EOS:Beosin：頂級黑客是如何對加密貨幣進行竊取和清洗的？_加密貨幣

不知道大家是否還記得今年3月，發生的那筆接近2億美金的EulerFinance攻擊事件。經過EulerLabs與攻擊者的多輪協商之后，攻擊者已歸還從協議中盜取的所有資金。起初EulerFinance攻擊者為了混淆視聽，向某國家級背景黑客組織轉移了100枚ETH。隨后，該黑客組織對Euler的攻擊者發送了一條鏈上通知，要求其解密一條加密信息。包含此通知的這筆交易中，這個國家級背景黑客組織向Euler攻擊者發送了2枚ETH。但專家稱，該消息是一個網絡釣魚騙局，試圖竊取Euler攻擊者錢包的私鑰。難道是典型的「黑吃黑」？據了解，該國家級背景黑客組織長期以來一直對加密貨幣業務進行網絡攻擊，并組建了數個專業團隊——來進行網絡攻擊并清洗被盜資金。今天，我們就結合BeosinKYT反洗錢與分析平臺，起底這個國家級黑客都是如何對加密貨幣進行攻擊和清洗的？以下是該國家級背景黑客部分APT組織名信息：

圖源etda.or.th最近國外情報公司分析了該國家級背景黑客組織的攻擊活動，其中包含了對加密貨幣的攻擊。據研究人員稱，黑客組織會使用網絡釣魚技術試圖感染目標，然后攔截大筆加密貨幣轉賬，更改收款人地址，并將轉賬金額推至最大額，意圖在單筆交易中耗盡賬戶資金。你的加密貨幣是如何被黑客竊取的？

Beosin：分布式資本創始人沈波目前被盜資金已經大部分兌換為DAI:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，2022年11月23日，分布式資本創始人沈波發布消息表示個人錢包被盜，被盜資金約4200萬美元。通過分析USDC的轉賬交易，定位到該筆攻擊交易(0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7)。由于該筆交易是由0x6be85603322df6DC66163eF5f82A9c6ffBC5e894地址發起，因此認定為私鑰泄露。目前被盜資金已經大部分兌換為DAI，并且轉移到0x4ac9ca41efe0ea19b8f3493a91d8a5f706e1e8f

9和0x66F62574ab04989737228D18C3624f7FC1edAe14地址中，還有1606個Ether在0x24B93EED37e6FfE948A9bdF365d750B52AdCBC2e。再次提醒用戶注意錢包安全。Beosin Trace將持續對黑地址異動進行監控。[2022/11/23 8:00:14]

魚叉郵件作為誘餌

黑客組織使用來自虛假或欺騙性角色的魚叉式網絡釣魚電子郵件來接近他們的目標，在這些網站中包含虛假登錄頁面，誘騙受害者輸入帳戶憑據。下圖是黑客組織使用過的釣魚郵件誘餌，針對加密貨幣專業人士：

Beosin：Rabby項目遭受黑客攻擊，涉及金額約20萬美元:金色財經報道，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Rabby項目遭受黑客攻擊。因為RabbyRouter的_swap函數存在外部調用,任意人都可以調用該函數，轉走授權該合約用戶的資金。目前攻擊者已在Ethereum，BSC鏈，polygon，avax，Fantom，optimistic，Arbitrum發起攻擊，請用戶取消對相應合約的授權。以下是存在問題的合約：

Bsc合約地址:0xf756a77e74954c89351c12da24c84d3c206e5355、

Ethereum合約地址：0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1、

optimistic合約地址：0xda10009cbd5d07dd0cecc66161fc93d7c9000da1、

avax合約地址：0x509f49ad29d52bfaacac73245ee72c59171346a8、

Fantom合約地址：0x3422656fb4bb0c6b43b4bf65ea174d5b5ebc4a39、

Arbitrum合約地址：0xf401c6373a63c7a2ddf88d704650773232cea391、

Beosin安全團隊分析發現攻擊者(0xb687550842a24D7FBC6Aad238fd7E0687eD59d55)已把全部獲得的代幣兌換為相應平臺幣，目前被盜資金已全部轉移到Tornado Cash中。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/12 10:31:31]

Beosin：QANplatform跨鏈橋遭受黑客攻擊，涉及金額約189萬美元:10月11日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，QANplatform跨鏈橋項目遭受黑客攻擊。攻擊交易為以下兩筆0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。

Beosin安全團隊分析發現攻擊者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址（因為0x68e819是創建跨鏈橋地址，所以該地址應該屬于項目方。）調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣。存放在攻擊者地址上（0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11）。目前被盜資金中還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/11 10:31:06]

圖源卡巴斯基惡意安卓APP盜取

Beosin：BNBChain上DPC代幣合約遭受黑客攻擊事件分析:據Beosin EagleEye平臺監測顯示，DPC代幣合約遭受黑客攻擊，損失約103,755美元。Beosin安全團隊分析發現攻擊者首先利用DPC代幣合約中的tokenAirdop函數為滿足領取獎勵條件做準備，然后攻擊者使用USDT兌換DPC代幣再添加流動性獲得LP代幣，再抵押LP代幣在代幣合約中。前面的準備，是為了滿足領獎條件。然后攻擊者反復調用DPC代幣中的claimStakeLp函數反復領取獎勵。因為在getClaimQuota函數中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”，導致獎勵可以一直累積。最后攻擊者調用DPC合約中claimDpcAirdrop 函數提取出獎勵（DPC代幣），換成Udst離場。目前被盜資金還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。[2022/9/10 13:21:00]

國外情報公司觀察到黑客組織使用惡意Android應用程序，這些應用程序針對希望獲得加密貨幣貸款的中國用戶，該應用程序和關聯的域名可能會收集用戶憑據。黑客組織甚至會建立虛假的加密貨幣軟件開發公司，以誘騙受害者安裝看似合法的應用程序，這些應用程序在更新時會安裝后門。專家認為，黑客組織目前正在積極測試新的惡意軟件傳遞方法，例如，使用以前未使用的文件類型來感染受害者。替換Metamask插件

動態 | 由BM父親Stan Larimer發布的BEOS鏈已在太空處理了第一筆區塊鏈交易:BEOS 是比特股和 EOS主網之間的中間鏈，它的存在能使兩個生態系統之間的產品和服務實現自由流動。

2018 年 12 月，SovereignSky 完成了在 Elon Musk(現任特斯拉汽車企業的 CEO) 的 Space X Falcon-9 火箭上的第一顆衛星（總共 8 顆）的發射。SpaceQuest 已將 BEOS 混合 SovereignSky 區塊鏈成功上傳到 AprizeSat-5，并且已經完成了太空中的第一批區塊鏈交易之一。區塊鏈交易已于 12 月 13 日在 AprizeSat-5 衛星上被確認。[2020/1/13]

當黑客組織獲取到用戶主機權限時，會監視用戶數周或數月以收集鍵盤記錄并監控用戶的日常操作。如果黑客組織發現目標用戶使用了瀏覽器擴展錢包時，他們會將擴展源從WebStore更改為本地存儲，并將核心擴展組件替換為篡改版本。下圖對比顯示了兩個文件：一個合法的Metamaskbackground.js文件及黑客篡改代碼的變體，修改的代碼行以黃色突出顯示。

圖源卡巴斯基用戶交易的詳細信息會通過HTTP自動提交到黑客的C2服務器：

圖源卡巴斯基在這種情況下，黑客設置了對特定發件人和收件人地址之間交易的監控。從而在發現大額轉賬時觸發通知并竊取資金。下圖是一個被木馬化的擴展：

圖源卡巴斯基以防萬一，需注意瀏覽器是否選擇開發者模式，如果使用的開發者模式，確保重要擴展來自網上商店：

社會工程手段攻擊

Beosin安全研究團隊同樣發現，黑客組織可能會通過社會工程手段，如仿冒交易平臺、發送欺詐性電子郵件等，來欺騙用戶將加密貨幣轉移到他們的賬戶中。仿冒交易平臺：偽裝成知名的加密貨幣交易平臺，通過仿冒的網站或應用程序，欺騙用戶輸入自己的賬戶信息，從而竊取用戶的資產。資金盤詐騙：創建虛假的加密貨幣資金盤，向用戶承諾高額回報，并引導用戶進行投資，然后將用戶的資金轉移到其他賬戶，并關閉資金盤。社交媒體欺詐：利用社交媒體平臺，如Twitter、Telegram、Reddit等，偽裝成加密貨幣交易專家或投資人，發布虛假的投資建議或價格分析，引誘用戶進行投資，從而騙取資金。擴展閱讀：加密大V遭遇木馬病，其錢包大額資產被盜給我們哪些啟示？黑客是如何清洗加密貨幣的？

通過混幣器清洗

此外，黑客組織還利用以太坊區塊鏈上最受歡迎的混幣器TornadoCash轉移資金，例如2020年某交易所被盜，當時被盜資金超過2.7億美元。黑客使用TornadoCash對被盜的ETH資金進行洗錢，在BeosinKYT中查看黑客的資金流向，如下所示有大額資金進入了Tornadocash。

BeosinKYT黑客組織攻擊地址總覽

BeosinKYT黑客組織地址資金流向圖那么，什么是TornadoCash？TornadoCash是一個以太坊上的隱私保護協議，旨在為用戶提供完全匿名的加密貨幣交易。它基于zk-SNARK技術，使用戶可以在不暴露任何個人信息的情況下進行交易，從而保護他們的隱私。TornadoCash的工作原理是將用戶的代幣混合在一起，使它們變得不可追蹤。用戶首先將代幣發送到智能合約，然后智能合約將這些代幣與其他用戶的代幣一起混合。混合完成后，用戶可以從智能合約中提取相同數量的代幣，但這些代幣已被混合，無法與原始發送的代幣進行關聯。TornadoCash支持以太幣和ERC-20代幣，用戶可以選擇不同的「混合池」進行交易。此外，TornadoCash也可以用于向其他人發送完全匿名的代幣，這使得它成為隱私保護的一個重要工具。需要注意的是，TornadoCash僅提供隱私保護，而不是匿名性。用戶需要采取適當的措施來保護他們的身份信息，以免被其他方式追蹤到。此外，使用TornadoCash也需要支付一定的交易費用，這些費用可能會高于普通交易的費用。除此之外，常見的混幣器還有：Blender.io：Blender是一家成立于2017年的比特幣區塊鏈上運行的虛擬貨幣混合器，也是第一個受到美國財政部制裁的混幣器。CoinMixer：從2017年開始就存在的老牌比特幣混幣協議，目前未受到政府制裁。ChipMixer：由越南運營商提供的暗網加密貨幣混幣器，從2017年至今洗掉價值超過30億美元的加密貨幣，該網站和后端服務器于2023年3月15日被聯邦警察局查封。Umbra：Umbra是一款可讓用戶在以太坊上進行私密轉帳的協議，特色在于只有收付雙方知道是誰收到這筆轉帳。CoinJoin：CoinJoin是歷史最為悠久的混幣器之一，專為比特幣和比特幣現金所開發。除了專門的混幣器外，利用FixedFloat、sideshift、ChangeNow等去中心化交易所兌換虛擬貨幣，也能達到洗錢的目的。通過哈希算力租賃或云挖礦服務清洗

黑客組織使用加密貨幣服務來清洗被盜資金，包括購買域名地址和支付服務費用，以及可能使用哈希算力租賃和云挖掘服務將被盜的加密貨幣洗成干凈的加密貨幣。

黑客組織使用被盜的比特幣來支付Namecheap服務哈希算力租賃允許客戶租用計算能力進行加密貨幣挖掘，哈希算力是指計算機或硬件用于運行和求解不同哈希算法的算力，這些算法用于新加密貨幣的生成并驅動加密貨幣之間進行交易，這個過程也被稱為挖礦，這可以用加密貨幣支付。情報公司表示，黑客組織使用這些服務來清洗被盜的加密貨幣，因此無法追溯到惡意操作。

黑客組織通過哈希算力租賃服務洗錢通過暗網市場清洗

黑客組織可能會使用暗網市場上的加密貨幣交易來進行洗錢。這些市場允許匿名交易，使得黑客可以在其中進行交易，以便將他們的黑錢變為可支配資金。黑客使用暗網市場對加密貨幣進行洗錢的過程可以大致分為以下幾個步驟：1在暗網市場上尋找買家：黑客會在暗網市場上尋找想要購買加密貨幣的買家。這些市場上有許多匿名交易的工具和服務，使得黑客可以更輕松地進行交易，同時減少被揭露的風險。2準備好洗錢的加密貨幣：黑客需要將他們從非法活動中獲得的加密貨幣準備好，以便在交易時快速轉移資金，同時減少交易被追蹤的風險。3完成交易：黑客會通過暗網市場上的匿名交易工具和服務完成交易，將加密貨幣轉移到買家的地址中。這些交易可能涉及多種加密貨幣和支付方式。4將洗錢所得轉移到合法渠道：黑客需要將他們從暗網市場上獲得的加密貨幣轉移到合法的渠道中，以便能夠使用這些資金進行日常生活和業務活動。這可能包括將加密貨幣轉換為法定貨幣，或將其投資于其他合法資產。使用代理賬戶清洗

黑客組織可能會使用代理賬戶，以避免被追蹤。這些代理賬戶可能由境外同伙或在海外的留學生等人員持有。以下是可能的代理賬戶洗錢手法：通過控制他人賬戶來洗錢：政府或其代理人員可能會控制他人的銀行賬戶來進行洗錢。這些受控制的賬戶可能是在境外的同胞或關系密切的個人賬戶。購買現成的代理賬戶：另一種可能的手法是購買已有的代理賬戶。這些賬戶可能由境外同伙或在境外的代理人員創建和持有。創建虛假公司和賬戶：可能會創建虛假公司和賬戶，將其用作代理賬戶來進行洗錢。這種手法通常涉及虛假身份、地址和聯系方式等信息，以躲避監管和審查。

Tags：加密貨幣EOSSINTOR加密貨幣和中國數字貨幣DEOS價格superwebusinesstorn幣最新價格

世界幣