兩週前,總部位於日本的加密貨幣交易所Liquid 熱錢包遭攻擊後,艾貝鏈動對機構面對高頻交易和資產安全的兩難需求命題提出了基於金融級安全硬件存儲私鑰的加密機熱錢包方案。 ( https://mp.weixin.qq.com/s/xwtvPek6zKVcfjT-IPZJsA )
近日,艾貝鏈動AML團隊利用旗下IBestTrack™ 反洗錢鏈上資金追踪系統通過剖析攻擊者的洗幣手法,針對Liquid遭受攻擊損失的加密資金流向進行追踪,現已發現部分資產通過混幣及跨鏈服務轉換成606個BTC分散在7個BTC地址。同時,追踪到已有超過437個BTC通過Wasabi Wallet被再次混幣抹除痕跡,並且該過程仍在進行中。
北京時間8月20日下午15:32:29,Liquid 黑客開始通過Tornado.Cash 混幣服務處理其盜取的以太幣資產。此前,黑客以多次利用去中心化交易所(例如Uniswap,1inch 等)將流通性較低或可能被凍結的資產轉換成以太幣(Ether)。
從上面的etherscan 交易截圖可以看到,黑客先將大筆資金打入0x37a0d 地址,再以每筆100 Ether 的方式分多筆將資產打入Tornado.Cash 智能合約,待後續處理。
北京時間8月23日下午14:39:47 另一個地址0xb5511 也開始被用來往Tornado.Cash 轉移資金。基本上這些流入Tornado.Cash 的金流已經無法追踪,只能通過統計的方式將流出Tornado.Cash 的資金與流入的資金作關聯。
然而,由於這筆從0xb5511 發起的6.76 Ether 的轉賬,讓0xc4c6e 地址又跟之前的金流關聯起來。從上面的截圖可以看到0xc4c6e 在UniswapV3 及1inch 有多筆大額的Ether 交易,並且交易完畢立即調用“Ren: BTC Gateway”合約的burn()。
例如上圖0x0eb275 交易,攻擊者在UniswapV3 將200 Ether 換成13.126 renBTC。
隨後,在0x516abc 交易中,13.126 個renBTC 通過“Ren: BTC Gateway”合約的burn() 調用被銷毀,實際上這是一筆跨鏈操作。
從交易的輸入可以解析出15vp5bKz2HEyXozaj1Qj5bvErGmEHDJRnj 這個BTC 地址。
對照區塊瀏覽器能找到上面這筆跨鏈BTC 轉賬,依照類似的邏輯,我們排查出了下列BTC 地址:
近兩週來黑客一直在使用不同的方法來掩蓋他們的踪跡——大量的XRP、ETH 和ERC20 代幣要么轉換成BTC,要么通過Tornado.cash服務混幣。此外,數十個BTC被放在多個身份不明的錢包中。 Tornado.Cash,Wasabi Wallet等混幣服務系統、閃兌平台以及一些免KYC 的中心化機構,目前都是洗錢的重災區。
艾貝鏈動雖然通過IBestTrack™追踪到BTC資金流向,然而一旦黑客開始將盜取的資金向類Tornado.cash平台或去中心化交易所洗幣,受限於現有的AML技術,資金追溯將會是很大的挑戰。因此機構做好資產安全防護仍是重中之重,“防”患於未然,是優先策略。
通過分析歷史上機構資產遭受黑客攻擊的技術手段和機構自身的安全漏洞,艾貝鏈動提出面向機構資產安全的自託管解決方案,既能通過金融級硬件滿足機構客戶資產自管(私鑰自持)安全性, 又能解決機構熱錢包全生命週期的資產安全性與經營中高頻操作的易用性。並已在多家中大型數字資產金融服務機構得到部署應用,為機構資產安全“保駕護航“,降低被黑客攻擊的風險。同時,通過IBestTrack™ 反洗錢鏈上資金追踪系統幫助機構追踪資金流向,以期在“防”與“追”等各環節更好地為機構資產安全服務。
