一圖概覽駭客洗錢全過程:
從圖1中能看到,駭客先將部分數字資產轉移到一個地址,再偽裝成買家和賣家,在去中心化交易所 EtherDelta 中買賣交易,試圖逃避追蹤,之後將資產再次匯聚到一起進入火幣交易所。進一步的細節如下:
第一步:資產轉移
在交易所等鉅額資產出現安全問題後往往引來無數媒體關注,所有人都會緊盯資產流向,而此時駭客通常會沉寂數月乃至一年。在認為避開風頭之後,抓住一個最佳時機,開始銷贓洗錢。
此次駭客估計是被市場回暖喚醒,先將5,000個 ETH 以每筆1,000個的方式轉入一個新地址,並以此為起點,開始一輪洗錢操作。如果仔細地看這五筆交易,會發現它們共間隔16小時,而且是在每轉出一筆後,進入後續的偽裝成買家賣家操作。可見駭客格外的小心翼翼,先探探頭,試試水再說。
第二步:偽裝買賣
駭客為了逃避資產追蹤,一般會將大額資產,以小額多筆的形式分散到大量的地址中,再在各個地址上進行頻繁的分散匯聚。而此次駭客採用了一種新方式,透過偽裝成去中心化交易所的買家和賣家,試圖以正常的掛單配對交易來逃避追蹤。
駭客將每次收到的1,000 ETH,再散成以約500個 ETH 一筆進入去中心化交易所,開始買賣。從圖3和圖4中發現,駭客以普通使用者的方式,不是僅用一兩筆,而是透過大量多筆的交易,完成從買家到賣家的資產轉移。
偽裝買家賣家,買賣 BAT、ELF 代幣
下圖中可以看到駭客控制多個帳號偽裝成買家和賣家將資產倒手,圖中是駭客成交的多筆 ELF 和BAT 代幣的訂單。
具體來看買家在去中心化交易所 EtherDelta 合約上的一條交易(trade)記錄
(https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6)
在上圖中可以看到,買家與賣家的配對交易,僅接著賣家做了提現(withdraw)操作,對應的著鏈上的交易記錄
(https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192)截圖如下:
第三步:再次匯聚,進入交易所
透過去中心化交易所的倒手交易後,駭客已認為能夠避免資產被追蹤,又將獲得的ETH彙總到一個地址,並分批次進入火幣交易所。
至此,駭客最初的5,000枚 ETH,分批匯聚再進入去中心化交易所,經過倒手買賣,再次匯聚進入火幣,看似天衣無縫的操作,實則在鏈上留下了諸多痕跡。
截至發文時,駭客共計將4,787個 ETH 轉入了火幣交易所,PeckShield 正協助火幣交易所對涉及贓款實施封堵。目前尚有26,003個 ETH 控制在駭客手中,存在進一步洗錢的可能。PeckShield 正持續追蹤駭客下一步的洗錢行蹤。
今年1月份 Cryptopia 交易所遭駭客攻擊損失共計30,790個 ETH。時隔3個月,當時的ETH行情價格也已經翻番了,駭客覺得時機差不多成熟了,開始活躍出來洗錢了。整體來看,駭客此次行動還是很小心謹慎的,透過分散轉移賬號、偽裝買賣等多種手段來逃離追蹤,但區塊鏈世界,一切鏈上行為都有跡可循,安全公司更道高一丈。
PeckShield 數字資產護航系統(AML)基於各大公鏈生態資料的全面挖掘和剖析,積累了海量高風險黑名單庫,能夠從龐大的鏈上資料庫中精準提煉出駭客的行蹤,並聯合全球各大交易所、社羣治理單位等合作伙伴,對駭客洗錢行蹤展開全鏈、全時段、反偽裝等步步追蹤和實時封堵。
附:駭客主要的洗錢地址:
