Beosin

2023-06-26 09:26

Beosin

2023-06-26 09:26

收藏文章

订阅专栏

此前，一场涉及几千万美元的钱包被盗案件震惊了整个行业。

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，Atomic Wallet于今年 6 月初遭攻击，据Beosin 团队统计，综合链上已知的受害人报案信息，此次攻击造成的损失至少约 6000 万美元。

据 CoinDesk 报道，Atomic 钱包首席执行官 Konstantin Gladych 表示，团队现在正在收集受影响用户的数据，并表示「这次攻击绝对是由一支专业黑客团队组织的，他们正在使用脚本、资金拆分、混币器等手段」。

在这篇文章中，我们将深入探讨这起黑客盗窃案的资金清洗细节，并使用Beosin KYT虚拟资产反洗钱合规和分析平台，对黑客的洗钱套路进行追踪和分析。

事件综述

根据 Beosin 团队分析，此次被盗事件截止目前涉及的链包括 BTC、ETH、TRX 在内总共 21 条链。被盗资金主要集中在以太坊链。其中：

以太坊链

已查出被盗资金为 16262 个 ETH 价值的虚拟货币，约 3000 万美元。

波场链

波场链已知被盗资金为 251335387.3208 个 TRX 价值的虚拟货币，约 1700 万美元。

BTC 链

BTC 链已知被盗资金为 420.882 个 BTC 价值的虚拟货币，折合 1260 万美元。

BSC 链

BSC 链已知被盗资金为 40.206266 个 BNB 价值的虚拟货币。

其余链

XRP：1676015 个 XRP，约84 万美元

LTC：2839.873689 个 LTC，约22 万美元

DOGE：800575.67369797 个 DOGE，约 5 万美元

以太坊

在黑客对赃款的操作中，以太坊被攻击链路上有两种主要的方式：

1、通过合约进行发散后利用 Avalanche 跨链洗钱

根据 Beosin 团队分析，黑客会首先将钱包中有价值的币统一换成公链的主币，再通过两个合约来进行汇集。

该合约地址会通过两层中转将 ETH 打包成 WETH，再将 WETH 转入用于将 ETH 发散的合约，通过最高 5 层中转转入 Avalanche 用于 Cross Bridge 的钱包地址中进行跨链操作，该跨链不使用合约进行，属于 Avalanche 的内部记账式交易类型。

以太坊链路简图如下：

汇聚合约 1：

0xe07e2153542eb4b768b4d73081143c90d25f1d58

涉案共计 3357.0201 个 ETH

换成 WETH 后转入合约 0x3c3ed2597b140f31241281523952e936037cbed3

销赃路线详细图如下所示：

汇聚合约 2：

0x7417b428f597648d1472945ff434c395cca73245

涉案共计 3009.8874 个 ETH

黑客换成 WETH 后转入合约 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

销赃路线详细图如下所示：

两个汇聚合约通过同意手续费来源确认，部分没有交易行为地址隐藏。手续费路径如下：

目前只发现这四个有汇集赃款行为的合约。

2、不通过合约直接发散并通过各种跨链桥协议以及交易所洗钱

这一部分目前统计涉案金额为 9896 ETH，这一部分会通过多个归集地址进行归集。资金链路图如下所示：

Beosin KYT 展示的 ETH 非合约转账资金图

波场链

波场链和以太坊链类似，通过两层地址将被盗钱包虚拟货币全部转为公链本币 TRX，再向后中转。不同的是，汇集地址不再使用合约而是普通地址进行，经过分散后转入各种交易所充币地址。一部分被盗资金留在链上未转移，沉淀地址很多。

可以看到黑客洗钱渠道多，主要通过各类交易所账户进行洗钱，同时也有直接流入跨链桥合约的情况。

汇集地址主要为以下两个地址

TCSEiuNnYHJ3E1LPxAFdDd1xERWUPeUeEC

涉及流水：157,401,175.7231 TRX

TL4w1Xo6PBfa41StEgpNAZWtS65HRPgrHS

涉及流水：93,934,211.5977 TRX

路线模式见下图

Beosin KYT 展示的波场链资金流转示例图

BTC 链

BTC 已知归集地址涉案资金为 420.882 个 BTC。

BTC 链涉案地址分多个汇聚地址，汇聚地址后续无资金交叉，存在大量沉淀地址。

与其他链类似，被盗钱包资金会直接转入黑客地址，再由黑客控制经一层中转转入汇聚地址并在之后进行发散。发散层数至少 4 层，之后会进行沉淀或混入更大流水的疑似洗钱地址。

路线模式见下图：

Beosin KYT 展示的BTC 资金流转示例图

BSC 链

BSC 链只有一个地址，目前资金在链上沉淀。

 

另外 35 个 BNB 来自被盗钱包 USDT 兑币。

其余链地址

XRP：1676015 个 XRP，折合 838,007 美元

LTC：2839.873689 个 LTC，折合 217,789 美元

DOGE：800575.67369797 个 DOGE，折合 51,194 美元

上述链路模式和其他链类似，均为从钱包盗取币之后换成本币再通过一层中转进入不同的归集地址，且链上仍沉淀的地址较多。

关于本次事件的相关进展，据路透社 6 月中旬报道，爱沙尼亚警方表示正在调查该国 Atomic Wallet 用户加密货币被盗案件。爱沙尼亚当局表示，上周以来一直在调查这起盗窃案，调查仍处于早期阶段，且目前不会对攻击的源头发表评论。

由上述事件可以看到，近年来，网络犯罪、洗钱、暗网交易等涉及虚拟资产的犯罪屡见不鲜，区块链的去中心化、开放性、匿名性等特征给监管部门带来了巨大的挑战。

为了解决上面难题，以 Beosin 为代表的一众安全机构提出了一种解决思路 - KYT（Know Your Transactions），其目的是让交易平台和监管机构了解每一笔链上交易，在传统金融交易中，金融服务机构通过 KYC 和交易数据设计反洗钱系统。在虚拟资产交易中，交易平台可以利用 KYC 和 KYT 技术对每一笔交易的背后实体进行绑定，分析其交易行为，识别其犯罪逻辑，利用链上分析和追踪工具对每一笔交易进行定位，对用户进行画像，对交易进行评级，从而降低犯罪者利用虚拟资产洗钱的风险。

Beosin KYT产品根据用户的需求和能力的不同，构建定制化的合规解决方案。除了黑地址查询功能、制裁名单筛选功能、地址 / 交易风险评分功能、地址监控报警功能、追踪调查功能等能力，Beosin KYT还提供定制化风险策略管理、AI 智能虚拟资产路径追踪可视化、STR 报告导出等功能。目前，已为多个国家和地区的机构、交易所、钱包公司等提供服务，合作客户包括 Binance、OKX、HashKey Group 等。

如果您有需要，欢迎点击公众号留言框，与我们联系。

 近期热点文章阅读：

【免责声明】市场有风险，投资需谨慎。本文不构成投资建议，用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资，责任自负。