攻击者拼手速详解去中心化工具洗白Liquid被盗9000多万美元

作者：

时间：1900/1/1 0:00:00

2021年8月19日，日本交易所Liquid热钱包中价值9,000多万美元加密资产被盗，据PeckShield「派盾」统计包含：约480万美元的BTC、3,250万美元的ETH、4,490万美元的ERC-20代币、183万美元的TRON、1,290万美元的XRP。?

据PeckShield「派盾」旗下反态势感知系统CoinHolmes显示，截至目前ETH代币暂未发生异动，仍锁在攻击者的地址里。

攻击者得手后，首先将ERC-20代币快速转入UniSwap、SushiSwap、1inch等DEXs中，通过DEXs将所获近百种代币兑换为ETH或通过Ren跨链桥兑换为BTC，再将所兑换的ETH通过跨链桥转至以太坊，最后从链上混币器Tornado.cash流出，整个流程十分娴熟，这一点也可以从攻击者首先从处置ERC-20代币看出。

Cream Finance攻击者将100万枚DAI换成555.4枚ETH并转至TradeOgre:金色财经报道，据派盾预警监测，Cream Finance闪电贷攻击者已将100万枚DAI换成555.4枚ETH，并将其转移到TradeOgre。

此前去年10月消息，DeFi协议Cream Finance遭闪电贷攻击，损失超1.3亿美元。[2023/3/22 13:18:59]

由于所盗的ERC-20代币中有些代币流动性较差，容易遭到发行商冻结、交易回滚或者硬分叉等方式阻碍代币转出，攻击者首先依次将这些代币转入不需要KYC、无需注册登录、即用即走的DEXs，然后将大部分代币转换为主流代币ETH，并汇集到新地址，再从隐私协议Tornado.cash流出。

从Etherscan上可以看出，自8月19日上午4时19分开始，攻击者开启「价值优先」的扫荡式兑换，首先从USDT、USDC、DAI等稳定币开始清空，然后赶在代币被冻结前将它们转入DEXs。

穆迪报告：针对Mango Markets攻击者的监管行动利好DeFi领域:2月2日消息，据信用评级公司穆迪（Moody’s）称，最近对Mango Markets攻击者Avraham Eisenberg的指控将对DeFi领域产生积极影响。

穆迪投资者服务公司在1月31日的一份报告指出，美国两大市场监管机构在1月份采取的执法行动意味着DeFi正朝着“更安全、更受欢迎的环境”迈进：“SEC和CFTC都对一名所谓的流氓交易员操纵市场采取了行动，这对整个行业来说是一个积极的信用信号。”

报告表示，这些行动可以“改善对DeFi行业的监管”。由于对开源协议的管辖权缺乏透明度，DeFi行业在很大程度上是一个难以监管的领域。

此前消息，Mango Labs LLC在曼哈顿起诉交易员Avraham Eisenberg，该交易员去年10月通过非法操纵Mango Markets治理代币MNGO的价格，在20分钟内获利1.14亿美元，之后CFTC和SEC均对其提起诉讼。（Cointelegraph）[2023/2/2 11:42:59]

这是迄今为止，第二起中心化机构被盗通过去中心化机构的安全事件。据PeckShield「派盾」统计，目前中心化机构被盗后，通过去中心化服务进行的案例还屈指可数，但类似的手段已经在DeFiProtocols攻击、跑路中呈现出增长的趋势。

OpenSea新迁移合约疑似出现bug，攻击者正窃取大量高价值NFT:2月20日消息，多位用户于推特发布警告称，OpenSea昨日推出的新迁移合约（地址：0xa2c0946aD444DCCf990394C5cBe019a858A945bD）疑似出现bug，攻击者（地址：0x3e0defb880cd8e163bad68abe66437f99a7a8a74）正利用该bug窃取大量NFT并卖出套利，失窃NFT涵盖BAYC、BAKC、MAYC、Azuki、Cool Cats、Doodles、Mfers等多种高价值系列。当前，漏洞原因尚未完全确认，但建议用户通过下方链接撤销对上述合约的授权。

注：昨日，OpenSea执行例行升级，受升级影响，所有于2月18日之前创建的挂单都将于2月25日到期，为了保持用户的原始挂单数据不受影响，OpenSea特地推出了上述挂单迁移合约。[2022/2/20 10:03:31]

新兴三部曲

动态 | YUM.games 遭受攻击攻击者已获利:Beosin（成都链安）预警，今天下午15:27-15:46之间，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，黑客justjiezhan1向EOS竞猜类游戏YUM.games发起攻击且已经获利。经过成都链安技术团队初步分析，攻击者疑似通过直接调用gamestart方式，没有投注游戏便直接开奖。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性，同时提醒类似项目方全方面做好合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，防患于未然。[2019/3/15]

网络攻击者并不知道谁真的支付了加密货币:据Mashable中文站5日报道，互联网公司Akamai的安全研究人员最近发现，网络攻击者改变了以前先发动攻击再通过电子邮件或其他方式发出勒索信的做法次序，在攻击的同时将勒索信埋在了攻击数据中一并发出去。据采访称，当勒索门罗币时，由于门罗币固有的匿名性质，攻击者本人也并不一定知道受攻击者谁支付了赎金。[2018/3/6]

攻击者在得手后，大致将的流程分为三步：

1.批量转移：将所盗ERC-20资产转入DEXs，避免被冻结、回滚，同时将所盗资产进行整合，为下一步实施清洗做准备工作；

2.批量兑换：通过DEXs或跨链桥将ERC-20代币兑换为ETH或BTC，通过跨链桥将加密资产归置，为批量转移到隐私协议做准备；

3.隐蔽阶段：将归置后的ETH或BTC转移到TornadoCash、Typhoon、WasabiWallet等混币工具中，混淆资产来源和最终收益者，抹除非法资产的痕迹，混淆资产源头逃离追踪。

TornadoCash是基于零知识证明在以太坊上实现的隐私交易中间件。它使用zk-SNARK，能够以不可追溯的方式将ETH以及ERC20代币发送到任何地址。

在实际应用中，当用户将加密货币存入隐私池后即可获得一笔存款凭证，此后用户可以通过存款凭证向任何地址中提取先前存入的加密货币。由于在存款凭证的生成和使用时转账的数据都不包含凭证本身，因此可以保证存取款两笔转账完全独立。另外，由于中继服务的存在，取款时的以太坊地址甚至不需要拥有支付转账费用的ETH，即可以提款至完全空白的地址。

事实上，TornadoCash并非无法破解的隐私协议。前段时间英国破获的DeFi协议StableMagnetFinance跑路案反映出，在安全公司、交易所、社区和的联动下，通过CoinHolmes反态势感知系统对攻击者资产进行持续追踪，在社区持续收集项目方信息，并积极与合作的情况下，可通过分析追踪社区反馈的线索锁定涉案相关成员，并在物证人证的帮助下，迫使涉案相关成员归还存放在TornadoCash中的ETH。

据CoinHolmes追踪显示，攻击者将逾千万枚XRP分四次转入其地址后，分三批分别转入Binance、Huobi、Poloniex等交易所。

Liquid通过反态势系统追踪到此信息后，紧急联系这几家中心化机构将攻击者地址设置黑名单，旨在紧急冻结被盗的XRP资产。

但在此之前攻击者已经通过交易所将部分XRP转换为BTC，据CoinHolmes反态势系统显示，这些XRP已经被转换为192枚BTC，并经通过去中心化的混币器Wasabi钱包流出。

Wasabi钱包采用「CoinJoin」的方法，将多个用户的交易汇总成一笔大额交易，其中包含多个输入和输出。随着参与用户的增长，私密性与可靠性就越强。此外，Wasabi钱包还采用「区块过滤器」，通过下载整个数据块进一步打乱交易信息，来增强隐私性和抗审查性，这给相关执法机构追踪此类资金的流转带来挑战性。

随着监管部门对中心化机构情况的严厉监管，中心化机构不断提高KYC需求，使得中心化渠道遭到沉重打击，去中心化工具越来越受到犯罪分?的青睐，越来越多的?法资?开始转向去中心化渠道。PeckShield「派盾」建议相关执法部门引?新的监管?具和技术，为进一步有效遏制利?虚拟货币的做准备。

截至9月6日，CoinHolmes监控到攻击者的BTC地址发生异动，共转出90BTC，CoinHolmes将持续监控被盗加密资产的转移。