慢雾:复盘 Liquid 交易平台被盗 9000 多万美元事件

慢雾科技
企业专栏
热度: 137833
攻击者以迅雷不及掩耳之速就将一个交易平台内超 70 种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

北京时间 2021 年 8 月 19 日 10:05,日本加密交易平台 Liquid 称其热钱包遭到攻击。从官方发布的报告来看,Liquid 交易平台上被盗币种涉及 BTC、ETH、ERC20 代币、TRX、TRC20 代币、XRP 等超 70 种,币种之多,数额之高,令人惊叹。

慢雾 AML 团队利用旗下 MistTrack 反洗钱追踪系统分析统计,Liquid 共计损失约 9,135 万美元(按事发当天价格计),包括约 462 万美元的 BTC(107.5 枚)、3,216 万美元的 ETH(10,851.27 枚)、4,290 万美元的 ERC20 代币、23 万美元的 TRX(2,600,933.17 枚)、160 万美元的 TRC20(1,609,635.96 枚)、1,093 万美元的 XRP(11,508,516 枚)。(按文章发布当天价格计)

慢雾 AML 团队全面追踪了各币种的资金流向情况,也还原了攻击者的洗币手法,接下来分几个部分向大家介绍。

BTC 部分

攻击者相关地址

慢雾

慢雾 AML 团队对被盗的 BTC 进行全盘追踪后发现,攻击者主要使用了“二分法(Peel Chain)”的洗币手法。所谓“二分法”,是指地址 A 将资金转到地址 B 和 C,而转移到地址 B 的数额多数情况下是极小的,转移到地址 C 的数额占大部分,地址 C 又将资金转到 D(小额)和 E(大额),依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以二分法的方式继续转移,要么转到交易平台,要么停留在地址,要么通过 Wasabi 等混币平台混币后转出。

以攻击者地址(1Fx...f7q)为例:

慢雾

据 MistTrack 反洗钱追踪系统显示,共 107.5 BTC 从 Liquid 交易平台转出到攻击者地址(1Fx...f7q),再以 8~21 不等的 BTC 转移到下表 7 个地址。

慢雾

为了更直观的展示,我们只截取了地址(1Ja...rGs)资金流向的一部分,让大家更理解“二分法”洗币。

慢雾

以图中红框的小额转入地址为例继续追踪,结果如下:

慢雾

可以看到,攻击者对该地址继续使用了二分法,0.0027 BTC 停留在地址(1aB...yDD),而 0.0143 BTC 转移到 Kraken 交易平台。

攻击者对其他 BTC 地址也使用了类似的方法,这里就不再重复讲解。慢雾 AML 团队将对资金停留地址进行持续监控及标记,帮助客户做出有效的事前防范,规避风险。

ETH 与 ERC20 代币部分

攻击者相关地址

慢雾

经过慢雾 AML 团队对上图几个地址的深度分析,总结了攻击者对 ETH/ERC20 代币的几个处理方式。

1.部分 ERC20 代币通过 Uniswap、Balancer、SushiSwap、1inch 等平台将代币兑换为 ETH 后最终都转到地址 1。

慢雾

2.部分 ERC20 代币直接转到交易平台,部分 ERC20 代币直接转到地址 1 并停留。慢雾

3.攻击者将地址 1 上的 ETH 不等额分散到多个地址,其中 16,660 ETH 通过 Tornado.Cash 转出。慢雾

地址 2 的 538.27 ETH 仍握在攻击者手里,没有异动。

慢雾

4.攻击者分三次将部分资金从 Tornado.cash 转出,分别将 5,600 ETH 转入 6 个地址。

慢雾

其中 5,430 ETH 转到不同的 3 个地址。

慢雾

另外 170 ETH 转到不同的 3 个交易平台。

慢雾

攻击者接着将 3 个地址的 ETH 换成 renBTC,以跨链的方式跨到 BTC 链,再通过前文提及的类似的“二分法”将跨链后的 BTC 转移。

以地址(0xC4C...7Fe)为例:

慢雾

以跨链后的其中一个 BTC 地址(14N...13H)为例。根据 MistTrack 反洗钱追踪系统如下图的显示结果,该地址通过 renBTC 转入的 87.7 BTC 均通过混币平台 Wasabi 转出。

慢雾

TRX/TRC20 部分

攻击者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

资金流向分析

据 MistTrack 反洗钱追踪系统分析显示,攻击者地址上的 TRC20 兑换为 TRX。

慢雾

再将所有的 TRX 分别转移到 Huobi、Binance 交易平台。

慢雾

XRP 部分

攻击者相关地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

资金流向分析

攻击者将 11,508,495 XRP 转出到 3 个地址。

慢雾

接着,攻击者将 3 个地址的 XRP 分别转到 Binance、Huobi、Poloniex 交易所。

总结

本次 Liquid 交易平台被盗安全事件中,攻击者以迅雷不及掩耳之速就将一个交易平台内超 70 种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前,大部分被盗资产还控制在攻击者手中。21,244,326.3 枚 TRX 转入交易平台,11,508,516 枚 XRP 转入交易平台,攻击者以太坊地址 2 (0xefb...b53 )存有 538.27 ETH,以太坊地址 1(0x557...946)仍有 8.9 ETH 以及价值近 540 万 美元的多种 ERC20 代币, 慢雾 AML 团队将持续对异常资金地址进行实时监控与拉黑。

声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。 未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示,本站所发布文章仅代表个人观点,与火星财经官方立场无关。虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险。火星财经反对各类代币炒作,请投资者理性看待市场风险。
语音技术由科大讯飞提供