加密货币新兴洗钱三部曲

攻击者拼手速 详解去中心化工具洗白Liquid被盗9000多万美元

2021年8月19日,日本交易所 Liquid 热钱包中价值 9,000 多万美元加密资产被盗,据 PeckShield「派盾」统计包含:约 480 万美元的 BTC(107.43 枚)、3,250 万美元的 ETH、4,490 万美元的 ERC-20 代币(近百种代币:AAVE、UNI、LINK、SNX、USDC)、183 万美元的 TRON(含 USDT-TRON 和 2,393,334.86 枚 TRON)、1,290 万美元的 XRP(11,467,479 枚)。

据 PeckShield「派盾」旗下反洗钱态势感知系统 CoinHolmes 显示,截至目前 ETH 代币暂未发生异动,仍锁在攻击者的地址里。

攻击者得手后,首先将 ERC-20 代币快速转入 UniSwap、SushiSwap、1inch 等 DEXs(去中心化交易所)中,通过 DEXs 将所获近百种代币兑换为 ETH 或通过 Ren 跨链桥兑换为 BTC,再将所兑换的 ETH 通过跨链桥转至以太坊,最后从链上混币器 Tornado.cash 流出,整个流程十分娴熟,这一点也可以从攻击者首先从处置 ERC-20 代币看出。

由于所盗的 ERC-20 代币中有些代币流动性较差,容易遭到发行商冻结、交易回滚或者硬分叉等方式阻碍代币转出,攻击者首先依次将这些代币转入不需要 KYC、无需注册登录、即用即走的 DEXs,然后将大部分代币转换为主流代币 ETH,并汇集到新地址,再从隐私协议 Tornado.cash 流出。

从 Etherscan 上可以看出,自8月19日上午4时19分开始,攻击者开启「价值优先」的扫荡式兑换,首先从 USDT、USDC、DAI 等稳定币开始清空,然后赶在代币被冻结前将它们转入 DEXs。

这是迄今为止,第二起中心化机构被盗通过去中心化机构洗钱的安全事件。据 PeckShield「派盾」统计,目前中心化机构被盗后,通过去中心化服务进行洗钱的案例还屈指可数,但类似的洗钱手段已经在 DeFi Protocols(去中心化协议)攻击、跑路中呈现出增长的趋势。

新兴洗钱三部曲

攻击者在得手后,大致将洗钱的流程分为三步:

1. 批量转移:将所盗 ERC-20 资产转入 DEXs,避免被冻结、回滚,同时将所盗资产进行整合,为下一步实施清洗做准备工作;

2. 批量兑换:通过 DEXs 或跨链桥将 ERC-20 代币兑换为 ETH 或 BTC,通过跨链桥将加密资产归置,为批量转移到隐私协议做准备;

3. 隐蔽阶段:将归置后的 ETH 或 BTC 转移到 Tornado Cash、Typhoon、Wasabi Wallet 等混币工具中,混淆资产来源和最终收益者,抹除非法资产的痕迹,混淆资产源头逃离追踪。

Tornado Cash 是基于零知识证明在以太坊上实现的隐私交易中间件。它使用 zk-SNARK (Zero-Knowledge Succinct Non-Interactive Argument of Knowledge),能够以不可追溯的方式将 ETH 以及 ERC20 代币(目前支持 DAI,cDAI,USDC,USDT,WBTC)发送到任何地址。

在实际应用中,当用户将加密货币存入隐私池后即可获得一笔存款凭证,此后用户可以通过存款凭证向任何地址中提取先前存入的加密货币。由于在存款凭证的生成和使用时转账的数据都不包含凭证本身,因此可以保证存取款两笔转账完全独立。另外,由于中继服务的存在,取款时的以太坊地址甚至不需要拥有支付转账费用的 ETH,即可以提款至完全空白的地址。

事实上,Tornado Cash 并非无法破解的隐私协议。前段时间英国警方破获的 DeFi 协议 StableMagnet Finance 跑路案反映出,在安全公司、交易所、社区和警方的联动下,通过 CoinHolmes 反洗钱态势感知系统对攻击者资产进行持续追踪,在社区持续收集项目方信息,并积极与警方合作的情况下,警方可通过分析追踪社区反馈的线索锁定涉案相关成员,并在物证人证的帮助下,迫使涉案相关成员归还存放在 Tornado Cash 中的 ETH。

据 CoinHolmes 追踪显示,攻击者将逾千万枚 XRP 分四次转入其地址后,分三批分别转入 Binance、Huobi、Poloniex 等交易所。

Liquid 通过反洗钱态势系统追踪到此信息后,紧急联系这几家中心化机构将攻击者地址设置黑名单,旨在紧急冻结被盗的 XRP 资产。

但在此之前攻击者已经通过交易所将部分 XRP 转换为 BTC,据 CoinHolmes 反洗钱态势系统显示,这些 XRP 已经被转换为 192 枚 BTC,并经通过去中心化的混币器 Wasabi 钱包流出。

Wasabi 钱包采用「CoinJoin」的方法,将多个用户的交易汇总成一笔大额交易,其中包含多个输入(input)和输出(output)。随着参与用户的增长,私密性与可靠性就越强。此外,Wasabi 钱包还采用「区块过滤器」,通过下载整个数据块进一步打乱交易信息,来增强隐私性和抗审查性,这给相关执法机构追踪此类资金的流转带来挑战性。

随着监管部门对中心化机构洗钱情况的严厉监管,中心化机构不断提高 KYC 需求,使得中心化洗钱渠道遭到沉重打击,去中心化工具越来越受到犯罪分⼦的青睐,越来越多的⾮法资⾦开始转向去中心化渠道洗钱。PeckShield「派盾」建议相关执法部门引⼊新的监管⼯具和技术,为进一步有效遏制利⽤虚拟货币的洗钱做准备。

截至9月6日,CoinHolmes 监控到攻击者的 BTC 地址发生异动,共转出 90 BTC,CoinHolmes 将持续监控被盗加密资产的转移。

24小时热点

NFT艺术品到底是什么?

Beeple,“EVERYDAYS: THE FIRST 5 ...

1788218

什么叫数字货币

Sushiswap:从复制到吸血

Sushiswap简单来说就是Uniswap的复制+微创新产 ...

40874

区块链到底是啥

什么是IDO?这种模式会带来怎样的影响?

要理解IDO(Initial DeFi Offering)初 ...

561200

Bitstamp交易所

Hash Ribbons指标的出现意味着什么?

Hash Ribbons指标是通过量化哈希率相对增长率来展现 ...

131207

区块链的特征

教你如何铸造一个NFT

体会一下如何铸造一个NFT有助于更好地理解它

171688

算力频道

中国成功学十大“大师”

陈安之 陈安之,男,汉族人,1967年12月28 ...

438275

区块链查询

有黑客采取新型 USDT 假充值手法

根据慢雾区情报,有黑客采取新型 USDT 假充值手法,黑客采 ...

467881

我是老猫

什么是NFT

NFT是Non-Fungible Token的缩写,中文称为 ...

307220

牛比特

4种利用永续合约资金费率套利的策略

下文将介绍在保持市场中立的条件下,如何从永续掉期资金费率中套 ...

245963

数字货币是什么意思

NFT智能合约如何创建和部署?

那么,不可替代的事物就是那些唯一且不能与其他事物互换的事物。 ...

118083

连接资本

热点专题

NFT艺术品到底是什么?

Beeple,“EVERYDAYS: THE FIRST 5 ...

1788218

什么叫数字货币

2020中国区块链行业报告

2019年对区块链来说是充满了机遇与挑战的关键性的一年。在后 ...

736460

BTCC交易所

什么是IDO?这种模式会带来怎样的影响?

要理解IDO(Initial DeFi Offering)初 ...

559750

Bitstamp交易所

了解CHIA这篇就够了

这些清单旨在作为信息来源和研究的出发点,为你的研究提供常识性 ...

477688

算力频道

有黑客采取新型 USDT 假充值手法

根据慢雾区情报,有黑客采取新型 USDT 假充值手法,黑客采 ...

467422

我是老猫

可以用数字货币支付的学习网站

这个在全球排名第9的网站在疫情期间,帮助了无数热爱学习的青年

453527

深圳区块链

中国成功学十大“大师”

陈安之 陈安之,男,汉族人,1967年12月28 ...

438275

区块链查询

Uniswap是什么?

注意!币圈老虎机已开启

407133

区块链特征

什么是NFT

NFT是Non-Fungible Token的缩写,中文称为 ...

306481

牛比特

OpenSea 为例子教大家如何购买 NFT

就如同流动性挖矿刚起步时候一样,大多数用户并不了解 NFT ...

287751

区块链最新消息