上周末,加密货币钱包服务提供商Atomic Wallet发生了一起严重安全事件,有用户在报告自己在Atomic钱包内的资产被盗,该事件随后引起广泛关注。据 ZachXBT 初步统计,被盗资产总价值超过3500万美元,包含多个币种,排名前五的受害者累计损失达到1700万美元。

比特丛林:Atomic Wallet被盗事件解析

据悉,部分Atomic Wallet受害者的资金已被转移到知名交易所如Binance、Huobi、KuCoin等平台。尽管Atomic Wallet在Twitter上发布消息称黑客已停止盗窃,并表示只有1%的活跃用户受到了影响,然而新用户在Reddit、Telegram等官方渠道上后续反映盗窃事件。

比特丛林:Atomic Wallet被盗事件解析

知名Crypto资讯社区@WhaleChart在其报道中指出,Atomic Wallet在最近一次钱包程序更新(更新时间为5月23日)后引入了恶意代码,但官方针对这一指控进行了否认。根据Atomic Wallet的服务条款,该平台对每位受害者的赔偿上限为50美元,这对于遭受巨额损失的用户来说无疑是一个令人沮丧的消息。

比特丛林分析:

比特丛林密切关注事件动态,经分析,关于被盗的具体原因存在两种主要可能性。第一,黑客可能在Atomic Wallet应用程序更新过程中嵌入了恶意代码,或者黑客控制了用于下载Atomic软件的服务器。第二,可能存在Atomic Wallet内部的内部犯罪行为。

根据受害者提供的信息,许多受害者并未主动更新其Atomic钱包,然而其资产仍然被盗。由于受影响资产涉及多种区块链和代币类型,因此排除了伪造用户签名的可能性,而更有可能是黑客盗取了助记词或私钥等关键信息。

Bit Jungle密切关注资金流向,初步资金流向如下:

比特丛林:Atomic Wallet被盗事件解析

黑客洗钱模式分析:

通过跟踪主要受害人钱包地址,Bit Jungle分析出黑客可能的洗钱方式。

比特丛林:Atomic Wallet被盗事件解析

黑客盗走 ETH 之后,将资金划分为多笔小额资金,分别转到多个提前准备好的地址,本案为 8 笔,对应 8 个地址。

这些地址再将 ETH 汇聚到一个中转站地址,该中转站地址随后将 ETH 转到最终的汇聚地,该例的最终汇聚地 ETH 余额为 1.29M。

根据以上分析可知,对于被盗的 ETH 来说,黑客洗钱的思路是先将被盗资金打散,之后再将打散的资金汇聚起来,再转到目标地址。

以黑客地址 0x015951B0F60Cd1e 866843267D08Ded641aB27b70 为例,进行详细分析被盗 ETH 资金流向,整体流向如下图所示:

比特丛林:Atomic Wallet被盗事件解析

此外,被盗BTC的动向也值得关注。

比特丛林:Atomic Wallet被盗事件解析

第一步,同样是将被盗资金打散,转到多个地址,不同的是,打散之后的每个地址会和其他地址汇聚起来再向指定地址转钱。汇聚起来向指定地址转钱时,通常会有一笔大额交易,同时还会伴随几笔金额很小的交易作为干扰。

第二步,还是和其他地址汇聚起来,向下一步的目的地址转钱。

从上图可知,第二轮汇聚之后,资金就开始与最终地址进行转钱。此外,有的地址还会进行第三轮的汇聚,再与最终地址进行转钱。本案确定的两个最终地址分别为 3GRPGErVNW7zLh 1jP1rSBCm6NYtP7TDx8Z,余额:288 BTC;3DiESmnv611axcvcj6d4i8WA8i52q9KFkJ,余额:277 BTC。

根据上述对 BTC 被盗资金流向分析可知,黑客的洗钱思路主要是:先将受害者的 BTC 打散,转到多个地址,多个地址中的每个地址再与其他地址进行汇聚,向第一轮目的地址转钱,之后在进行一轮汇聚,向最终的目的地址转钱。该过程可以扩展为多轮。

Bit Jungle仍将持续关注该被盗事件后续,同时提醒加密货币用户应提高警惕,采取额外的安全措施,如定期更新钱包程序、确保助记词和私钥的安全保管等。

建议用户密切关注官方渠道发布的安全警报和更新通知,以及加强密码和身份验证措施,以提高账户的安全性。

我们将继续关注此事件的最新进展,并向受影响的用户提供进一步支持和帮助。