2019年1月,黑客攻击了新西兰的虚拟货币交易所Cryptopia,盗取了以ETH为主的数字资产之后销声匿迹。近日,随着币价的攀升,该黑客在沉寂了数月后,开始密集的行动。据PeckShield数字资产护航系统数据显示,近两天来,该黑客已经将4,787个ETH转入了火币交易所,而且仍有26,003个ETH等待被洗时机。
PeckShield安全人员梳理黑客路径发现:
1、黑客在攻击成功后,一般会将资产分散到多个地址或直接转移到新地址后沉寂一段时间以避开风头;
2、在过程中,黑客会先转移出少部分资产进行尝试,寻找最佳方式;
动态 | 120.5万枚LEO转入Bitfinex交易所 价值125.2万美元:北京时间10月02日20:31,120.5万枚LEO从0xfa45开头地址转入Bitfinex交易所,按当前价格计算,价值约125.2万美元,交易哈希为:0xbe80dd8552ffef70f606fc6522753c023435955ce7b75b2e297138f76519b404。[2019/10/3]
3、在少部分资产尝试清洗成功后,才会处理剩余资产,否则会继续沉寂等待时机。
从本次路径看,黑客是有通过去中心化交易所EtherDelta,以BAT、ELF等代币配对交易,进行伪装买卖,逃离追踪的想法。不过,纯链上交易信息清晰可查,黑客虽魔高一尺,但白帽安全人员布下了天罗地网,能层层剖析,抽丝剥茧清晰还原黑客的全过程。
动态 | 逾6300万枚XLM自Kraken转至Bitgo:据Whale Alert监测,北京时间10:44:43,Stellar区块链上63249976枚XLM自Kraken(GA5XIGA5开头的地址)转至Bitgo (GD4J347开头的地址)。[2019/9/20]
一图概览黑客全过程:
从图1中能看到,黑客先将部分数字资产转移到一个地址,再伪装成买家和卖家,在去中心化交易所EtherDelta中买卖交易,试图逃避追踪,之后将资产再次汇聚到一起进入火币交易所。进一步的细节如下:
第一步:资产转移
在交易所等巨额资产出现安全问题后往往引来无数媒体关注,所有人都会紧盯资产流向,而此时黑客通常会沉寂数月乃至一年。在认为避开风头之后,抓住一个最佳时机,开始销赃。
声音 | Ethfinex联合创始人:Bitfinex不会是唯一一家受到监管机构关注的交易所:Ethfinex联合创始人Will Harborne表示:Bitfinex不会是唯一一家受到监管机构关注的交易所。Harborne认为,监管机构正在通过调查Bitfinex做出某种声明,如果监管机构在没有明确指导的情况下认为其它交易所的业务活动令人担忧,那么它们也会受到类似的对待。 Harborne称:“目前的部分问题是,美国各监管机构中到底哪个机构拥有对交易所的管辖权,特别是那些甚至不在美国经营的交易所。NYAG说是他们,这就是为什么他们发布了一份公开的声明去调查Bitfinex。我认为其他监管机构也在幕后采取了类似的行动。这是可以理解的,但我不认为这仅仅是针对Bitfinex。”[2019/5/22]
此次黑客估计是被市场回暖唤醒,先将5,000个ETH以每笔1,000个的方式转入一个新地址,并以此为起点,开始一轮操作。如果仔细地看这五笔交易,会发现它们共间隔16小时,而且是在每转出一笔后,进入后续的伪装成买家卖家操作。可见黑客格外的小心翼翼,先探探头,试试水再说。
声音 | PeckShield安全公司: EOS竞猜游戏FFgame遭黑客攻击 损失1,331个EOS:据PeckShield态势感知平台数据显示:11月8日凌晨1点,EOS公链上又一款竞猜类游戏FFgame遭遇了黑客攻击,黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415)发起多达304次攻击,共计获利1,331.2922个EOS,随后于1点36分将1,330个EOS转移到火币交易所。
PeckShield安全人员跟踪发现,该黑客账户jk2uslllkjfd为PeckShield的重点监控黑名单账户,其创建于10月30日,曾于11月4日凌晨3点,攻击过另一款EOS竞猜类游戏EOSDice (eosbocai2222), 共获利2,545.1135个EOS。这两次攻击都是通过写合约代码计算出游戏中奖规律实施攻击,值得注意的是,该黑客习惯于凌晨实施攻击,且每次攻击完都会立刻修改攻击合约,发送“hi”的垃圾数据用以掩饰攻击信息。另外,攻击所得EOS都是立刻转移到火币交易所。目前被攻击 FFgame(eoswallet415)账号余额里还有81.0105个EOS,并且攻击后合约没有更新,漏洞还未被修复。[2018/11/8]
第二步:伪装买卖
黑客为了逃避资产追踪,一般会将大额资产,以小额多笔的形式分散到大量的地址中,再在各个地址上进行频繁的分散汇聚。而此次黑客采用了一种新方式,通过伪装成去中心化交易所的买家和卖家,试图以正常的挂单配对交易来逃避追踪。
黑客将每次收到的1,000ETH,再散成以约500个ETH一笔进入去中心化交易所,开始买卖。从图3和图4中发现,黑客以普通用户的方式,不是仅用一两笔,而是通过大量多笔的交易,完成从买家到卖家的资产转移。
伪装买家卖家,买卖BAT、ELF代币
下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手,图中是黑客成交的多笔ELF和BAT代币的订单。
具体来看买家在去中心化交易所EtherDelta合约上的一条交易记录
在上图中可以看到,买家与卖家的配对交易,仅接着卖家做了提现操作,对应的着链上的交易记录
截图如下:
第三步:再次汇聚,进入交易所
通过去中心化交易所的倒手交易后,黑客已认为能够避免资产被追踪,又将获得的ETH汇总到一个地址,并分批次进入火币交易所。
至此,黑客最初的5,000枚ETH,分批汇聚再进入去中心化交易所,经过倒手买卖,再次汇聚进入火币,看似天衣无缝的操作,实则在链上留下了诸多痕迹。
截至发文时,黑客共计将4,787个ETH转入了火币交易所,PeckShield正协助火币交易所对涉及赃款实施封堵。目前尚有26,003个ETH控制在黑客手中,存在进一步的可能。PeckShield正持续追踪黑客下一步的行踪。
今年1月份Cryptopia交易所遭黑客攻击损失共计30,790个ETH。时隔3个月,当时的ETH行情价格也已经翻番了,黑客觉得时机差不多成熟了,开始活跃出来了。整体来看,黑客此次行动还是很小心谨慎的,通过分散转移账号、伪装买卖等多种手段来逃离追踪,但区块链世界,一切链上行为都有迹可循,安全公司更道高一丈。
PeckShield数字资产护航系统(AML)基于各大公链生态数据的全面挖掘和剖析,积累了海量高风险黑名单库,能够从庞大的链上数据库中精准提炼出黑客的行踪,并联合全球各大交易所、社区治理单位等合作伙伴,对黑客行踪展开全链、全时段、反伪装等步步追踪和实时封堵。
附:黑客主要的地址:
PeckShield是面向全球顶尖的区块链数据与安全服务提供商。商业与媒体合作,请通过Telegram、Twitter或邮件与我们联系。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。