ETH:慢雾：复盘 Liquid 交易平台被盗 9000 多万美元事件

北京时间2021年8月19日10:05，日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看，Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种，币种之多，数额之高，令人惊叹。

慢雾AML团队利用旗下MistTrack反追踪系统分析统计，Liquid共计损失约9,135万美元，包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。

慢雾AML团队全面追踪了各币种的资金流向情况，也还原了攻击者的洗币手法，接下来分几个部分向大家介绍。

BTC部分

攻击者相关地址

慢雾AML团队对被盗的BTC进行全盘追踪后发现，攻击者主要使用了“二分法”的洗币手法。所谓“二分法”，是指地址A将资金转到地址B和C，而转移到地址B的数额多数情况下是极小的，转移到地址C的数额占大部分，地址C又将资金转到D和E，依次类推，直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额，要么以二分法的方式继续转移，要么转到交易平台，要么停留在地址，要么通过Wasabi等混币平台混币后转出。

慢雾：6月24日至28日Web3生态因安全问题损失近1.5亿美元:7月3日消息，慢雾发推称，自6月24日至6月28日，Web3生态因安全问题遭遇攻击损失149,658,500美元，包括Shido、Ichioka Ventures、Blockchain for dog nose wrinkles、Chibi Finance、Biswap、Themis等。[2023/7/3 22:14:33]

以攻击者地址为例：

据MistTrack反追踪系统显示，共107.5BTC从Liquid交易平台转出到攻击者地址，再以8~21不等的BTC转移到下表7个地址。

为了更直观的展示，我们只截取了地址资金流向的一部分，让大家更理解“二分法”洗币。

以图中红框的小额转入地址为例继续追踪，结果如下：

可以看到，攻击者对该地址继续使用了二分法，0.0027BTC停留在地址，而0.0143BTC转移到Kraken交易平台。

慢雾：Transit Swap黑客攻击交易被抢跑，套利机器人获利超100万美元:10月1日消息，据慢雾安全团队情报，Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑，区块高度为21816885，获利107万BUSD。套利机器人相关地址列表如下：0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前，在各方的共同努力下，黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址，建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系，共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

攻击者对其他BTC地址也使用了类似的方法，这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记，帮助客户做出有效的事前防范，规避风险。

慢雾：PREMINT攻击者共窃取约300枚NFT，总计获利约280枚ETH:7月18日消息，慢雾监测数据显示，攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT，卖出后总计获利约280枚ETH。此前报道，黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击，从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

ETH与ERC20代币部分

攻击者相关地址

经过慢雾AML团队对上图几个地址的深度分析，总结了攻击者对ETH/ERC20代币的几个处理方式。

1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。

2.部分ERC20代币直接转到交易平台，部分ERC20代币直接转到地址1并停留。

慢雾：iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息，慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析，首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

3.攻击者将地址1上的ETH不等额分散到多个地址，其中16,660ETH通过Tornado.Cash转出。

地址2的538.27ETH仍握在攻击者手里，没有异动。

4.攻击者分三次将部分资金从Tornado.cash转出，分别将5,600ETH转入6个地址。

其中5,430ETH转到不同的3个地址。

另外170ETH转到不同的3个交易平台。

攻击者接着将3个地址的ETH换成renBTC，以跨链的方式跨到BTC链，再通过前文提及的类似的“二分法”将跨链后的BTC转移。

以地址为例：

以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果，该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。

TRX/TRC20部分

攻击者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

资金流向分析

据MistTrack反追踪系统分析显示，攻击者地址上的TRC20兑换为TRX。再将所有的TRX分别转移到Huobi、Binance交易平台。

XRP部分

攻击者相关地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

资金流向分析

攻击者将11,508,495XRP转出到3个地址。

接着，攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。

总结

本次Liquid交易平台被盗安全事件中，攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移，之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前，大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台，11,508,516枚XRP转入交易平台，攻击者以太坊地址2存有538.27ETH，以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币，慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。

攻击事件事关用户的数字资产安全，随着被盗数额越来越大，资产流动越来越频繁，加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统，在收到相关“脏币”时会收到提醒，可以更好地识别高风险账户，避免平台陷入涉及的境况，拥抱监管与合规的大势。

来源链接：mp.weixin.qq.com

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

慢雾

慢雾

慢雾科技是一家专注区块链生态安全的国家高新技术企业，通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括：安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品，已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多

标签：ETHBTCRC20C20ethylpentabtc期货交易平台结算nals币brc20brc20有价值吗

以太坊交易热门资讯