前段时间,我们发布了一篇 Bitfinex 被黑案件细节分析的文章,引起了剧烈的讨论。文中提到了一种洗币方式——剥离链(Peel Chain)技术,借此事件写一些与链上追踪相关的文章给大家学习。
什么是 Peel Chain
剥离链(Peel Chain)——是指一种通过一系列冗长的小额交易来清洗大量加密货币的技术。这种洗币方式通常从一个“脏”地址开始,该地址可能与非法活动有关,例如地址 A 将资金转到地址 B 和 C,而转移到地址 B 的数额多数情况下是极小的,转移到地址 C 的数额占大部分,地址 C 又将资金转到 D(小额)和 E(大额),依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以 Peel Chain 的方式继续转移,要么转到交易/暗网平台,要么停留在地址,要么通过混币平台转出。
Arbitrum链上ERC-20 Token累计锁仓量突破50亿美元:金色财经报道,据Dune Analytics数据显示,以太坊Layer 2网络 Arbitrum链上ERC-20 Token累计锁仓量突破50亿美元,本文撰写时达到51.88亿美元。截至目前,Arbitrum链上总锁仓量为31.57亿美元,链上合约创建总数量为1,007,716个,交易总量达到6878万笔,链上账户创建总量为201万个,其中活跃账户数量为158.6万个。[2022/11/28 21:05:38]
案例分析
2016 年 8 月 3 日,知名加密货币交易所 Bitfinex 发公告称,黑客入侵了其系统并盗走约 119,755 枚比特币。事发当时价值约 6000 万美元,按今天的价格计算,被盗总额约为 45 亿美元。据慢雾 AML 旗下反追踪系统?MistTrack 分析,黑客最初将被盗资产分散存储在 2072 个钱包地址中,经 MistTrack 标记如下图。
Fantom链上总锁仓量跌至81.8亿美元,24小时跌幅21.63%:3月7日,据DefiLlama数据显示,当前Fantom链上总锁仓量跌至81.8亿美元,24小时跌幅21.63%。
锁仓量排名第一的项目是Multichain,跌至49.6亿美元,24小时跌幅达6.02%;Solidly和Solidex已分别跌至第五名和第六名,其中Solidly锁仓量为7.31亿美元,24小时跌幅达41.14%。Solidex锁仓量为7.13亿美元,24小时跌幅达41.52%[2022/3/7 13:42:20]
从 2017 年 1 月开始,黑客开始密集转移资产。我们对 2072 个地址进行分析后,发现黑客将大部分地址上的资金都进行了转移,而转移方式正是我们今天要说的剥离链(Peel Chain)。
以太坊链上去中心化保险协议Unslashed正式启动:以太坊链上去中心化保险协议Unslashed正式启动。该项目此前一直在运行一个私人测试版本,在此期间,该协议已为价值超过12.3亿美元的数字资产提供了保险,包括被锁定在DeFi协议和集中式加密货币交易所的资产,如Coinbase、币安、BitMex以及Synthetix、Bancor和Balancer池,且为各种风险提供了保障,包括交易所被盗、智能合约失效和稳定币脱钩等。据悉,Unslashed的目标是为个人和机构基金提供去中心化的保险服务。(Crypto Briefing)[2021/6/2 23:06:07]
以黑客地址 19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM 为例:
区块链DeFi实验室安全提醒:警惕HSC链上假冒ETS项目方的信息:在2021年5月1日虎符智能链HSC主网上线后,区块链DeFi实验室检测发现,有人假冒ETS项目方在HSC相关社群发布广告,宣称与Pudding官方合作,诱导大家购买代币。据了解,Pudding官方已经辟谣,此事为子虚乌有。并提醒广大用户,避免上当受。[2021/5/5 21:26:38]
据 MistTrack 反追踪系统显示,约 30.668 BTC 从 Bitfinex 交易平台转到黑客地址(19X...BDM),再通过两次直线转移将 BTC 转移到地址(3CA...AcW)。
再来看地址(3CA...AcW)的资金流向:
首先,地址(3CA...AcW)将 30.6675 BTC 分为小额 2.27 BTC 和大额 28.39 BTC 分别转到地址 1 和地址 2;接着,地址 1 将 2.27 BTC 分为小额 0.16 BTC 和大额 2.11 BTC 分别转到地址 3 和地址 4;地址 3 再以同样的方式将 0.16 BTC 分别转到地址 5 和地址 6,其他地址同理。
为了更直观的展示,我们截取了资金流向的一部分,让大家更理解这种洗币方法。
从上图可以看到,资金被转移到两个地址,接着两个地址分别又转到另两个地址,数额越来越小,出现的地址也越来越多,只至最后有部分资金通过 wasabi 混币转出或转到 Hydra Market 暗网市场。当然,这还只是一小部分的资金流向,但我们不难看出,为了躲避追踪,黑客非常有“耐心”。
我们再以另一个黑客地址 1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE 为例,更多地了解 Peel Chain 手法的特征。
据区块链浏览器显示,该黑客地址盗走了 271.22 BTC。我们接着以大额转移地址为目标进行追踪:
……
虽然中间省略了部分转移情况,但我们还是能清楚地看出 Peel Chain 手法的特征:
一般从一个单一的“脏”地址开始;
通常不断拆分到两个地址;
以大额和小额进行拆分;
资金停留或混币或进入交易所/暗网平台。
总结
剥离链(Peel Chain)技术常常被黑客使用,一方面是因为每次单独转移的金额很小,几乎不会引发交易平台的风控提醒,另一方面是由于这种洗币链路极度冗长和复杂,会使他们盗取的资产变得极难追踪。
对于一些复杂冗长的剥离链(Peel Chain),黑客通常使用计算机程序自动化该过程。尽管如此,我们仍可以使用脚本及追踪工具来追踪此类事件。凭借支持多币种、数量超 10 万的恶意地址库,慢雾 AML 旗下反追踪系统 MistTrack 将帮助加密货币交易平台、用户个人等追踪溯源,实时监控拉黑黑客地址并联动各大交易平台冻结资金,为资金安全更好地保驾护航。
相关链接:
https://en.bitcoin.it/wiki/Privacy
https://aml.slowmist.com/mistTrack.html
谁不想一步跨进未来呢?数字化进程使得万物皆可虚拟的时代来临了!从频频登上《Vogue》封面,被明星们穿个遍的虚拟时装品牌 Tribute Brand.
1900/1/1 0:00:00据报道,白宫最早将于下周发布一项行政命令,指示政府机构研究数字资产领域的不同方面,以创建一个全面的监管框架.
1900/1/1 0:00:00总有属于我们自己的大机遇,所以真的没有必要因为怕错过正在兴起的机会而不加思考的上车;即便错过了也不用惋惜,继续向前、坚持探索、永葆开放的心态.
1900/1/1 0:00:00不可替代代币(NFT)市场正在飙升,越来越多的人正在创造、购买、出售和交换NFT。这个新市场存在许多挑战,最大的挑战之一是NFT的估值。NFT的估值是一个很大的未知数.
1900/1/1 0:00:00接《比特币未来走向的指标框架》,笔者继续从宏观环境的角度出发,结合当前币圈关注的美联储加息话题进行分析.
1900/1/1 0:00:00在Facebook改名为Meta之后,每个人都在谈论元宇宙,但它究竟是什么?以下就为您作详细的介绍.
1900/1/1 0:00:00