BTC:报告解读之 Ronin Network 安全事件及反分析

本篇主要集中解读RoninNetwork安全事件反分析及工具方法介绍。

事件背景

3月29日,AxieInfinity侧链RoninNetwork发布社区预警,RoninNetwork出现安全漏洞,共17.36万枚ETH和2550万枚USDC被盗,损失超6.1亿美元。据官方发布的信息,攻击者使用被黑的私钥来伪造提款,仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是,黑客事件早在3月23日就发生了,但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork被黑事件,后者也窃取了超过6亿美元。

事情背景可追溯到去年11月,当时SkyMavis请求AxieDAO帮助分发免费交易,由于用户负载巨大,AxieDAO将SkyMavis列入白名单,允许SkyMavis代表其签署各种交易,该过程于12月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了SkyMavis系统的访问权限,就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链由九个验证节点组成,其中至少需要五个签名来识别存款或提款事件。攻击者通过gas-freeRPC节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。美国调查机构认为朝鲜黑客组织LAZARUSGROUP是此事件的幕后黑手。

BMC报告:Q3比特币挖矿能耗全球占比0.16%,碳排放量占比0.10%:10月19日消息,根据比特币矿业委员会(BMC)的2022年第三季度报告,全球BTC挖矿能耗占比为0.16%,略低于电脑游戏消耗的能源;具体来说,全球使用的能源总量为165,317TWh,而BTC挖矿仅使用其中的266TWh。

该报告将全球比特币矿业的可持续电力结构与世界主要国家的电力结构进行了比较,BMC成员和BTC挖矿“在可持续电力结构中远远高于德国或欧盟”。BMC创始人、前MicroStrategy首席执行官Michael Saylor表示,比特币连续六个季度一直是可持续发展的行业领导者,以59.4%的可持续能源组合运行。

此外,报告显示,BTC挖矿碳排放量全球占比0.10% ,BMC认为这是“微不足道的”。(finbold)[2022/10/19 17:32:44]

工具及方法

在正式开始反分析之前,先介绍一个高效的工具和一套有效应对复杂情况的分析方法。

基础工具-MistTrack

MistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

报告:65个国家或经济体的中央银行中约86%已开展数字货币研究:国际清算银行最新调查报告显示,65个国家或经济体的中央银行中约86%已开展数字货币研究,正在进行实验或概念验证的央行从2019年的42%增加到2020年的60%。据我国央行7月发布的《中国数字人民币的研发进展白皮书》(以下简称“白皮书”)中披露的信息显示,近年来,无论是欧美还是亚太地区,各区域央行均有以各种形式公布关于央行数字货币的考虑及计划。(青岛财经日报)[2021/8/18 22:21:17]

AMLRiskScore

MistTrack反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算AML风险评分。当地址所属实体为高风险主体或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。

AddressLabels

MistTrack反追踪系统积累了超2亿个钱包地址标签,地址标签主要包含3个分类:

它归属于什么实体,如Coinbase、Binance

它的链上行为特征,如DeFi鲸鱼、MEVBot以及ENS

一些链下情报数据,如曾使用过imToken/MetaMask钱包

报告:2020年底数字资产期货交易量将超过现货交易量:根据TokenInsight最新发布的衍生品交易所报告,在整个数字资产生态系统中,期货市场的交易量增幅最高。报告还指出,在2020年第一季度,现货市场交易量占市场的50.92%,其中期货占衍生品总交易量的39.08%。报告强调,到2020年底,期货交易量将超过现货交易量,到2021年初,其交易量将增长一倍。此外,过去一个季度,期货与现货市场之间的竞争非常激烈。然而,期权市场完全被排除在讨论之外。该报告认为,与期权交易相关的主要缺点是基础资产的数量有限,而比特币是唯一充当合法投资工具的主要加密资产。期权交易平台的数量在整个行业中也很有限,仅在过去的几年中,其中一些交易所才开始在这一特定的衍生工具领域有所作为。(AMBcrypto)[2020/4/26]

Investigations

追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。

通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack在反分析评估工作中起到至关重要的作用。

动态 | Ripple报告:旗下ODL交易量激增 XRP跨境交易需求很高:Ripple发布其第四季度XRP市场报告称,基于XRP的汇款产品按需流动资金(ODL)的交易量呈指数增长。从第三季度到第四季度,ODL交易量增加了390%,这表明客户对利用数字资产,特别是XRP,进行跨境交易的需求很高。(The Daily Hodl )[2020/1/23]

拓展方法-数据分析

MistTrack可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。

新的手法需要新的分析方法,对Tornado.Cash转出分析的需求变得越来越普遍,此处我们将提出一个针对Tornado.Cash资金转出的分析方法:

记录目前已知的信息,已知信息包括转入Tornado.Cash总数,第一笔Tornado.Cash存款时间,第一笔Tornado.Cash存款的区块高度。

将参数填入我们准备的分析面板。

得到初步的Tornado.Cash提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。

筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。

动态 | 报告:2019年上半年,交易所是区块链领域融资事件最多的一类项目:PANews发布2019年上半年区块链领域融资报告《VC是这样催热区块链的 | 上半年融资报告》。报告显示: 1. 交易所是发生融资事件最多的一类项目。 2. 值得关注的项目类型还包括行业公链项目、数字身份类项目、数字资产综合管理、以及数据服务。 3. 战略投资、A轮、种子轮是最多的三种融资轮次,分别有35起、23起和21起。 4. 80%的融资项目未发币,发币项目中66.67%已破发。 5. 投资机构更倾向在二级市场行情不那么“牛”的时候出手投资,但二级市场行情对投资金额并没有影响。[2019/7/6]

Tornado.Cash转出分析结论。

通过这个Tornado.Cash资金转出的分析方法,我们已成功分析出RoninNetwork等多个安全事件从Tornado.Cash转出后的资金详情。

显而易见,这个Tornado.Cash资金转出的分析方法同样存在局限性:

转入Tornado.Cash的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。

而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。

ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。

识别ChipMixer的提款特征。

输入地址类型

输出地址类型

输入数额特征

版本

锁定时间

bech32(bc1q...)

bech32(bc1q...)

所有的输入数额都满足Chips(即0.001?*2的n次方,n<14)的要求

2

区块高度-1/区块高度-2/区块高度-?3

根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内ChipMixer的提款记录。

对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。

ChipMixer转出分析结论。

反分析详述

根据上述方法,针对RoninNetwork安全事件做出以下分析:

黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96

被盗时间:3月23日

损失统计:173,600ETH、25,500,000USDC

攻击手续费来源:SimpleSwap

资金转移:

ETH资金转移:

黑客将攻击获利的25,500,000USDC兑换为了8,562.6801ETH,所以黑客需要洗币的总额为182,163.737ETH。

黑客获利资金流向主体详情如下表:

注:其他未做统计的流向资金为洗币过程损失。

Tornado.Cash资金转移:

黑客总计转入Tornado.Cash175,100ETH,经过分析,我们得出Ronin黑客从Tornado.Cash提款符合下列特征:从Tornado.Cash转出后直接或转移一层后使用1inch或Uniswap兑换为renBTC,通过renBTC跨链到BTC链。

通过DuneAnalytics,我们将符合上述特征的Tornado.Cash提款和跨链到BTC链的数据筛选出来,并进行有效的可视化展示,如下图:

根据上面的分析图,得到Tornado.Cash转出资金情况如下表:

注:数据有效时间截止于7月20日。

BTC资金转移:

根据对Tornado.Cash资金转移的分析,我们得到符合特征的共计8,075.9329BTC的资金跨链到BTC链。其中的6,191.2542BTC经过分析确认与Ronin黑客相关,再加上从Huobi和FTX提款的439.7818BTC,确认共计6,631.036BTC为Ronin黑客所属资金。此部分资金的进一步转移情况如下表:

注:0.1BTC以下转移额不做统计。

ChipMixer资金转移:

根据BTC资金转移可以看到3460.6845BTC转移到了ChipMixer,通过对BTC链上数据监控以及对ChipMixer的提款数据进行分析,识别出Ronin黑客从ChipMixer共计提款2,871.03BTC。此部分资金的进一步转移情况如下表:

注:0.1BTC以下转移额不做统计。

总结

以上便是关于RoninNetwork安全事件反分析以及工具方法介绍的全部内容,至此,关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成,可以直接点击顶部专题合集#区块链安全与反报告浏览查看。

完整报告下载:

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-2:889ms