比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

加密貨幣:Beosin:頂級黑客是如何對加密貨幣進行竊取和清洗的?_USDP(PAX)價格

Author:

Time:1900/1/1 0:00:00

原文作者:Beosin

不知道大家是否還記得今年3月,發生的那筆接近2億美金的EulerFinance攻擊事件。

經過EulerLabs與攻擊者的多輪協商之后,攻擊者已歸還從協議中盜取的所有資金。

起初EulerFinance攻擊者為了混淆視聽,向某國家級背景黑客組織轉移了100枚ETH。隨后,該黑客組織對Euler的攻擊者發送了一條鏈上通知,要求其解密一條加密信息。

包含此通知的這筆交易中,這個國家級背景黑客組織向Euler攻擊者發送了2枚ETH。但專家稱,該消息是一個網絡釣魚騙局,試圖竊取Euler攻擊者錢包的私鑰。

難道是典型的「黑吃黑」?據了解,該國家級背景黑客組織長期以來一直對加密貨幣業務進行網絡攻擊,并組建了數個專業團隊——來進行網絡攻擊并清洗被盜資金。

今天,我們就結合BeosinKYT反洗錢與分析平臺,起底這個國家級黑客都是如何對加密貨幣進行攻擊和清洗的?

以下是該國家級背景黑客部分APT組織名信息:

圖源etda.or.th

Beosin:Polygon鏈上LibertiVault合約遭遇攻擊:金色財經報道,據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Polygon鏈上LibertiVault合約遭遇攻擊,損失約123ETH和56,234USDT,價值約29萬美元。Beosin安全團隊正在追蹤資金流向。[2023/7/11 10:48:13]

最近國外情報公司分析了該國家級背景黑客組織的攻擊活動,其中包含了對加密貨幣的攻擊。據研究人員稱,黑客組織會使用網絡釣魚技術試圖感染目標,然后攔截大筆加密貨幣轉賬,更改收款人地址,并將轉賬金額推至最大額,意圖在單筆交易中耗盡賬戶資金。

你的加密貨幣是如何被黑客竊取的?

魚叉郵件作為誘餌

黑客組織使用來自虛假或欺騙性角色的魚叉式網絡釣魚電子郵件來接近他們的目標,在這些網站中包含虛假登錄頁面,誘騙受害者輸入帳戶憑據。

下圖是黑客組織使用過的釣魚郵件誘餌,針對加密貨幣專業人士:

圖源卡巴斯基

惡意安卓APP盜取

Beosin:CS (CS)token遭受到攻擊,損失金額截至目前約71.4萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月24日,bsc上鏈的CS(CS)代幣項目遭受攻擊。原因是代幣的_transfer函數中sellAmount沒有及時更新。Beosin安全團隊將簡析分享如下:

1、攻擊者利用閃電貸借入BSC-USD兌換成CS代幣。

2、攻擊者開始賣出3000 CS代幣,這一步會設置sellAmount。

3、攻擊者通過給自己轉賬,會觸發sync(),在這個函數中使用了上一步的sellAmount并且這個函數會銷毀pair的中CS代幣數量。Sync后sellAmount會置為0。重復2,3步持續減少pair中的CS代幣數量,拉升CS代幣的價格,使得后續一步可以兌換出更多的BSC-USD。

借入80,000,000 BSC-USD,兌換出80,954,000 BSC-USD,償還80,240,000 BSC-USD,獲利約714,000 BSC-USD。[2023/5/24 15:22:35]

國外情報公司觀察到黑客組織使用惡意Android應用程序,這些應用程序針對希望獲得加密貨幣貸款的中國用戶,該應用程序和關聯的域名可能會收集用戶憑據。

Beosin:Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示,Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊,Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押,該函數會為攻擊者鑄造等量的LP-USDC,隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中,然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額,_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限,利用該返回值通過borrow函數鑄造了大量USP(獲利點),由于攻擊者自身存在利用LP-USDC借貸的大量債務(USP),那么在正常邏輯下是不應該能提取出質押品的,但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP(借貸上限)而沒有檢查用戶是否歸還債務的情況下,使攻擊者成功提取出了質押品(4400萬LP-USDC)。歸還4400萬USDC閃電貸后, 攻擊者還剩余41,794,533USP,隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

黑客組織甚至會建立虛假的加密貨幣軟件開發公司,以誘騙受害者安裝看似合法的應用程序,這些應用程序在更新時會安裝后門。

Beosin:Gnosis Omni Bridge跨鏈橋項目存在合約層面的重放漏洞:金色財經報道,Beosin 安全團隊發現,在以太坊合并并分叉出 ETHW 后,Gnosis Omni Bridge跨鏈橋項目,由于合約代碼中固定寫死了chainID,而未真正驗證當前所在鏈的chainID,導致合約在驗證簽名時能夠在分叉鏈上驗證通過。攻擊者首先在 ETH 主網上通過omni Bridge 轉移 WETH,隨后將相同的交易內容在 ETHW 鏈上進行了重放,獲取了等額的 ETHW。目前攻擊者已經轉移了 741 ETHW 到交易所。

Beosin 安全團隊建議如果項目方合約里面預設了chainID,請先手動將chainId更新,即使項目方決定不支持ETHW,但是由于無法徹底隔絕通過跨鏈橋之間的資產流動,建議都在ETHW鏈上更新。[2022/9/19 7:04:46]

專家認為,黑客組織目前正在積極測試新的惡意軟件傳遞方法,例如,使用以前未使用的文件類型來感染受害者。

替換Metamask插件

當黑客組織獲取到用戶主機權限時,會監視用戶數周或數月以收集鍵盤記錄并監控用戶的日常操作。

動態 | 成都鏈安推出Beosin-AML虛擬資產調查取證和反洗錢合規系統:為幫助虛擬資產服務商(VASP)監測交易風險、執行反洗錢合規程序,幫助監管部門監督VASP合規流程執行情況,幫助執法部門快速收集虛擬資產犯罪案件證據,為受害者提供技術協助,成都鏈安科技推出可視化的虛擬資產合規監測和調查取證分析系統Beosin-AML。系統上線技術援助服務,受害者被盜幣或不慎參與了跑路盤、資金盤等非法項目后,可在網站提交相關信息,平臺開展調查、分析和追蹤等取證服務。成都鏈安Beosin-AML虛擬資產調查取證和反洗錢合規系統,采集鏈上交易數據,分析加密貨幣犯罪和安全事件,結合機器學習模型綜合分析鏈上交易的合規和安全風險。幫助區塊鏈行業建立合法、合規的應用生態。[2019/12/10]

如果黑客組織發現目標用戶使用了瀏覽器擴展錢包時,他們會將擴展源從WebStore更改為本地存儲,并將核心擴展組件替換為篡改版本。

下圖對比顯示了兩個文件:一個合法的Metamaskbackground.js文件及黑客篡改代碼的變體,修改的代碼行以黃色突出顯示。

社會工程手段攻擊

Beosin安全研究團隊同樣發現,黑客組織可能會通過社會工程手段,如仿冒交易平臺、發送欺詐性電子郵件等,來欺騙用戶將加密貨幣轉移到他們的賬戶中。

仿冒交易平臺:偽裝成知名的加密貨幣交易平臺,通過仿冒的網站或應用程序,欺騙用戶輸入自己的賬戶信息,從而竊取用戶的資產。

資金盤詐騙:創建虛假的加密貨幣資金盤,向用戶承諾高額回報,并引導用戶進行投資,然后將用戶的資金轉移到其他賬戶,并關閉資金盤。

社交媒體欺詐:利用社交媒體平臺,如Twitter、Telegram、Reddit等,偽裝成加密貨幣交易專家或投資人,發布虛假的投資建議或價格分析,引誘用戶進行投資,從而騙取資金。

擴展閱讀:加密大V遭遇木馬病,其錢包大額資產被盜給我們哪些啟示?

黑客是如何清洗加密貨幣的?

通過混幣器清洗

此外,黑客組織還利用以太坊區塊鏈上最受歡迎的混幣器TornadoCash轉移資金,例如2020年某交易所被盜,當時被盜資金超過2.7億美元。

黑客使用TornadoCash對被盜的ETH資金進行洗錢,在BeosinKYT中查看黑客的資金流向,如下所示有大額資金進入了Tornadocash。

BeosinKYT黑客組織地址資金流向圖

那么,什么是TornadoCash?

TornadoCash是一個以太坊上的隱私保護協議,旨在為用戶提供完全匿名的加密貨幣交易。它基于zk-SNARK技術,使用戶可以在不暴露任何個人信息的情況下進行交易,從而保護他們的隱私。

TornadoCash的工作原理是將用戶的代幣混合在一起,使它們變得不可追蹤。用戶首先將代幣發送到智能合約,然后智能合約將這些代幣與其他用戶的代幣一起混合。混合完成后,用戶可以從智能合約中提取相同數量的代幣,但這些代幣已被混合,無法與原始發送的代幣進行關聯。

TornadoCash支持以太幣和ERC-20代幣,用戶可以選擇不同的「混合池」進行交易。此外,TornadoCash也可以用于向其他人發送完全匿名的代幣,這使得它成為隱私保護的一個重要工具。

需要注意的是,TornadoCash僅提供隱私保護,而不是匿名性。用戶需要采取適當的措施來保護他們的身份信息,以免被其他方式追蹤到。此外,使用TornadoCash也需要支付一定的交易費用,這些費用可能會高于普通交易的費用。

除此之外,常見的混幣器還有:

Blender.io:Blender是一家成立于2017年的比特幣區塊鏈上運行的虛擬貨幣混合器,也是第一個受到美國財政部制裁的混幣器。

CoinMixer:從2017年開始就存在的老牌比特幣混幣協議,目前未受到政府制裁。

ChipMixer:由越南運營商提供的暗網加密貨幣混幣器,從2017年至今洗掉價值超過30億美元的加密貨幣,該網站和后端服務器于2023年3月15日被聯邦警察局查封。

Umbra:Umbra是一款可讓用戶在以太坊上進行私密轉帳的協議,特色在于只有收付雙方知道是誰收到這筆轉帳。

CoinJoin:CoinJoin是歷史最為悠久的混幣器之一,專為比特幣和比特幣現金所開發。

除了專門的混幣器外,利用FixedFloat、sideshift、ChangeNow等去中心化交易所兌換虛擬貨幣,也能達到洗錢的目的。

通過哈希算力租賃或云挖礦服務清洗

黑客組織使用加密貨幣服務來清洗被盜資金,包括購買域名地址和支付服務費用,以及可能使用哈希算力租賃和云挖掘服務將被盜的加密貨幣洗成干凈的加密貨幣。

黑客組織使用被盜的比特幣來支付Namecheap服務

哈希算力租賃允許客戶租用計算能力進行加密貨幣挖掘,哈希算力是指計算機或硬件用于運行和求解不同哈希算法的算力,這些算法用于新加密貨幣的生成并驅動加密貨幣之間進行交易,這個過程也被稱為挖礦,這可以用加密貨幣支付。情報公司表示,黑客組織使用這些服務來清洗被盜的加密貨幣,因此無法追溯到惡意操作。

黑客組織通過哈希算力租賃服務洗錢

通過暗網市場清洗

黑客組織可能會使用暗網市場上的加密貨幣交易來進行洗錢。這些市場允許匿名交易,使得黑客可以在其中進行交易,以便將他們的黑錢變為可支配資金。

黑客使用暗網市場對加密貨幣進行洗錢的過程可以大致分為以下幾個步驟:

1在暗網市場上尋找買家:黑客會在暗網市場上尋找想要購買加密貨幣的買家。這些市場上有許多匿名交易的工具和服務,使得黑客可以更輕松地進行交易,同時減少被揭露的風險。

2準備好洗錢的加密貨幣:黑客需要將他們從非法活動中獲得的加密貨幣準備好,以便在交易時快速轉移資金,同時減少交易被追蹤的風險。

3完成交易:黑客會通過暗網市場上的匿名交易工具和服務完成交易,將加密貨幣轉移到買家的地址中。這些交易可能涉及多種加密貨幣和支付方式。

4將洗錢所得轉移到合法渠道:黑客需要將他們從暗網市場上獲得的加密貨幣轉移到合法的渠道中,以便能夠使用這些資金進行日常生活和業務活動。這可能包括將加密貨幣轉換為法定貨幣,或將其投資于其他合法資產。

使用代理賬戶清洗

黑客組織可能會使用代理賬戶,以避免被追蹤。這些代理賬戶可能由境外同伙或在海外的留學生等人員持有。

以下是可能的代理賬戶洗錢手法:

通過控制他人賬戶來洗錢:政府或其代理人員可能會控制他人的銀行賬戶來進行洗錢。這些受控制的賬戶可能是在境外的同胞或關系密切的個人賬戶。

購買現成的代理賬戶:另一種可能的手法是購買已有的代理賬戶。這些賬戶可能由境外同伙或在境外的代理人員創建和持有。

創建虛假公司和賬戶:可能會創建虛假公司和賬戶,將其用作代理賬戶來進行洗錢。這種手法通常涉及虛假身份、地址和聯系方式等信息,以躲避監管和審查。

Tags:加密貨幣SINEOSUSD全球十大加密貨幣singularpointNEOSUSDP(PAX)價格

萊特幣價格
NFT:Blur熄火、「三傻」出局,NFT市場路在何方?_Galactic Blue Index

原文作者:Cookie,律動BlockBeats當Blur這臺NFT市場的流動性發動機也逐漸熄火:當BeepleSatroshi整個mfers社區也沒能將Nakamigos拉到1ETH之上...

1900/1/1 0:00:00
ETH:?WEEX交易所費率介紹 跟單交易手續費怎么收??_MAKE

?根據知名評級機構Cryptowisser發布的報告,WEEX交易所提供具有行業競爭力的費率標準,手續費低于全球交易所平均水平.

1900/1/1 0:00:00
USD:幣安將上線IDEX 1-20倍 U本位永續合約_USDT

親愛的用戶:幣安將于2023年05月03日20:00上線IDEX1-20倍U本位永續合約。關于IDEXUSDT永續合約的更多信息如下表所示: ?? U本位永續合約 IDEXUSDT 幣安將禁止新.

1900/1/1 0:00:00
BTC:幣安理財周三日:新限時活動不容錯過(2023-05-03)_Space ID

這是一般性公告,此處提及的產品和服務可能不適用于您所在的地區。親愛的用戶:幣安理財每周三將為您推出一系列新的限時活動.

1900/1/1 0:00:00
REN:RENEC (RENEC)_DeFi Firefly

一、項目簡介? RENEC是一個去中心化的區塊鏈平臺,旨在使創作者能夠構建為Web3時代的十億用戶提供的體驗。RENEC區塊鏈成立于2021年,是目前由RENEC基金會運營的開源項目.

1900/1/1 0:00:00
OIN:某 Coinbase 高管因未能在公司上市前披露負面信息遭股票投資者起訴_INB

ForesightNews消息,據TheBlock報道,根據在特拉華州法院提起的訴訟,Coinbase高管因未能在2021年4月上市前披露有關該公司的負面信息而獲利10.9億美元.

1900/1/1 0:00:00
ads