解讀 2022 上半年典型安全事件以及反洗錢情況分析
上一篇我們主要解讀了 2022 上半年區塊鏈反洗錢態勢以及工具方法介紹,本篇主要聚焦於 2022 上半年典型安全事件以及針對部分事件進行反洗錢分析。
典型安全事件
此節選取了上半年部分典型安全事件,選取標準為損失較大,發生次數較多,影響範圍較廣及手法較新的事件,此外,Ronin Network 安全事件下一篇會單獨分析介紹,敬請關注。
- Wormhole 損失超 3 億美元
2 月 3 日,攻擊者利用 Wormhole 網絡中的簽名驗證漏洞在 Solana 上鑄造了 12 萬 WETH,價值超 3.26 億美元。Wormhole 發布針對該事件的報告中指出,此次事件中 Wormhole 的漏洞具體是 Solana 端核心 Wormhole 合約的簽名驗證代碼存在錯誤,允許攻擊者偽造來自 “監護人” 的消息來鑄造 Wormhole 的 WETH。本次事件是目前針對 Solana 的黑客攻擊中造成的最大損失規模事件。
- Beanstalk Farms 遭閃電貸和提案攻擊
4 月 17 日,基於以太坊的算法穩定幣項目 Beanstalk Farms 遭攻擊,損失約為 1.82 億美元。本次攻擊的主要原因在於提案的投票與執行兩階段間無時間間隔,導致攻擊者在完成投票後未經社區審核可以直接執行惡意提案。有趣的是,攻擊者將其中 25 萬美元捐贈給了一個用於為烏克蘭政府籌集捐款的地址。
- Harmony 損失超 1 億美元
6 月 24 日,Harmony Horizon bridge 遭到黑客攻擊。經慢霧 MistTrack 分析,攻擊者獲利超 1 億美元,包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD。26 日 Harmony 創始人 Stephen Tse 在 Twitter 上表示,Horizon 被攻擊並非因為智能合約漏洞,而是由私鑰洩露導致。雖然 Harmony 對私鑰進行了加密存儲,但攻擊者還是解密了其中部分私鑰並簽名了一些未經授權的交易。
- Pokemoney 發生 Rug Pull
BSC 上 NFT 項目 Pokemoney 發生 Rug Pull,約 1.18 萬枚 BNB(約 350 萬美元)被提取轉移。Pokemoney 背後的團隊聲稱價格暴跌是由於神秘的黑客攻擊。雖然沒有證據證明黑客入侵,但該項目團隊堅決支持這個說法。他們在 Telegram 上聲稱,由於某種原因,他們無法訪問該項目的 Twitter 帳戶,因此無法告知社區有關黑客行為的解釋。
- Crypto.com 部分賬戶遭黑客攻擊
據 Crypto.com 調查報告,“2022 年 1 月 17 日,Crypto.com 獲悉少數用戶在其賬戶上未經授權提取了加密貨幣。Crypto.com 立即暫停所有代幣的提款以啟動調查,並全天候工作以解決該問題。沒有客戶遭受資金損失。在大多數情況下,我們阻止了未經授權的提款,在所有其他情況下,客戶都得到了全額報銷。該事件影響了 483 名 Crypto.com 用戶。未經授權的提款總額為 4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他貨幣。”
- Uniswap 空投釣魚攻擊
7 月 12 日,Binance 創始人 CZ 發推表示,通過威脅情報在 ETH 區塊鏈上檢測到 Uniswap V3 潛在漏洞。幾個小時後,多名 Twitter 用戶發布消息稱,此次黑客攻擊中轉移資金的交易並無異常,並表示這是一次網絡釣魚攻擊,超過 70,000 個連接到 Uniswap 的地址被空投代幣,空投代幣將用戶鏈接到一個類似於真實 Uniswap 網站的釣魚網站。用戶被誘騙授權合約,從而允許攻擊者控制其錢包,盜取其加密貨幣和 NFT。其中一個錢包損失了超過 650 萬美元,另一個錢包損失了價值約 168 萬美元的加密貨幣。
- OpenSea 多名用戶遭郵件釣魚
2 月 20 日,全球最大的加密數字藏品市場 OpenSea 遭到攻擊。根據 OpenSea 官方的推文,黑客在 OpenSea 合約升級的同時,向所有用戶郵箱發送了釣魚郵件,很多用戶誤以為是官方郵件,對錢包進行了授權,導致錢包被盜。
- ApeCoin 空投閃電貸套利
3 月 17 日,根據 Twitter 用戶 Will Sheehan 的報告,套利機器人通過閃電貸薅羊毛,拿到 6w 多 ApeCoin(每個價值 8 美元)。分析發現這和 ApeCoin 的空投機制存在漏洞有關。具體來說,ApeCoin 能否空投取決於某一個用戶是否持有 BYAC NFT 的瞬時狀態,而攻擊者可以通過借入閃電貸來操縱瞬時狀態。攻擊者首先通過閃電貸借入 BYAC Token,接著 redeem 獲得 BYAC NFT,然後使用這些 NFT 來 Claim 空投的 APE,最後將 BYAC NFT mint 獲得的 BYAC Token 用來返還閃電貸。
- BAYC 官方 Discord 遭攻擊
6 月 5 日,BAYC 在官方推特表示,其 Discord 服務器被短暫攻擊,價值約 200 ETH 的 NFT 被盜。此次攻擊是由於社區管理員的帳戶遭到入侵,黑客冒充管理員身份發布了一個指向釣魚網站的鏈接。
- FEG 遭兩次閃電貸攻擊
5 月 16 日,多鏈 DeFi 協議 FEG 遭到閃電貸攻擊,攻擊者竊取 144 ETH 和 3,280 BNB,損失約 130 萬美元。5 月 17 日,FEG 再次受到攻擊,攻擊者竊取 291 ETH 和 4,343 BNB,損失約 190 萬美元,其中 BSC 鏈 130 萬美元,ETH 鏈 60 萬美元。兩次攻擊類似,主要原因是未驗證 swapToSwap 函數中 path 地址參數,導致攻擊者可以任意傳入惡意 path 地址,使得 FEGexPRO 合約將自身代幣授權給攻擊者。
- Optimism 因合約漏洞損失 2000 萬枚 OP
6 月 9 日,Optimism 與 Wintermute 雙雙發佈公告,向社區披露了一起 2000 萬 OP 代幣丟失的事件。在 OP 代幣發布之時,Optimism 委託 Wintermute 來為 OP 在二級市場上提供流動性服務,Optimism 將向 Wintermute 提供 2000 萬枚 OP 代幣。為了接收這筆代幣,Wintermute 給了 Optimism 一個多簽地址,在 Optimism 測試發送了兩筆交易且 Wintermute 確認無誤後,Optimism 將 2000 萬 OP 轉移到了該地址。在 Optimism 轉完幣之後,Wintermute 卻發現自己沒辦法控制這些代幣,因為他們所提供的多簽地址暫時只部署在了以太坊主網上,尚未向 Optimism 網絡部署。為了控制這些代幣,Wintermute 立即啟動了補救操作。但已有攻擊者察覺到了這一漏洞,並搶在 Wintermute 之前將該多簽地址部署到了 Optimism 網絡上,成功控制了這 2000 萬代幣。目前 Optimism 黑客已歸還 1700 萬枚 OP 代幣,並向 Vitalik 地址轉入 100 萬枚 OP,而 Vitalik 已將此資金歸還。
- MM.finance 遭 DNS 劫持攻擊
5 月 4 日,據官方發文稱,MM.finance 網站遭到 DNS 攻擊,攻擊者設法將惡意合約地址注入前端代碼。攻擊者利用 DNS 漏洞修改託管文件中的路由器合約地址,價值 200 萬美元以上的加密貨幣資產被盜,並通過跨鏈橋轉移到 ETH 鏈,隨後通過 Tornado.Cash 洗錢。
- KLAYswap 遭到惡意前端攻擊
2 月 3 日,韓國 DeFi 項目 KLAYswap 發佈公告稱遭黑客攻擊,損失約 22 億韓元,約合 183 萬美元。公告中稱黑客通過 BGP 劫持篡改 KLAYswap 前端的第三方 JS 鏈接,導致用戶訪問 KLAYswap 頁面時被投毒,然後授權資產給黑客錢包地址,最終導致用戶資產被盜,期間共有 325 個錢包發生 407 筆異常交易。
- Terra 生態崩潰
5 月 9 日,Terra 生態算法穩定幣 UST 嚴重脫鉤、LUNA 近乎歸零,數百億美元市值一夕蒸發。Luna Foundation Guard(LFG)使用了價值約 35 億美元的比特幣來維持 UST 的價值。但並沒有起作用。最終,在 5 月 12 日,Terra 停止運行。Terra 的崩潰導致了 600 億美元的損失,造成了比特幣價格的拋售壓力效應,並在整個加密資產中產生了恐懼情緒,加劇了行業正在經歷的熊市。
典型安全事件損失概覽
根據上文,摘取了上半年部分典型安全事件進行反洗錢分析,如下:
| 事件 | 被盜時間 | 損失統計 |
| Wormhole | 2 月 2 日 | 120,000 WETH |
| Beanstalk | 4 月 17 日 | 24,830 ETH、250,000 USDC 代幣和 36,390,000 BEAN 代幣 |
| Harmony | 6 月 23 日 | ETH 鏈:13,100 ETH、41,200,000 USDC、592 WBTC、9,981,000 USDT、6,070,000 DAI、5,530,000 BUSD、84,620,000 AAG、110,000 FXS、415,000 SUSHI、990 AAVE、43 WETH 和 5,620,000 FRAXBSC 鏈:5,000 BNB 和 640,000 BUSD |
| Crypto.com | 1 月 17 日 | ETH 鏈:4,836.25 ETHBTC 鏈:443.93 BTC |
| Uniswap Phishing | 7 月 11 日 | 3,278.84 ETH 和 240.42 WBTC |
| ApeCoin 空投閃電貸套利 | 3 月 17 日 | 60,564 APE |
| BAYC 官方 Discord 遭攻擊 | 6 月 4 日 | 價值超過 145 ETH(25.6 萬美元)的 NFTs |
| FEGToken | 5 月 15 日、5 月 16 日 | 443.86 ETH 和 7,626.49 BNB |
| Optimism | 5 月 27 日 | 20,000,000 OP 代幣(17,000,000 OP 已歸還) |
| MM.finance | 5 月 4 日 | 2,000,000 美元 |
反洗錢分析詳述
- Wormhole
黑客地址:CxegPrfn2ge5dNiQberUrQJkHCcimeR4VXkeawcFBBka(Solana 鏈)
被盜時間:2 月 2 日
損失統計:120,000 WETH
攻擊手續費來源:Tornado.Cash
資金轉移:
WETH 資金轉移:
| 流向 | 流向資金 |
| 跨鏈到 ETH 鏈 | 93,750 WETH |
| 兌換為 SOL | 26,250 WETH |
黑客地址餘額:
| 地址 | 餘額 |
| CxegPrfn2ge5dNiQberUrQJkHCcimeR4VXkeawcFBBka | 432,661.15 SOL |
| 0x629e7da20197a5429d30da36e77d06cdf796b71a | 93,750.623 ETH |
- Beanstalk
黑客地址:0x1c5dCdd006EA78a7E4783f9e6021C32935a10fb4(ETH 鏈)
被盜時間:4 月 17 日
損失統計:24,830 ETH、250,000 USDC 代幣和 36,390,000 BEAN 代幣
攻擊手續費來源:Tornado.Cash
資金轉移:
ETH 資金轉移:
ETH 資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 24849.1 ETH |
- Harmony
黑客地址:
0x0d043128146654C7683Fbf30ac98D7B2285DeD00(ETH 鏈)
0x0d043128146654C7683Fbf30ac98D7B2285DeD00(BSC 鏈)
被盜時間:6 月 23 日
損失統計:
(ETH 鏈)13,100 ETH、41,200,000 USDC、592 WBTC、9,981,000 USDT、6,070,000 DAI、5,530,000 BUSD、84,620,000 AAG、110,000 FXS、415,000 SUSHI、990 AAVE、43 WETH 和 5,620,000 FRAX
(BSC 鏈)5,000 BNB 和 640,000 BUSD
攻擊手續費來源:無
資金轉移:
ETH 資金轉移:
ETH 資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 85,700 ETH |
| Balance | 201.2094 ETH |
Tornado.Cash 資金轉移:
黑客總計轉入 85,700 ETH 到 Tornado.Cash,經過分析,我們得出 Harmony 黑客的 Tornado.Cash 提款符合下列特徵:
- 從 Tornado.Cash 的分批提款,每個提款地址的提款次數相對固定,主要提款次數是 5 和 6,即提款 5 * 100 ETH 或 6 * 100 ETH 到提款地址。
- 從 Tornado.Cash 提款後,長達一個月未發生進一步轉移。
根據上述的 Tornado.Cash 提款特徵,共計發現了黑客 83,300 ETH 的提款,從 Tornado.Cash 轉出資金情況如下表:
| 流向 | 流向資金 |
| Balance | 83,300 ETH |
- Crypto.com
黑客地址:
0x6e1218c55f1aCb588Fc5E55B721f1183D7D29D3d(ETH 鏈)
bc1qk8wlwypvvr6v5lmsngg5a248k2a9cgrsrw5jsq(BTC 鏈)
bc1q83c9e7s8925hhy9dzqpdyyfctgwaspj3wdrhqr(BTC 鏈)
bc1qk7e2k8s252789cggr5xy67m6jvc0jsqpdjfw9d(BTC 鏈)
bc1qnzn9wmt40qwuhd7zmqvmvd0c3zazv59ljplrnr(BTC 鏈)
bc1qy7hf94vv20jqez2fk8xyxuv0h0u8r0kh8cau46(BTC 鏈)
被盜時間:1 月 17 日、1 月 18 日
損失統計:(ETH 鏈)4,836.2596 ETH、(BTC 鏈)443.9322 BTC
攻擊手續費來源:無
資金轉移:
ETH 資金轉移:
ETH 資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 4,830 ETH |
| Balance | 1.1692 ETH |
BTC 資金轉移表:
| 流向 | 流向資金 |
| CryptoMixer | 271 BTC |
| Balance | 172.9322 BTC |
- Uniswap Phishing
黑客地址:0x09b5027ef3a3b7332ee90321e558bad9c4447afa(ETH 鏈)
被盜時間:7 月 11 日
損失統計:3,278.8477 ETH、240.42 WBTC
攻擊手續費來源:Tornado.Cash
資金轉移:
ETH 資金轉移:
黑客在洗錢的過程中通過 Uniswap 將 240.42 WBTC 兌換為 4,295.0041 ETH,洗錢的 ETH 資金共計 7,573.8518 ETH。
ETH 資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 7,561 ETH |
| Balance | 9.46 ETH |
- ApeCoin 空投閃電貸套利
黑客地址:0x6703741e913a30d6604481472b6d81f3da45e6e8(ETH 鏈)
被盜時間:3 月 17 日
損失統計:60,564 APE
攻擊手續費來源:FTX
資金轉移:
ETH 資金轉移:
ETH 資金轉移表:
| 流向 | 流向資金 |
| Balance | 459 ETH |
注:轉移資金中包括攻擊手續費剩餘資金。
- BAYC 官方 Discord 遭攻擊
黑客地址:0x1079061d37f7f3fd3295e4aad02ece4a3f20de2d(ETH 鏈)
被盜時間:6 月 4 日
損失統計:價值超過 145 個 ETH(25.6 萬美元)的 NFTs
攻擊手續費來源:從其他個人地址轉入
資金轉移:
ETH 資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 153 ETH |
- FEGToken
注:此節將 5 月 15 日攻擊的黑客稱為黑客 1,將 5 月 16 日攻擊的黑客稱為黑客 2。
黑客地址:
0x73b359d5da488eb2e97990619976f2f004e9ff7c(黑客 1,ETH/BSC 鏈)
0xf99e5f80486426e7d3e3921269ffee9c2da258e2(黑客 2,ETH/BSC 鏈)
被盜時間:5 月 15 日、5 月 16 日
損失統計:
- (黑客 1,ETH 鏈)143.9125 ETH、(黑客 1,BSC 鏈)3,280.2738 BNB、
- (黑客 2,ETH 鏈)299.9566 ETH、(黑客 2,BSC 鏈)4,346.223 BNB
攻擊手續費來源:Tornado.Cash
資金轉移:
兩次黑客攻擊的關聯性分析
根據以下鏈上痕跡分析:
- 兩個黑客攻擊手法不相同。
黑客 1 重複調用攻擊合約獲利。
黑客 2 單次調用攻擊合約大額獲利。
- 兩個黑客洗錢手法不相同。
黑客 1 將全部獲利資金轉入 Tornado.Cash。
黑客 2 將大額資金轉入 Tornado.Cash,將剩餘資金轉入 ChangeNOW。
- 兩個黑客攻擊/洗錢時間存在明顯差別。
黑客 1 攻擊時間在 5 月 15 日,洗錢時間在 5 月 20 日(BSC 鏈)和 7 月 3 日(ETH 鏈)。
黑客 2 攻擊時間在 5 月 16 日,洗錢時間在 5 月 16 日。
黑客 1 資金轉移:
資金轉移表:
| 鏈 | 流向 | 流向資金 |
| BSC | Tornado.Cash | 3,277.8 BNB |
| ETH | Tornado.Cash | 144.8 ETH |
黑客 1 BSC 鏈 Tornado.Cash 資金轉移:
在 BSC 鏈,黑客總計轉入 3,277.8 BNB 到 Tornado.Cash ,經過分析,我們得出 FEGToken 黑客 1 的 Tornado.Cash 提款符合下列特徵:
- 每次以 25/50 BNB 的數量通過 PancakeSwap/1inch 兌換為 BSC 鏈上的 ETH 代幣,後通過 AnySwap 跨鏈到 ETH 鏈。
- 轉移到 ETH 鏈上長時間不做進一步轉移。
根據上述的轉出特徵,共計發現了黑客共計 3,273 BNB 數額的提款,黑客 1 於 BSC 鏈 Tornado.Cash 轉出資金情況如下表:
| 流向 | 流向資金 |
| Tornado.Cash | 56.5 ETH |
| Balance | 476.9591 ETH |
注:BSC 鏈上的資金都已通過 AnySwap 兌換成 ETH 在 ETH 鏈。
黑客 2 資金轉移:
資金轉移表:
| 鏈 | 流向 | 流向資金 |
| BSC | Tornado.Cash | 4,200 BNB |
| BSC | ChangeNOW | 90.9 BNB |
| ETH | Tornado.Cash | 300 ETH |
- Optimism
黑客地址:0x60B28637879B5a09D21B68040020FFbf7dbA5107(Optimism 鏈)
被盜時間:6 月 5 日
損失統計:20,000,000 OP 代幣
攻擊手續費來源:Tornado.Cash
資金轉移:
OP 代幣資金轉移表:
| 流向 | 流向資金 |
| 歸還 Optimism 基金會 | 17,000,000 OP |
| Vitalik Buterin(後歸還 Optimism 基金會) | 1,000,000 OP |
| 通過 Hop Protocol 和 Synapse 跨鏈到 ETH 鏈 | 1,000,000 OP |
| Balance | 1,000,000 OP |
ETH 資金轉移:
資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 723 ETH |
| Balance | 5.8744 ETH |
注:轉移資金中包括攻擊手續費剩餘資金。
- MM.finance
黑客地址:0xb3065fe2125c413e973829108f23e872e1db9a6b(Cronos 鏈)
被盜時間:5 月 4 日
損失統計:2,000,000 美元
攻擊手續費來源:OKX
資金轉移:
ETH 資金轉移:
資金轉移表:
| 流向 | 流向資金 |
| Tornado.Cash | 743 ETH |
總結
本報告對一些損失較大、發生次數較多、影響範圍較廣及攻擊手法較新的安全事件進行了列舉,包含被盜損失、攻擊手法簡述以及影響範圍。
接著,使用 MistTrack 基礎分析工具對 11 起典型安全事件展開了反洗錢分析,通過反洗錢分析清晰闡述 “攻擊手續費來源是什麼”、“錢去了哪裡” 的問題,並創造性的提出了一種數據分析方法來分析 Tornado.Cash 和 ChipMixer 的提款。
在此過程中,我們發現洗錢流程集中在 ETH 鍊和 BTC 鏈上進行。ETH 鏈,74.6% 資金轉移到 Tornado.Cash 以躲避追踪分析;BTC 鏈,48.9% 的資金轉移到 ChipMixer 以躲避追踪分析。
BTC 鍊是特大型安全事件以及與 LAZARUS GROUP 黑客組織有關的事件洗錢的選擇,因為相比較 ETH 鏈而言,BTC 鏈更具有匿名性、更多的混幣工具選擇,並且 LAZARUS GROUP 黑客組織在 BTC 鏈上洗錢更富有經驗且更精通流程,這些有利於洗錢過程的順利進行。
完整報告下載:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
