近期,区块链安全事件频发,无论是DeFi、跨链桥、NFT还是交易所,都损失惨重。除了对事件发生的原因进行技术分析以警示,我们也应将视线看向被盗资产方面。加密货币的匿名属性,使其难免被用于和资产转移,随着各国政策的更新与完善,拥抱监管与合规必是未来的一个趋势,因此,对被盗资产流向及攻击者洗币手法进行分析、对链上动态进行实时监测显得尤为重要。
慢雾AML团队利用旗下MistTrack反追踪系统,以近期发生的其中两个事件为例,通过剖析攻击者的洗币手法及资产的流向来窥见一二。
XSURGE攻击事件
概述
2021年8月17日3:13AM,XSURGE官方发布关于SurgeBNB漏洞的声明,称由于SurgeBNB合约不可更改且已被放弃,因此无法修补该漏洞,但强烈建议用户尽快移出SurgereBNB,该漏洞随时可能被攻击者触发。
不幸的是,在3:59AM,官方就表示遭遇攻击。
事件相关地址通过比对相似合约,我们还发现了其他攻击者信息。资金流向分析
Uniswap正与7个NFT借贷协议探讨,以解决流动性分散和信息不对称问题:8月23日消息,Uniswap NFT产品负责人Scott发推称,Uniswap将是所有NFT流动性的接口。我们现在正在与7个NFT借贷协议进行探讨,以解决流动性分散和信息不对称的问题。这是建立NFT金融化的第一步。
今年6月份,Uniswap Labs收购NFT聚合市场Genie,具体交易条款未披露。Uniswap Labs表示,此次收购将把NFT集成到其产品中,从Uniswap网络应用程序开始,用户很快将能在其市场上买卖NFT,Uniswap Labs还将把NFT集成到开发人员API和小部件中。[2022/8/23 12:43:48]
经过分析,本次事件是由于其合约的sell函数导致了重入漏洞,也就是说攻击者通过不断买卖的操作,以更低的代币价格获取到了更多的SURGE代币。那攻击者具体是怎样进行获利并转移资金的呢?
我们以攻击者1创建的合约为例来分析攻击者的获利过程。首先,8月16日19:39:29(UTC),攻击者1在币安智能链(BSC)创建了攻击合约1,闪电贷借出10,000BNB后购买SURGE代币,多次以“卖出再买入”的方式来回交易,最后获利12,161BNB。接着分别创建了合约2-6,以同样的方式获利,最终攻击者1获利13,112BNB。攻击成功后,黑客并没有持币观望等待时机,而是直接开始转移资金,想获利,经过两层大的转移,黑客轻而易举地将资金转移到了交易所:
意大利证券监管机构探讨对证券代币发行的监管:意大利国家证券监管机构(CONSOB)今天表示,它与金融市场的“一些主要参与者”举行了一个网络研讨会,以探讨证券代币发行的监管。但有关此事的细节并未透露。(Finance Magnates)[2021/2/13 19:39:15]
第一层洗币:将资金不等额分散到多个地址
攻击者先是将获利的13,112BNB随机分成了两大部分,将一部分BNB以不等的金额陆续转出到不同地址,将另一部分BNB先通过PancakeSwap、1inch换成ETH后再转出到不同地址,最终13,112BNB被转移到下图的30个不同地址。第二层洗币:将资金直接或分批兑换转移
经过对30个地址资金转移的不断分析,我们渐渐总结出了攻击者的转移方式主要有以下几种:
1、将BNB直接换成ETH,直接或分批转到币安。2、部分BNB换成ETH转到币安,部分BNB转到其他地址,汇聚后一起换成ETH,再分批转到币安。以地址(0x77b...22d)为例:3、ETH直接或分批分层转到币安截至目前,13,112BNB均转移至币安。
动态 | 金冠股份:公司正与新合作方探讨电网相关的数字货币:据新浪财经消息,金冠股份(300510.SZ)在回答投资者有关“在与移互公司合作后,数字货币业务的进展如何”的提问时表示,对于电网相关的数字货币,公司正与新的合作方MDT公司探讨,新能源有序充电网及泛在电力物联网等领域的开拓主要服务公司主营业务的高速发展。[2019/10/23]
思考:不难看出,该事件的攻击者转出资产的核心方式还是“兑换、汇集、分批、多层”,最终大部分资金都到了币安交易所,但这并不意味着目前大部分被盗资产脱离攻击者的控制,此刻就非常需要全球交易所以合规的方式联合起来,阻断攻击者的黑资产变现行为。
StableMagnet跑路事件
概述
北京时间6月23日凌晨,币安智能链(BSC)上稳定币兑换自动做市商StableMagnet卷走用户2400万美元跑路。然而在事件发生前,部分用户曾收到匿名组织发来的信件,信件中暗示StableMagnet将RugPull,但用户只是半信半疑没有做出过多举动。2400万美元被带走的同时,用户的钱包也被洗劫,官方网站、电报群、推特全都“查无此人”。从震惊无措中缓过来的受害者们立刻联络起来,社区部分“科学家”们自发组建了核心调查组,联合币安的力量,展开了一场跌宕起伏的自救行动。
金色财经独家分析 各国正在积极探讨推进加密货币征税:金色财经独家分析,巴西国税局将加密货币分类为资产增值税的金融资产,向35000及以上的资产征税,税率为15%。巴西央行行长Ilan Goldfajn表示加密货币并不是电子货币,他与G20成员国其他成员更倾向于将其作为加密资产。此前,阿塞拜疆税务部门的高级官员透露,加密货币交易的收益将被征税,日本国税厅也在积极推进加密货币的交易征税,泰国财政部表示加密货币草案已通过国务委员会。金色财经分析,加密货币的交易增长速度远远超过了监管机构的预期,在一些国家的交易额甚至超过其他传统投资产品的交易额。因此,各国的监管机构也在努力寻找一种方法来对加密货币等能对他们的交易税基石造成迅速侵蚀的交易征税。[2018/5/22]
事件相关地址
项目方跑路地址:0x8bea99d414c9c50beb456c3c971e8936b151cb39
资金流向分析
经过分析,此次问题出在智能合约调用的底层函数库,而项目方在底层函数库SwapUtilsLibrary中植入了后门,一开始就为跑路做好了准备。收割资金,利用漏洞,卷走资金,一切就从下图的交易开始了………在这笔交易中,项目方带走了超800万枚BSC-USD、超720万枚USDC以及超700万枚BUSD。资金到手,项目方没有过多停顿,立马就开始转移资金。
韩国企划财政部发布公告:虚拟货币征税TF(特别工作组)正在探讨确保征税资料的方案和斟酌海外的事例:18号韩国企划财政部通过发布立场公告表示“关于虚拟货币税收,现在通过虚拟货币征税TF(特别工作组)正在探讨确保征税资料的方案和斟酌海外的事例”。TF组织由国税局和民间专业人士组成,国务调整室、企划财政部、法务部、金融监督委员会等在内的TF将会一起分别讨论税收措施。国会企划财政部沈基俊(???)议员表示税法将在19日开会后启动,最快会在2月临时国会召开的企划财政委员会中讨论。这次简单会谈将由法务部,韩国金融研究院,韩国区块链协会,Bithumb,Block.one,Kaist 等政府、企业、学界都会参加,并且沈基俊(???)议员说“把虚拟货币看成财物还是钱,将会通过这次会谈会得出结论”。[2018/1/18]
第一层洗币:少部分兑换后,将资金等额分散到多个地址
为了后续更统一方便地转移,项目方先将1,137,821BUSD换成1,137,477USDC,将781,878BUSD换成781,467BSC-USD。接着分别将BUSD、USDC、BSC-USD等额分散到以下地址:第二层洗币:部分资金兑换后进行跨链并转入混币平台,部分资金直接转入币安
BUSD部分
根据分析,上图中的一部分BUSD换成91anyBTC跨链到地址A(bc1...gp0)。一部分BUSD换成60anyBTC跨链到地址B(bc1...kfu)。USDC部分
根据分析,上图中的一部分USDC兑换为anyETH,跨链到5个以太坊地址。另一部分USDC兑换为USDT,跨链到5个以太坊地址。接着,将ETH都转移到了地址C(0xfa9...d7b)和地址D(0x456...b9f)。而这两个地址,少部分转到了第一层表格中的地址,多数转移到了Tornado.Cash。而USDT被换成DAI,一部分停留在地址,一部分已转到混币平台Tornado.Cash。BSC-USD部分
上图中的BSC-USD资金,皆分批转到了币安。据了解,事件发生后几天,币安提供了嫌犯可能在香港的有效线索,社区调查者的线索也指向香港,但嫌犯在明知身份已泄露的情况下仍拒绝配合。受害者们只能将眼光转向,好在分别于香港、英国实现了立案。正在焦灼之时,英国立即受理并对该事件展开行动,在社区与匿名组织给出的有效信息支持下,开启了抓捕行动。值得庆幸的是,在社区与英国的联合力量下,回收了90%资产,并抓获了部分嫌疑人,这也是DeFi攻击史上首次由发起链上退款的事件。
思考:不难看出,Tornado.Cash等混币服务系统、闪兑平台以及一些免KYC的中心化机构,目前都是的重灾区。另外,在该跑路事件中英国起到了非常重要的作用,每个平台应该将合规与安全监管重视起来,必要时与监管执法机构合作,打击不法行为。
总结
经过上述分析,不难发现币安似乎很受攻击者的青睐。作为全球领先的加密货币交易所之一,币安最近遭遇了多个国家的监管风波,8月6日,币安CEO赵长鹏在推特上表示,币安将从被动合规转向主动合规,随后币安上线了一系列拥抱合规的平台安全策略。监管的意义在某些攻击事件中也不言而喻,例如Tether对被盗的USDT的冻结、慢雾联合交易所对被盗资金的冻结。
在合规监管方面,慢雾发布了AML系统,交易平台接入AML系统后,一方面交易平台在收到相关盗币资金时会收到提醒,另一方面可以更好地识别高风险账户,保持平台合规性,避免平台陷入涉及的境况。作为行业领先的安全公司,慢雾始终关注着每一件安全事件,当攻击事件发生后,我们会迅速采集攻击者相关的地址录入到AML系统,并进行持续监控与拉黑。目前,慢雾AML系统旗下的恶意地址库已涵盖从暗网到全球数百个交易所的有关内容,包含BTC、ETH、EOS、XRP、TRX、USDT等恶意钱包地址,数量已突破10万,可识别地址标签近2亿,为追踪黑客攻击、洗币行为提供了全面的情报支撑。
欢迎点击此免费试用慢雾AML系统,通过监测链上活动的实时动态,提高整个平台的风控安全与合规等级。
来源链接:mp.weixin.qq.com
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
慢雾
慢雾
慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。