随着DeFi、NFT、跨链桥等项目的火热发展,黑客攻击事件也层出不穷。有趣的是,据慢雾统计,80%的黑客在洗币过程中都使用了混币平台Tornado.Cash,本文以KuCoin被盗事件为例,试图从追踪分析过程中找到一丝揭开Tornado.Cash匿名性的可能。
事件概述
据KuCoin官网公告,北京时间2020年9月26日凌晨,KuCoin交易所的热钱包地址出现大量异常的代币提现,涉及?BTC、ETH?等主流币以及LINK、OCEN等多种代币,牵动了无数用户的心。
图?1
据慢雾AML团队统计,本次事件被盗资金超2.7亿美元,具体如下图:
数据:zkSync Era TVL跌至5亿美元下方:7月24日消息,据L2BEAT数据显示,zkSync Era TVL已跌至5亿美元下方,现为4.73亿美元,过去7日跌幅达18.13%;Starknet TVL涨至1.26亿美元,过去7日涨幅为31.96%。[2023/7/24 15:54:10]
图2
值得注意的是,我们全面追踪后发现黑客在这次攻击事件中大量使用了Tornado.Cash来清洗ETH。在这篇文章中,我们将着重说明黑客如何将大量ETH转入到Tornado.Cash,并对Tornado.Cash的转出进行分析,以分解出被盗资金可能流向的地址。
Tornado.Cash?是什么?
Tornado.Cash是一种完全去中心化的非托管协议,通过打破源地址和目标地址之间的链上链接来提高交易隐私。为了保护隐私,Tornado.Cash使用一个智能合约,接受来自一个地址的ETH和其他代币存款,并允许他们提款到不同的地址,即以隐藏发送地址的方式将ETH和其他代币发送到任何地址。这些智能合约充当混合所有存入资产的池,当你将资金放入池中时,就会生成私人凭据,证明你已执行了存款操作。而后,此私人凭据作为你提款时的私钥,合约将ETH或其他代币转移给指定的接收地址,同一用户可以使用不同的提款地址。
当前DeFi协议总锁仓量近548.4亿美元:金色财经报道,defillama链上数据显示,当前DeFi项目总锁仓量(TVL)为548.4亿美元,24小时内涨幅为2.16%。锁仓量资产排名前五:MakerDAO(82.1亿美元),Lido(72.9亿美元),Curve(58.8亿美元),Aave(54.3亿美元),Uniswap V3(42.5亿美元)。[2022/10/28 11:50:23]
如何转入?
攻击得手后,黑客开始大范围地将资金分批转移到各大交易所,但还没来得及变现就被多家交易所冻结了。在经历了白忙一场的后,黑客将目光转向了DeFi。
据慢雾AML旗下MistTrack反追踪系统显示,黑客(0xeb31...c23)先将ERC20代币分散到不同的地址,接着使用Uniswap、1inch和Kyber将多数ERC20代币换成了ETH。
图3
7.36万枚比特币期权将于7月29日到期交割,最大痛点价格为2.35万美元:7月21日消息,Coinglass数据显示,7月29日将有7.36万枚 BTC 和 67.5 万枚 ETH 的期权发生交割。其中,BTC 未平仓看空期权 3.35 万枚 BTC,未平仓看多期权 4 万枚 BTC,最大痛点价格为 2.35 万美元;ETH 未平仓看空期权 26.82 万枚 ETH,未平仓看多期权 40.68 万枚 ETH,最大痛点价格为 1350 美元。
注:期权最大痛点假设市场上所有持仓是由大户沽出的, 对大户最有利的结算价为\"市场内在总值\"最低的价位。广义来说就是市场会向大多数人比较痛苦的方向发展,这样才可以使主力的利益最大化。[2022/7/21 2:28:37]
大部分ERC20代币兑换成ETH后,被整合到了以下主要地址:
表1
在对ETH和ERC20代币进行完整追踪后,我们梳理出了资金是如何在黑客地址间移动,并分解出了资金是以怎样的方式进入Tornado.Cash。
派盾:两笔共4277枚ETH转入Celsius钱包地址:6月14日消息,据PeckShield监测,1小时前有两笔共4277枚ETH(约合500万美元)转入Celsius钱包地址。[2022/6/14 4:26:31]
图4
黑客将资金按时间先后顺序转入Tornado.Cash的详情如下:
表2?
转到了哪?
猜想
1.?巨额的ETH进入?Tornado.Cash,会集中表现出一些可追踪的特征。
加密交易所Digitra.com获Profitus基金500万美元投资:6月1日消息,Itaú Unibanco控制合伙人旗下基金Profitus已经向加密货币交易所Digitra.com投资500万美元。
这笔资金将用于加快Digitra.com的运营。该平台将于2022年7月推出,其总部位于巴西,目标是在运营的第一年在全球拥有100万客户。该平台现已支持用户预先登记。
除了交易所,这笔资金还将用于其他三个创新项目的扩展:nTokens,此为SMU Investimentos在二级股权平台的合作伙伴,已获巴西证券交易委员会CVM批准;Real稳定币的开发;以及Atris的进一步发展,这是一家技术公司,专门创建各种资产的交易市场,如能源、碳信用等。(The Paypers)[2022/6/1 3:56:32]
2.以黑客急于变现的行为分析,猜想黑客将资金存入Tornado.Cash后会随即提款,或下次存入时提款。
3.分析攻击者使用洗币平台的方式和行为,可以获得资金的转移地址。
可能的链上行为
1.资金从?Tornado.Cash转出的时间范围与黑客将资金转入Tornado.Cash的时间范围近似。
2.一定时间段内,从Tornado.Cash?转出的资金会持续转出到相同地址。
验证
以黑客地址(0x34a...c6b)为例:
如表2结果所述,黑客在?2020-10-2316:06:28~2020-10-2610:32:24?(UTC)间,以每次100ETH,存115次的方式将?11,500?ETH存入?Tornado.Cash。为了方便说明,我们只截取了该地址在2020-10-243:00:07~6:28:33(UTC)间的存款记录,如下图:
图5
接着,我们查看Tornado.Cash:100ETH合约的交易记录,找到地址(0x34a...c6b)在同一时间段的存款记录,下图红框地址(0x82e...398)在此时间段内大量提款的异常行为引起了我们的注意。
图6
查看该地址(0x82e...398)在此时间段的交易哈希,发现该地址并没有将ETH提款给自己,而是作为一个合约调用者,将ETH都提款到了地址?(0xa4a...22f)。
图7
图8
同样的方式,得出黑客地址(0x34a...c6b)经由Tornado.Cash提款分散到了其他地址,具体如下:
表3
经过核对,发现从Tornado.Cash提款到表3中六个地址的数额竟与黑客存款数额11,500ETH一致,这似乎验证了我们的猜想。对其他地址的分析方法同理。
接着,我们继续对这六个地址进行追踪分析。据MistTrack反追踪系统展示,黑客将部分资金以50~53ETH不等转向了ChangeNOW、CoinSwitch、Binance等交易平台,另一部分资金进入第二层后也被黑客转入了上述交易平台,试图变现。
图9
总结
本文主要说明了黑客是如何试图使用Tornado.Cash来清洗盗窃的ETH,分析结果不由得让我们思考:Tornado.Cash真的完全匿名吗?一方面,既然能分析出部分提款地址,说明不存在绝对的匿名;另一方面,匿名性是具备的,或许只是Tornado.Cash不适合在短时间内混合如此大规模的资金而已。
截止目前,KuCoin官方表示已联合交易所、项目方、执法和安全机构追回约2.4亿美元资金。从各种攻击事件看来,DeFi或许已成为黑客转移资金的通道,而今监管已至,合规化的脚步愈发逼近,有合规需求的项目方,可以考虑接入慢雾AML系统(aml.slowmist.com),即使黑客使用了DeFi,也无处遁形。
By:Lisa@慢雾AML团队
标签:ETHTORNTORASHMexican Peso Tethertorn币会归零吗TORPEDOLilith Cash
在全球创投届,YCombinator的大名可谓无人不知。YCombinator平均每半年会接到超过10000家公司的孵化申请,仅有1.5%-2%接受率.
1900/1/1 0:00:00无论是通过创造、收集还是兜售,拥抱NFT的大牌企业和参与者似乎都在日益增加,并且涉及的范围和创意想法越来越广阔.
1900/1/1 0:00:00从17年年底发布白皮书并进行ICO,到2020年10月15日晚主网上线,Filecoin?让所有人等了三年左右的时间.
1900/1/1 0:00:002020年,我们见证了去中心化金融、流动性挖矿和治理代币的兴起。2021年,情况几乎没有变化,加密货币的价格不断上涨,越来越多的人采用加密货币,而这种流行的趋势继续影响着传统经济.
1900/1/1 0:00:00在社交巨头们的眼中,区块链世界里有他们看重的元素,这股潮流和加密支付以及NFT密切相关。时隔两年,继“天秤座计划”Libra难产后,Facebook又启动了新的区块链计划,这一次的主题是元宇宙.
1900/1/1 0:00:00自2017年比特币首次迅速崛起以来,市场一直试图将加密货币带入华尔街。当然,这些努力大部分都是徒劳的——这是由于在经济低迷时期需求减弱、政府实体的反对或围绕加密货币作为资产类别的未来的普遍不确定.
1900/1/1 0:00:00