5 月 15 日新西蘭加密貨幣交易所 Cryptopia 宣佈停運並清算,並表示已指派正大會計師事務所對資產進行清算,將持續數月。今年 1 月該交易所遭遇連續兩次的黑客攻擊,損失超過 1600 萬美元。本文將深度還原黑客如何洗掉從 Cryptopia 那裏盜來的黑幣的。

原文標題:《圖文剖析 Cryptopia 交易所黑客洗錢行蹤》
作者:PeckShield 團隊

2019 年 1 月,黑客攻擊了新西蘭的虛擬貨幣交易所 Cryptopia,盜取了以 ETH 爲主的數字資產(當時價值 1,600 萬美元左右)之後銷聲匿跡。近日,隨着幣價的攀升,該黑客在沉寂了數月後,開始密集的洗錢行動。據 PeckShield 數字資產護航系統(AML)數據顯示,近兩天來,該黑客已經將 4,787 個 ETH 轉入了火幣交易所,而且仍有 26,003 個 ETH 等待被洗時機。

PeckShield 安全人員梳理黑客洗錢路徑發現

1、黑客在攻擊成功後,一般會將資產分散到多個地址或直接轉移到新地址後沉寂一段時間以避開風頭;
2、在洗錢過程中,黑客會先轉移出少部分資產進行嘗試,尋找最佳洗錢方式;
3、在少部分資產嘗試清洗成功後,纔會處理剩餘資產,否則會繼續沉寂等待時機。

從本次洗錢路徑看,黑客是有通過去中心化交易所 EtherDelta,以 BAT、ELF 等代幣配對交易,進行僞裝買賣,逃離追蹤的想法。不過,純鏈上交易信息清晰可查,黑客雖魔高一尺,但白帽安全人員佈下了天羅地網,能層層剖析,抽絲剝繭清晰還原黑客洗錢的全過程。

一圖概覽黑客洗錢全過程:

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 1: 黑客盜取的 ETH 完整流向圖

從圖 1 中能看到,黑客先將部分數字資產轉移到一個地址,再僞裝成買家和賣家,在去中心化交易所 EtherDelta 中買賣交易,試圖逃避追蹤,之後將資產再次匯聚到一起進入火幣交易所。進一步的細節如下:

第一步:資產轉移

在交易所等鉅額資產出現安全問題後往往引來無數媒體關注,所有人都會緊盯資產流向,而此時黑客通常會沉寂數月乃至一年。在認爲避開風頭之後,抓住一個最佳時機,開始銷贓洗錢。

此次黑客估計是被市場回暖喚醒,先將 5,000 個 ETH 以每筆 1,000 個的方式轉入一個新地址,並以此爲起點,開始一輪洗錢操作。如果仔細地看這五筆交易,會發現它們共間隔 16 小時,而且是在每轉出一筆後,進入後續的僞裝成買家賣家操作。可見黑客格外的小心翼翼,先探探頭,試試水再說。

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 2: 黑客將部分資產轉移到一個新地址

第二步:僞裝買賣

黑客爲了逃避資產追蹤,一般會將大額資產,以小額多筆的形式分散到大量的地址中,再在各個地址上進行頻繁的分散匯聚。而此次黑客採用了一種新方式,通過僞裝成去中心化交易所的買家和賣家,試圖以正常的掛單配對交易來逃避追蹤。

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 3: 黑客僞裝成買家

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 4: 黑客控制的地址買賣

黑客將每次收到的 1,000 ETH,再散成以約 500 個 ETH 一筆進入去中心化交易所,開始買賣。從圖 3 和圖 4 中發現,黑客以普通用戶的方式,不是僅用一兩筆,而是通過大量多筆的交易,完成從買家到賣家的資產轉移。

僞裝買家賣家,買賣 BAT、ELF 代幣

下圖中可以看到黑客控制多個帳號僞裝成買家和賣家將資產倒手,圖中是黑客成交的多筆 ELF 和 BAT 代幣的訂單。

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 5: 黑客僞裝成買家交易 ELF、BAT 代幣

具體來看買家在去中心化交易所 EtherDelta 合約上的一條交易(trade)記錄

https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 6: 買家在 EtherDelta 上的交易記錄

在上圖中可以看到,買家與賣家的配對交易,僅接着賣家做了提現(withdraw)操作,對應的着鏈上的交易記錄

https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192)截圖如下:

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 7: 賣家在 EtherDelta 上的提現記錄

第三步:再次匯聚,進入交易所

通過去中心化交易所的倒手交易後,黑客已認爲能夠避免資產被追蹤,又將獲得的 ETH 彙總到一個地址,並分批次進入火幣交易所。

Cryptopia 倒閉背後,黑客究竟如何洗白盜來的幣?圖 8: 黑客資產彙總進入火幣交易所

至此,黑客最初的 5,000 枚 ETH,分批匯聚再進入去中心化交易所,經過倒手買賣,再次匯聚進入火幣,看似天衣無縫的操作,實則在鏈上留下了諸多痕跡。

截至發文時,黑客共計將 4,787 個 ETH 轉入了火幣交易所,PeckShield 正協助火幣交易所對涉及贓款實施封堵。目前尚有 26,003 個 ETH 控制在黑客手中,存在進一步洗錢的可能。PeckShield 正持續追蹤黑客下一步的洗錢行蹤。

今年 1 月份 Cryptopia 交易所遭黑客攻擊損失共計 30,790 個 ETH。時隔 3 個月,當時的 ETH 行情價格也已經翻番了,黑客覺得時機差不多成熟了,開始活躍出來洗錢了。整體來看,黑客此次行動還是很小心謹慎的,通過分散轉移賬號、僞裝買賣等多種手段來逃離追蹤,但區塊鏈世界,一切鏈上行爲都有跡可循,安全公司更道高一丈。

黑客洗錢地址一覽

黑客洗錢初始地址
0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

僞裝買家地址
0x338fDf0D792F7708d97383EB476e9418B3C16ff1

僞裝賣家 1 地址
0x1e16253b81F418ee44430d94502Bc766fe8CaDba

僞裝賣家 2 地址
0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

資產彙總地址
0x3d40897675A7467A73610c3ABbBc8292835e67F2

來源鏈接:mp.weixin.qq.com