Beosin：顶级黑客是如何对加密货币进行窃取和清洗的？

原文作者：Beosin

不知道大家是否还记得今年3月，发生的那笔接近2亿美金的EulerFinance攻击事件。

经过Euler?Labs与攻击者的多轮协商之后，攻击者已归还从协议中盗取的所有资金。

起初EulerFinance攻击者为了混淆视听，向某国家级背景黑客组织转移了100枚ETH。随后，该黑客组织对Euler的攻击者发送了一条链上通知，要求其解密一条加密信息。

包含此通知的这笔交易中，这个国家级背景黑客组织向Euler攻击者发送了2枚ETH。但专家称，该消息是一个网络钓鱼局，试图窃取Euler攻击者钱包的私钥。

难道是典型的「黑吃黑」？据了解，该国家级背景黑客组织长期以来一直对加密货币业务进行网络攻击，并组建了数个专业团队——来进行网络攻击并清洗被盗资金。

今天，我们就结合BeosinKYT反与分析平台，?起底这个国家级黑客都是如何对加密货币进行攻击和清洗的？

以下是该国家级背景黑客部分APT组织名信息：

图源etda.or.th

最近国外情报公司分析了该国家级背景黑客组织的攻击活动，其中包含了对加密货币的攻击。据研究人员称，黑客组织会使用网络钓鱼技术试图感染目标，然后拦截大笔加密货币转账，更改收款人地址，并将转账金额推至最大额，意图在单笔交易中耗尽账户资金。

Beosin与SUSS NiFT、NUS AIDF等共同成立“区块链生态安全联盟”:金色财经报道，9月24日，Web3安全公司Beosin宣布与SUSS NiFT、NUS AIDF、新加坡区块链协会、Fomo Pay、Coin Hako、Onchain Custodian、Paritybit、Semisand等在新加坡联合成立“区块链生态安全联盟”。未来，联盟成员将在区块链生态进行紧密合作，通过联盟整合区块链安全领域的技术创新，探索和建立区块链安全生态体系，促进区块链安全领域产学研合作和科技成果转化，营造良好的产业发展环境，推动区块链安全产业的发展。[2022/9/25 7:19:44]

你的加密货币是如何被黑客窃取的？

鱼叉邮件作为诱饵

黑客组织使用来自虚假或性角色的鱼叉式网络钓鱼电子邮件来接近他们的目标，在这些网站中包含虚假登录页面，诱受害者输入帐户凭据。

下图是黑客组织使用过的钓鱼邮件诱饵，针对加密货币专业人士：

图源卡巴斯基

恶意安卓APP盗取

国外情报公司观察到黑客组织使用恶意Android应用程序，这些应用程序针对希望获得加密货币贷款的中国用户，该应用程序和关联的域名可能会收集用户凭据。

黑客组织甚至会建立虚假的加密货币软件开发公司，以诱受害者安装看似合法的应用程序，这些应用程序在更新时会安装后门。

Beosin解析Reaper Farm遭攻击事件：_withdraw中owner地址可控且未作任何访问控制:8月2日消息，据 Beosin EagleEye 安全舆情监控数据显示，Reaper Farm 项目遭到黑客攻击，Beosin 安全团队发现由于_withdraw 中 owner 地址可控且未作任何访问控制，导致调用 withdraw 或 redeem 函数可提取任意用户资产。攻击者（0x5636 开头）利用攻击合约（0x8162 开头）通过漏洞合约（0xcda5 开头）提取用户资金，累计获利 62 ETH 和 160 万 DAI，约价值 170 万美元，目前攻击者（0x2c17 开头）已通过跨链将所有获利资金转入 Tornado.Cash。[2022/8/2 2:54:18]

专家认为，黑客组织目前正在积极测试新的恶意软件传递方法，例如，使用以前未使用的文件类型来感染受害者。

替换Metamask插件

当黑客组织获取到用户主机权限时，会监视用户数周或数月以收集键盘记录并监控用户的日常操作。

如果黑客组织发现目标用户使用了浏览器扩展钱包时，他们会将扩展源从WebStore更改为本地存储，并将核心扩展组件替换为篡改版本。

下图对比显示了两个文件：一个合法的Metamaskbackground.js文件及黑客篡改代码的变体，修改的代码行以黄色突出显示。

tribeOS通过GRID平台完成证券型代币发行:广告科技公司tribeOS已通过GSX Group旗下的GRID平台完成了证券型代币发行。GSX Group首席执行官Nick Cowan强调，tribeOS是第一家使用该公司证券型代币平台GRID的公司，该公司同样欢迎其他希望“加快在资本领域采用区块链技术”的公司。（Cointelegraph）[2020/5/28]

图源卡巴斯基

用户交易的详细信息会通过HTTP自动提交到黑客的C?2?服务器：

图源卡巴斯基

在这种情况下，黑客设置了对特定发件人和收件人地址之间交易的监控。从而在发现大额转账时触发通知并窃取资金。

下图是一个被木马化的扩展：

图源卡巴斯基

以防万一，需注意浏览器是否选择开发者模式，如果使用的开发者模式，确保重要扩展来自网上商店：

分析 | Beosin预警：某游戏合约正遭受薅羊毛攻击:Beosin（成都链安）预警：今天下午3：04分开始，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，黑客正对poker****合约进行薅羊毛攻击。经过成都链安技术团队分析，黑客账户部署攻击合约，通过大量的onerror通知，在onerror内预计算开奖结果的方式，持续使大量子账号中奖，每个账号都会获得0.05EOS并将奖励转给攻击者主账号。成都链安提醒各项目方提高警惕，加强安全防范措施，必要时联系安全公司进行安全服务，避免不必要的资产损失。[2019/5/23]

社会工程手段攻击

Beosin安全研究团队同样发现，黑客组织可能会通过社会工程手段，如仿冒交易平台、发送欺诈性电子邮件等，来用户将加密货币转移到他们的账户中。

仿冒交易平台：伪装成知名的加密货币交易平台，通过仿冒的网站或应用程序，用户输入自己的账户信息，从而窃取用户的资产。

资金盘：创建虚假的加密货币资金盘，向用户承诺高额回报，并引导用户进行投资，然后将用户的资金转移到其他账户，并关闭资金盘。

社交媒体欺诈：利用社交媒体平台，如Twitter、Telegram、Reddit等，伪装成加密货币交易专家或投资人，发布虚假的投资建议或价格分析，引诱用户进行投资，从而取资金。

动态 | Beosin预警：持续警惕hardfail状态攻击 ?:Beosin（成都链安）预警，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，目前仍有不少攻击者尝试使用hard_fail 状态攻击，攻击测试目标已由交易所转向各类游戏合约，截止9号晚间10点，攻击者****wge在持续攻击中尝试混合使用正常转账交易和hardfail失败交易，在两次交易中设置同样的memo，如果项目方从节点获取交易数据时没有做好完整的交易判断，可能会因此造成损失，这种攻击尝试虽然简单但仍可能造成危害，Beosin（成都链安）提醒各项目方做好自检自查，对交易执行状态进行校验，避免不必要的损失。[2019/4/9]

扩展阅读：加密大V遭遇木马病，其钱包大额资产被盗给我们哪些启示？

黑客是如何清洗加密货币的？

通过混币器清洗

此外，黑客组织还利用以太坊区块链上最受欢迎的混币器TornadoCash转移资金，例如2020年某交易所被盗，当时被盗资金超过2.7亿美元。

黑客使用TornadoCash对被盗的ETH资金进行，在BeosinKYT中查看黑客的资金流向，如下所示有大额资金进入了Tornadocash。

Beosin?KYT黑客组织攻击地址总览

Beosin?KYT黑客组织地址资金流向图

那么，什么是TornadoCash？

TornadoCash是一个以太坊上的隐私保护协议，旨在为用户提供完全匿名的加密货币交易。它基于zk-SNARK技术，使用户可以在不暴露任何个人信息的情况下进行交易，从而保护他们的隐私。

TornadoCash的工作原理是将用户的代币混合在一起，使它们变得不可追踪。用户首先将代币发送到智能合约，然后智能合约将这些代币与其他用户的代币一起混合。混合完成后，用户可以从智能合约中提取相同数量的代币，但这些代币已被混合，无法与原始发送的代币进行关联。

TornadoCash支持以太币和ERC-20代币，用户可以选择不同的「混合池」进行交易。此外，TornadoCash也可以用于向其他人发送完全匿名的代币，这使得它成为隐私保护的一个重要工具。

需要注意的是，TornadoCash仅提供隐私保护，而不是匿名性。用户需要采取适当的措施来保护他们的身份信息，以免被其他方式追踪到。此外，使用TornadoCash也需要支付一定的交易费用，这些费用可能会高于普通交易的费用。

除此之外，常见的混币器还有：

Blender.io：Blender是一家成立于2017年的比特币区块链上运行的虚拟货币混合器，也是第一个受到美国财政部制裁的混币器。

CoinMixer：从2017年开始就存在的老牌比特币混币协议，目前未受到政府制裁。

ChipMixer：由越南运营商提供的暗网加密货币混币器，从2017年至今洗掉价值超过30亿美元的加密货币，该网站和后端服务器于2023年3月15日被联邦警察局查封。

Umbra：Umbra是一款可让用户在以太坊上进行私密转帐的协议，特色在于只有收付双方知道是谁收到这笔转帐。

CoinJoin：CoinJoin是历史最为悠久的混币器之一，专为比特币和比特币现金所开发。

除了专门的混币器外，利用FixedFloat、sideshift、ChangeNow等去中心化交易所兑换虚拟货币，也能达到的目的。

通过哈希算力租赁或云挖矿服务清洗

黑客组织使用加密货币服务来清洗被盗资金，包括购买域名地址和支付服务费用，以及可能使用哈希算力租赁和云挖掘服务将被盗的加密货币洗成干净的加密货币。

黑客组织使用被盗的比特币来支付Namecheap服务

哈希算力租赁允许客户租用计算能力进行加密货币挖掘，哈希算力是指计算机或硬件用于运行和求解不同哈希算法的算力，这些算法用于新加密货币的生成并驱动加密货币之间进行交易，这个过程也被称为挖矿，这可以用加密货币支付。情报公司表示，黑客组织使用这些服务来清洗被盗的加密货币，因此无法追溯到恶意操作。

黑客组织通过哈希算力租赁服务

通过暗网市场清洗

黑客组织可能会使用暗网市场上的加密货币交易来进行。这些市场允许匿名交易，使得黑客可以在其中进行交易，以便将他们的黑钱变为可支配资金。

黑客使用暗网市场对加密货币进行的过程可以大致分为以下几个步骤：

1在暗网市场上寻找买家：黑客会在暗网市场上寻找想要购买加密货币的买家。这些市场上有许多匿名交易的工具和服务，使得黑客可以更轻松地进行交易，同时减少被揭露的风险。

2准备好的加密货币：黑客需要将他们从非法活动中获得的加密货币准备好，以便在交易时快速转移资金，同时减少交易被追踪的风险。

3完成交易：黑客会通过暗网市场上的匿名交易工具和服务完成交易，将加密货币转移到买家的地址中。这些交易可能涉及多种加密货币和支付方式。

4将所得转移到合法渠道：黑客需要将他们从暗网市场上获得的加密货币转移到合法的渠道中，以便能够使用这些资金进行日常生活和业务活动。这可能包括将加密货币转换为法定货币，或将其投资于其他合法资产。

使用代理账户清洗

黑客组织可能会使用代理账户，以避免被追踪。这些代理账户可能由境外同伙或在海外的留学生等人员持有。

以下是可能的代理账户手法：

通过控制他人账户来：政府或其代理人员可能会控制他人的银行账户来进行。这些受控制的账户可能是在境外的同胞或关系密切的个人账户。

购买现成的代理账户：另一种可能的手法是购买已有的代理账户。这些账户可能由境外同伙或在境外的代理人员创建和持有。

创建虚假公司和账户：可能会创建虚假公司和账户，将其用作代理账户来进行。这种手法通常涉及虚假身份、地址和联系方式等信息，以躲避监管和审查。

标签：加密货币EOSSIN区块链加密货币市场行情EOS LYNXSincere Cate区块链存证平台

UNI热门资讯