
DeFi 安全事件频发,如何规避黑资产,保持平台合规性?
Tornado.Cash 等混币服务系统、闪兑平台以及一些免 KYC 的中心化机构,目前都是洗钱的重灾区。
近期,区块链安全事件频发,无论是 DeFi、跨链桥、NFT 还是交易所,都损失惨重。除了对事件发生的原因进行技术分析以警示,我们也应将视线看向被盗资产方面。加密货币的匿名属性,使其难免被用于洗钱和资产转移,随着各国政策的更新与完善,拥抱监管与合规必是未来的一个趋势,因此,对被盗资产流向及攻击者洗币手法进行分析、对链上动态进行实时监测显得尤为重要。
慢雾 AML 团队利用旗下 MistTrack 反洗钱追踪系统 ,以近期发生的其中两个事件为例,通过剖析攻击者的洗币手法及资产的流向来窥见一二。
XSURGE 攻击事件
概述
2021 年 8 月 17 日 3:13 AM,XSURGE 官方发布关于 SurgeBNB 漏洞的声明,称由于 SurgeBNB 合约不可更改且已被放弃,因此无法修补该漏洞,但强烈建议用户尽快移出 SurgereBNB,该漏洞随时可能被攻击者触发。
不幸的是,在 3:59 AM,官方就表示遭遇攻击。
事件相关地址
通过比对相似合约,我们还发现了其他攻击者信息。
资金流向分析
经过分析,本次事件是由于其合约的 sell 函数导致了重入漏洞,也就是说攻击者通过不断买卖的操作,以更低的代币价格获取到了更多的 SURGE 代币。那攻击者具体是怎样进行获利并转移资金的呢?
我们以攻击者 1 创建的合约为例来分析攻击者的获利过程。首先,8 月 16 日 19:39:29(UTC),攻击者 1 在币安智能链 (BSC) 创建了攻击合约 1,闪电贷借出 10,000 BNB 后购买 SURGE 代币,多次以“卖出再买入”的方式来回交易,最后获利 12,161 BNB。接着分别创建了合约 2-6,以同样的方式获利,最终攻击者 1 获利 13,112 BNB。
攻击成功后,黑客并没有持币观望等待时机,而是直接开始转移资金,想洗钱获利,经过两层大的转移,黑客轻而易举地将资金转移到了交易所:
第一层洗币 :将资金不等额分散到多个地址
攻击者先是将获利的 13,112 BNB 随机分成了两大部分,将一部分 BNB 以不等的金额陆续转出到不同地址,将另一部分 BNB 先通过 PancakeSwap、1inch 换成 ETH 后再转出到不同地址,最终 13,112 BNB 被转移到下图的 30 个不同地址。
第二层 洗币:将资金直接或分批兑换转移
经过对 30 个地址资金转移的不断分析,我们渐渐总结出了攻击者的转移方式主要有以下几种:
1、将 BNB 直接换成 ETH,直接或分批转到币安。
2、部分 BNB 换成 ETH 转到币安,部分 BNB 转到其他地址,汇聚后一起换成 ETH,再分批转到币安。以地址 (0x77b…22d) 为例:
3、ETH 直接或分批分层转到币安
截至目前,13,112 BNB 均转移至币安。
思考 :不难看出,该事件的攻击者转出资产的核心方式还是“兑换、汇集、分批、多层”,最终大部分资金都到了币安交易所,但这并不意味着目前大部分被盗资产脱离攻击者的控制,此刻就非常需要全球交易所以合规的方式联合起来,阻断攻击者的黑资产变现行为。
StableMagnet 跑路事件
概述
北京时间 6 月 23 日凌晨,币安智能链 (BSC) 上稳定币兑换自动做市商 StableMagnet 卷走用户 2400 万美元跑路。然而在事件发生前,部分用户曾收到匿名组织发来的信件,信件中暗示 StableMagnet 将 Rug Pull,但用户只是半信半疑没有做出过多举动。2400 万美元被带走的同时,用户的钱包也被洗劫,官方网站、电报群、推特全都“查无此人”。从震惊无措中缓过来的受害者们立刻联络起来,社区部分“科学家”们自发组建了核心调查组,联合币安的力量,展开了一场跌宕起伏的自救行动。
事件相关地址
项目方跑路地址:0x8bea99d414c9c50beb456c3c971e8936b151cb39
资金流向分析
经过分析,此次问题出在智能合约调用的底层函数库 ,而项目方在底层函数库 SwapUtils Library 中植入了后门,一开始就为跑路做好了准备。收割 资金,利用漏洞,卷走资金,一切就从下图的交易开始了………
在这笔交易中,项目方带走了超 800 万枚 BSC-USD、超 720 万枚 USDC 以及超 700 万枚 BUSD。资金到手,项目方没有过多停顿,立马就开始转移资金。
第一层 洗币:少部分兑换后,将资金等额分散到多个地址
为了后续更统一方便地转移,项目方先将 1,137,821 BUSD 换成 1,137,477 USDC,将 781,878 BUSD 换成 781,467 BSC-USD。
接着分别将 BUSD、USDC、BSC-USD 等额分散到以下地址:
第二层 洗币:部分资金兑换后进行跨链并转入混币平台,部分资金直接转入币安
BUSD 部分
根据分析,上图中的一部分 BUSD 换成 91 anyBTC 跨链到地址 A(bc1…gp0)。
一部分 BUSD 换成 60 anyBTC 跨链到地址 B(bc1…kfu)。
USDC 部分
根据分析,上图中的一部分 USDC 兑换为 anyETH,跨链到 5 个以太坊地址。
另一部分 USDC 兑换为 USDT,跨链到 5 个以太坊地址。
接着,将 ETH 都转移到了地址 C(0xfa9…d7b) 和地址 D(0×456…b9f)。
而这两个地址,少部分转到了第一层表格中的地址,多数转移到了 Tornado.Cash。
而 USDT 被换成 DAI,一部分停留在地址,一部分已转到混币平台 Tornado.Cash。
BSC-USD 部分
上图中的 BSC-USD 资金,皆分批转到了币安。
据了解,事件发生后几天,币安提供了嫌犯可能在香港的有效线索,社区调查者的线索也指向香港,但嫌犯在明知身份已泄露的情况下仍拒绝配合。受害者们只能将眼光转向警方,好在分别于香港、英国实现了立案。正在焦灼之时,英国警方立即受理并对该事件展开行动,在社区与匿名组织给出的有效信息支持下,警方开启了抓捕行动。值得庆幸的是,在社区与英国警方的联合力量下,回收了 90% 资产,并抓获了部分嫌疑人,这也是 DeFi 攻击史上首次由警方发起链上退款的事件。
思考 :不难看出,Tornado.Cash 等混币服务系统、闪兑平台以及一些免 KYC 的中心化机构,目前都是洗钱的重灾区。另外,在该跑路事件中英国警方起到了非常重要的作用,每个平台应该将合规与安全监管重视起来,必要时与监管执法机构合作,打击不法行为。
总结
经过上述分析,不难发现币安似乎很受攻击者的青睐。作为全球领先的加密货币交易所之一,币安最近遭遇了多个国家的监管风波,8 月 6 日,币安 CEO 赵长鹏在推特上表示,币安将从被动合规转向主动合规,随后币安上线了一系列拥抱合规的平台安全策略。监管的意义在某些攻击事件中也不言而喻,例如 Tether 对被盗的 USDT 的冻结、慢雾联合交易所对被盗资金的冻结。
在合规监管方面,慢雾发布了 AML 系统,交易平台接入 AML 系统后,一方面交易平台在收到相关盗币资金时会收到提醒,另一方面可以更好地识别高风险账户,保持平台合规性,避免平台陷入涉及洗钱的境况。 作为行业领先的安全公司,慢雾始终关注着每一件安全事件,当攻击事件发生后,我们会迅速采集攻击者相关的地址录入到 AML 系统,并进行持续监控与拉黑。 目前,慢雾 AML 系统旗下的恶意地址库已涵盖从暗网到全球数百个交易所的有关内容,包含 BTC、ETH、EOS、XRP、TRX、USDT 等恶意钱包地址,数量已突破 10 万,可识别地址标签近 2 亿, 为追踪黑客攻击、洗币行为提供了全面的情报支撑。
欢迎点击 此 免费试用慢雾 AML 系统,通过监测链上活动的实时动态,提高整个平台的风控安全与合规等级。
比推快讯
更多 >>- 美银:Stripe及以太坊平台,可能是推动数字资产之间互操作性的新渠道
- TD Cowen 将 Strategy 目标股价上调至每股 680 美元,预计 12 月 BTC 或达到 15.5 万美元
- Digital Commodities 完成 200 万美元融资,将用于购买比特币和黄金
- Bernstein:机构加密资产管理蓄势待发,比特币周期外有望拓宽至Solana及其他主流币
- 美国众议院本周将表决两项关键加密法案
- PUMP 团队仅添加 400 万美元初始流动性,当前总流动性为 5000 万美元
- Movement 基金会已完成 MOVE 回购
- 过去 24 小时 CEX 累计净流入 4788.48 枚 BTC
- 美联储等机构发布加密货币托管联合声明,为持有加密资产的银行提供操作指引
- 特朗普:我一上电视,市场就疯狂波动,我只要开口说话就能影响它
- PUMP 合约数据:全网持仓 7.26 亿美元,资金费率显示市场中性略偏向看多
- 特朗普将宣布700亿美元的人工智能和能源投资计划
- Binance 将 PUMP 盘前永续合约转换为标准永续合约
- 某巨鲸再从 CEX 提取 6000 枚 ETH,总仓位浮盈超 3800 万美元
- Wintermute: 2025 年上半年机构投资者加倍押注 BTC 和 ETH,散户投资者转向meme和山寨币
- PUMP 在 Gate 开盘触及 0.0056 美元,现报 0.00545 美元
- DWF Labs 于 50 分钟收到 25 亿枚 PUMP,或为 pump.fun 早期投资人之一
- 彭博社:曾公开质疑BTC的华尔街巨头Vanguard成Michael Saylor旗下Strategy最大股东
- 特朗普:美联储应将利率降至 1% 以下
- Pump.fun 项目方向 Wintermute 地址转移 137.5 亿枚 PUMP
- 某鲸鱼在沉寂 7 个月后将 1763 枚 ETH 存入 Kraken,价值 533 万美元
- 合约巨鲸 AguilaTrades 于 2 小时前转移 700 万 USDC 至 Coinbase
- 特朗普称将为北约制造数十亿美元军事装备以援助乌克兰
- 特朗普:共和党在参议院关于关税问题上行动强硬
- 扎克伯格:META 将在人工智能领域投资数千亿美元
- Greeks.live:多数交易者关注 13 万美元作为比特币下一个重要阻力位
- 特朗普威胁对俄罗斯征收 100%的二级关税
- 交易员 CryptoCapo:比特币的狂热情绪已经显现,出现反转只是时间问题,大多山寨币处于下行趋势
- CryptoQuant 分析师:比特币升至 12.3 万美元后获利回吐飙升,或预示将出现健康调整
- BitMine 持有 16.3 万枚 ETH,股价单日上涨 40%
- 哈萨克斯坦计划将黄金外汇储备及国家基金资产投向加密资产
- 某鲸鱼地址大幅减仓其 25 倍 ETH 多单,剩余仓位价值 2133 万美元
- Meme 币 TRUMP 已为 10 家交易所创造 1.72 亿美元交易手续费
- Coinbase:1/5 美国人每天吃巧克力,与拥有加密货币人数比例相同
- Memecore 宣布获得 Klein Labs 的战略投资
- 数据:某巨鲸近 3 小时抛售逾 1.93 万枚 ETH,约合 5905 万美元
- 沉寂 14 年 8 万枚 BTC 巨鲸半小时前转移 1 万枚 BTC
- Linea 项目负责人:代币经济学将于 7 月底公布而非 TGE,具体 TGE 时间取决于 CEX 等外部因素
- Bankless:以太坊生态已为新一轮强势上涨蓄足动能,这轮行情才刚刚开始
- 美股以太坊策略股普涨,BMNR 涨超 35%
- 招银国际在香港获批虚拟资产牌照
- CryptoQuant CEO:目前比特币供应小于需求
- 特朗普提议美联储降息至 1%引发经济学家质疑
- 伯恩斯坦:比特币价格将在 2026 年初达到 20 万美元
- 国会山加密政策周正式启动,参众两院全面交锋
- Tether 宣布赞助泰国网络安全黑客松 Cyber Warrior Hackathon
- Ondo Finance 宣布收购 Strangelove 以加速全栈 RWA 平台开发
- 摩根大通:市场仍然认为特朗普将在 8 月 1 日之前转向降低关税税率
- 数据:某巨鲸 ETH 交易操作导致资产缩水 5031 万美元
- CNN:巴西将向美国请求将关税降低至 30%
比推专栏
更多 >>观点
比推热门文章
- Grayscale秘密冲刺上市“快车道”,谁会是下一个?
- 美银:Stripe及以太坊平台,可能是推动数字资产之间互操作性的新渠道
- TD Cowen 将 Strategy 目标股价上调至每股 680 美元,预计 12 月 BTC 或达到 15.5 万美元
- Digital Commodities 完成 200 万美元融资,将用于购买比特币和黄金
- Pantera Capital: 加密项目想上市,如何定价才能让华尔街买单?
- Bernstein:机构加密资产管理蓄势待发,比特币周期外有望拓宽至Solana及其他主流币
- 美国众议院本周将表决两项关键加密法案
- PUMP 团队仅添加 400 万美元初始流动性,当前总流动性为 5000 万美元
- Movement 基金会已完成 MOVE 回购
- 过去 24 小时 CEX 累计净流入 4788.48 枚 BTC