隨著黑客盜幣事件愈演愈烈,Tornado.Cash也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向Tornado.Cash。今天以一個真實案例來看看這名黑客是怎么通過Tornado.Cash洗幣的。
智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。Polygon三條鏈上的被盜資金均被黑客轉入Tornado.Cash,所以我們主要分析Tornado.Cash的部分。
慢霧:上周Web3安全事件中總損失約1996.3萬美元:金色財經報道,據慢霧區塊鏈被黑檔案庫統計,2023年8月14日至8月20日,共發生安全事件10起,總損失約1996.3萬美元。具體事件:
8月14日,Hexagate發推表示,過去幾天單個MEV Bot被利用了約20萬美元。以太坊上Zunami Protocol協議遭遇價格操縱攻擊,損失1,179個ETH(約220萬美元)。
8月15日,以太坊擴容解決方案Metis官方推特賬號被盜。Sei Network官方Discord服務器遭入侵。Base生態項目RocketSwap遭遇攻擊,攻擊者竊取了RCKT代幣,將其轉換為價值約86.8萬美元的ETH并跨鏈到以太坊。
8月16日,借貸協議SwirlLend團隊從Base盜取了約290萬美元的加密貨幣,從Linea盜取了價值170萬美元的加密貨幣。BAYC推出的鏈上許可申請平臺Made by Apes的SaaSy Labs APl存在一個問題,允許訪問MBA申請的個人詳細信息。
8月18日,DeFi借貸協議Exactly Protocol遭受攻擊,損失超7,160枚ETH(約1204萬美元)。
8月19日,Cosmos生態跨鏈穩定幣協議Harbor Protocol被利用,損失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600萬億枚WMATIC。
8月20日,衍生品市場Thales發布公告稱,一名核心貢獻者的個人電腦/Metamask遭到黑客攻擊,一些充當臨時部署者(2.5萬美元)或管理員機器人(1萬美元)的熱錢包已被攻破。[2023/8/21 18:13:42]
黑客地址:
慢霧:iCloud 用戶的MetaMask錢包遭遇釣魚攻擊是由于自身的安全意識不足:據官方消息,慢霧發布iCloud 用戶的MetaMask錢包遭遇釣魚攻擊簡析,首先用戶遭遇了釣魚攻擊,是由于自身的安全意識不足,泄露了iCloud賬號密碼,用戶應當承擔大部分的責任。但是從錢包產品設計的角度上分析,MetaMask iOS App 端本身就存在有安全缺陷。
MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 來禁止應用程序被用戶和系統進行備份,從而避免備份的數據在其他設備上被恢復。
MetaMask iOS端代碼中沒有發現存在這類禁止錢包數據(如 KeyStore 文件)被系統備份的機制。默認情況下iCloud會自動備份應用數據,當iCloud賬號密碼等權限信息被惡意攻擊者獲取,攻擊者可以從目標 iCloud 里恢復 MetaMask iOS App 錢包的相關數據。
慢霧安全團隊經過實測通過 iCloud 恢復數據后再打開 MetaMask 錢包,還需要輸入驗證錢包的密碼,如果密碼的復雜度較低就會存在被破解的可能。[2022/4/18 14:31:38]
0x489...1F4(Ethereum/BSC/Polygon)
慢霧:Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報,2022年1月18日,bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示,此次攻擊是由于setTrustedForwarder函數未做權限限制,且在獲取調用者地址的函數_msg.sender()中,寫了一個特殊的判斷,導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]
0x24f...bB1(BSC)
從部分展示結果來看,可以看到交易行為里黑客使用較多的除了Bridge就是混合器Mixer,這些對我們分析黑客畫像十分重要。
接著,我們對Ethereum上的資金與行為進行深入分析:據慢霧MistTrack反洗錢追蹤系統的分析,黑客將2450ETH以?5x10ETH24x100ETH的形式分批轉入Tornado.Cash,將198ETH轉入FixedFloat,這讓我們繼續追蹤Tornado.Cash部分留了個心眼。
慢霧:警惕ETH新型假充值,已發現在野ETH假充值攻擊:經慢霧安全團隊監測,已發現存在ETH假充值對交易所攻擊的在野利用,慢霧安全團隊決定公開修復方案,請交易所或錢包及時排查ETH入賬邏輯,必要時聯系慢霧安全團隊進行檢測,防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作:1、針對合約ETH充值時,需要判斷內聯交易中是否有revert的交易,如果存在revert的交易,則拒絕入賬。2、采用人工入賬的方式處理合約入賬,確認充值地址到賬后才進行人工入賬。同時需要注意,類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]
既然想要嘗試追蹤黑客從Tornado.Cash轉出的地址,那我們就得從Ethereum上第一筆資金轉入Tornado.Cash的時間點開始,我們發現第一筆10ETH和第二筆10ETH間的時間跨度較大,所以我們先從跨度小的100ETH開始分析。
定位到Tornado.Cash:100ETH合約相對應的交易,發現從Tornado.Cash轉出的地址非常多。經過慢霧MistTrack的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址。
據慢霧MistTrack的分析,地址將?Tornado.Cash轉給它的ETH轉到地址,接著把ETH分為三筆轉到了FixedFloat。
當然,這也可能是巧合,我們需要繼續驗證。
繼續分析,接連發現三個地址均有同樣的特征:
A→B→FixedFloat
A→FixedFloat
在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是24個地址,符合我們的假設。
而剩下的25,246.722MATIC轉到了地址,接著追蹤這部分資金,我們發現黑客將25,246.721MATIC轉到了FixedFloat,這讓我們不禁思考黑客在Polygon上是否會以同樣的手法來洗幣。
我們首先定位到Tornado:100,000MATIC合約與上圖最后三筆對應的交易,同時發現從Tornado.Cash合約轉出的地址并不多,此時我們可以逐個分析。
很快,我們就發現了第一個讓我們覺得有問題的地址。我們看到了熟悉的FixedFloat地址,不僅?FixedFloat轉MATIC到地址,從地址轉出資金的接收地址也都將MATIC轉給了FixedFloat。
分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對FixedFloat實在獨有偏愛,不過這也成了抓住他的把柄。
黑客地址分17次轉了1700ETH到Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧MistTrack的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。
分析過程中,地址引起了我們的注意。如圖,據慢霧MistTrack顯示,該地址將Tornado.Cash轉給它的ETH轉出給了SimpleSwap。
繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:
A→SimpleSwap
A→B→SimpleSwap
另一個黑客地址是以10BNB為單位轉到了Tornado.Cash。
而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。
總結
本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用Tornado.Cash來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從Tornado.Cash提幣后或直接或經過一層中間地址轉移到常用的混幣平臺。當然,這只是通過Tornado.Cash洗幣的其中一種方法,更多手法仍等著我們發現。
而想要更有效率更準確地分析出結果,必然得借助工具。憑借超2億個錢包地址標簽,慢霧?MistTrack反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址,如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過MistTrack反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像,在反洗錢分析評估工作中起到至關重要的作用,為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。
Tags:ETHTORORNTORNInverse Ethereum Volatility Index Tokenbittorrent幣怎么樣CORNXtorn幣最新價格
虎符是全球領先的一站式加密服務平臺,經紀商項目使客戶能利用虎符的技術建立自己的業務體系,同時提供一流的市場深度、靈活的費率和高額傭金分成.
1900/1/1 0:00:00尊敬的8V用戶: 8V將于英國時間(UTC0)2022年03月18日13:30上線ApeCoin(APE)現貨交易.
1900/1/1 0:00:00全球爆火NFT項目“無聊猿”(BAYC)自去年4月推出以來,已經迅速成長為NFT市場內按市值計算最有價值的NFT項目,被包括NBA球星柯瑞、饒舌天王阿姆、知名歌手小賈斯汀等眾多名人競相收藏.
1900/1/1 0:00:001Biswap(BSW)TokenSaleResultTheGate.ioStartupBiswap(BSW)saleresultisasfollows:BSWStartupSaleAmount.
1900/1/1 0:00:00親愛的ZT用戶: ZTSTO板即將上線YPT,並開啟YPT/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年3月23日10:18; YPT 項目簡介:YPT為京安神龍發行的穩.
1900/1/1 0:00:00區塊鏈上的身份、交易等信息往往是以一串數字的形式呈現的,通過追蹤某人的錢包地址就能夠知道他的鏈上行為,這是加密世界獨有的開放與透明.
1900/1/1 0:00:00