来源:PeckSheild
2020年03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。
由于美国司法部并未公布这些被盗资金的具体来源,涉及的加密货币交易路径,甚至当事人李家东还声称自己只是受害者,一时间这桩案件成了媒体和坊间热议的焦点。
究竟是哪几个交易所被盗了,黑客具体路径又是怎样的,田和李两位承兑商是在哪个环节参与的?
由于美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节,区块链安全公司PeckShield第一时间介入追踪研究分析,基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。
商业观察家陆新之:中国区块链技术领先世界各国 有助于传统产业创新升级:2020年11月15日,由58COIN主办,华夏产业经济研究院、币世界、金色财经和币小白协办的2020区块链产业生态论坛暨58COIN三周年在成都隆重开启,商业观察家,亨通堂文化传播机构联合创始人陆新之在会上进行了关于《星星之火可以燎原:我们今天的区块链之路》的演讲,陆新之表示:2020年国际经济遇到了明显的增长拐点,国际形势也十分震荡,这对区块链行业也是一个不小的打击。但就中国而言,目前的区块链技术已经领先于世界其他各国,并且配有大量技术标准和落地应用。中国地方政府也十分支持区块链技术的发展和应用,以便改造传统产业和服务,这将有利于传统产业创新升级,推进区块链技术的成熟发展。[2020/11/15 20:51:53]
记者观察:数字货币不会取代现有支付工具:7月13日报道,数字货币作为一种“数字人民币”,行业也有消息称几大行已经小范围开始试水数字货币。有关人士曾表示,数字货币不会取代微信支付或支付宝。央行数字货币替代M0(流通中现金),其功能和属性与纸币相似,只不过形态是数字化的。而支付宝、微信支付等第三方互联网支付,不具有M0级别法律效力,更不可能取代M0。央行数字货币研究所所长穆长春曾指出,数字货币并不会对支付宝、微信的地位产生影响。因为目前支付宝、微信也是使用人民币支付,央行数字货币推出后,只是换成了数字人民币,虽然支付工具变了,功能也增加了,但渠道和场景都没有变化。但万向区块链首席经济学家邹传伟表示,在一些日常支付的环节,使用央行数字货币和用微信、支付宝的用户体验应该是相当的。区别在于,央行数字货币可以实现双离线支付,不用网络,手机和手机之间碰一碰,就可以完成支付。
数字货币要想落地应用也面临诸多挑战。首先,需要区块链技术作为底层技术支撑。虽然目前区块链在数字货币的运用不断成熟,但其如何运用还需要进一步的探索;其次,相关的法律规范是否跟上。法定数字货币将作为一种新的货币形式,需要相关法律必须跟上脚步,尤其在法定数字货币可能存在的风险领域制定完整的法律条款,尽可能地降低法定数字货币发行与流通的风险;再次,数字货币相关的宣传教育工作。如何将数字货币于其他电子支付工具做区别,需要监管对民众做相应的普及和教育工作,循序渐进,以让民众更能快速接受这一新鲜事物。(中国银行保险报网)[2020/7/13]
如上图所示,事情经过简单总结为:
币情观察室 | 预测未来走势 可能没有比道氏理论更好用的了:4月10日11:00,由金色盘面主办、BTSE交易所独家赞助的《币情观察室》正式开播。届时实盘大V保罗大帝,将在《币情观察室》直播间分享《预测未来走势 可能没有比道氏理论更好用的了》!敬请关注,欲观看直播扫描下图二维码即可![2020/4/10]
北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所,VCE1到VCE4;再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。
在接下来篇幅中,
PeckShield将从被盗交易所源头说起、对黑客的具体路径进行系统性的拆解分析,为你复盘、解密整个案件的全过程。
币情观察室 | 全球经济萧条 如何抓住币圈投资机会:4月2日10:00,金色盘面邀请行情大V币业生做客金色财经《币情观察室》直播间,将分享《全球经济萧条 如何抓住币圈投资机会》,敬请关注,扫描下图二维码即可观看。[2020/4/2]
图文拆解:OTC承兑商案件
通常情况下,黑客在攻击得手后,流程大体分为三步:
1)处置阶段:非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;
2)离析阶段:Layering是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;
动态 | 欧盟议会成员寻求欧盟区块链观察站的透明度:据ethnews报道,来自马耳他、德国、法国和芬兰的四位欧盟议会成员近期致信欧洲数字经济和社会委员会理事及数字单一市场委员会理事,要求欧盟议会澄清区块链观察站的工作内容。[2018/7/6]
3)归并阶段:将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。
根据美国司法部提供的信息,有四个交易所被盗,PeckShield安全团队通过追溯田和李两人的20个关联比特币地址在链上数据,根据这些链上行为特性,结合PeckShield交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:
(注:Bter交易所在2017年倒闭后其资产由另一个交易所接管,我们这里仍使用Bter的名字)
在弄清楚赃款源头之后,我们来看一下被盗资产的路径及流向情况,黑客总共将分成了三步:
一、处置阶段:放置资产至清洗系统
在Bter、Bithumb、Upbit、Youbit交易所被盗事件发生后的数月内,攻击者开始通过各种手段处置他们的非法获利。将获利资产流到自己可以控制的账号之中,为下一步的清洗做准备。
二、离析阶段:分层、混淆资产逃离追踪
离析过程中,攻击者试图利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。下图中我们挑选了一笔比较典型的拆分过程,对于第一笔2,000BTC的流程细述如下。
1)攻击者的其中一个地址先前获利1,999BTC,先将这一笔大额资产拆分成1,500+500BTC;
2)其中1,500BTC再拆分成三个各500BTC的地址,此时看到原先的2,000BTC被拆到了4个新地址之中,而原地址中的余额已经归零;
3)500BTC转成20~50BTC的大小往Yobit交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;
4)使用新地址重复步骤3,直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如Bittrex、KuCoin、HitBTC。
攻击者通过数百次这样子的拆分流程之后,原始的非法BTC资产全部流入了各大交易所,完成了初步操作。
如下图所示,我们进一步分析发现,在完成初步操作后,狡猾的攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。
三、归并阶段:整合资产伺机套现
攻击者在完成上一步的操作之后,开始尝试进行将非法所得进行OTC抛售套现。
在上图描述的过程中,从2018年11月28日到12月20日,攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现,最后剩余的9.8个BTC目前还存放在攻击者中转地址上。
结语
综上,PeckShield安全团队通过追踪大量链上数据展开分析,理清了此次OTC承兑商事件的来龙去脉。受害交易所分别为?Bter、Bithumb、Upbit、Youbit,据不完全统计损失至少超3亿美元,且在攻击得手后,黑客分三步实施了专业、周密、复杂的分散操作,最终成功实现了部分套现。
PeckShield认为,黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。