链到 BTC 网络,跨链后地址为 1JwQ...u9oU。1JwQ...u9oU 在此次转移中接收到的总资金为 204.12 BTC。截止目前,BXH 第一次被盗事件在 BTC 网络共有 4 个黑客地址,总计余额为 2701.3 BTC,暂未进一步转移。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/10/8 12:49:28]
可以看到,攻击者对该地址继续使用了二分法,0.0027BTC停留在地址,而0.0143BTC转移到Kraken交易平台。
攻击者对其他BTC地址也使用了类似的方法,这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记,帮助客户做出有效的事前防范,规避风险。
ETH与ERC20代币部分
攻击者相关地址
慢雾:Ribbon Finance遭遇DNS攻击,某用户损失16.5 WBTC:6月24日消息,Ribbon Finance 发推表示遭遇 DNS 攻击,慢雾MistTrack通过链上分析发现攻击者与今天早前的Convex Finance 攻击者是同一个,地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻击者共用的用来调用恶意合约的钱包地址。同时分析发现,Ribbon Finance某用户在攻击中损失了 16.5 WBTC,具体交易为:https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]
经过慢雾AML团队对上图几个地址的深度分析,总结了攻击者对ETH/ERC20代币的几个处理方式。
1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。
2.部分ERC20代币直接转到交易平台,部分ERC20代币直接转到地址1并停留。
慢雾:Crosswise遭受攻击因setTrustedForwarder函数未做权限限制:据慢雾区情报,2022年1月18日,bsc链上Crosswise项目遭受攻击。慢雾安全团队进行分析后表示,此次攻击是由于setTrustedForwarder函数未做权限限制,且在获取调用者地址的函数_msg.sender()中,写了一个特殊的判断,导致后续owner权限被转移以及后续对池子的攻击利用。[2022/1/19 8:57:48]
3.攻击者将地址1上的ETH不等额分散到多个地址,其中16\,660ETH通过Tornado.Cash转出。
地址2的538.27ETH仍握在攻击者手里,没有异动。
4.攻击者分三次将部分资金从Tornado.cash转出,分别将5\,600ETH转入6个地址。
其中5,430ETH转到不同的3个地址。
另外170ETH转到不同的3个交易平台。
攻击者接着将3个地址的ETH换成renBTC,以跨链的方式跨到BTC链,再通过前文提及的类似的“二分法”将跨链后的BTC转移。
以地址为例:
以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果,该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。
TRX/TRC20部分
攻击者地址
TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp
资金流向分析
据MistTrack反追踪系统分析显示,攻击者地址上的TRC20兑换为TRX。
再将所有的TRX分别转移到Huobi、Binance交易平台。
XRP部分
攻击者相关地址
rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby
资金流向分析
攻击者将11,508,495XRP转出到3个地址。
接着,攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。
总结
本次Liquid交易平台被盗安全事件中,攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。
截止目前,大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台,11,508,516枚XRP转入交易平台,攻击者以太坊地址2存有538.27ETH,以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币,慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。
攻击事件事关用户的数字资产安全,随着被盗数额越来越大,资产流动越来越频繁,加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统,在收到相关“脏币”时会收到提醒,可以更好地识别高风险账户,避免平台陷入涉及的境况,拥抱监管与合规的大势。
GaryGensler,这是一个让加密世界为之震动的名字。自今年4月就任SEC主席以来,他对Crypto施以的管制措施,让Crypto行情波动频频。9月初,有消息称SEC对UniswapLabs展开调查.
1900/1/1 0:00:00原文标题:《EvolvingUser+BusinessBehaviorsandtheMetaverse》原文来源:MatthewBall,前亚马逊工作室战略主管 原文编译:律动0x49 Metaverse这一话题已经被研究烂了.
1900/1/1 0:00:00据HollywoodReporter10月9日消息,好莱坞经纪公司CreativeArtistsagency已与加密巨鲸0xB1签约,并将通过认证及品牌合作将其NFT收藏变现.
1900/1/1 0:00:00巴比特讯,10月12日,TikTok此前公布的NFT系列TikTokTopMoments作品已开启拍卖,此次拍卖的是美国说唱歌手CurtisRoach的作品“BoredintheHouse”,目前出价最高为3ETH.
1900/1/1 0:00:00据TheBlock消息,10月14日,数字英镑基金会宣布成立,旨在支持“精心设计的数字英镑和数字货币生态系统的实施”.
1900/1/1 0:00:00巴比特讯,10月10日,区块链科技公司Blockstream首席执行官AdamBack转发了瑞士非营利智库2B4CH的推文.
1900/1/1 0:00:00