北京時間 2021 年 8 月 19 日 10:05,日本加密交易平臺 Liquid 稱其熱錢包遭到攻擊。從官方發佈的報告來看,Liquid 交易平臺上被盜幣種涉及 BTC、ETH、ERC20 代幣、TRX、TRC20 代幣、XRP 等超 70 種,幣種之多,數額之高,令人驚歎。

慢霧 AML 團隊利用旗下 MistTrack 反洗錢追蹤系統分析統計,Liquid 共計損失約 9,135 萬美元(按事發當天價格計),包括約 462 萬美元的 BTC (107.5 枚)、3,216 萬美元的 ETH (10,851.27 枚)、4,290 萬美元的 ERC20 代幣、23 萬美元的 TRX (2,600,933.17 枚)、160 萬美元的 TRC20 (1,609,635.96 枚)、1,093 萬美元的 XRP (11,508,516 枚)。(按文章發佈當天價格計)

慢霧 AML 團隊全面追蹤了各幣種的資金流向情況,也還原了攻擊者的洗幣手法,接下來分幾個部分向大家介紹。

BTC 部分

攻擊者相關地址

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
慢霧 AML 團隊對被盜的 BTC 進行全盤追蹤後發現,攻擊者主要使用了“二分法(Peel Chain)”的洗幣手法。所謂“二分法”,是指地址 A 將資金轉到地址 B 和 C,而轉移到地址 B 的數額多數情況下是極小的,轉移到地址 C 的數額佔大部分,地址 C 又將資金轉到 D (小額)和 E (大額),依次類推,直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額,要麼以二分法的方式繼續轉移,要麼轉到交易平臺,要麼停留在地址,要麼通過 Wasabi 等混幣平臺混幣後轉出。

以攻擊者地址(1Fx…f7q)爲例:

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
MistTrack 反洗錢追蹤系統顯示,共 107.5 BTC 從 Liquid 交易平臺轉出到攻擊者地址(1Fx…f7q),再以 8~21 不等的 BTC 轉移到下表 7 個地址。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
爲了更直觀的展示,我們只截取了地址(1Ja…rGs)資金流向的一部分,讓大家更理解“二分法”洗幣。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
以圖中紅框的小額轉入地址爲例繼續追蹤,結果如下:

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
可以看到,攻擊者對該地址繼續使用了二分法,0.0027 BTC 停留在地址(1aB…yDD),而 0.0143 BTC 轉移到 Kraken 交易平臺。

攻擊者對其他 BTC 地址也使用了類似的方法,這裏就不再重複講解。慢霧 AML 團隊將對資金停留地址進行持續監控及標記,幫助客戶做出有效的事前防範,規避風險。

ETH 與 ERC20 代幣部分

攻擊者相關地址

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
經過慢霧 AML 團隊對上圖幾個地址的深度分析,總結了攻擊者對 ETH/ERC20 代幣的幾個處理方式。

1. 部分 ERC20 代幣通過 Uniswap、Balancer、SushiSwap、1inch 等平臺將代幣兌換爲 ETH 後最終都轉到地址 1。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
2. 部分 ERC20 代幣直接轉到交易平臺,部分 ERC20 代幣直接轉到地址 1 並停留。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
3. 攻擊者將地址 1 上的 ETH 不等額分散到多個地址,其中 16\\,660 ETH 通過 Tornado.Cash 轉出。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
地址 2 的 538.27 ETH 仍握在攻擊者手裏,沒有異動。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
4. 攻擊者分三次將部分資金從 Tornado.cash 轉出,分別將 5\\,600 ETH 轉入 6 個地址。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
其中 5,430 ETH 轉到不同的 3 個地址。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
另外 170 ETH 轉到不同的 3 個交易平臺。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
攻擊者接着將 3 個地址的 ETH 換成 renBTC,以跨鏈的方式跨到 BTC 鏈,再通過前文提及的類似的“二分法”將跨鏈後的 BTC 轉移。

以地址(0xC4C…7Fe)爲例:

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
以跨鏈後的其中一個 BTC 地址(14N…13H)爲例。根據 MistTrack 反洗錢追蹤系統如下圖的顯示結果,該地址通過 renBTC 轉入的 87.7 BTC 均通過混幣平臺 Wasabi 轉出。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件

TRX/TRC20 部分

攻擊者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

資金流向分析

據 MistTrack 反洗錢追蹤系統分析顯示,攻擊者地址上的 TRC20 兌換爲 TRX。
慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
再將所有的 TRX 分別轉移到 Huobi、Binance 交易平臺。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件

XRP 部分

攻擊者相關地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

資金流向分析

攻擊者將 11,508,495 XRP 轉出到 3 個地址。

慢霧:覆盤 Liquid 交易平臺被盜 9000 多萬美元事件
接着,攻擊者將 3 個地址的 XRP 分別轉到 Binance、Huobi、Poloniex 交易所。

總結

本次 Liquid 交易平臺被盜安全事件中,攻擊者以迅雷不及掩耳之速就將一個交易平臺內超 70 種貨幣全部轉移,之後再通過換幣平臺、混幣平臺以及其他交易平臺將資金順利洗出。

截止目前,大部分被盜資產還控制在攻擊者手中。21,244,326.3 枚 TRX 轉入交易平臺,11,508,516 枚 XRP 轉入交易平臺,攻擊者以太坊地址 2 (0xefb…b53 )存有 538.27 ETH,以太坊地址 1 (0x557…946)仍有 8.9 ETH 以及價值近 540 萬 美元的多種 ERC20 代幣, 慢霧 AML 團隊將持續對異常資金地址進行實時監控與拉黑。

攻擊事件事關用戶的數字資產安全,隨着被盜數額越來越大,資產流動越來越頻繁, 加速合規化成了迫在眉睫的事情。慢霧 AML 團隊建議各大交易平臺接入慢霧 AML 系統,在收到相關“髒幣”時會收到提醒,可以更好地識別高風險賬戶,避免平臺陷入涉及洗錢的境況,擁抱監管與合規的大勢。

來源鏈接:mp.weixin.qq.com