还原资产转移全过程：DragonEX 交易所被盗 602 万美元

北京时间 03 月 24 日凌晨，DragonEX 交易所发出公告称其平台数字资产被盗，并呼吁各方共同阻击『黑客』。从公告中可获悉 DragonEX 交易所上 BTC、ETH、EOS 等总共 20 余种主流虚拟货币资产均被盗取，虽交易所官方未公布具体数额，但初步估计下来，此次交易所被盗，涉及币种之多，受损资产总额之大， 在整个区块链发展过程中实属少见。

PeckShield 安全团队接收到 DragonEX 交易所预警之后，立马着手分析『黑客』攻击全过程，并对链上资产转移全路径进行还原。经 PeckShield 数字资产护航系统初步统计发现，DragonEx 交易所共损失了价值 6,028,283 美元的数字资产，且已经有价值 929,162 美元的数字资产流入了交易所，目前尚有价值5,099,121 美元的数字资产掌握在『黑客』手里。

PeckShield 安全人员初步分析认为：『黑客』大概率是通过窃取交易所钱包私钥或非法获得 API 服务器访问，进而实施数字资产批量转移。具体『黑客』实施的盗币和洗钱行为可分为两个阶段：

1. 盗币阶段：发生在 03 月 24 日 凌晨 1 点至早上 8 点，『黑客』将交易所所属 BTC、ETH、EOS 等20余个币种资产转移到其个人账号上，完成资产转移窃取；

2. 洗币阶段：开始于 03 月 26 日至今，截至目前，『黑客』已将价值 929,162 美元的数字资产转入了各个不同交易所，很可能已被抛售，剩余的 5,099,121 大部分资金还在攻击者的关联账号当中，存在进一步流入交易所的可能，需要各方联动共同实施资金封堵。

盗币时间线回顾

下表为 PeckShield 安全人员通过 DragonEX 公布的『黑客』地址，初步还原了其中 BTC、ETH、EOS、TRX、USDT 等主流币种的链上转账记录行为回放交易所被盗币的过程：

北京时间	操作	受害方	攻击方	明细
2019-03-24 01:50:02	EOS 修改私钥	gm2tqnjygyge
2019-03-24 01:58:06	TRX 转账	TPTwvsifK6E...	TJeMF…DGFB	共 1,453,956 TRX
2019-03-24 01:58:40	EOS 转账	dragonexeos1	worldfoxprin	共 144,903.50 EOS
2019-03-24 02:00:16- 07:22:13	ETH 转账	多个 ETH 地址	0xa7f72b…ebb2	共 1524 笔转账， 合计 2738.12 ETH
2019-03-24 02:00:49	EOS 修改私钥	gm2tqnjygyge
2019-03-24 02:09:03	EOS 转账	gm2tqnjygyge	worldfoxprin	共 60488.8931 EOS
2019-03-24 02:33:29	BTC 转账	18 个 BTC 地址	3BorU…Pj45C	共 135.01 BTC
2019-03-24 02:42:02	LTC 转账	多个 LTC 地址	MS2hm59…	共 4670 LTC
2019-03-24 02:44:04	ETH 转账	0x0b07889...	0xa7f72b…ebb2	共 1901.4  ETH
2019-03-24 02:42:54	USDT 转账	1QBaD…	6 个 USDT 地址	共 1,464,319 USDT

损失资产明细

币种	数量	价值（美元）	最终流向
USDT	330,031	330,031	CoinBene 交易所 （2 个地址）
USDT	245,429	245,429	KuCoin 交易所（1 个地址）
USDT	135,282	135,282	BitForex 交易所 （2 个地址）
USDT	208,127	208,127	1DUb 开头的交易所地址
USDT	140,666	140,666	1J3t 开头的地址
USDT	126,994	126,994	135g 开头的地址
USDT	277,790	277,790	分散在多个地址（追踪中）
EOS	426,310	1,543,242	whatagoodeos/worldfoxprin/gm2tqnjygyge
ABBC	6,274,251	1,254,850	（追踪中）
BTC	135.01	529,740	3BorUkW 开头的地址
ETH	2738.12	365,742	部分已经进入 Binance，ZB 交易所
LTC	4,760	279,888	MS2hm59 开头的地址
QTUM	74,128	179,389	（追踪中）
NEO	9,907	87,181	（追踪中）
XRP	247,000	74,100	（追踪中）
TRX	1,453,956	32,696	Binance 交易所
MEETONE	15,269,673	28,432	whatagoodeos
BCHABC	146.44	22,916	（追踪中）
ICX	72,684	21,805	（追踪中）
ETC	3,194	14,821	（追踪中）
BTM	104,150	11,456	（追踪中）
XAS	22,516	2,769	（追踪中）
XEM	64,121	3206	（追踪中）
总计		6,028,283

各大主链资产被盗细节分析

下面以 USDT 和 TRON 主网为示例，分析『黑客』盗币全过程：

USDT 主链

下图根据交易所公布的数个 USDT 『黑客』地址，还原被盗过程：

1. 2019-03-24 清晨 2:42:54，DragonEx 名为 1QBaDdhCTC2k9WWFhCXCJvYHpVSqLSRxaJ 的地址向以下六个地址转账大量 USDT：

   1. 1P4cdD9kTFGV6wmFxbeoZXosRNUrMrMbmN 273,597 枚 USDT；

   2. 1JBoGBv7GnqN6ncEi9aSU71gobcMG9R1Ca 222,738 枚 USDT；

   3. 114F7vWREusZTRGcEZGoTAuhWvq8T5tzxR 238,652 枚 USDT；

   4. 1HapWDybdWW1H61saGokQ88xVaHvfukgu2 240,971 枚 USDT；

   5. 17gqLwmBxdmKEP8vaBEn2ghHvj4vqCiR6q 240,971 枚 USDT；

   6. 1B6t6RnVMpTQKhbXsr8hNB3DiyXSSkomkU 247,390.31777 枚 USDT；

2. 上述 6 个地址在接收到 USDT 之后，经过多层地地转换，逐步往交易所转移资产。目前，经过 PeckShield 研究人员初步定位当前的 USDT 资产分布如下：

   

   1. 其中 330,031 枚 USDT 经过多个地址转换，最终通过 1GirA64XdJjH6HHzgH7Tj5WoBmyH5Z3wjn 及1CdbfukQ1JsJK5csqYGonP1mDp3hVyePc3 流入名为 1HCviLYNqHAyeZxGTj9Mtgvj1NJgQuSo91的 CoinBene  交易所地址；

   2. 245,429 枚 USDT 也经过多个地址转换，最终通过 1AEJpcgLUrMyqz3iPAF3ETozwV3PaZkjGo 流入名为17ScKNXo4cL8DyfWfcCWu1uJySQuJm7iKC 的 KuCoin 交易所地址；

   3. 208,127 枚 USDT 流入一个未知的交易所地址 1DUb2YYbQA1jjaNYzVXLZ7ZioEhLXtbUru；

   4. 140,666 枚 USDT 停留在 1J3tVZrmQFiH2R8fCsGab7AfWVKh6wHTQ6；

   5. 135,282 枚 USDT 也经过多个地址转换，最终通过 1CNwEPguYVUhziMEiCe1PKKSHv2Ur5B1KC 及 1CNuTqmJcwfyWKdtuqhitUL4pewWcPJuzf 流入名为 12vCxak5xc1t6T275xbm6AJ4xsZCxkTSc5 的 BitForex 交易所地址；

   6. 126,994 枚 USDT 也经过多个地址转换，最终流向 135gVHBkLUidwpd6va9eZyECGVLCek2z4y 地址；

   7. 剩余 277,790 枚 USDT 分散在多个不同的账号中。

TRON 主链

下图根据交易所公布的 TRON 『黑客』地址，还原被盗过程：

细节过程如下：

1. 2019-03-24 DragonEX 名为 TPTwvsifK6EiQ1mm6b4eEQAcammL5215g6 的地址向 TJeMF6CpEDeG94UAF7d4dzjXkgrwwtDGFB 地址转账 1,453,956TRX；

2. 2019-03-24 — 2019-03-26 之间 TjeM…DGFB 地址没有任何动作；

3. 2019-03-26 早上 9 点 — 10 点之间，地址 TJeM...DGFB 前后向 6  个新地址分散 03-24 收到的  1,453,956TRX；同时，这 6 个地址在接收到转账之后立即向 TR8T47ouBgr7V2ssDjDaz9PJ7JaPH3kwrR 地址转移接收到的所有 TRX， 经 PeckShield 研究人员分析发现， TR8T...kwrR 地址为币安交易所收款地址；

4. 至此，1,453,956TRX 全部转入币安交易所。

小结

本次 DragonEX 交易所被盗安全事件中，『黑客』在短时间之内将一个交易所内几乎所有主流数字货币全部转移，之后再通过其它数字货币交易所混淆资金输入，将资金顺利洗出。

不过，目前大部分被盗资产还控制在『黑客』手中，包括交易所在内的社区各方可根据黑客账户资金实时异动预警，协助安全公司进行被盗资产锁定和封堵，尽可能帮助受害用户减少数字资产损失。

总体而言，交易所黑客攻击事件事关众多用户的数字资产安全，PeckShield 安全人员呼吁各大交易所需提升平台的安全和风控能力，必要时可寻找专业第三方安全团队协助支持。

PeckShield（派盾科技）是面向全球顶尖的区块链数据与安全服务提供商。商业与媒体合作（包括智能合约审计需求）， 请通过 Telegram、Twitter 或邮件 （[email protected]）与我们联系。