攻擊 Nexus Mutual、 EasyFi 和 FinNexus

剖析了 nexus mutual、 easyfi 和 finnexus 駭客的鏈上轉賬記錄，我們發現了一些蛛絲馬跡。

撰文：pastebin 使用者 crdt

眾所周知，2020 年 12 月 14 日，一位不知名的駭客從 nexus mutual defi 執行長的錢包中偷走了 370,000 個 nxm。2021 年 4 月 20 日，發生了另一起駭客攻擊，但是這次是另一個名為 easyfi defi 的專案遭到攻擊。在此次駭客襲擊中，駭客竊取了將近三百萬個 easy 代幣。

2021 年 5 月 17 日，finnexus defi 專案的系統遭到駭客攻擊，其中駭客能夠鑄造數量為 3.23 億個 fnx 代幣，並將其在公開市場上出售。所有上述三次駭客攻擊都有一個類似特徵。駭客旨在獲取錢包或私鑰的訪問許可權，進而能夠獲取資金。而且相同的是，這些駭客攻擊是在同一個小時進行的。

我們在本文中釋出的所有調查結果均來自我們自己的獨立調查，這些調查結果可能與官方調查結果有所不同。

從媒體報道中，我們瞭解到屬於攻擊 nexus mutual、easyfi、finnexus 的駭客的 eth 錢包地址。現在分別看一下所有這些駭客的每一個地址。

按順序開始。我們討論的第一次駭客攻擊是襲擊了 nexus mutual，攻擊發生在 2020 年 12 月。etherscan 區塊瀏覽器顯示有多個地址屬於該駭客。但我們先關注其中一個地址， etherscan 對其所打的標籤為 fake_phishing4636。

這位駭客的地址前導數為
0x0adab45946372c2be1b94eead4b385210a8ebf0b。
eth 地址
0x0adab45946372c2be1b94eead4b385210a8ebf0b 與
0x31499e03303dd75851a1738e88972cd998337403
（您需要記住這個地址）進行了直接 交易。

我們觀察的第二個地址是 easyfi 攻擊中的駭客地址。這個地址在 etherscan 中沒有打標籤。但根據媒體報告，我們瞭解到這個地址
0x83a2eb63b6cc296529468afa85dbde4a469d8b37。

這個駭客的錢包被發現從已知的地址 0x31499e03303dd75851a1738e88972cd998337403 收取到一筆 轉賬 存款。

同時， easyfi 駭客的地址也與 0x31499e03303dd75851a1738e88972cd998337403 有過一筆直接交易，是 easyfi 駭客進行的最後一筆轉出 交易。

另外，easyfi 駭客從地址 0x77beb16e4db0686e36dbf01142685275785775ed 執行過多次直接交易。

https://etherscan.io/tx/0xcf99a55af6ee7a3d46f121fe091d2e29720881a72b5876dac25068fb73405ec5
https://etherscan.io/tx/0xb189754f07f00f3e32fbfd3e60f34686afd5209c7ccfe281c7ee5ad5ba514270

還有這些交易：

https://etherscan.io/tx/0x4d6d6c5d6231614db587b52d1f8e4d58c8b804032f5ee959344ac47c51b046e6
https://etherscan.io/tx/0x8ecd760060c60cb64520d803774a08c83210aac06a0ebbfcb436a5ffdc7348f5
https://etherscan.io/tx/0xd843d0b9300b1cdc79c0e1280127163794c7df6c87dca06cb128b232779f0291

地址
0x77beb16e4db0686e36dbf01142685275785775ed
也是基於地址
0x31499e03303dd75851a1738e88972cd998337403

https://etherscan.io/tx/0x7d90cbac9ff954555ee9e927598ff5daee9c3396451262fa77c44fab6bda25c0

就我們所知，與 nexus mutual 駭客地址不同的是， easyfi 駭客的地址與 0x31499e03303dd75851a1738e88972cd998337403 地址不是存在一筆直接交易，而是多個交易。請記住 0x31499e03303dd75851a1738e88972cd998337403 這個地址，因為我們之後會很多次遇到這個地址。

現在看一下 finnexus 駭客的地址。從媒體報道中得知，地址是 0x5ebc7d1ff1687a75f76c3edfabcde89d1c09cd5f，這一地址在區塊瀏覽器 etherscan 中有標籤。我們沒有觀察到地址 0x5ebc7d1ff1687a75f76c3edfabcde89d1c09cd5f 和地址 0x31499e03303dd75851a1738e88972cd998337403 的直接互動。

但透過地址 0x2da3a8738c34ffb35182670bcb76ad722240bcc0 存在一次間接互動。儘管事實上駭客刻意將地址 0x31499e03303dd75851a1738e88972cd998337403 隱藏起來，我們依然能夠發現這一關聯。finnexus 駭客的主要地址與地址 0x2da3a8738c34ffb35182670bcb76ad722240bcc0 有過一次直接交易。

這一地址與地址
0x1ce5f1fe7d8543a0046e521302c3a21734309302
有兩筆 fnx 代幣轉帳轉出交易。

https://etherscan.io/tx/0x0403a2a195c94203ccc36c3a481328b478742bbb390e7ab7debbc44de534abcd
https://etherscan.io/tx/0x84aaa19f5b8bb5ac58047eac0d462bdf9f7631a4d7a2a9c911718dfc35845584

接下來，地址
0x1ce5f1fe7d8543a0046e521302c3a21734309302
與地址
0x67fe5b5343f963c7043ce551fadba84a3ad6473a
存在多筆交易：

https://etherscan.io/tx/0xdc54b9fc18773e04365710ca3f243c47e196218f1855d5d177ec45598c1a838c
https://etherscan.io/tx/0x0403ec450fd3fd3ef1915cbcf0e5a3e3c679b81188399ac09bb7c3bf8ef21f2e
https://etherscan.io/tx/0xffe4d170dd4461a173acaa694dc9220755f0bfcba0883723ef843e7b4569de8d
https://etherscan.io/tx/0x968bd9ead37db5d7c7148ac5c0bd6860032a952f517d180713efeaf8dfd6971f
https://etherscan.io/tx/0x7ef4693769adb3f1ee362ae0c77e695c7fb94ac291da736efd28aee554f7f3f3

兩者之間共計有 12 筆交易。

另外，地址
0x67fe5b5343f963c7043ce551fadba84a3ad6473a
收到過一筆 tornado cash 存款。

正是地址
0xa29bd5815aea7ac88e9f3aadd8f477675edad404
從地址
0x67fe5b5343f963c7043ce551fadba84a3ad6473a
進行的轉賬，數目約相當於 1 eth。

0xa29bd5815aea7ac88e9f3aadd8f477675edad404 地址在 交易 中存入 tornado cash：

接下來，地址 0xa29bd5815aea7ac88e9f3aadd8f477675edad404 基於地址 0x31499e03303dd75851a1738e88972cd998337403 進行了 交易。

您也可以看到很多直接 交易
(共計 28 筆交易) 和
https://etherscan.io/tx/0x61324b4a3624eccf5c69e7fb4292f3f22ccf295d07dbf866679a6c38ce2df0bf。

地址
0x67fe5b5343f963c7043ce551fadba84a3ad6473a
有一筆 124,977.5383 usdt 代幣 轉出 至地址
0x860dc1b24f96f59f4ec25ca439bcb9cdd6c1a7b0：

地址
0x860dc1b24f96f59f4ec25ca439bcb9cdd6c1a7b0
與已知的地址
0x31499e03303dd75851a1738e88972cd998337403
存在關聯，其最後一筆 交易

類似，地址
0x860dc1b24f96f59f4ec25ca439bcb9cdd6c1a7b0
也與地址
0x31499e03303dd75851a1738e88972cd998337403
利用同一個中間錢包
0x67fe5b5343f963c7043ce551fadba84a3ad6473a
發生了關聯。

因此，我想談談地址
0x5ebc7d1ff1687a75f76c3edfabcde89d1c09cd5f
的一些奇怪特徵，該地址屬於 finnexus 攻擊中的駭客，這個地址在 etherscan 中看起來像個正常錢包，但 bloxy 和 bitquery 等區塊瀏覽器中，合約
0x5ebc7d1ff1687a75f76c3edfabcde89d1c09cd5f
是由地址
0x78d147015a9ef3ed9f9011fa394561670dc787cb
透過以下 交易 建立。

因此，nexus mutual、easyfi 和 finnexus 專案遭遇的駭客攻擊不僅在攻擊的性質存在關聯，而且與同一地址
0x31499e03303dd75851a1738e88972cd998337403
都產生了關聯。這表明上述這些駭客攻擊都是由同一位駭客（或同一組駭客）實施的。

那讓我們試圖挖一挖已知地址
0x31499e03303dd75851a1738e88972cd998337403
的老底。先找到擁有這個地址
0x31499e03303dd75851a1738e88972cd998337403
的那個人。

地址
0x31499e03303dd75851a1738e88972cd998337403
與地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
存在眾多互動交易：

https://etherscan.io/tx/0x09d01a209e33e91d77b663eb52b8965f4ec88567df01cc0d00c03a5d89a283ea
https://etherscan.io/tx/0xaa5f8b9d67509a1148f1da6602a4907a8d3354a64af7bd1c2172604fa4b423ac
https://etherscan.io/tx/0xfdd0f75170c0d4bf882a36bcfb84ebe91eb53ad7021fea010d35a25c4317adc0
https://etherscan.io/tx/0xf411e402f3b3d44100592946a173331fad7a7fad2a6f1431a43ccc446331c2b4
https://etherscan.io/tx/0x055d65059df06cc2d5242c5e89e56e4f517cdb6ce101d2dfd247e9b011cac803
https://etherscan.io/tx/0x0d62b86a12c8da051aeea773e3627a2218ebc093928d8cb1828647e59aaf66e8
https://etherscan.io/tx/0xc3a549322212613472facec75215b287e556c4da720f3e2b30c42c6b8e746f66
https://etherscan.io/tx/0xe63b26da1d6a85eb10253401fb3f26b4069d3ce44263006e65df7d55daa8646a
https://etherscan.io/tx/0xd2a05b70d43eb1c2b8abff77f9f61f27cbbb0480aa0a90d376fd75920ad9a797

涉及到 9 筆不同代幣的直接交易，從 連結 中可以看出：

地址
0x31499e03303dd75851a1738e88972cd998337403
與地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
兩個地址之間直接互動交易的次數為：18 筆交易 (!!!)。

接下來，地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
從地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
收到第一筆 存款。

地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
是由地址
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
在這筆 交易 中建立。

地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
與地址
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
存在多筆交易：

https://etherscan.io/tx/0xdfd6869e43d614f014b6d5f0227e85f22ae50bb7d092abbf9c0b93b3f7c6baf5
https://etherscan.io/tx/0xc0059c86d46a5faef8be817e07d4ccaebd1d8149d2ecbdbca7e621ff30e52e76
https://etherscan.io/tx/0xaa6360699863ed640b17c645b4047a2cca4cb4055167342c038ee4d0f567bb7e
https://etherscan.io/tx/0x74fd673304c52f7017819056ef29b8fbdfbe8ba0b74892c4d5e8374222c23a68
https://etherscan.io/tx/0xff2d34c669ec9b8202fae4d26456af800f16077ed2cade4d3a67d3cef769cba2
https://etherscan.io/tx/0xba7047ac9ecee6013f44fd03429e87410d01d43f5a68901c092471722beea586
https://etherscan.io/tx/0x921763e445cca2cd400db20f23391e5c39a204c7f548b67d3a00e8a5559a2c43
https://etherscan.io/tx/0xa42c5e91f312f137d16846dfda2558510280306afb2f8c28104111e8cba18b7e
https://etherscan.io/tx/0xa2a293b2406d2f30e18e4f245dca39beb9ad1c13cf03c753d9eb7de04b496035
https://etherscan.io/tx/0xd1e99af2a9b3a446eb0387f5c61801ddccafc8f5f211cfebddf581b601979d84
https://etherscan.io/tx/0xcb5d44c2a8678e34532c5b2b98be82fbdefad5a837b65f8569706573bb3a7e1c
https://etherscan.io/tx/0xafc27ac6a7201d6d0e801df286c2e72b8f9103c652dde5bee2a33c3d01aad6d8
https://etherscan.io/tx/0xb17cb0896e67187818dd026c5b4b1f3146884bc357d9d59f10c5b91cd8410465
https://etherscan.io/tx/0xbbb691ede2708ed3d79c3a0269a418f78864c8219e9a1849eb1a4491fc4fdb30

以及 21 筆直接的代幣互動 交易。

地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
和地址
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
之間的互動交易總數量達到 35 筆 (!!!).

地址
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
屬於 anton dziatkovskii. anton dziatkovskii 在以下社交媒體渠道中公開表示，他擁有
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
這一地址：

1. https://twitter.com/antondzyatkovsk/status/1391126347682959360
2. https://app.poap.xyz/token/108903
3. https://twitter.com/antondzyatkovsk/status/1388607712355782663
4. https://pay.sablier.finance/stream/4167

談到 anton dziatkovskii，我們知道他是 defi 專案平臺的開發者，智慧合約的開發者，智慧合約安全領域專家，他是一位電腦專家，自封的白帽駭客，加密貨幣交易者，以及服務過很多專案的安全漏洞懸賞企業的管理者。

同時，anton dziatkovskii 也是 micromoney 專案的聯合創始人 , ubai 專案的教育總監。ubai 開發的產品之一是 btcnext 交易所。anton dziatkovskii 也是 qdao defi 專案的聯合創始人。 anton dziatkovskii 同時是 noahcity 專案團隊成員之一。 anton dziatkovskii 是 platinum fund 專案團隊的創始人，後者開發 defi 專案和區塊鏈解決方案平臺。 anton dziatkovskii 與 spaceswap defi 專案的開發及其可能的聯合創始人存在直接關聯。 anton dziatkovskii 是 spaceswap 專案的 賞金計劃 經理，他的 bitcointalk 使用者名稱 cubus 的個人資料或在 欺詐糾紛 中看到上述資料。

現在談談 anton dziatkovskii 的個人資料 (連結):

• linkedin
• facebook
• twitter
• btt url
• github
• eth-address

地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
與地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8
存在直接交易：

https://etherscan.io/tx/0xcdfc173671d819852bc988561d97f012bc9077f0b7cba215cd56dac8eccfb876
https://etherscan.io/tx/0x7cae308a78ea346ff12bb2aabec8006bdb102637e175284b50208102eed8b8f9
https://etherscan.io/tx/0x970ae7f65cf0411cafbbcdaa967d00ed9d683a1fe348e79098f0e266c6e7771d
https://etherscan.io/tx/0x34c682332b1cc547464a7792dd1fcc4e95a43fe039fdfd313ec65cf260ec8577
https://etherscan.io/tx/0x83e6fa104fd2eadf061916d8a876875e40fa427915bc12ad22c27fca067eb21a
https://etherscan.io/tx/0x63c2d52a1878d223031752844c159120acd28aa56e83a60ae4642e7da8143f2c
https://etherscan.io/tx/0xb9ebdc1a15a6e65cdec5bf16f356d5966e893813a71798d5a2238b4b2730961d
https://etherscan.io/tx/0x05577efbf0f6b9290453261d2c891aa521aa09a4d0d2237881f0be01aaee7e49
https://etherscan.io/tx/0x0221d3f6f4bb312a923306c600254e0cff9e054459ede48abede99ac12ce4740
https://etherscan.io/tx/0x69692e6a7cd211ad20eac4651372ce2be46bb029520e61467fe29e8ee7abff5d
https://etherscan.io/tx/0x942ed370ed893dda297d9b3f4c60529f8b44f47adc9e1effcf1a4c8a2e1be5ed
https://etherscan.io/tx/0x5d621d6523e2fe87a2f9027ed5aa631761bfe62160b576d1e571b65e26d29d2e
https://etherscan.io/tx/0x16121cdf65d8710146a114081ccd7d1de7d01cff97d9eca33da57c10275ac0d3

另外還有 15 筆代幣交易。地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
和地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8
之間的直接交易次數達 28 筆 (!!!)。

另外還有幾筆相關交易採用了中間地址
0xdaeb3b152be7ac786e79122c4655594e7808587d。

地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8
與 anton dziatkovskii 的地址
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
有關聯：

https://etherscan.io/tx/0xc75a093e8da8232cda46e64a244d08ea77ef53e3cfd3879c851f24acdef8a06e
https://etherscan.io/tx/0xff9211c8a521f000d9e9f96bf78c5f1630892a7c42f8858aa779dfde9deb54c1
https://etherscan.io/tx/0x9a204b1f662e00747961b31ad6ba858d1b38fbc31f1f8c4cc56e3359d9ca8a86
https://etherscan.io/tx/0x6d4194f76b4dbeac399be2a096684ad4e1347e3928cfb674c339cbc186391d1e
https://etherscan.io/tx/0xba9a9807e2969d5f0d9296426492a38cdcd4e4b8071c64e7d453f7c63b32f4cd

地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8
與地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
存在關聯，與地址
0x31499e03303dd75851a1738e88972cd998337403
進行了很多交易，至少包括這兩筆交易：

https://etherscan.io/tx/0xa6e43e8d7ee9455ebc5291a031548a346fcf4176df41f4201ded66436ab9b115
https://etherscan.io/tx/0xadc4495b302dcb747c7f1db98d79f588ce42ec88369bd653fbfe9e790fdcaaa1

所有這些都意味著駭客的地址
0x31499e03303dd75851a1738e88972cd998337403
與地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
存在很多互動交易，因此兩條鏈路在地址
0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4
產生了交叉，而這一地址屬於 anton dziatkovskii：

第一條鏈路：在中間地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b 的幫助下
(為地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 奠定基礎)；

第二條鏈路則是透過中間地址 0x4664db097cac5e006ac94705d3c778f2ac896aa8。

地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8
與地址
0x5a6a52a7bf22813882e988135a7d2be805bb0649
透過眾多交易產生了關聯：

https://etherscan.io/tx/0x5b07bf2f9bd2c796621d0960e43623791ed3b97248401b480a7f5cc13188440a
https://etherscan.io/tx/0x741aed055bed684f1149c130f3ebdffe414da3bf4026d002d30c8fa12a179220
htps://etherscan.io/tx/0x6e4d6693cee30d4b077489820f32d380913f18810285be608ca3e8d9a0982ed6
https://etherscan.io/tx/0x7b83d4b6d2a93dd0a10420381ebec9b8a2d5791073e0dae799731c2ebf7b0449
https://etherscan.io/tx/0x2128a3d2785868c553d8a82c501239cd246c2ec0acc949710ce2388dd8d2b069
https://etherscan.io/tx/0xf0e6f25433ed29f917761a09d055b87889532f2a9e9f6d2a4f7d91cd9cda590f
https://etherscan.io/tx/0xc22f519e47a86d1429dac5be5cec802fbe2d975a17fe1d9562821a5c41a25261
https://etherscan.io/tx/0x8fb76aeae37295b2ecee24c4d83e7a689162de88eec475a088fdea7c2fc3ae99
https://etherscan.io/tx/0xba49ca3ec1b8abecbe1bb0cb37a72f5632004371a4844bd9b9a80885f3ada3a8
https://etherscan.io/tx/0xbfc65a07cbc1d9160c943622a6c00b9d9f3a0752858ffd0bb94b3e4ecbdeded2
https://etherscan.io/tx/0x6c83d5f6dfcdd80bb3fc4b80c5bb7a0e37ca5a6d35765b5bea5da7567d0514ba

另外還有 58 筆 交易。

總計 69 筆交易 (!!!)。

地址
0x5a6a52a7bf22813882e988135a7d2be805bb0649
則是 奠基石，構建了地址
0x71e0d074bb70fdc5345f986e3435117f52afcebb。

qdao defi 專案所發行的 qdao 代幣的智慧合約的建立者，而 anton dziatkovskii 是該專案的聯合創始人：

https://etherscan.io/address/0x3166c570935a7d8554c8f4ea792ff965d2efe1f2

地址
0x71e0d074bb70fdc5345f986e3435117f52afcebb
則是 bnx 代幣的智慧合約的建立者，改代幣屬於 btcnext 交易所，後者屬於 ubai 專案旗下，而 anton dziatkovskii 也是其聯合創始人。

地址
0x71e0d074bb70fdc5345f986e3435117f52afcebb
也與地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8 多
次進行過聯手交易。

地址
0x5a6a52a7bf22813882e988135a7d2be805bb0649
也與地址
0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2
有過幾筆直接交易：

https://etherscan.io/tx/0xd016bd35a947a95af6505db3f426b53d9429f21705cd340f29cf96d6bb7d478a
https://etherscan.io/tx/0xf7adf5ff89bb7a00bbaf7dbc81bf8a889f01139766f45756f22615a3bebbbadf

以及以多種代幣進行的交易，以及使用中間地址
0x3c586d0e07f312a180ec46d4c27d831731c41d23
進行了多筆交易。

地址
0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2
也與地址
0x4664db097cac5e006ac94705d3c778f2ac896aa8
多次聯手。

僅地址
0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2
與地址
0x834e6bedc304c4c610557e9ffaf0d4ec310b881b
有過一次直接交易，而正是這一地址建立了地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912，
與上述駭客事件中都牽扯到的地址
0x31499e03303dd75851a1738e88972cd998337403
有過多次 交易。

交易還採用了中間地址 0x3c586d0e07f312a180ec46d4c27d831731c41d23。

地址
0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2
則是 milk2 代幣 和 shake 代幣 智慧合約的建立者，後者屬於 spaceswap 專案，而 anton dziatkovskii 與該專案也存在一定直接關聯。

地址
0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2
是 cnyq 代幣 和 jpyq 智慧合約的建立者，後者屬於 qdao defi 專案 , anton dziatkovskii 也是該專案的聯合創始人。

地址
0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd
是 noah ark 代幣 智慧合約的建立者，代幣 noahp 屬於 w noahcity 專案， anton dziatkovskii 則是該專案開發團隊的一員。

我想指出以下幾點，與 easyfi 駭客地址
0x83a2eb63b6cc296529468afa85dbde4a469d8b37
相關聯的許多錢包地址（包括一些中間地址）在其餘額中都有 milk，mirk2，shake，noah 和 qdao 代幣。

即使是地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
（與我們已熟知的常見駭客地址
0x31499e03303dd75851a1738e88972cd998337403
也有許多相互交易）中也包含這些代幣。

順便說一句，地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912
的餘額上有 babymilk 代幣（spaceswap v2 的 babymilk 測試代幣）。與此同時，地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 在該代幣持有榜中 排名 第 13。通常，排名如此考前的代幣持有者可能是專案的共同所有者或專案中的主要投資人。

另外，地址
0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 （
與上述駭客地址 0x31499e03303dd75851a1738e88972cd998337403 有過多次互動交易），與地址
0x72d49544d17e3c98b0f94d97ee851981279f3aa9
有過直接關聯：

https://etherscan.io/tx/0x11cf0326b7b0ee31db33231d2b5eac63763d323f065a72bbfe77baf147e90fe7
https://etherscan.io/tx/0x11cf0326b7b0ee31db33231d2b5eac63763d323f065a72bbfe77baf147e90fe7

地址
0x72d49544d17e3c98b0f94d97ee851981279f3aa9
同樣屬於 spaceswap 專案， rarible 網頁 可以予以 確認。

透過審視區塊引數，我們可以確定 nexus mutual 駭客將資金髮送到：

1. 透過 交易 將 renbtc 兌換為 btc。透過一筆 交易 將資金抽走。之後轉出到 btc 地址 bc1qmyxuldmsec6xm7gm7dnmmth4lz776tr5mtluvp。

2. 透過 交易 將 renbtc 兌換為 btc。
透過一筆 交易 將資金抽走 。 之後轉出到 btc 地址 bc1q6qsnqt98g3aggqy6adlpxkgngughwc66f93dve。

3. 透過 交易 將 renbtc 兌換為 btc 。透過一筆 交易 將資金抽走。之後轉出到 btc 地址 bc1qun448hv5cudqlwrmghju58jnprkguy48emtj8a 。

透過審視區塊引數，我們可以確定 easyfi 駭客將資金髮送到：

1. 透過 交易 將 renbtc 兌換為 btc。透過一筆 交易 將資金抽走。之後轉出到 btc 地址 bc1qfl085d0fxy8s6grja5qf8cgqvx8w94ufaygg9y 。

2. 透過 交易 將 renbtc 兌換為 btc。透過一筆 交易 將資金抽走。 之後轉出到 btc 地址 17wfzendcgkcvvjenqwjnqwxyickgtdgbi 。

3. 透過 交易 將 renbtc 兌換為 btc。透過一筆 交易 將資金抽走。之後轉出到 btc 地址 1395hgvub2p7yv145srbt6ykbi3qargnod。

4. 透過 交易 將 renbtc 兌換為 btc。透過一筆 交易 將資金抽走。 之後轉出到 btc 地址 1dzgywnuku9ukgbkm8ktvoezjfcq2qlwyr。

透過審視區塊引數，我們可以確定 finnexus 駭客將資金髮送到：
在本文寫作之時，finnexus 駭客只存了 一筆 tornado cash 代幣。

我們可以觀察到駭客透過 tornado cash 交易 將資金抽走，這意味著 eth-地址 0x996f5ccbf2856137744603b382de559b78a096fc 是 finnexus 駭客利用 tornado cash 傳送 10 個 eth 交易的收款方。

來源連結：pastebin.com