這次的主題是混幣器 Tornado.Cash。
隨著黑客盜幣事件愈演愈烈,Tornado.Cash 也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向 Tornado.Cash。我們曾對 Tornado.Cash 的匿名性進行過探討,詳見:慢霧 AML:“揭開” Tornado.Cash 的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過 Tornado.Cash 洗幣的。
基礎知識
Tornado.Cash 是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash 使用一個智能合約,接受來自一個地址的 ETH 和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將 ETH 和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中(即存款)時,就會生成私人憑據(隨機密鑰),證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將 ETH 或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
案例分析
今天要分析的是一個真實案例,當受害平臺找到我們時(具體不便透露),在 Ethereum、BSC、Polygon 三條鏈上的被盜資金均被黑客轉入 Tornado.Cash,所以我們主要分析 Tornado.Cash 的部分。
Optimism Collective推出co-grants,允支持Optimism Grants Council工作并獲得鏈上貢獻記錄:6月3日消息,Optimism Governance 發推稱,Optimism Collective 與鏈上基礎設施 Syndicate 合作推出 co-grants,允許用戶支持 Optimism Grants Council 工作并獲得鏈上貢獻記錄。用戶的共同贈款收益將直接流入匹配合約。在 V1 中,匹配合約將由 Optimism 基金會管理,分配將根據 Optimism Grants Council 的決定執行。作為回報,貢獻用戶將收到共同授予人 NFT 和 Optimism Attestation(證明)。[2023/6/3 11:55:57]
黑客地址:
(為保護受害平臺,文中地址均做了處理)
0x489...1F4(Ethereum/BSC/Polygon)
0x24f...bB1(BSC)
Ethereum 部分
借助慢霧 MistTrack 反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。
BXH笨小孩BSC鏈上流動性質押突破1億美金:據官方數據顯示,BXH笨小孩登陸BSC1小時,TVL突破1億美金。7月30日20:00一站式DeFi交易平臺BXH上線幣安智能鏈BSC,支持跨鏈互通,自由操作。[2021/7/30 1:25:22]
從部分展示結果來看,可以看到交易行為里黑客使用較多的除了 Bridge 就是混合器 Mixer,這些對我們分析黑客畫像十分重要。
接著,我們對 Ethereum 上的資金與行為進行深入分析:據慢霧 MistTrack 反洗錢追蹤系統的分析,黑客將 2450 ETH 以?5x10 ETH+24x100 ETH 的形式分批轉入 Tornado.Cash,將 198 ETH 轉入 FixedFloat,這讓我們繼續追蹤 Tornado.Cash 部分留了個心眼。
既然想要嘗試追蹤黑客從 Tornado.Cash 轉出的地址,那我們就得從 Ethereum 上第一筆資金轉入 Tornado.Cash 的時間點開始,我們發現第一筆 10 ETH 和第二筆 10 ETH 間的時間跨度較大,所以我們先從跨度小的 100 ETH 開始分析。
聲音 | Tether:將有3億USDT進行鏈上遷移:金色財經報道,Tether官方發推特稱在一小時內將有3億枚USDT從Tron網絡遷移至ERC20網絡上。在此過程中USDT總供應量不變。[2020/2/20]
定位到 Tornado.Cash:100 ETH 合約相對應的交易,發現從 Tornado.Cash 轉出的地址非常多。經過慢霧 MistTrack 的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址(0x40F…952)。
據慢霧 MistTrack 的分析,地址(0x40F…952)將?Tornado.Cash 轉給它的 ETH 轉到地址(0x8a1…Ca7),接著把 ETH 分為三筆轉到了 FixedFloat。
分析 | BTC鏈上數據較7日均值均有小幅上升:據 TokenInsight 數據分析顯示,12月12日 BTC 鏈上轉賬數 261,303,較前日增加3.95% ,較7日日均轉賬數增加3.13%;活躍地址數545,888,較前日減少0.94%,較7日日均活躍地址數增加3.81%;交易所成交量為42.1億美元,較前日減少9.66%,較7日日均成交量減少19.44%;存儲地址中BTC總量為6,834,814 枚,較前日增加9,339枚,較7日日均資金總量增加2,181枚。 獨立分析師James認為,BTC鏈上轉賬數、活躍地址數與存儲地址中BTC總量較7日日均小幅上升,但交易所成交量顯著下降。市場反彈無力,震蕩下行趨勢或將延續。[2018/12/13]
當然,這也可能是巧合,我們需要繼續驗證。
繼續分析,接連發現三個地址均有同樣的特征:
A→B→(多筆)FixedFloat
A→(多筆)FixedFloat
聲音 | Thomas Power:GDPR只是區塊鏈上的標簽:據coincryptorama報道,區塊鏈戰略專家Thomas Power近日表示:“區塊鏈是一個新的即將出臺的標準,它將所有內容,例如文檔或交易數據,或者每個人的數據綁定在一起,就像Internet 2.0一樣。GDPR只是區塊鏈上的標簽,人們會選擇觀察,尊重和認可。這是一個很好的標簽。一旦第一塊個區塊鏈 -應用“比特幣” 被證券交易委員會認可,區塊鏈相關的合規解釋將會越來越多地發生。”[2018/10/4]
在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是 24 個地址,符合我們的假設。
Polygon 部分
如下圖,黑客將獲利的 365,247 MATIC 中的部分 MATIC 分 7 次轉到 Tornado.Cash。
而剩下的 25,246.722 MATIC 轉到了地址(0x75a…5c1),接著追蹤這部分資金,我們發現黑客將 25,246.721 MATIC 轉到了 FixedFloat,這讓我們不禁思考黑客在 Polygon 上是否會以同樣的手法來洗幣。
我們首先定位到 Tornado:100,000 MATIC 合約與上圖最后三筆對應的交易,同時發現從 Tornado.Cash 合約轉出的地址并不多,此時我們可以逐個分析。
很快,我們就發現了第一個讓我們覺得有問題的地址(0x12e…69e)。我們看到了熟悉的 FixedFloat 地址,不僅?FixedFloat 轉 MATIC 到地址(0x12e…69e),從地址(0x12e…69e)轉出資金的接收地址也都將 MATIC 轉給了 FixedFloat。
分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對 FixedFloat 實在獨有偏愛,不過這也成了抓住他的把柄。
BSC 部分
下面我們來分析 BSC 部分。BSC 上黑客地址有兩個,我們先來看地址(0x489…1F4):
黑客地址分 17 次轉了 1700 ETH 到 Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧 MistTrack 的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。
分析過程中,地址(0x152…fB2)引起了我們的注意。如圖,據慢霧 MistTrack 顯示,該地址將 Tornado.Cash 轉給它的 ETH 轉出給了 SimpleSwap。
繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:
A→SimpleSwap
A→B→SimpleSwap
另一個黑客地址(0x24f…bB1)是以 10 BNB 為單位轉到了 Tornado.Cash。
而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。
總結
本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用 Tornado.Cash 來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從 Tornado.Cash 提幣后或直接或經過一層中間地址轉移到常用的混幣平臺(FixedFloat/SimpleSwap/Sideshift.ai)。當然,這只是通過 Tornado.Cash 洗幣的其中一種方法,更多手法仍等著我們發現。
而想要更有效率更準確地分析出結果,必然得借助工具。憑借超 2 億個錢包地址標簽,慢霧?MistTrack 反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址,如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過 MistTrack 反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像,在反洗錢分析評估工作中起到至關重要的作用,為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。
隨著全球數字經濟加速發展,加密資產及元宇宙概念暴熱,2021年以來NFT迎來了爆發性增長,逐步成為市場最熱的投資風向標之一.
1900/1/1 0:00:00如果沒有意外,這也將是國內第一支元宇宙基金。千呼萬喚始出來,北京第一支元宇宙母基金要來了。投資界—解碼LP從北京市通州區金融辦平臺獲悉,經區政府同意,印發《關于加快北京城市副中心元宇宙創新引領發.
1900/1/1 0:00:002021年的刑事辯護領域,最火熱的罪名莫過于幫助信息網絡犯罪活動罪(以下簡稱“幫信罪”),去年10月,最高檢發布了2021年前三季度全國檢察機關主要辦案數據顯示,在過去9個月里.
1900/1/1 0:00:002020年開始,新冠疫情席卷全球,對世界范圍內各領域的經濟造成嚴重沖擊,尤其對于旅游業這類以線下形式為主的經濟體。雖然全球旅游經濟逐漸呈現復蘇態勢,但目前復蘇的程度和進度還較為緩慢.
1900/1/1 0:00:00NFTs提供了傳統流媒體主導的音樂業務中難以企及的財務收益一批音樂藝術家開始使用新的、基于區塊鏈的數字領域(有時被稱為web3)來做他們一直夢想的事情---通過制作音樂賺錢.
1900/1/1 0:00:00最近幾年,加密行業發展勢頭迅猛,NFT、元宇宙、Web3等熱點話題已經成為了行業巨頭公司高管們最關心的問題。今天我們盤點一些業內最有影響力的高管的看法.
1900/1/1 0:00:00