TRON 上沒有混幣器,黑客又是如何洗幣?

作者: Lisa@慢霧 AML 團隊

今天繼續我們的鏈上追踪科普系列。

大家都知道,在 BTC 上,可以通過 Wasabi 錢包等進行混幣,在 Ethereum 上,可以通過 Tornado.Cash 等進行混幣,而在 TRON 上,似乎沒有可以進行混幣的工具。那黑客又是通過怎樣的方式進行洗幣呢?今天以一個真實受害者為案例,來看看這名黑客在 TRON 上是怎樣洗幣的。

基礎知識

波場 TRON 是一個基於區塊鏈的去中心化平台,旨在通過分佈式存儲技術構建一個免費的全球數字內容娛樂系統,並允許輕鬆且經濟高效地共享數字內容。由一家名為 Tron Foundation 的新加坡非營利組織於 2017 年 9 月創立,它由首席執行官孫宇晨 (Justin Sun) 領導。TRX 是 TRON 上賬戶的基本單位,也是所有基於 TRC 標準代幣的天然橋樑代幣,貫穿於整個波場生態體系中。2019 年,泰達公司宣佈在波場上發行了基於 TRC-20 協議的 USDT,TRC20-USDT 誕生。

案例分析

該名找到我們的受害者是因為下載了假錢包 App 導入私鑰而被盜,損失 5,326,747 USDT,超 530 萬美元。

黑客地址:

TDs3USWcG5ua4jkGNMGgNZrXrPgw8UMMCt

借助慢霧 MistTrack 反洗錢追踪系統,我們先對地址進行一個大概的特徵分析。

從展示結果來看,黑客的交易行為除了 transfer 就是 swap,看來黑客對兌換平台獨有青睞。同時,基於對黑客交易時間的分析也可以讓我們對黑客活躍時間段進行一些推斷。

Part I

現在我們對資金進行深入分析:據慢霧 MistTrack 反洗錢追踪系統分析,黑客將盜來的 USDT 轉到了六個地址,並使用 JustSwap(現已改名為 SunSwap)進行兌換。

其中,黑客地址直接將 73 USDT 換成了 684.76 TRX。

先來看六個地址之一的 TGF…TA7。可以發現,該地址將共 2,663,373.5 USDT 通過 JustSwap 兌換為 TRX 後,分六次轉到了同一個地址 TUe...F7g。

其他五個地址同理,也是以同樣的方式,兌換後轉到了同一地址,如下圖:

Part II

繼續追踪上圖新的六個地址(最左側和最右側)。

先看六個地址之一的 TAn…Fe7:黑客只對 75 TRX 進行轉移,轉到地址 TJa…5Zq 後,最終轉移到地址 TQ8…Cv7,目前仍留存 57.4 TRX 未異動。

而剩下的 5,064,327.58 TRX 則被轉移到 JustSwap,兌換為 526,850.6 USDT,並轉出到地址 TJa…5Zq。

接著,地址 TJa…5Zq 將 USDT 轉到了與上面 TRX 相同的地址 TQ8…Cv7。而地址 TQ8…Cv7 又將 USDT 轉到了兩個新地址(終於不是 JustSwap 了)。

對這兩個新地址,我們淺淺追踪了一層,發現到了 “大地址”(資金量大+交易記錄多),篩選後發現轉到了 Binance/Gateio/MEXC/ZB/Huobi/OKX 多個交易所地址,根據經驗和行為分析,很像是專業洗錢團伙。

Part III

在分析了 PartII 的其中五個地址後,以為黑客就以上述相同的手法洗幣了,結果最後一個地址 TUe…F7g,黑客小小的變換了下方式。

此時,黑客並沒有像之前將 TRX 分多次兌換為 USDT 且轉到同一地址,而是分多次兌換為 USDT 後轉到了不同的六個地址。

但換湯不換藥,拿接收地址之一的 TRo…2EN 舉例:該地址將 USDT 又兌換為 TRX,兌換了兩次都轉到了同一個地址 TXQ…oZm,是不是和上面的操作有點類似?

接著地址 TXQ…oZm 又把 TRX 換成 USDT 轉到 TEC…41q(是的,又是 JustSwap 兌換),最後將 USDT 轉到了 “大地址”。其他地址同理。

到目前,黑客將盜來的 USDT 通過不斷地來回兌換,以躲避追踪。儘管黑客絞盡腦汁,但我們仍能通過涉及到的交易所地址對黑客賬戶進行一些溯源,這裡就不再贅述。

總結

本篇洗幣手法科普主要說明了黑客在 TRON 上的其中一種洗幣手法,也是比較常見的一種手法,即通過 JustSwap(即現在的 SunSwap)不斷地將 USDT 和 TRX 來回兌換以混淆追踪,但雁過留痕,總是有跡可循的。

而想要快速整合數據並可視化展示結果,必然得借助工具。MistTrack 積累了 2 億多個地址標籤,能夠識別全球主流交易平台的各類錢包地址,包含上千個地址實體、十萬多個威脅情報數據和超九千萬個惡意地址,為加密貨幣交易平台、用戶個人等分析地址行為並追踪溯源提供了強有力的技術支撐,在反洗錢分析評估工作中起到至關重要的作用。

MistTrack (https://misttrack.io/) 近日已上線,歡迎免費註冊使用。

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。