KSM:慢雾:复盘 Liquid 交易平台被盗 9000 多万美元事件

北京时间2021年8月19日10:05,日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看,Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种,币种之多,数额之高,令人惊叹。

慢雾AML团队利用旗下MistTrack反追踪系统分析统计,Liquid共计损失约9,135万美元,包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。

慢雾AML团队全面追踪了各币种的资金流向情况,也还原了攻击者的洗币手法,接下来分几个部分向大家介绍。

BTC部分

攻击者相关地址

慢雾AML团队对被盗的BTC进行全盘追踪后发现,攻击者主要使用了“二分法”的洗币手法。所谓“二分法”,是指地址A将资金转到地址B和C,而转移到地址B的数额多数情况下是极小的,转移到地址C的数额占大部分,地址C又将资金转到D和E,依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以二分法的方式继续转移,要么转到交易平台,要么停留在地址,要么通过Wasabi等混币平台混币后转出。

慢雾:针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道,SlowMist发布安全警报,针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket,感染链由一个 macOS 安装程序组成,该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件,该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

以攻击者地址为例:

据MistTrack反追踪系统显示,共107.5BTC从Liquid交易平台转出到攻击者地址,再以8~21不等的BTC转移到下表7个地址。

为了更直观的展示,我们只截取了地址资金流向的一部分,让大家更理解“二分法”洗币。

以图中红框的小额转入地址为例继续追踪,结果如下:

慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

可以看到,攻击者对该地址继续使用了二分法,0.0027BTC停留在地址,而0.0143BTC转移到Kraken交易平台。

慢雾:2021年上半年共发生78起区块链安全事件,总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计,2021年上半年,整个区块链生态共发生78起较为著名的安全事件,涉及DeFi安全50起、钱包安全2起,公链安全3起,交易所安全6起,其他安全相关17起,其中以太坊上27起,币安智能链(BSC)上22起,Polygon上2起,火币生态链(HECO)、波卡生态、EOS上各1起,总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现,约60%的资金被攻击者转入混币平台,约30%的资金被转入交易所。慢雾安全团队在此建议,用户应增强安全意识,提高警惕,选择经过安全审计的可靠项目参与;项目方应不断提升自身的安全系数,通过专业安全审计机构的审计后才上线,避免损失;各交易所应加大反监管力度,进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

攻击者对其他BTC地址也使用了类似的方法,这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记,帮助客户做出有效的事前防范,规避风险。

慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

ETH与ERC20代币部分

攻击者相关地址

经过慢雾AML团队对上图几个地址的深度分析,总结了攻击者对ETH/ERC20代币的几个处理方式。

1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。

2.部分ERC20代币直接转到交易平台,部分ERC20代币直接转到地址1并停留。

3.攻击者将地址1上的ETH不等额分散到多个地址,其中16,660ETH通过Tornado.Cash转出。

地址2的538.27ETH仍握在攻击者手里,没有异动。

4.攻击者分三次将部分资金从Tornado.cash转出,分别将5,600ETH转入6个地址。

其中5,430ETH转到不同的3个地址。

另外170ETH转到不同的3个交易平台。

攻击者接着将3个地址的ETH换成renBTC,以跨链的方式跨到BTC链,再通过前文提及的类似的“二分法”将跨链后的BTC转移。

以地址为例:

以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果,该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。

TRX/TRC20部分

攻击者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

资金流向分析

据MistTrack反追踪系统分析显示,攻击者地址上的TRC20兑换为TRX。再将所有的TRX分别转移到Huobi、Binance交易平台。

XRP部分

攻击者相关地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

资金流向分析

攻击者将11,508,495XRP转出到3个地址。

接着,攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。

总结

本次Liquid交易平台被盗安全事件中,攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前,大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台,11,508,516枚XRP转入交易平台,攻击者以太坊地址2存有538.27ETH,以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币,慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。

攻击事件事关用户的数字资产安全,随着被盗数额越来越大,资产流动越来越频繁,加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统,在收到相关“脏币”时会收到提醒,可以更好地识别高风险账户,避免平台陷入涉及的境况,拥抱监管与合规的大势。

来源链接:mp.weixin.qq.com

免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。

慢雾

慢雾

慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-3:941ms