随着DeFi、NFT、跨链桥等项目的火热发展,黑客攻击事件也层出不穷。有趣的是,据慢雾统计,80%的黑客在洗币过程中都使用了混币平台Tornado.Cash,本文以KuCoin被盗事件为例,试图从追踪分析过程中找到一丝揭开Tornado.Cash匿名性的可能。
事件概述
据KuCoin官网公告,北京时间2020年9月26日凌晨,KuCoin交易所的热钱包地址出现大量异常的代币提现,涉及?BTC、ETH?等主流币以及LINK、OCEN等多种代币,牵动了无数用户的心。
图?1
据慢雾AML团队统计,本次事件被盗资金超2.7亿美元,具体如下图:
摩根大通将其JPM Coin系统扩展到包括欧元支付:金色财经报道,摩根大通扩大了其基于区块链的支付系统JPM Coin,为企业客户提供以欧元计价的交易。据Toprak称,德国科技巨头西门子在该平台上进行了第一笔欧元支付。
摩根大通硬币支付系统最初于2019年推出,用于转移美元。在欧元扩张之际,JPM Coin迄今已处理了超过3,000亿美元的交易。[2023/6/23 21:56:16]
图2
值得注意的是,我们全面追踪后发现黑客在这次攻击事件中大量使用了Tornado.Cash来清洗ETH。在这篇文章中,我们将着重说明黑客如何将大量ETH转入到Tornado.Cash,并对Tornado.Cash的转出进行分析,以分解出被盗资金可能流向的地址。
Tornado.Cash?是什么?
Tornado.Cash是一种完全去中心化的非托管协议,通过打破源地址和目标地址之间的链上链接来提高交易隐私。为了保护隐私,Tornado.Cash使用一个智能合约,接受来自一个地址的ETH和其他代币存款,并允许他们提款到不同的地址,即以隐藏发送地址的方式将ETH和其他代币发送到任何地址。这些智能合约充当混合所有存入资产的池,当你将资金放入池中时,就会生成私人凭据,证明你已执行了存款操作。而后,此私人凭据作为你提款时的私钥,合约将ETH或其他代币转移给指定的接收地址,同一用户可以使用不同的提款地址。
前OCC代理署长Brian Brooks加入HBAR基金会担任董事:金色财经报道,前美国货币监理署(OCC)代理署长Brian Brooks已加入HBAR基金会并担任该基金会董事。Brian Brooks在2020年5月至2021年1月期间供职于美国货币监理署,离开美国货币监理署后于2021年加入比特币矿业公司Bitfury担任首席执行官。[2023/3/2 12:37:57]
如何转入?
攻击得手后,黑客开始大范围地将资金分批转移到各大交易所,但还没来得及变现就被多家交易所冻结了。在经历了白忙一场的后,黑客将目光转向了DeFi。
据慢雾AML旗下MistTrack反追踪系统显示,黑客(0xeb31...c23)先将ERC20代币分散到不同的地址,接着使用Uniswap、1inch和Kyber将多数ERC20代币换成了ETH。
图3
Coinbase股价开盘后升至64.09美元高点,涨幅近4%:金色财经报道,在宣布推出以太坊L2“Base”之后,Coinbase股价开盘后出现上涨并升至64.09美元高点,涨幅接近4%,之后小幅回落至62.15美元,当前Coinbase公司市值约为140.9亿美元。[2023/2/24 12:26:09]
大部分ERC20代币兑换成ETH后,被整合到了以下主要地址:
表1
在对ETH和ERC20代币进行完整追踪后,我们梳理出了资金是如何在黑客地址间移动,并分解出了资金是以怎样的方式进入Tornado.Cash。
USDD成为去中心化超抵押稳定币,当前抵押率超过200%:据官方消息,USDD正式升级成为去中心化超抵押稳定币,USDD保证质押率高于130%。高于行业标准DAI要求的120%质押率,成为全网最为安全的去中心化稳定币,并于USDD官网以及波联储TRON DAO Reserve官网提供24小时质押率的实时公开查询。
目前波联储已持有10500 BTC ,19亿TRX 与2.4亿USDT的储备金,加上销毁合约内的82.9亿TRX,共计总金额为13.7亿美金为6.67亿美金USDD提供抵押担保,USDD当前总计抵押率超过200%。
USDD由波场联合储备(TRON DAO Reserve)与区块链主流机构发起,USDD运行在波场网络上,并通过BTTC跨链协议接入以太坊、币安链等主流公链。目前,USDD发行总额已突破6.67亿美元。[2022/6/5 4:03:49]
图4
黑客将资金按时间先后顺序转入Tornado.Cash的详情如下:
加密行业反对美SEC对国债市场的监管提案,称其将加剧DeFi平台的法律风险:金色财经报道,美国证券交易委员会(SEC)一项旨在提高国债市场弹性的提案引发了加密货币公司的强烈反对,行业人士担心该提案可能会增加去中心化金融(DeFi) 平台的法律风险,带来更多的法律不确定性。反对方包括交易平台 Coinbase Global Inc.、 风险投资公司 Andreessen Horowitz (a16z)和稳定币发行方 Circle Internet Financial Inc. 在内的多个公司,以及一些以加密货币为重点的游说团体。
SEC 在 1 月份提出的规则将扩大该机构对交易所的定义,以包括连接债券买家和卖家的通信系统,该提案没有提及加密货币,然而加密行业人士表示,提案中使用的术语可能会包含 DeFi 平台,从而造成更大的监管不确定性。(coindesk)[2022/4/28 2:35:30]
表2?
转到了哪?
猜想
1.?巨额的ETH进入?Tornado.Cash,会集中表现出一些可追踪的特征。
2.以黑客急于变现的行为分析,猜想黑客将资金存入Tornado.Cash后会随即提款,或下次存入时提款。
3.分析攻击者使用洗币平台的方式和行为,可以获得资金的转移地址。
可能的链上行为
1.资金从?Tornado.Cash转出的时间范围与黑客将资金转入Tornado.Cash的时间范围近似。
2.一定时间段内,从Tornado.Cash?转出的资金会持续转出到相同地址。
验证
以黑客地址(0x34a...c6b)为例:
如表2结果所述,黑客在?2020-10-2316:06:28~2020-10-2610:32:24?(UTC)间,以每次100ETH,存115次的方式将?11,500?ETH存入?Tornado.Cash。为了方便说明,我们只截取了该地址在2020-10-243:00:07~6:28:33(UTC)间的存款记录,如下图:
图5
接着,我们查看Tornado.Cash:100ETH合约的交易记录,找到地址(0x34a...c6b)在同一时间段的存款记录,下图红框地址(0x82e...398)在此时间段内大量提款的异常行为引起了我们的注意。
图6
查看该地址(0x82e...398)在此时间段的交易哈希,发现该地址并没有将ETH提款给自己,而是作为一个合约调用者,将ETH都提款到了地址?(0xa4a...22f)。
图7
图8
同样的方式,得出黑客地址(0x34a...c6b)经由Tornado.Cash提款分散到了其他地址,具体如下:
表3
经过核对,发现从Tornado.Cash提款到表3中六个地址的数额竟与黑客存款数额11,500ETH一致,这似乎验证了我们的猜想。对其他地址的分析方法同理。
接着,我们继续对这六个地址进行追踪分析。据MistTrack反追踪系统展示,黑客将部分资金以50~53ETH不等转向了ChangeNOW、CoinSwitch、Binance等交易平台,另一部分资金进入第二层后也被黑客转入了上述交易平台,试图变现。
图9
总结
本文主要说明了黑客是如何试图使用Tornado.Cash来清洗盗窃的ETH,分析结果不由得让我们思考:Tornado.Cash真的完全匿名吗?一方面,既然能分析出部分提款地址,说明不存在绝对的匿名;另一方面,匿名性是具备的,或许只是Tornado.Cash不适合在短时间内混合如此大规模的资金而已。
截止目前,KuCoin官方表示已联合交易所、项目方、执法和安全机构追回约2.4亿美元资金。从各种攻击事件看来,DeFi或许已成为黑客转移资金的通道,而今监管已至,合规化的脚步愈发逼近,有合规需求的项目方,可以考虑接入慢雾AML系统(aml.slowmist.com),即使黑客使用了DeFi,也无处遁形。
By:Lisa@慢雾AML团队
头条 ▌数据:全网DeFi总锁仓量突破2600亿美元,创历史新高11月7日消息,据defillama数据显示,全网DeFi总锁仓量2621.7亿美元,创历史新高.
1900/1/1 0:00:00Facebook更名Meta全面转向元宇宙,引发资本市场关注。我们认为,元宇宙的终极形态将指向人类的数字化生存,对社会产生深远的影响,但需要较长时间.
1900/1/1 0:00:00近期,麦肯锡发布了《2021年全球支付报告》,报告整体分为三大版块,分别梳理了支付行业整体发展情况、加密货币领域进展及交易银行如何重塑资金服务三个方面的内容,本篇为第二部分.
1900/1/1 0:00:00随着数字人民币的试点应用的持续推进,各种关于数字人民币的消息层出不穷,而相关信息也在网络传播中丢失了真相。近日,一则关于数字人民币的消息在网上疯传,说是有人被分子利用数字人民币轻松转出了几十万.
1900/1/1 0:00:00据了解到,成都金沙遗址博物馆即将于11月18、21日“上新”文创产品,只是这次的文创产品并非可以真实触碰到的实物,而是有数字编码号的虚拟文创产品,属于“数字文创产品”,在艺术界则被更多人称之为“NFT艺术品”.
1900/1/1 0:00:00又一个“头号玩家”来了。10月31日,抖音账号“柳夜熙”发布了一条视频,视频中,一群人在围观一位古装女子对镜化妆,女子转过头后,独特妆容吓坏众人,只有一名小男孩上前问道:“你是人吗?”随后,这位自称是“柳夜熙”的女子,用手上的笔为小男.
1900/1/1 0:00:00