VCE:慢雾：美国执法部门破获 2016 年 Bitfinex 被黑案件细节分析

作者：?慢雾科技

当地时间周二美国司法部发布公告称，它已经查获了价值36亿美元的比特币，这些比特币与2016年加密货币交易所Bitfinex的黑客事件有关。34岁的IlyaLichtenstein和其31岁的妻子HeatherMorgan在纽约被捕，两人被指控共谋和罪。

美国司法部公告称，这是司法部有史以来最大规模的金融扣押，此次调查由IRS-CI华盛顿特区办事处的网络犯罪部门、联邦调查局的芝加哥办事处和国土安全调查局纽约办事处领导，德国安斯巴赫警察局在此次调查期间提供了协助。

事件背景

根据慢雾AML掌握的情报数据分析显示，Bitfinex在2016年8月遭受网络攻击，有2072笔比特币交易在Bitfinex未授权的情况下转出，然后资金分散存储在2072个钱包地址中，统计显示Bitfinex共计损失119,754.8121BTC。事发当时价值约6000万美元，按今天的价格计算，被盗总额约为45亿美元。

慢雾：Badger DAO黑客已通过renBTC将约1125 BTC跨链转移到10 个BTC地址:12月2日消息，Badger DAO遭遇黑客攻击，用户资产在未经授权的情况下被转移。据慢雾MistTrack分析，截止目前黑客已将获利的加密货币换成 renBTC，并通过renBTC 将约 1125 BTC 跨链转移到 10 个 BTC 地址。慢雾 MistTrack 将持续监控被盗资金的转移。[2021/12/2 12:46:11]

慢雾AML曾于2月1日监测到?Bitfinex?被盗资金出现大额异动，后被证实该异动资金正是被司法部扣押了的94,643.2984BTC，约占被盗总额的79%，目前这些资金保管在美国政府的钱包地址

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

事件梳理

慢雾：Furucombo被盗资金发生异动，多次使用1inch进行兑换:据慢雾MistTrack，2月28日攻击Furucombo的黑客地址（0xb624E2...76B212）于今日发生异动。黑客通过1inch将342 GRO、69 cWBTC、1700万cUSDC兑换成282 ETH，并将147ETH从Compound转入到自己的地址，截至目前该黑客地址余额约170万美元，另一个黑客地址余额为约1200万美元。[2021/3/3 18:12:14]

慢雾AML根据美国司法部公布的statement_of_facts.pdf文件进行梳理，将此案的关键要点和细节分享如下：

1、美国执法部门通过控制Lichtenstein的云盘账号，获取到了一份写着2000多个钱包地址和对应私钥的文件。该文件中的地址应该就是上文提到的2072个盗币黑客钱包地址，然后美国司法部才有能力扣押并将比特币集中转移到

慢雾：Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日，慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；

2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；

3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；

4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；

5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；

6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；

7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；

8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；

9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；

10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；

11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

2、从2017年1月开始，被盗资金才开始转移，其通过剥离链技术，将被盗资金不断拆分、打散，然后进入了7个独立的AlphaBay?平台账号进行混币，使BTC无法被轻易追踪。从结果看，使用AlphaBay进行混币的比特币约为25000BTC。

3、混币后，大部分资金被转入到8个在交易所-1注册的账号，这些账号的邮箱都是用的同一家印度的邮箱服务提供商。除此之外，这8个账号使用过相同的登录IP，并且都是在2016年8月左右注册的。

更为致命的是，在Lichtenstein的云盘里有一份Excel表格，记录着这8个账号的各种信息，而且其中6个账号还被他标记为FROZEN。美国司法部统计发现，交易所-1里的8个账号共冻结着价值18.6万美元的资产。

4、混币后还有部分资金被转入到交易所-2和一家美国的交易所，在这两家交易所上注册的账号，有些也是使用的上文提到的那一家印度的邮箱服务提供商。这些信息也是在上文提到的Lichtenstein的云盘中的Excel表格里发现的。

通过VCE2和VCE4，Lichtenstein夫妇成功把Bitfinex被盗的BTC换成了法币，收入囊中。不过，他们在VCE4上有2个用俄罗斯邮箱注册的账号，因为频繁充值XMR而且无法说明资金来源，导致账号被平台封禁。美国司法部统计发现，上面冻结了价值约15.5万美元的资产。

5、在账号被冻结前，从交易所-1提币的资金，大部分到了另一家美国的交易所。在Bitfinex被盗前的2015年1月13日，Lichtenstein在VCE5交易所上用自己真实的身份和私人邮箱注册了账号并进行了KYC认证。在VCE5交易所上，Lichtenstein用BTC与平台上的商户购买了黄金，并快递到了自己真实的家庭住址。

6、除了前面提到的VCE1、VCE2、VCE4、VCE5这几家交易所被他们用来，Lichtenstein夫妇还注册了VCE7、VCE8、VCE9、VCE10等交易所用来。资金主要都是通过从VCE1提币来的，不过在VCE7-10这些交易所上注册的账号，都是用Lichtenstein夫妇的真实身份和他的公司来做KYC认证的。

美国司法部统计发现，从2017年3月到2021年10月，Lichtenstein夫妇在VCE7上的3个账号共计收到了约290万美元等值的比特币资金。在这些交易所上，Lichtenstein进一步通过买卖altcoins、NFT等方式来，并通过比特币ATM机器进行变现。

链路

事件疑点

从2016年8月Bitfinex被盗，到现在过去了约6年的时间，在这期间美国执法部门是如何进行的深入调查，我们不得而知。通过公布的statement_of_facts.pdf文件内容我们可以发现，Lichtenstein的云盘中存储着大量的账号和细节，相当于一本完美的“账本”，给执法部门认定犯罪事实提供了有力的支撑。

但是回过头全局来看，执法部门是怎么锁定Lichtenstein是嫌疑人的呢？

还有个细节是，美国司法部并没有控诉Lichtenstein夫妇涉嫌非法攻击Bitfinex并盗取资金。

最后一个疑问是，从2016年8月Bitfinex被盗，到2017年1月被盗资金开始转移，这其中的5个月时间发生了什么？真正攻击Bitfinex的盗币黑客又是谁？

标签：VCEBTCICHCHTVCEGG币btc股票交易所ONEICHIHappy PEPE Yacht Club

DAI热门资讯