震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?

震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第1张图片

作者 | PeckShield

责编 | 乔治

出品 | 区块链大本营(blockchain_camp)



2019年1月,黑客攻击了新西兰的虚拟货币交易所 Cryptopia,盗取了以 ETH 为主的数字资产(当时价值1,600万美元左右)之后销声匿迹。


近日,随着币价的攀升,该黑客在沉寂了数月后,开始密集的洗钱行动。据 PeckShield 数字资产护航系统(AML)数据显示,近两天来,该黑客已经将4,787个 ETH 转入了火币交易所,而且仍有26,003个 ETH 等待被洗时机。


知名安全公司 PeckShield 研究人员指出,其在梳理黑客洗钱路径时发现:


  • 黑客在攻击成功后,一般会将资产分散到多个地址或直接转移到新地址后沉寂一段时间以避开风头;

  • 在洗钱过程中,黑客会先转移出少部分资产进行尝试,以寻找最佳洗钱方式;

  • 在少部分资产尝试清洗成功后,才会处理剩余资产,否则会继续沉寂等待时机。


从本次洗钱路径看,黑客是有通过去中心化交易所 EtherDelta,以 BAT、ELF 等代币配对交易,进行伪装买卖,逃离追踪的想法。



不过,纯链上交易信息清晰可查,黑客虽魔高一尺,但白帽安全人员布下了天罗地网,能层层剖析,抽丝剥茧清晰还原黑客洗钱的全过程


一图概览黑客洗钱全过程:


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第2张图片

黑客盗取的 ETH 完整流向图


从上图中可以看到,黑客先将部分数字资产转移到一个地址,再伪装成买家和卖家,在去中心化交易所 EtherDelta 中买卖交易,试图逃避追踪,之后将资产再次汇聚到一起,然后进入火币交易所。进一步的细节如下:



第一步:资产转移


在交易所等巨额资产出现安全问题后往往引来无数媒体关注,所有人都会紧盯资产流向,而此时黑客通常会沉寂数月乃至一年。在认为避开风头之后,抓住一个最佳时机,开始销赃洗钱。


此次黑客估计是被市场回暖唤醒,先将5,000个 ETH 以每笔1,000个的方式转入一个新地址,并以此为起点,开始一轮洗钱操作。如果仔细地看这五笔交易,会发现它们共间隔16小时,而且是在每转出一笔后,再进入后续的伪装成买家卖家操作。可见黑客格外的小心翼翼,先探探头,试试水再说。


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第3张图片

黑客将部分资产转移到一个新地址



第二步:伪装买卖


黑客为了逃避资产追踪,一般会将大额资产,以小额多笔的形式分散到大量的地址中,再在各个地址上进行频繁的分散汇聚。而此次黑客采用了一种新方式,通过伪装成去中心化交易所的买家和卖家,试图以正常的挂单配对交易来逃避追踪。


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第4张图片

黑客伪装成买家


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第5张图片

黑客控制的地址买卖


黑客将每次收到的1,000 ETH,再分散成以约500个 ETH 一笔进入去中心化交易所,开始买卖。从以上两图中发现,黑客以普通用户的方式,不是仅用一两笔,而是通过大量多笔的交易,完成从买家到卖家的资产转移


伪装买家卖家,买卖 BAT、ELF 代币


下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手,图中是黑客成交的多笔 ELF 和BAT 代币的订单。 


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第6张图片

震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第7张图片

黑客伪装成买家交易 ELF、BAT 代币


具体来看买家在去中心化交易所 EtherDelta 合约上的一条交易(trade)记录

https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第8张图片

买家在 EtherDelta 上的交易记录


在上图中可以看到买家与卖家的配对交易,紧接着卖家做了提现(withdraw)操作,对应着链上的交易记录截图如下: 

https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第9张图片

卖家在 EtherDelta 上的提现记录



第三步:再次汇聚,进入交易所


通过去中心化交易所的倒手交易后,黑客已认为能够避免资产被追踪,又将获得的 ETH 汇总到一个地址,并分批次进入火币交易所。 


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第10张图片

黑客资产汇总进入火币交易所


至此,黑客最初的5,000枚 ETH,分批汇聚再进入去中心化交易所,经过倒手买卖,再次汇聚进入火币,看似天衣无缝的操作,实则在链上留下了诸多痕迹。



白帽黑客:一切链上行为皆可循


截至发文时,黑客共计将4,787个 ETH 转入了火币交易所,PeckShield 正协助火币交易所对涉及赃款实施封堵。


目前尚有26,003个 ETH 控制在黑客手中,存在进一步洗钱的可能。PeckShield 正持续追踪黑客下一步的洗钱行踪。


今年1月份 Cryptopia 交易所遭黑客攻击损失共计30,790个 ETH。时隔4个月,当时的 ETH 行情价格也已经翻番了,黑客觉得时机差不多成熟了,开始活跃出来洗钱了。


整体来看,黑客此次行动还是很小心谨慎的,通过分散转移账号、伪装买卖等多种手段来逃离追踪,但区块链世界,一切链上行为都有迹可循,安全公司更道高一丈


附:黑客主要的洗钱地址:


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第11张图片


关于作者:

PeckShield 是面向全球顶尖的区块链数据与安全服务提供商,其数字资产护航系统(AML)基于各大公链生态数据的全面挖掘和剖析,积累了海量高风险黑名单库,能够从庞大的链上数据库中精准提炼出黑客的行踪,并联合全球各大交易所、社区治理单位等合作伙伴,对黑客洗钱行踪展开全链、全时段、反伪装等步步追踪和实时封堵。


 640?wx_fmt=gif


重磅!V神来北京啦!


6月29-30日,2019第二届以太坊技术及应用大会将在北京重磅开启,届时V神将携以太坊核心团队与国内外区块链大咖带来前所未有的以太坊开发干货包括


  • 以太坊2.0进展及未来动向

  • 信标链、链下(Layer2)、Casper、Plasma新动态及核心原理

  • 安全、零知识证明、De-Fi、扩容、PoS算法等热门话题

  • 合约开发、Dapp开发、区块链游戏开发与设计、数据存储等技术实践

  • 开发工具与技术选型

  • 国内区块链的发展与以太坊的新机遇


由于干货过于密集,小伙伴们要做好烧脑的心理准备哦!还等什么?扫描下面二维码,即享6折优惠,只需599元(仅限100张)!名额有限,先到先得!


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第12张图片


另外,大会福利社现已全面开放啦扫码入群,即可抢先获得大会一手信息、优惠福利!相关疑问也可入群交流咨询,扫码入群有福利哟!务必备注「公司+职位+姓名」


震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?_第13张图片


推荐阅读:

  • “2019以太坊技术及应用大会”首批嘉宾名单曝光! 除了面基V神, 还有这些不容错过! (仅剩少量折扣票)

  • 百花村区块链山的选民们, 超有趣!

  • 中国开发者地位渐高? V神二度来京, 竟是为了……

  • 为什么你写了一万小时的代码,却没能成为架构师?| 程序员有话说

  • Java 24 岁!Google 加持的 Kotlin 真能取代它?

  • 危机加剧:ARM釜底抽“芯”,华为腹背受敌

  • ARM到底是一家什么样的公司?

  • 别怀疑,孩子在家里也能学编程!


老铁在看了吗?

你可能感兴趣的:(震惊! 原来黑客洗钱的套路竟如此简单! 被盗的1600万美元就这样没了?)