WEB:报告解读之 Ronin Network 安全事件及反分析

本篇主要集中解读 Ronin Network 安全事件反分析及工具方法介绍。

事件背景

工具及方法

在正式开始反分析之前,先介绍一个高效的工具和一套有效应对复杂情况的分析方法。

(MistTrack 反追踪系统示例图)

MistTrack 反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的 SaaS 系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

AML Risk Score

MistTrack 反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算 AML 风险评分。当地址所属实体为高风险主体(如混币平台)或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。

欧易OKX发布第二次储备金证明报告,并承诺定期公布PoR报告:据官方消息,欧易OKX于12月23日在官网发布第二次PoR报告。据OKX官网数据显示,BTC、ETH、USDT储备金率均超过100%,分别为101%、103%、101%。

此外,欧易承诺将定期发布PoR报告,下次报告将于2023年1月20日前公布。用户可以在页面上查看两次PoR审计结果,并可使用自我查验功能和开源工具验证其在欧易上的资产,自我验证链上资产时也可下载两次审计的数据文件。[2022/12/23 22:03:06]

Address Labels

MistTrack 反追踪系统积累了超 2 亿个钱包地址标签,地址标签主要包含 3 个分类:

(1)它归属于什么实体,如 Coinbase、Binance

(2)它的链上行为特征,如 DeFi 鲸鱼、MEV Bot 以及 ENS

(3)一些链下情报数据,如曾使用过 imToken/MetaMask 钱包

Investigations

追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。

报告:比特币净积累趋势持续 矿工持仓达6个月高点:12月24日消息,CryptoQuant分析团队分享了一些最近获得的比特币积累和销售数据。总的来说,比特币的净积累趋势仍在继续,但一些鲸鱼已经出售了他们的部分比特币。

根据CryptoQuant的数据,矿工们仍然看好比特币,他们目前的库存余额已经达到了六个月以来的最高点。根据其分析师之一Venturefounder的文章,矿工们现在拥有的比特币比此前比特币达到6.9万美元的历史高点时还要多。他补充称,自今年7月以来,矿工一直在增加库存。

CryptoQuant的报告还显示,目前,比特币正在大量重新积累。最近,大约3700枚比特币已经从中心化交易所转移。

报告的作者强调说,目前的水平与9月份的累积率类似,他补充说,当时的累积率推动BTC从4.1万美元的低点上涨了约70%。(U.Today)[2021/12/24 8:02:32]

(MistTrack 追踪分析示例图)

CSSS报告认为区块链可以帮助减少核风险:伦敦国王学院科学与安全研究中心(CSSS)发表了一份新的政策报告《信任机器:核裁军和军备控制核查中的区块链》,认为区块链技术可以帮助以安全、可靠的方式验证核弹头的拆卸。这为在《不扩散核武器条约》缔约国之间建立信任创造了新的机会,推动在核裁军和军备控制核查方面的合作。领导这项研究的CSSS研究助理Lyndon Burford解释说,区块链的独特特征与裁军过程中的数据管理要求密切相关。(KCL)[2020/11/2 11:27:14]

通过标记 1 千多个地址实体、2 亿多个地址标签,10 万多个威胁情报地址,以及超过 9000 万个与恶意活动相关的地址,MistTrack 为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack 在反分析评估工作中起到至关重要的作用。

MistTrack 可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在 ETH/BSC 链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成为 ETH/BSC 链上反的主战场。

区块链活跃度指数排名报告:据IMEOS报道,根据blocktivity.info的数据显示,截止北京时间18年09月26日11点00分 ,区块链活跃度指数排名前五名分别为:BitShares,EOS,Steem,Bitcoin,Ethereum。其中EOS的Activity指数为1,148,102,排名第2。Activity指数为最近24小时内在区块链上执行的操作数量。[2018/9/26]

新的手法需要新的分析方法,对 Tornado.Cash 转出分析的需求变得越来越普遍,此处我们将提出一个针对 Tornado.Cash 资金转出的分析方法:

记录目前已知的信息,已知信息包括转入 Tornado.Cash 总数,第一笔 Tornado.Cash 存款时间,第一笔 Tornado.Cash 存款的区块高度。

将参数填入我们准备的分析面板(https://dune.com/awesome/Tornado-withdraw-analysis)。

得到初步的 Tornado.Cash 提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。

动态 | 研究报告:P2P保险采用区块链技术 保单持有人具备管理所有保险的职能:Researchandmarkets在最新公布的《2018年全球P2P保险行业研究报告》中指出,最近出现了使用区块链技术和自治模式的新一轮P2P保险。在自治模式下,社区内的保单持有人具备集体管理所有保险的职能,例如制定政策规则、接受新成员以及制定和批准索赔以及支付报销。[2018/9/7]

筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。

Tornado.Cash 转出分析结论。

(Dune Dashboard - Tornado.Cash 转出分析)

通过这个 Tornado.Cash 资金转出的分析方法,我们已成功分析出 Ronin Network 等多个安全事件从 Tornado.Cash 转出后的资金详情。

显而易见,这个 Tornado.Cash 资金转出的分析方法同样存在局限性:

转入 Tornado.Cash 的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。

而在 BTC 链上,通过区块链反资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用平台。Blender 目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。

ChipMixer 流入资金量巨大,我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。

识别 ChipMixer 的提款特征。

输入地址类型

输出地址类型

输入数额特征

版本

锁定时间

bech32(bc1q...)

所有的输入数额都满足 Chips(即 0.001 ?* 2 的 n 次方,n < 14)的要求

区块高度 - 1/区块高度 - 2/区块高度 - ?3

根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内 ChipMixer 的提款记录。

对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。

ChipMixer 转出分析结论。

反分析详述

根据上述方法,针对 Ronin Network 安全事件做出以下分析:

黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96(ETH 链)

攻击手续费来源:SimpleSwap

资金转移:

(Ronin Bridge Exploiter 资金转移时间线)

ETH 资金转移:

黑客获利资金流向主体详情如下表:

注:其他未做统计的流向资金为洗币过程损失。

Tornado.Cash 资金转移:

注:数据有效时间截止于 7 月 20 日。

BTC 资金转移:

注:0.1 BTC 以下转移额不做统计。

ChipMixer 资金转移:

注:0.1 BTC 以下转移额不做统计。

总结

以上便是关于 Ronin Network 安全事件反分析以及工具方法介绍的全部内容,至此,关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成,可以直接点击顶部专题合集#区块链安全与反报告浏览查看。

完整报告下载:

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

慢雾科技

个人专栏

阅读更多

金色早8点

Bress

PANews

链捕手

财经法学

成都链安

Odaily星球日报

区块律动BlockBeats

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-2:173ms