Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?

原文标题:《图文剖析 Cryptopia 交易所黑客洗钱行踪》


作者:PeckShield 团队,2019 年 1 月,黑客攻击了新西兰的虚拟货币交易所 Cryptopia,盗取了以 ETH 为主的数字资产(当时价值 1,600 万美元左右)之后销声匿迹。近日,随着币价的攀升,该黑客在沉寂了数月后,开始密集的洗钱行动。据 PeckShield 数字资产护航系统(AML)数据显示,近两天来,该黑客已经将 4,787 个 ETH 转入了火币交易所,而且仍有 26,003 个 ETH 等待被洗时机。,PeckShield 安全人员梳理黑客洗钱路径发现,从本次洗钱路径看,黑客是有通过去中心化交易所 EtherDelta,以 BAT、ELF 等代币配对交易,进行伪装买卖,逃离追踪的想法。不过,纯链上交易信息清晰可查,黑客虽魔高一尺,但白帽安全人员布下了天罗地网,能层层剖析,抽丝剥茧清晰还原黑客洗钱的全过程。,一图概览黑客洗钱全过程:,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 1: 黑客盗取的 ETH 完整流向图 _,从图 1 中能看到,黑客先将部分数字资产转移到一个地址,再伪装成买家和卖家,在去中心化交易所 EtherDelta 中买卖交易,试图逃避追踪,之后将资产再次汇聚到一起进入火币交易所。进一步的细节如下:,在交易所等巨额资产出现安全问题后往往引来无数媒体关注,所有人都会紧盯资产流向,而此时黑客通常会沉寂数月乃至一年。在认为避开风头之后,抓住一个最佳时机,开始销赃洗钱。,此次黑客估计是被市场回暖唤醒,先将 5,000 个 ETH 以每笔 1,000 个的方式转入一个新地址,并以此为起点,开始一轮洗钱操作。如果仔细地看这五笔交易,会发现它们共间隔 16 小时,而且是在每转出一笔后,进入后续的伪装成买家卖家操作。可见黑客格外的小心翼翼,先探探头,试试水再说。,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 2: 黑客将部分资产转移到一个新地址 _,黑客为了逃避资产追踪,一般会将大额资产,以小额多笔的形式分散到大量的地址中,再在各个地址上进行频繁的分散汇聚。而此次黑客采用了一种新方式,通过伪装成去中心化交易所的买家和卖家,试图以正常的挂单配对交易来逃避追踪。,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 3: 黑客伪装成买家 _,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 4: 黑客控制的地址买卖 _,黑客将每次收到的 1,000 ETH,再散成以约 500 个 ETH 一笔进入去中心化交易所,开始买卖。从图 3 和图 4 中发现,黑客以普通用户的方式,不是仅用一两笔,而是通过大量多笔的交易,完成从买家到卖家的资产转移。,伪装买家卖家,买卖 BAT、ELF 代币,下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手,图中是黑客成交的多笔 ELF 和 BAT 代币的订单。,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 5: 黑客伪装成买家交易 ELF、BAT 代币 _,具体来看买家在去中心化交易所 EtherDelta 合约上的一条交易(trade)记录,(
https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6),Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 6: 买家在 EtherDelta 上的交易记录 _,在上图中可以看到,买家与卖家的配对交易,仅接着卖家做了提现(withdraw)操作,对应的着链上的交易记录,(
https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192)截图如下:,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 7: 卖家在 EtherDelta 上的提现记录 _,通过去中心化交易所的倒手交易后,黑客已认为能够避免资产被追踪,又将获得的 ETH 汇总到一个地址,并分批次进入火币交易所。,Cryptopia 倒闭背后,黑客究竟如何洗白盗来的币?_ 图 8: 黑客资产汇总进入火币交易所 _,至此,黑客最初的 5,000 枚 ETH,分批汇聚再进入去中心化交易所,经过倒手买卖,再次汇聚进入火币,看似天衣无缝的操作,实则在链上留下了诸多痕迹。,截至发文时,黑客共计将 4,787 个 ETH 转入了火币交易所,PeckShield 正协助火币交易所对涉及赃款实施封堵。目前尚有 26,003 个 ETH 控制在黑客手中,存在进一步洗钱的可能。PeckShield 正持续追踪黑客下一步的洗钱行踪。,今年 1 月份 Cryptopia 交易所遭黑客攻击损失共计 30,790 个 ETH。时隔 3 个月,当时的 ETH 行情价格也已经翻番了,黑客觉得时机差不多成熟了,开始活跃出来洗钱了。整体来看,黑客此次行动还是很小心谨慎的,通过分散转移账号、伪装买卖等多种手段来逃离追踪,但区块链世界,一切链上行为都有迹可循,安全公司更道高一丈。,黑客洗钱初始地址

0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11,伪装买家地址

0x338fDf0D792F7708d97383EB476e9418 B3C16ff1,伪装卖家 1 地址

0x1e16253b81F418ee44430d94502 Bc766fe8CaDba,伪装卖家 2 地址

0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f,资产汇总地址

0x3d40897675A7467A73610c3ABbBc8292835e67F2,来源链接:
PeckShield 派盾,伪装买家卖家,买卖 BAT、ELF 代币,下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手,图中是黑客成交的多笔 ELF 和 BAT 代币的订单。,在上图中可以看到,买家与卖家的配对交易,仅接着卖家做了提现(withdraw)操作,对应的着链上的交易记录

原创文章,作者:PeckShield 派盾,如若转载,请注明出处:http://www.lianchaguan.com/archives/23213

发表评论

邮箱地址不会被公开。 必填项已用*标注