ADO:攻擊者拼手速 詳解去中心化工具洗白Liquid被盜9000多萬美元_ADOGE

2021年8月19日，日本交易所Liquid熱錢包中價值9,000多萬美元加密資產被盜，據PeckShield「派盾」統計包含：約480萬美元的BTC、3,250萬美元的ETH、4,490萬美元的ERC-20代幣、183萬美元的TRON、1,290萬美元的XRP。?

據PeckShield「派盾」旗下反洗錢態勢感知系統CoinHolmes顯示，截至目前ETH代幣暫未發生異動，仍鎖在攻擊者的地址里。

攻擊者得手后，首先將ERC-20代幣快速轉入UniSwap、SushiSwap、1inch等DEXs中，通過DEXs將所獲近百種代幣兌換為ETH或通過Ren跨鏈橋兌換為BTC，再將所兌換的ETH通過跨鏈橋轉至以太坊，最后從鏈上混幣器Tornado.cash流出，整個流程十分嫻熟，這一點也可以從攻擊者首先從處置ERC-20代幣看出。

報告：2022年勒索軟件攻擊者獲利減少40%，至4.568億美元:1月20日消息，區塊鏈情報公司Chainalysis在1月19日發布的《2023年加密犯罪報告》報告中表示，2022年勒索軟件攻擊者獲利暴跌40%，至4.568億美元，同時指出這些數字并不一定意味著攻擊次數比前一年有所下降。

Chainalysis表示，公司被迫加強網絡安全措施，而受害者越來越不愿意向攻擊者支付贖金。在去年同系列報告發布時，2021年勒索軟件攻擊獲利高達6.02億美元，后來又新增了更多的加密貨幣錢包地址，使這一數字升至7.66億美元。

此外，勒索軟件攻擊者在重新分配資金時，有48.3%利用中心化加密貨幣交易所，高于2021年的占比39.3%，而包括遭到OFAC制裁的Tornado Cash在內的混幣協議在2022年被攻擊者利用的占比從11.6%增加到15.0%。（Cointelegraph）[2023/1/20 11:23:09]

由于所盜的ERC-20代幣中有些代幣流動性較差，容易遭到發行商凍結、交易回滾或者硬分叉等方式阻礙代幣轉出，攻擊者首先依次將這些代幣轉入不需要KYC、無需注冊登錄、即用即走的DEXs，然后將大部分代幣轉換為主流代幣ETH，并匯集到新地址，再從隱私協議Tornado.cash流出。

派盾：一名Nomad攻擊者將約150萬的資產轉移至Tornado Cash:1月9日消息，PeckShield Alert表示，一名Nomad攻擊者相關地址將1205枚ETH(約150萬美元)轉移至Tornado Cash。[2023/1/9 11:02:00]

從Etherscan上可以看出，自8月19日上午4時19分開始，攻擊者開啟「價值優先」的掃蕩式兌換，首先從USDT、USDC、DAI等穩定幣開始清空，然后趕在代幣被凍結前將它們轉入DEXs。

這是迄今為止，第二起中心化機構被盜通過去中心化機構洗錢的安全事件。據PeckShield「派盾」統計，目前中心化機構被盜后，通過去中心化服務進行洗錢的案例還屈指可數，但類似的洗錢手段已經在DeFiProtocols攻擊、跑路中呈現出增長的趨勢。

安全團隊：DFX Finance攻擊者獲利逾23萬美元:11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下：

1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之后根據返回的存款情況來構造合適的閃電貸需要借出的錢。

2. 緊接著繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。

3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，并且為攻擊合約進行存款的記賬，并且為攻擊合約鑄造存款憑證。

4. 由于利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的余額檢查。

5. 最后調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，并以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。

此次攻擊的主要原因在于Curve合約閃電貸函數并未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的余額判斷，由于存款時有記賬所以攻擊者可以成功提款獲利。[2022/11/11 12:51:08]

新興洗錢三部曲

Rubic：管理員地址私鑰疑被泄露，攻擊者已出售約3400萬RBC/BRBC:11月2日消息，鏈兌換協議Rubic發推稱，管理員的一個錢包地址被盜用了，該地址管理RBC/BRBC跨鏈橋和質押獎勵，團隊懷疑是惡意軟件盜取了私鑰。攻擊者在Uniswap和PancakeSwap上售出了大約3400萬RBC/BRBC，用戶的質押資金是安全的，智能合約沒有被利用。團隊正在處理這種情況，會及時通知接下來的步驟，Staking獎勵將在幾天后恢復。[2022/11/2 12:10:08]

攻擊者在得手后，大致將洗錢的流程分為三步：

觀點：攻擊者地址12億枚aUSD尚未轉移，Acala或通過公投進行回滾:8月14日消息，Cryptolingo DAO 創始人、推特用戶 @IamJulianaC 在社交媒體上發文表示，Acala 使用 Honzon Fungibility Pallet 使 aUSD 在 Acala 和 Karura 之間進行流通。Honzon 協議的創建是為了讓 aUSD 作為原生 Stablecoin 和流動性來源，跨越 Polkadot 和 Kusama 多鏈生態系統。

由于該協議出現漏洞，攻擊者地址（26JmEcghNmggvT46sojckg34Py9zFRKkCcFy3gr49hrFgT2k）能夠轉移超 10 億枚 aUSD。

據猜測，Acala 已經阻止該錢包轉移資產。攻擊者地址中的 12 億枚 aUSD 尚未離開 Acala 鏈，且 Acala 很有可能通過公投進行回滾。Acala 團隊尚未證實 iBTC/aUSD 池和 Honzon 協議漏洞之間的關系。[2022/8/14 12:24:28]

1.批量轉移：將所盜ERC-20資產轉入DEXs，避免被凍結、回滾，同時將所盜資產進行整合，為下一步實施清洗做準備工作；

2.批量兌換：通過DEXs或跨鏈橋將ERC-20代幣兌換為ETH或BTC，通過跨鏈橋將加密資產歸置，為批量轉移到隱私協議做準備；

3.隱蔽階段：將歸置后的ETH或BTC轉移到TornadoCash、Typhoon、WasabiWallet等混幣工具中，混淆資產來源和最終收益者，抹除非法資產的痕跡，混淆資產源頭逃離追蹤。

TornadoCash是基于零知識證明在以太坊上實現的隱私交易中間件。它使用zk-SNARK，能夠以不可追溯的方式將ETH以及ERC20代幣發送到任何地址。

在實際應用中，當用戶將加密貨幣存入隱私池后即可獲得一筆存款憑證，此后用戶可以通過存款憑證向任何地址中提取先前存入的加密貨幣。由于在存款憑證的生成和使用時轉賬的數據都不包含憑證本身，因此可以保證存取款兩筆轉賬完全獨立。另外，由于中繼服務的存在，取款時的以太坊地址甚至不需要擁有支付轉賬費用的ETH，即可以提款至完全空白的地址。

事實上，TornadoCash并非無法破解的隱私協議。前段時間英國破獲的DeFi協議StableMagnetFinance跑路案反映出，在安全公司、交易所、社區和的聯動下，通過CoinHolmes反洗錢態勢感知系統對攻擊者資產進行持續追蹤，在社區持續收集項目方信息，并積極與合作的情況下，可通過分析追蹤社區反饋的線索鎖定涉案相關成員，并在物證人證的幫助下，迫使涉案相關成員歸還存放在TornadoCash中的ETH。

據CoinHolmes追蹤顯示，攻擊者將逾千萬枚XRP分四次轉入其地址后，分三批分別轉入Binance、Huobi、Poloniex等交易所。

Liquid通過反洗錢態勢系統追蹤到此信息后，緊急聯系這幾家中心化機構將攻擊者地址設置黑名單，旨在緊急凍結被盜的XRP資產。

但在此之前攻擊者已經通過交易所將部分XRP轉換為BTC，據CoinHolmes反洗錢態勢系統顯示，這些XRP已經被轉換為192枚BTC，并經通過去中心化的混幣器Wasabi錢包流出。

Wasabi錢包采用「CoinJoin」的方法，將多個用戶的交易匯總成一筆大額交易，其中包含多個輸入和輸出。隨著參與用戶的增長，私密性與可靠性就越強。此外，Wasabi錢包還采用「區塊過濾器」，通過下載整個數據塊進一步打亂交易信息，來增強隱私性和抗審查性，這給相關執法機構追蹤此類資金的流轉帶來挑戰性。

隨著監管部門對中心化機構洗錢情況的嚴厲監管，中心化機構不斷提高KYC需求，使得中心化洗錢渠道遭到沉重打擊，去中心化工具越來越受到犯罪分?的青睞，越來越多的?法資?開始轉向去中心化渠道洗錢。PeckShield「派盾」建議相關執法部門引?新的監管?具和技術，為進一步有效遏制利?虛擬貨幣的洗錢做準備。

截至9月6日，CoinHolmes監控到攻擊者的BTC地址發生異動，共轉出90BTC，CoinHolmes將持續監控被盜加密資產的轉移。

Tags：ETHASHOINADOEthereal網名xHashtagPlatonCoinADOGE

狗狗幣價格