這次的主題是混幣器Tornado.Cash。
隨著黑客盜幣事件愈演愈烈,Tornado.Cash也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向Tornado.Cash。我們曾對Tornado.Cash的匿名性進行過探討,詳見:慢霧AML:“揭開”Tornado.Cash的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過Tornado.Cash洗幣的。
基礎知識
Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。
案例分析
今天要分析的是一個真實案例,當受害平臺找到我們時,在Ethereum、BSC、Polygon三條鏈上的被盜資金均被黑客轉入Tornado.Cash,所以我們主要分析Tornado.Cash的部分。
Conflux PoW基礎獎勵由2 CFX調整為1 CFX提案將于明日鏈上激活:2月21日消息,Conflux Network CIP-94 提案投票結果將在區塊 154536000(預計 2023 年 2 月 22 日 20:00)處激活,屆時,PoW 基礎獎勵由 2CFX 調整為 1CFX,PoS 基礎通脹率將從 4% 調整為 4.08%。[2023/2/21 12:20:19]
黑客地址:
0x489...1F4(Ethereum/BSC/Polygon)
0x24f...bB1(BSC)
Ethereum部分
借助慢霧MistTrack反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。
從部分展示結果來看,可以看到交易行為里黑客使用較多的除了Bridge就是混合器Mixer,這些對我們分析黑客畫像十分重要。
接著,我們對Ethereum上的資金與行為進行深入分析:據慢霧MistTrack反洗錢追蹤系統的分析,黑客將2450ETH以?5x10ETH+24x100ETH的形式分批轉入Tornado.Cash,將198ETH轉入FixedFloat,這讓我們繼續追蹤Tornado.Cash部分留了個心眼。
Rari Capital 鏈上鎖倉突破5000萬美元:據官方消息,DeFi智能投顧協議RariCapital宣布鏈上鎖倉已突破5000萬美元,為54,365,619美元。此前,RariCapital上線新的利率協議Fuse,該協議支持所有孤立的利率市場。RariCapital上的資金池創建者可選擇所需的所有參數,包括利率曲線和預言機等,然后用戶可自由選擇進入或退出資金池。[2021/4/12 20:09:35]
既然想要嘗試追蹤黑客從Tornado.Cash轉出的地址,那我們就得從Ethereum上第一筆資金轉入Tornado.Cash的時間點開始,我們發現第一筆10ETH和第二筆10ETH間的時間跨度較大,所以我們先從跨度小的100ETH開始分析。
定位到Tornado.Cash:100ETH合約相對應的交易,發現從Tornado.Cash轉出的地址非常多。經過慢霧MistTrack的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址。
比特幣24h鏈上實際交易量約51.8萬BTC:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,比特幣24h鏈上活躍地址數逾105.85萬,環比下降0.22%;鏈上實際交易量約51.8萬BTC,環比上升0.96%;鏈上交易筆數逾32.11萬筆,環比下降2.99%。
截至上午10時,BTC全網難度為19.16T,全網算力為136.89EH/s,較前日下降0.97EH/s,未確認交易數約1.51萬筆。[2020/12/10 14:46:46]
據慢霧MistTrack的分析,地址將?Tornado.Cash轉給它的ETH轉到地址,接著把ETH分為三筆轉到了FixedFloat。
分析 | BTC新增流量連續三日萎縮 鏈上活躍度處于近3月底部:據TokenInsight數據顯示,反映區塊鏈行業整體表現的TI指數北京時間01月23日8時報657.68點,較昨日同期下跌4.07點,跌幅為0.62%。此外,在TokenInsight密切關注的10大行業中,24小時內漲幅最高的為資產管理行業,漲幅為5.52%;24小時內跌幅最高的為治理協議行業,跌幅為15.03%。
據監測顯示,BTC 24h成交額為$226億,活躍地址數較前日上升9.59%,轉賬數較前日上升8.35%。Coinwalle分析師Jeffrey認為,BTC新增流量連續三日萎縮,鏈上活躍度處于近3月底部,短期或將延續調整。注:以上內容僅供參考,不構成投資建議。[2020/1/23]
當然,這也可能是巧合,我們需要繼續驗證。
繼續分析,接連發現三個地址均有同樣的特征:
A→B→FixedFloat
A→FixedFloat
動態 | 日本Connectome公司致力于推出全球區塊鏈上虛擬人代理服務:日本初創公司Connectome提出了創造區塊鏈上首個虛擬人類代理(VHA)的設想,旨在實現人工智能(AI)代理建造和商業化經銷的民主化。該公司預計未來的潮流將是以類人的AI代理替代用戶界面,因此致力于開發下一代AI界面。
Connectome正與擁有區塊鏈、AI等多個項目經驗的日本科技公司Couger密切合作。Connectome表示,其區塊鏈平臺將促進開發人員和企業家交流,交易開發的AI類人代理,以及培訓它們所需的數據。其平臺將讓個人與企業擁有保證類人AI代理所有權的方法。[2018/11/26]
在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是24個地址,符合我們的假設。
Polygon部分
如下圖,黑客將獲利的365,247MATIC中的部分MATIC分7次轉到Tornado.Cash。
而剩下的25,246.722MATIC轉到了地址,接著追蹤這部分資金,我們發現黑客將25,246.721MATIC轉到了FixedFloat,這讓我們不禁思考黑客在Polygon上是否會以同樣的手法來洗幣。
我們首先定位到Tornado:100,000MATIC合約與上圖最后三筆對應的交易,同時發現從Tornado.Cash合約轉出的地址并不多,此時我們可以逐個分析。
很快,我們就發現了第一個讓我們覺得有問題的地址。我們看到了熟悉的FixedFloat地址,不僅?FixedFloat轉MATIC到地址,從地址轉出資金的接收地址也都將MATIC轉給了FixedFloat。
分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對FixedFloat實在獨有偏愛,不過這也成了抓住他的把柄。
BSC部分
下面我們來分析BSC部分。BSC上黑客地址有兩個,我們先來看地址:
黑客地址分17次轉了1700ETH到Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧MistTrack的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。
分析過程中,地址引起了我們的注意。如圖,據慢霧MistTrack顯示,該地址將Tornado.Cash轉給它的ETH轉出給了SimpleSwap。
繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:
A→SimpleSwap
A→B→SimpleSwap
另一個黑客地址是以10BNB為單位轉到了Tornado.Cash。
而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。
總結
本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用Tornado.Cash來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從Tornado.Cash提幣后或直接或經過一層中間地址轉移到常用的混幣平臺。當然,這只是通過Tornado.Cash洗幣的其中一種方法,更多手法仍等著我們發現。
而想要更有效率更準確地分析出結果,必然得借助工具。憑借超2億個錢包地址標簽,慢霧?MistTrack反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址,如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過MistTrack反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像,在反洗錢分析評估工作中起到至關重要的作用,為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。
去年12月,耐克收購了NFT工作室RTFKT,今年2月,該合作伙伴發布了一個名為MNLTH的系列。作為該系列的一部分,神秘的品牌盲盒被空投給CloneXNFT的持有者.
1900/1/1 0:00:003月8日消息,Avalanche基金會周二宣布推出“AvalancheMultiverse”計劃,以激勵Avalanche區塊鏈上的新型開發.
1900/1/1 0:00:002022年2月16日-20國集團(G20)的風險監督機構--金融穩定理事會(FSB)周三表示,規模2.6萬億美元的加密貨幣市場的風險可能會迅速增長,監管機構需要預先準備好措施,將該行業納入監管.
1900/1/1 0:00:00原文:TheFundamentalProblemsWithPlay-to-EarnGames,AndHowToSolveThem先說我這篇博客的結論:如果你計劃推出了一個擁有代幣的游戲.
1900/1/1 0:00:00每年四月份是美國國稅局對個人報稅的截止月份,每到這個時候,關于加密貨幣的稅收問題也成為了不少人討論的焦點.
1900/1/1 0:00:00美國當地時間2022年3月9日,美國總統拜登正式簽署數字資產行政令,并在美國白宮官網發布行政令全文。數字資產行政令發布后,被各界人士熱議.
1900/1/1 0:00:00