解讀 2022 上半年典型安全事件以及反洗錢情況分析

上一篇我們主要解讀了 2022 上半年區塊鏈反洗錢態勢以及工具方法介紹本篇主要聚焦於 2022 上半年典型安全事件以及針對部分事件進行反洗錢分析。

典型安全事件

此節選取了上半年部分典型安全事件,選取標準為損失較大,發生次數較多,影響範圍較廣及手法較新的事件,此外,Ronin Network 安全事件下一篇會單獨分析介紹,敬請關注。

  • Wormhole 損失超 3 億美元

2 月 3 日,攻擊者利用 Wormhole 網絡中的簽名驗證漏洞在 Solana 上鑄造了 12 萬 WETH,價值超 3.26 億美元。Wormhole 發布針對該事件的報告中指出,此次事件中 Wormhole 的漏洞具體是 Solana 端核心 Wormhole 合約的簽名驗證代碼存在錯誤,允許攻擊者偽造來自 “監護人” 的消息來鑄造 Wormhole 的 WETH。本次事件是目前針對 Solana 的黑客攻擊中造成的最大損失規模事件。

  • Beanstalk Farms 遭閃電貸和提案攻擊

4 月 17 日,基於以太坊的算法穩定幣項目 Beanstalk Farms 遭攻擊,損失約為 1.82 億美元。本次攻擊的主要原因在於提案的投票與執行兩階段間無時間間隔,導致攻擊者在完成投票後未經社區審核可以直接執行惡意提案。有趣的是,攻擊者將其中 25 萬美元捐贈給了一個用於為烏克蘭政府籌集捐款的地址。

  • Harmony 損失超 1 億美元

6 月 24 日,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD。26 日 Harmony 創始人 Stephen Tse 在 Twitter 上表示,Horizon 被攻擊並非因為智能合約漏洞,而是由私鑰洩露導致。雖然 Harmony 對私鑰進行了加密存儲,但攻擊者還是解密了其中部分私鑰並簽名了一些未經授權的交易。

  • Pokemoney 發生 Rug Pull

BSC 上 NFT 項目 Pokemoney 發生 Rug Pull,約 1.18 萬枚 BNB(約 350 萬美元)被提取轉移。Pokemoney 背後的團隊聲稱價格暴跌是由於神秘的黑客攻擊。雖然沒有證據證明黑客入侵,但該項目團隊堅決支持這個說法。他們在 Telegram 上聲稱,由於某種原因,他們無法訪問該項目的 Twitter 帳戶,因此無法告知社區有關黑客行為的解釋。

  • Crypto.com 部分賬戶遭黑客攻擊

據 Crypto.com 調查報告,“2022 年 1 月 17 日,Crypto.com 獲悉少數用戶在其賬戶上未經授權提取了加密貨幣。Crypto.com 立即暫停所有代幣的提款以啟動調查,並全天候工作以解決該問題。沒有客戶遭受資金損失。在大多數情況下,我們阻止了未經授權的提款,在所有其他情況下,客戶都得到了全額報銷。該事件影響了 483 名 Crypto.com 用戶。未經授權的提款總額為 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他貨幣。”

  • Uniswap 空投釣魚攻擊

7 月 12 日,Binance 創始人 CZ 發推表示,通過威脅情報在 ETH 區塊鏈上檢測到 Uniswap V3 潛在漏洞。幾個小時後,多名 Twitter 用戶發布消息稱,此次黑客攻擊中轉移資金的交易並無異常,並表示這是一次網絡釣魚攻擊,超過 70,000 個連接到 Uniswap 的地址被空投代幣,空投代幣將用戶鏈接到一個類似於真實 Uniswap 網站的釣魚網站。用戶被誘騙授權合約,從而允許攻擊者控制其錢包,盜取其加密貨幣和 NFT。其中一個錢包損失了超過 650 萬美元,另一個錢包損失了價值約 168 萬美元的加密貨幣。

  • OpenSea 多名用戶遭郵件釣魚

2 月 20 日,全球最大的加密數字藏品市場 OpenSea 遭到攻擊。根據 OpenSea 官方的推文,黑客在 OpenSea 合約升級的同時,向所有用戶郵箱發送了釣魚郵件,很多用戶誤以為是官方郵件,對錢包進行了授權,導致錢包被盜。

  • ApeCoin 空投閃電貸套利

3 月 17 日,根據 Twitter 用戶 Will Sheehan 的報告,套利機器人通過閃電貸薅羊毛,拿到 6w 多 ApeCoin(每個價值 8 美元)。分析發現這和 ApeCoin 的空投機制存在漏洞有關。具體來說,ApeCoin 能否空投取決於某一個用戶是否持有 BYAC NFT 的瞬時狀態,而攻擊者可以通過借入閃電貸來操縱瞬時狀態。攻擊者首先通過閃電貸借入 BYAC Token,接著 redeem 獲得 BYAC NFT,然後使用這些 NFT 來 Claim 空投的 APE,最後將 BYAC NFT mint 獲得的 BYAC Token 用來返還閃電貸。

  • BAYC 官方 Discord 遭攻擊

6 月 5 日,BAYC 在官方推特表示,其 Discord 服務器被短暫攻擊,價值約 200 ETH 的 NFT 被盜。此次攻擊是由於社區管理員的帳戶遭到入侵,黑客冒充管理員身份發布了一個指向釣魚網站的鏈接。

  • FEG 遭兩次閃電貸攻擊

5 月 16 日,多鏈 DeFi 協議 FEG 遭到閃電貸攻擊,攻擊者竊取 144 ETH 和 3,280 BNB,損失約 130 萬美元。5 月 17 日,FEG 再次受到攻擊,攻擊者竊取 291 ETH 和 4,343 BNB,損失約 190 萬美元,其中 BSC 鏈 130 萬美元,ETH 鏈 60 萬美元。兩次攻擊類似,主要原因是未驗證 swapToSwap 函數中 path 地址參數,導致攻擊者可以任意傳入惡意 path 地址,使得 FEGexPRO 合約將自身代幣授權給攻擊者。

  • Optimism 因合約漏洞損失 2000 萬枚 OP

6 月 9 日,Optimism 與 Wintermute 雙雙發佈公告,向社區披露了一起 2000 萬 OP 代幣丟失的事件。在 OP 代幣發布之時,Optimism 委託 Wintermute 來為 OP 在二級市場上提供流動性服務,Optimism 將向 Wintermute 提供 2000 萬枚 OP 代幣。為了接收這筆代幣,Wintermute 給了 Optimism 一個多簽地址,在 Optimism 測試發送了兩筆交易且 Wintermute 確認無誤後,Optimism 將 2000 萬 OP 轉移到了該地址。在 Optimism 轉完幣之後,Wintermute 卻發現自己沒辦法控制這些代幣,因為他們所提供的多簽地址暫時只部署在了以太坊主網上,尚未向 Optimism 網絡部署。為了控制這些代幣,Wintermute 立即啟動了補救操作。但已有攻擊者察覺到了這一漏洞,並搶在 Wintermute 之前將該多簽地址部署到了 Optimism 網絡上,成功控制了這 2000 萬代幣。目前 Optimism 黑客已歸還 1700 萬枚 OP 代幣,並向 Vitalik 地址轉入 100 萬枚 OP,而 Vitalik 已將此資金歸還。

  • MM.finance 遭 DNS 劫持攻擊

5 月 4 日,據官方發文稱,MM.finance 網站遭到 DNS 攻擊,攻擊者設法將惡意合約地址注入前端代碼。攻擊者利用 DNS 漏洞修改託管文件中的路由器合約地址,價值 200 萬美元以上的加密貨幣資產被盜,並通過跨鏈橋轉移到 ETH 鏈,隨後通過 Tornado.Cash 洗錢。

  • KLAYswap 遭到惡意前端攻擊

2 月 3 日,韓國 DeFi 項目 KLAYswap 發佈公告稱遭黑客攻擊,損失約 22 億韓元,約合 183 萬美元。公告中稱黑客通過 BGP 劫持篡改 KLAYswap 前端的第三方 JS 鏈接,導致用戶訪問 KLAYswap 頁面時被投毒,然後授權資產給黑客錢包地址,最終導致用戶資產被盜,期間共有 325 個錢包發生 407 筆異常交易。

  • Terra 生態崩潰

5 月 9 日,Terra 生態算法穩定幣 UST 嚴重脫鉤、LUNA 近乎歸零,數百億美元市值一夕蒸發。Luna Foundation Guard(LFG)使用了價值約 35 億美元的比特幣來維持 UST 的價值。但並沒有起作用。最終,在 5 月 12 日,Terra 停止運行。Terra 的崩潰導致了 600 億美元的損失,造成了比特幣價格的拋售壓力效應,並在整個加密資產中產生了恐懼情緒,加劇了行業正在經歷的熊市。

典型安全事件損失概覽

根據上文,摘取了上半年部分典型安全事件進行反洗錢分析,如下:

事件被盜時間損失統計
Wormhole2 月 2 日120,000 WETH
Beanstalk4 月 17 日24,830 ETH、250,000 USDC 代幣和 36,390,000 BEAN 代幣
Harmony6 月 23 日ETH 鏈:13,100 ETH、41,200,000 USDC、592 WBTC、9,981,000 USDT、6,070,000 DAI、5,530,000 BUSD、84,620,000 AAG、110,000 FXS、415,000 SUSHI、990 AAVE、43 WETH 和 5,620,000 FRAXBSC 鏈:5,000 BNB 和 640,000 BUSD
Crypto.com1 月 17 日ETH 鏈:4,836.25 ETHBTC 鏈:443.93 BTC
Uniswap Phishing7 月 11 日3,278.84 ETH 和 240.42 WBTC
ApeCoin 空投閃電貸套利3 月 17 日60,564 APE
BAYC 官方 Discord 遭攻擊6 月 4 日價值超過 145 ETH(25.6 萬美元)的 NFTs
FEGToken5 月 15 日、5 月 16 日443.86 ETH 和 7,626.49 BNB
Optimism5 月 27 日20,000,000 OP 代幣(17,000,000 OP 已歸還)
MM.finance5 月 4 日2,000,000 美元

反洗錢分析詳述

  • Wormhole

黑客地址:CxegPrfn2ge5dNiQberUrQJkHCcimeR4VXkeawcFBBka(Solana 鏈)

被盜時間:2 月 2 日

損失統計:120,000 WETH

攻擊手續費來源:Tornado.Cash

資金轉移:

圖片
(Wormhole Network Exploiter 資金轉移時間線)

WETH 資金轉移:

流向流向資金
跨鏈到 ETH 鏈93,750 WETH
兌換為 SOL26,250 WETH

黑客地址餘額:

地址餘額
CxegPrfn2ge5dNiQberUrQJkHCcimeR4VXkeawcFBBka432,661.15 SOL
0x629e7da20197a5429d30da36e77d06cdf796b71a93,750.623 ETH
  • Beanstalk

黑客地址:0x1c5dCdd006EA78a7E4783f9e6021C32935a10fb4(ETH 鏈)

被盜時間:4 月 17 日

損失統計:24,830 ETH、250,000 USDC 代幣和 36,390,000 BEAN 代幣

攻擊手續費來源:Tornado.Cash

資金轉移:

圖片
(Beanstalk Flashloan Exploiter 資金轉移時間線)

ETH 資金轉移:

圖片
(Beanstalk Flashloan Exploiter ETH 資金轉移圖)

ETH 資金轉移表:

流向流向資金
Tornado.Cash24849.1 ETH
  • Harmony

黑客地址:

0x0d043128146654C7683Fbf30ac98D7B2285DeD00(ETH 鏈)

0x0d043128146654C7683Fbf30ac98D7B2285DeD00(BSC 鏈)

被盜時間:6 月 23 日

損失統計:

(ETH 鏈)13,100 ETH、41,200,000 USDC、592 WBTC、9,981,000 USDT、6,070,000 DAI、5,530,000 BUSD、84,620,000 AAG、110,000 FXS、415,000 SUSHI、990 AAVE、43 WETH 和 5,620,000 FRAX

(BSC 鏈)5,000 BNB 和 640,000 BUSD

攻擊手續費來源:無

資金轉移:

圖片
(Horizon Bridge Exploiter 資金轉移時間線)

ETH 資金轉移:

圖片
(Horizon Bridge Exploiter ETH 資金轉移圖)

ETH 資金轉移表:

流向流向資金
Tornado.Cash85,700 ETH
Balance201.2094 ETH

Tornado.Cash 資金轉移:

黑客總計轉入 85,700 ETH 到 Tornado.Cash,經過分析,我們得出 Harmony 黑客的 Tornado.Cash 提款符合下列特徵:

  • 從 Tornado.Cash 的分批提款,每個提款地址的提款次數相對固定,主要提款次數是 5 和 6,即提款 5 * 100 ETH 或 6 * 100 ETH 到提款地址。
  • 從 Tornado.Cash 提款後,長達一個月未發生進一步轉移。

根據上述的 Tornado.Cash 提款特徵,共計發現了黑客 83,300 ETH 的提款,從 Tornado.Cash 轉出資金情況如下表:

流向流向資金
Balance83,300 ETH
  • Crypto.com

黑客地址:

0x6e1218c55f1aCb588Fc5E55B721f1183D7D29D3d(ETH 鏈)

bc1qk8wlwypvvr6v5lmsngg5a248k2a9cgrsrw5jsq(BTC 鏈)

bc1q83c9e7s8925hhy9dzqpdyyfctgwaspj3wdrhqr(BTC 鏈)

bc1qk7e2k8s252789cggr5xy67m6jvc0jsqpdjfw9d(BTC 鏈)

bc1qnzn9wmt40qwuhd7zmqvmvd0c3zazv59ljplrnr(BTC 鏈)

bc1qy7hf94vv20jqez2fk8xyxuv0h0u8r0kh8cau46(BTC 鏈)

被盜時間:1 月 17 日、1 月 18 日

損失統計:(ETH 鏈)4,836.2596 ETH、(BTC 鏈)443.9322 BTC

攻擊手續費來源:無

資金轉移:

(Crypto.com Hacker 資金轉移時間線)

ETH 資金轉移:

圖片
(Crypto.com Hacker ETH 資金轉移圖)

ETH 資金轉移表:

流向流向資金
Tornado.Cash4,830 ETH
Balance1.1692 ETH

BTC 資金轉移表:

流向流向資金
CryptoMixer271 BTC
Balance172.9322 BTC
  • Uniswap Phishing

黑客地址:0x09b5027ef3a3b7332ee90321e558bad9c4447afa(ETH 鏈)

被盜時間:7 月 11 日

損失統計:3,278.8477 ETH、240.42 WBTC

攻擊手續費來源:Tornado.Cash

資金轉移:

圖片
(Uniswap Phishing Hacker 資金轉移時間線)

ETH 資金轉移:

黑客在洗錢的過程中通過 Uniswap 將 240.42 WBTC 兌換為 4,295.0041 ETH,洗錢的 ETH 資金共計 7,573.8518 ETH。

圖片
(Uniswap Phishing Hacker ETH 資金轉移圖)

ETH 資金轉移表:

流向流向資金
Tornado.Cash7,561 ETH
Balance9.46 ETH
  • ApeCoin 空投閃電貸套利

黑客地址:0x6703741e913a30d6604481472b6d81f3da45e6e8(ETH 鏈)

被盜時間:3 月 17 日

損失統計:60,564 APE

攻擊手續費來源:FTX

資金轉移:

圖片
(ApeCoin Airdrop Flashloan Exploiter 資金轉移時間線)

ETH 資金轉移:

圖片
(ApeCoin Airdrop Flashloan Exploiter ETH 資金轉移圖)

ETH 資金轉移表:

流向流向資金
Balance459 ETH

注:轉移資金中包括攻擊手續費剩餘資金。

  • BAYC 官方 Discord 遭攻擊

黑客地址:0x1079061d37f7f3fd3295e4aad02ece4a3f20de2d(ETH 鏈)

被盜時間:6 月 4 日

損失統計:價值超過 145 個 ETH(25.6 萬美元)的 NFTs

攻擊手續費來源:從其他個人地址轉入

資金轉移:

圖片
(BAYC Discord Phishing Exploiter 資金轉移時間線)

ETH 資金轉移表:

流向流向資金
Tornado.Cash153 ETH
  •  FEGToken

注:此節將 5 月 15 日攻擊的黑客稱為黑客 1,將 5 月 16 日攻擊的黑客稱為黑客 2。

黑客地址:

0x73b359d5da488eb2e97990619976f2f004e9ff7c(黑客 1,ETH/BSC 鏈)

0xf99e5f80486426e7d3e3921269ffee9c2da258e2(黑客 2,ETH/BSC 鏈)

被盜時間:5 月 15 日、5 月 16 日

損失統計:

  • (黑客 1,ETH 鏈)143.9125 ETH、(黑客 1,BSC 鏈)3,280.2738 BNB、
  • (黑客 2,ETH 鏈)299.9566 ETH、(黑客 2,BSC 鏈)4,346.223 BNB

攻擊手續費來源:Tornado.Cash

資金轉移:

圖片
(FEGToken Exploiter 資金轉移時間線)

兩次黑客攻擊的關聯性分析

根據以下鏈上痕跡分析:

  • 兩個黑客攻擊手法不相同。

黑客 1 重複調用攻擊合約獲利。

黑客 2 單次調用攻擊合約大額獲利。

  • 兩個黑客洗錢手法不相同。

黑客 1 將全部獲利資金轉入 Tornado.Cash。

黑客 2 將大額資金轉入 Tornado.Cash,將剩餘資金轉入 ChangeNOW。

  • 兩個黑客攻擊/洗錢時間存在明顯差別。

黑客 1 攻擊時間在 5 月 15 日,洗錢時間在 5 月 20 日(BSC 鏈)和 7 月 3 日(ETH 鏈)。

黑客 2 攻擊時間在 5 月 16 日,洗錢時間在 5 月 16 日。

黑客 1 資金轉移:

圖片
(FEGToken Exploiter 1 BSC 資金轉移圖)
圖片
(FEGToken Exploiter 1 ETH 資金轉移圖)

資金轉移表:

流向流向資金
BSCTornado.Cash3,277.8 BNB
ETHTornado.Cash144.8 ETH

黑客 1 BSC 鏈 Tornado.Cash 資金轉移:

在 BSC 鏈,黑客總計轉入 3,277.8 BNB 到 Tornado.Cash ,經過分析,我們得出 FEGToken 黑客 1 的 Tornado.Cash 提款符合下列特徵:

  • 每次以 25/50 BNB 的數量通過 PancakeSwap/1inch 兌換為 BSC 鏈上的 ETH 代幣,後通過 AnySwap 跨鏈到 ETH 鏈。
  • 轉移到 ETH 鏈上長時間不做進一步轉移。

根據上述的轉出特徵,共計發現了黑客共計 3,273 BNB 數額的提款,黑客 1 於 BSC 鏈 Tornado.Cash 轉出資金情況如下表:

流向流向資金
Tornado.Cash56.5 ETH
Balance476.9591 ETH

注:BSC 鏈上的資金都已通過 AnySwap 兌換成 ETH 在 ETH 鏈。

黑客 2 資金轉移:

圖片
(FEGToken Exploiter 2 BSC 資金轉移圖)
圖片
(FEGToken Exploiter 2 ETH 資金轉移圖)

資金轉移表:

流向流向資金
BSCTornado.Cash4,200 BNB
BSCChangeNOW90.9 BNB
ETHTornado.Cash300 ETH
  • Optimism

黑客地址:0x60B28637879B5a09D21B68040020FFbf7dbA5107(Optimism 鏈)

被盜時間:6 月 5 日

損失統計:20,000,000 OP 代幣

攻擊手續費來源:Tornado.Cash

資金轉移:

圖片
(Wintermute/OP Exploiter 資金轉移時間線)

OP 代幣資金轉移表:

流向流向資金
歸還 Optimism 基金會17,000,000 OP
Vitalik Buterin(後歸還 Optimism 基金會)1,000,000 OP
通過 Hop Protocol 和 Synapse 跨鏈到 ETH 鏈1,000,000 OP
Balance1,000,000 OP

ETH 資金轉移:

圖片
(Wintermute/OP Exploiter ETH 資金轉移圖)

資金轉移表:

流向流向資金
Tornado.Cash723 ETH
Balance5.8744 ETH

注:轉移資金中包括攻擊手續費剩餘資金。

  •  MM.finance

黑客地址:0xb3065fe2125c413e973829108f23e872e1db9a6b(Cronos 鏈)

被盜時間:5 月 4 日

損失統計:2,000,000 美元

攻擊手續費來源:OKX

資金轉移:

圖片
(MMFinance Exploiter 資金轉移時間線)

ETH 資金轉移:

圖片
(MMFinance Exploiter ETH 資金轉移圖)

資金轉移表:

流向流向資金
Tornado.Cash743 ETH

總結

本報告對一些損失較大、發生次數較多、影響範圍較廣及攻擊手法較新的安全事件進行了列舉,包含被盜損失、攻擊手法簡述以及影響範圍。

接著,使用 MistTrack 基礎分析工具對 11 起典型安全事件展開了反洗錢分析,通過反洗錢分析清晰闡述 “攻擊手續費來源是什麼”、“錢去了哪裡” 的問題,並創造性的提出了一種數據分析方法來分析 Tornado.Cash 和 ChipMixer 的提款。

在此過程中,我們發現洗錢流程集中在 ETH 鍊和 BTC 鏈上進行。ETH 鏈,74.6% 資金轉移到 Tornado.Cash 以躲避追踪分析;BTC 鏈,48.9% 的資金轉移到 ChipMixer 以躲避追踪分析。

BTC 鍊是特大型安全事件以及與 LAZARUS GROUP 黑客組織有關的事件洗錢的選擇,因為相比較 ETH 鏈而言,BTC 鏈更具有匿名性、更多的混幣工具選擇,並且 LAZARUS GROUP 黑客組織在 BTC 鏈上洗錢更富有經驗且更精通流程,這些有利於洗錢過程的順利進行。

完整報告下載:

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。