本篇主要集中解讀RoninNetwork安全事件反洗錢分析及工具方法介紹。
事件背景
3月29日,AxieInfinity側鏈RoninNetwork發布社區預警,RoninNetwork出現安全漏洞,共17.36萬枚ETH和2550萬枚USDC被盜,損失超6.1億美元。據官方發布的信息,攻擊者使用被黑的私鑰來偽造提款,僅通過兩次交易就從Roninbridge中抽走了資金。值得注意的是,黑客事件早在3月23日就發生了,但官方據稱是在用戶報告無法從bridge中提取5kETH后才發現這次攻擊。本次事件的損失甚至高于去年的PolyNetwork被黑事件,后者也竊取了超過6億美元。
事情背景可追溯到去年11月,當時SkyMavis請求AxieDAO幫助分發免費交易,由于用戶負載巨大,AxieDAO將SkyMavis列入白名單,允許SkyMavis代表其簽署各種交易,該過程于12月停止。但是,對白名單的訪問權限并未被撤銷,這就導致一旦攻擊者獲得了SkyMavis系統的訪問權限,就能夠通過gas-freeRPC從AxieDAO驗證器進行簽名。SkyMavis的Ronin鏈由九個驗證節點組成,其中至少需要五個簽名來識別存款或提款事件。攻擊者通過gas-freeRPC節點發現了一個后門,最終攻擊者設法控制了五個私鑰,其中包括SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。美國調查機構認為朝鮮黑客組織LAZARUSGROUP是此事件的幕后黑手。
Visor Finance攻擊事件報告:黑客獲取了管理帳戶訪問權限:基于Uniswap V3的DeFi流動性協議Visor Finance就此前發生的攻擊事件發布報告稱,攻擊者獲得了一個管理帳戶的訪問權限,能夠從尚未存入流動性提供者頭寸的存款中提取資金。報告稱,被盜金額約占其300萬美元TVL的16.7%(約合50萬美元),并證實該黑客并非團隊成員,因此對其緊急提款保障措施缺乏充分了解,被盜資金僅限于未配置的資產。(BeInCrypto)[2021/6/21 23:53:12]
工具及方法
在正式開始反洗錢分析之前,先介紹一個高效的工具和一套有效應對復雜洗錢情況的分析方法。
基礎工具-MistTrack
MistTrack反洗錢追蹤系統是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的SaaS系統,具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。
AMLRiskScore
MistTrack反洗錢追蹤系統主要從地址所屬實體、地址歷史交易活動、慢霧惡意錢包地址庫三方面為其計算AML風險評分。當地址所屬實體為高風險主體或地址與已知的風險主體存在資金來往時,系統會將該地址標記為風險地址。同時,結合慢霧惡意錢包地址庫中的惡意地址數據集,對已核實的勒索、盜幣、釣魚欺詐等非法行為的涉案地址進行風險標記。
報告:加密項目Q3共籌集7.59億美元 約為Q2的四倍:11月11日消息,加密貨幣風投機構Outlier Ventures發布最新報告指出,今年第三季度加密項目共籌集7.59億美元,幾乎是第二季度所籌集資金的四倍,第二季度加密項目籌集了2億美元。Outlier Ventures指出,第三季度籌集資金額大幅上漲,部分需歸因于DeFi興起。(Decrypt)[2020/11/11 12:16:19]
AddressLabels
MistTrack反洗錢追蹤系統積累了超2億個錢包地址標簽,地址標簽主要包含3個分類:
它歸屬于什么實體,如Coinbase、Binance
它的鏈上行為特征,如DeFi鯨魚、MEVBot以及ENS
一些鏈下情報數據,如曾使用過imToken/MetaMask錢包
Investigations
追蹤和識別錢包地址上的加密資產流向,實時監控資金轉移,將鏈上和鏈下信息整合到一個面板中,為司法取證提供強有力的技術支持。
通過標記1千多個地址實體、2億多個地址標簽,10萬多個威脅情報地址,以及超過9000萬個與惡意活動相關的地址,MistTrack為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查,MistTrack在反洗錢分析評估工作中起到至關重要的作用。
動態 | 《2019杭州區塊鏈行業發展報告》正式發布:杭州區塊鏈技術與應用聯合會公眾號今日發文表示,由杭州區塊鏈技術與應用聯合會、浙江數秦科技有限公司共同主筆的《2019杭州區塊鏈行業發展報告》正式發布。報告梳理了整個行業的技術發展概況,總結了全球區塊鏈政策和發展現狀,通過了解杭州市區塊鏈企業運營情況,分析杭州市區塊鏈整體發展,充分挖掘區塊鏈潛在價值,為相關部門提供區塊鏈發展和監管思路。[2020/1/3]
拓展方法-數據分析
MistTrack可以滿足常見的反洗錢分析場景,而遇到復雜特殊的情況就需要其他的方法輔助分析。從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后,在ETH/BSC鏈上的資金都不約而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成為ETH/BSC鏈上反洗錢的主戰場。
新的洗錢手法需要新的分析方法,對Tornado.Cash轉出分析的需求變得越來越普遍,此處我們將提出一個針對Tornado.Cash資金轉出的分析方法:
記錄目前已知的信息,已知信息包括轉入Tornado.Cash總數,第一筆Tornado.Cash存款時間,第一筆Tornado.Cash存款的區塊高度。
將參數填入我們準備的分析面板。
得到初步的Tornado.Cash提款數據結果,再使用特征分類的方式對數據結果做進一步篩選。
動態 | 花旗集團、摩根士丹利發展報告:機構投資者對比特幣需求激增:花旗集團(Citigroup)和摩根士丹利(Morgan Stanley)雙雙計劃要圍繞比特幣推出可交易工具和相關產品。Altana數字貨幣基金首席信息官Alistair Milne表示,銀行和受監管的金融機構對加密貨幣作為新資產類別的興趣日益增加,這一點至關重要,因為這證明了機構投資者對比特幣的需求正在快速增長。提供比特幣產品,進入加密貨幣領域。[2018/9/17]
篩選后的結果是一批疑似黑客轉出的結果集,取概率最高的結果集并對它進行驗證。
Tornado.Cash轉出分析結論。
通過這個Tornado.Cash資金轉出的分析方法,我們已成功分析出RoninNetwork等多個安全事件從Tornado.Cash轉出后的資金詳情。
顯而易見,這個Tornado.Cash資金轉出的分析方法同樣存在局限性:
轉入Tornado.Cash的數量分類也是一個匿名集,資金量越大相應的匿名集數量越少,資金量越小則相反。所以對于資金量小的分析難度更大。
而在BTC鏈上,通過區塊鏈反洗錢資金態勢我們可以看到ChipMixer和Blender是黑客的常用洗錢平臺。Blender目前已被美國財政部制裁,站點已不可用,這里不再做進一步的探討。
動態 | 歐盟報告稱:加密貨幣不太可能挑戰各國央行:歐洲議會上周表示,加密貨幣不會挑戰各國央行。歐洲議會經濟和貨幣事務委員會表示,盡管加密貨幣使金融交易“相對安全、透明和快速”,但它們不會對世界各地的主權貨幣構成威脅。[2018/7/1]
ChipMixer流入洗錢資金量巨大,我們同樣需要提出一個針對ChipMixer資金轉出的分析方法。
識別ChipMixer的提款特征。
輸入地址類型
輸出地址類型
輸入數額特征
版本
鎖定時間
bech32(bc1q...)
bech32(bc1q...)
所有的輸入數額都滿足Chips(即0.001?*2的n次方,n<14)的要求
2
區塊高度-1/區塊高度-2/區塊高度-?3
根據上述提款特征對相應時間段的結構化區塊數據進行掃描和篩選,得到這個時間段內ChipMixer的提款記錄。
對提款記錄數據歸類結果集,取概率最高的結果集并對它進行驗證。
ChipMixer轉出分析結論。
反洗錢分析詳述
根據上述方法,針對RoninNetwork安全事件做出以下分析:
黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
被盜時間:3月23日
損失統計:173,600ETH、25,500,000USDC
攻擊手續費來源:SimpleSwap
資金轉移:
ETH資金轉移:
黑客將攻擊獲利的25,500,000USDC兌換為了8,562.6801ETH,所以黑客需要洗幣的總額為182,163.737ETH。
黑客獲利資金流向主體詳情如下表:
注:其他未做統計的流向資金為洗幣過程損失。
Tornado.Cash資金轉移:
黑客總計轉入Tornado.Cash175,100ETH,經過分析,我們得出Ronin黑客從Tornado.Cash提款符合下列特征:從Tornado.Cash轉出后直接或轉移一層后使用1inch或Uniswap兌換為renBTC,通過renBTC跨鏈到BTC鏈。
通過DuneAnalytics,我們將符合上述特征的Tornado.Cash提款和跨鏈到BTC鏈的數據篩選出來,并進行有效的可視化展示,如下圖:
根據上面的分析圖,得到Tornado.Cash轉出資金情況如下表:
注:數據有效時間截止于7月20日。
BTC資金轉移:
根據對Tornado.Cash資金轉移的分析,我們得到符合特征的共計8,075.9329BTC的資金跨鏈到BTC鏈。其中的6,191.2542BTC經過分析確認與Ronin黑客相關,再加上從Huobi和FTX提款的439.7818BTC,確認共計6,631.036BTC為Ronin黑客所屬資金。此部分資金的進一步轉移情況如下表:
注:0.1BTC以下轉移額不做統計。
ChipMixer資金轉移:
根據BTC資金轉移可以看到3460.6845BTC轉移到了ChipMixer,通過對BTC鏈上數據監控以及對ChipMixer的提款數據進行分析,識別出Ronin黑客從ChipMixer共計提款2,871.03BTC。此部分資金的進一步轉移情況如下表:
注:0.1BTC以下轉移額不做統計。
總結
以上便是關于RoninNetwork安全事件反洗錢分析以及工具方法介紹的全部內容,至此,關于?2022?上半年區塊鏈安全及反洗錢分析報告的四篇完整解讀已全部完成,可以直接點擊頂部專題合集#區塊鏈安全與反洗錢報告瀏覽查看。
完整報告下載:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
人人都信任ThreeArrowsCapital的那兩個家伙,他們知道自己在做什么,對吧?撰文:JenWieczner 編譯:Amber 這艘船很漂亮:大約500噸.
1900/1/1 0:00:00以太坊正面臨有史以來割裂程度最大的一次硬分叉,這絕非僅僅是礦工為保護自身利益而作的垂死掙扎。原文標題:《堅守PoW的邏輯:以太坊Merge硬分叉合法性與可行性分析》撰文:Spike,ThePri.
1900/1/1 0:00:002022年是Web3崛起以來,損失最慘重的一年。 撰文:雪小頑 來源:?極客公園 Web3這一個月來風波不斷.
1900/1/1 0:00:00頭條 ▌薩爾瓦多的比特幣債券將再次推遲金色財經報道,Bitfinex和Tether首席技術官PaoloArdoino告訴《財富》雜志,薩爾瓦多的比特幣債券將進一步推遲,直到今年晚些時候.
1900/1/1 0:00:00對一項投資過于自信會毀掉你的投資組合。鐵子們,我在下面列出了在加密貨幣領域投資時需要注意的9個最常見的陷阱。陷阱1:高估了你手里的阿爾法付費才能進的Discord并不是真正的阿爾法來源.
1900/1/1 0:00:00來源:老雅痞 前言 十幾年前,企業有用人需求之后,一般會通過報紙等傳統媒體發布招聘廣告,或者去人才市場進行專場招聘,如果有高級人才的話,則會找獵頭公司進行“狩獵”.
1900/1/1 0:00:00