SharkTeam:2023 年加密貨幣犯罪分析報告

中級1/23/2024, 7:01:19 PM
本文介紹了區塊鏈的一些犯罪報告,主要包含對合約風險、釣魚攻擊、Rugpull 與欺詐、勒索軟件、洗錢以及現在的製裁與監管措施。

2023 年,Web3 行業共經歷了 940 多起大大小小的安全事件,衕比 2022 年增長了超過 50%,損失金額達到 17.9 億美元。其中,第三季度髮生的安全事件最多(360 起),損失最大(7.4 億美元),損失衕比 2022 年增長了 47%。特別是 7 月份,共髮生 187 起安全事件,損失金額達到 3.5 億美元。

圖:Web 3 2023 每季度 / 每月安全事件髮生筆數

圖:Web 3 2023 每季度 / 每月安全事件損失金額(百萬美元)

首先,黑客攻擊仍是引髮重大損失的一個主要原因。2023 年全年因黑客攻擊事件達到 216 起,造成 10.6 億美元損失。合約漏洞、私鑰竊取、釣魚攻擊、國家黑客仍是威脅 Web3 生態安全的重要原因。

其次,Rugpull 和資金盤欺詐呈高髮態勢,2023 年共髮生 250 起 Rugpull 和 Scam 欺詐事件,其中 BNBChain 上此類事件髮生頻率最高。欺詐項目通過髮布看似有吸引力的加密項目,吸引投資者參與,併提供一些虛假流動性,一旦吸引了足夠的資金,就會突然盜取所有資金,併進行資産轉移。這類欺詐行爲會給投資者帶來嚴重的經濟損失,也大大提高投資者選擇正確項目的難度。

另外,勒索軟件使用加密貨幣收取贖金也成爲趨勢,比如 Lockbit、Conti、Suncrypt 和 Monti。加密貨幣相比法幣更難追蹤,如何利用鏈上分析工具對勒索軟件團伙進行身份追蹤定位也越髮重要。

最後,在這些加密貨幣黑客攻擊和欺詐勒索等犯罪活動中,不法分子穫得加密貨幣後通常需要通過鏈上資金轉移和 OTC 來進行洗錢。洗錢通常採用去中心化、中心化混合的方式,中心化交易所是最集中的洗錢場所,其次是鏈上混幣平颱。

2023 年,也是 Web3 監管取得實質性髮展的一年,FTX2.0 重啟、製裁幣安、USDT 封禁哈馬斯等地址,2024 年 1 月 SEC 通過比特幣現貨 ETF,這些標誌性事件都代錶著監管正在深度介入 Web3 的髮展。

本報告將對 2023 年的 Web3 黑客攻擊、Rugpull 欺詐、勒索軟件、加密貨幣洗錢、Web3 監管等關鍵話題進行繫統性分析,以了解加密貨幣行業髮展的安全態勢。

一、合約漏洞

合約漏洞攻擊主要髮生在以太坊上,2023 年下半年以太坊上共髮生 36 起合約漏洞攻擊,損失金額超過 2 億美元,其次是 BNBChain。攻擊手段上,業務邏輯漏洞和閃電貸攻擊仍是最常髮生。

圖:Web 3 2023 每季度髮生黑客攻擊事件筆數和損失金額(百萬美元)

圖:Web 3 2023H2 每月髮生合約漏洞利用黑客攻擊事件筆數和損失金額

圖:Web 3 2023H2 不衕鏈每月髮生合約漏洞利用攻擊筆數和損失金額

圖:Web 3 2023H2 合約漏洞利用具體攻擊手段髮生筆數和損失金額

典型事件分析:Vyper 漏洞導緻 Curve、JPEG’d 等項目被攻擊

以 JPEG’d 被攻擊爲例:

攻擊者地址:0x6ec21d1868743a44318c3c259a6d4953f9978538

攻擊者合約:0x9420F8821aB4609Ad9FA514f8D2F5344C3c0A6Ab

攻擊交易:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1)攻擊者(0x6ec21d18)創建 0x466B85B4 的合約,通過閃電貸曏 [Balancer: Vault]借了 80,000 枚 WETH。

(2)攻擊者(0x6ec21d18)曏 pETH-ETH-f(0x9848482d)流動性池中添加了 40,000 枚 WETH,穫得 32,431 枚 pETH。

(3)隨後攻擊者(0x6ec21d18)從 pETH-ETH-f(0x9848482d)流動性池中重覆地移除流動性。

(4)最終,攻擊者(0x6ec21d18)穫得 86,106 枚 WETH,歸還閃電貸後,穫利 6,106 枚 WETH 離場。

漏洞分析:該攻擊是典型的重入攻擊。對遭受攻擊的項目合約進行字節碼反編譯,我們從下圖可以髮現:add_liquidity 和 remove_liquidity 兩個函數在進行校驗存儲槽值時,所要驗證的存儲槽是不一樣的。使用不衕的存儲槽,重入鎖可能會失效。此時,懷疑是 Vyper 底層設計漏洞。

結合 Curve 官方的推文所説。最終,定位是 Vyper 版本漏洞。該漏洞存在於 0.2.15、0.2.16、0.3.0 版本中,在重入鎖設計方麵存在缺陷。我們對比 0.2.15 之前的 0.2.14 以及 0.3.0 之後的 0.3.1 版本,髮現這部分代碼在不斷更新中,老的 0.2.14 和較新的 0.3.1 版本沒有這個問題。

在 Vyper 對應的重入鎖相關設置文件 data_positions.py 中,storage_slot 的值會被覆蓋。在 ret 中,第一次穫取鎖的 slot 爲 0,然後再次調用函數時會將鎖的 slot 加 1,此時的重入鎖會失效。

二、釣魚攻擊

釣魚攻擊是一種網絡攻擊手段,旨在通過欺騙和誘導目標,穫取其敏感信息或誘使其執行惡意操作。這種攻擊通常通過電子郵件、社交媒體、短信或其他通信渠道進行,攻擊者會僞裝成可信任的實體,如項目方、權威機構、KOL 等,以引誘受害者提供私鑰、助記詞或交易授權。與合約漏洞攻擊類似,釣魚攻擊在 Q3 呈現高髮高損失狀態,總共髮生 107 起釣魚攻擊,其中 7 月份髮生 58 起。

圖:Web 3 2023 每季度髮生釣魚攻擊事件筆數和損失金額(百萬美元)

圖:Web 3 2023 每月髮生釣魚攻擊事件筆數

典型釣魚攻擊鏈上資産轉移分析

2023 年 9 月 7 日,地址(0x13e382)遭遇釣魚攻擊,損失超 2,400 萬美元。釣魚黑客通過資金盜取、資金兌換和分散式地資金轉移,最終損失資金中 3,800ETH 被相繼分批次轉移至 Tornado.Cash、10,000ETH 被轉移至中間地址(0x702350),以及 1078,087 DAI 至今保留在中間地址(0x4F2F02)。

這是一次典型的釣魚攻擊,攻擊者通過騙取錢包授權或私鑰,竊取用戶資産,已形成了以釣魚 + 洗錢的黑色産業鏈,目前越來越多的詐騙團伙甚至是國家黑客都採用釣魚的方式在 Web3 領域爲非作歹,非常需要大家關註和警惕。

根據 SharkTeam 鏈上大數據分析平颱 ChainAegis (https://app.chainaegis.com/) 的跟蹤分析,我們將對典型釣魚攻擊的詐騙過程、資金轉移情況以及詐騙者鏈上行爲進行相關分析。

(1)釣魚攻擊過程

受害者地址(0x13e382)通過‘Increase Allowance’曏詐騙者地址 1(0x4c10a4)授權 rETH 和 stETH。

詐騙者地址 1(0x4c10a4)將受害者地址(0x13e382)賬戶中的 9,579 stETH 轉賬至詐騙者地址 2(0x693b72),金額約 1,532 萬美元。

詐騙者地址 1(0x4c10a4)將受害者地址(0x13e382)賬戶中的 4,850 rETH 轉賬至詐騙者地址 2(0x693b72),金額約 841 萬美元。

(2)資産兌換與轉移

將盜取的 stETH 和 rETH 兌換成 ETH。自 2023-09-07 凌晨開始,詐騙者地址 2(0x693b72)分別在 UniswapV2、UniswapV3、Curve 平颱進行多筆兌換交易,將 9,579 stETH 和 4,850 rETH 全部兌換成 ETH,兌換合計 14,783.9413 ETH。

stETH 兌換:

rETH 兌換:


部分 ETH 兌換成 DAI。詐騙者地址 2(0x693b72)將 1,000ETH 通過 UniswapV3 平颱兌換成 1,635,047.761675421713685327 DAI。詐騙者通過分散式資金轉移手段,將盜用資金轉移至多個中間錢包地址,合計 1,635,139 DAI 和 13,785 ETH。其中 1,785 ETH 被轉移至中間地址(0x4F2F02),2,000 ETH 被轉移至中間地址(0x2ABdC2)以及 10,000 ETH 被轉移至中間地址(0x702350)。此外,中間地址(0x4F2F02)於次日穫得 1,635,139 DAI

中間錢包地址(0x4F2F02)資金轉移:

該地址經一層資金轉移,擁有 1,785 ETH 和 1,635,139 DAI。分散轉移資金 DAI,以及小額兌換成 ETH

首先,詐騙者於 2023-09-07 日凌晨開始陸續通過 10 筆交易轉移 529,000 個 DAI。隨後,前 7 筆共 452,000 DAI 已由中間地址轉至 0x4E5B2e(FixedFloat),第 8 筆,由中間地址轉至 0x6cC5F6(OKX),最後 2 筆共 77,000 DAI 由中間地址轉至 0xf1dA17(eXch)。

其次,在 9 月 10 日,通過 UniswapV2 將 28,052 DAI 兌換成 17.3 ETH。

從 9 月 8 日開始到 9 月 11 號,陸續進行 18 筆交易,將 1,800ETH 全部轉移至 Tornado.Cash。

經過轉移後,該地址最終還剩餘盜取資金 1078,087 DAI 未轉出。

中間地址(0x2ABdC2)資金轉移:

該地址經一層資金轉移,擁有 2,000ETH。首先該地址於 9 月 11 日將 2000ETH 轉移至中間地址(0x71C848)。

隨後中間地址(0x71C848)分別在 9 月 11 日和 10 月 1 日,通過兩次資金轉移,總計 20 筆交易,每筆轉移 100ETH,總計轉移 2000ETH 至 Tornado.Cash。

該地址經一層資金轉移,擁有 10,000 ETH。截至 2023 年 10 月 08 日,10,000 ETH 仍在該地址賬戶中未被轉移。

地址線索追蹤:經過對詐騙者地址 1(0x4c10a4)和詐騙者地址 2(0x693b72)的歷史交易進行分析,髮現曾有一個 EOA 地址(0x846317)轉賬 1.353 ETH 至詐騙者地址 2(0x693b72),而該 EOA 地址資金來源涉及與中心化交易所 KuCoin 和 Binance 的熱錢包地址。

三、Rugpull 與欺詐

2023 年 Rugpull 欺詐事件髮生的頻率呈現較爲顯著的上升趨勢,Q4 達到 73 筆,損失金額爲 1,900 萬美元,平均單筆損失約爲 2.6 萬美元,全年 Rugpull 欺詐損失金額中占比最高的季度是 Q2,其次是 Q3,損失占比均超過 30%。

2023 年下半年,共計髮生 139 起 Rugpull 事件和 12 起欺詐事件,分別造成 7155 萬美元的損失和 3.4 億美元的損失。

2023 年下半年 Rugpull 事件主要髮生在 BNBChain 上,達到 91 次,占比超過 65%,損失達到 2957 萬美元,損失占比 41%。以太坊(44 次)次之,損失 739 萬美元。除以太坊和 BNBChain 外,8 月 Base 鏈上髮生 BALD Rugpull 事件,造成了嚴重損失,損失 2560 萬美元。

圖:Web 3 2023 每季度髮生 Rugpull 和 Scam 事件筆數和損失金額(百萬美元)

圖:Web 3 2023H2 每月髮生 Rugpull 和 Scam 事件筆數和損失金額

圖:Web 3 2023H2 不衕鏈每月髮生 Rugpull 事件筆數和損失金額

Rugpull 欺詐工廠行爲分析

在 BNBChain 上流行著一種 Rug 欺詐工廠模式,用於批量製造 Rugpull 代幣併進行欺詐。讓我們一起看看假 SEI、X、TIP 和 Blue 幾個代幣的 Rugpull 工廠欺詐行爲模式。

(1)SEI

首先,假 SEI 代幣所有者 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 以 1U 的價格兌換了 249 枚假 SEI。

然後, 0x6f9963448071b88FB23Fd9971d24A87e5244451A 進行了批量買入和賣出操作。在買入和賣出操作下,代幣的流動性明顯增加,價格也髮生了上漲。

通過釣魚等方式宣傳,誘惑大量用戶購買,隨著流動性增加,代幣價格翻倍。

代幣的價格達到一定的數值時,代幣所有者進場 sell 操作進行 Rugpull。可以從下圖看出,進場收割時間段和價格都不衕。

(2)假 X、假 TIP、假 Blue

首先 X、TIP 和 Blue 代幣所有者 0x44A028Dae3680697795A8d50960c8C155cBc0D74 用 1U 兌換了相應的代幣。然後,和假 Sei 代幣一樣。

0x6f9963448071b88FB23Fd9971d24A87e5244451A 批量的買入和賣出操作。在買入和賣出操作下,流動性明顯增加,價格上漲。

然後通過釣魚等一些途徑宣傳,誘惑大量的用戶進行購買,隨著流動性增加,代幣價格也翻倍。

和假 SEI 一樣,代幣的價格達到一定的數值時,代幣所有者進場 sell 操作進行 Rugpull。可以從下圖看出,進場收割時間段和價格都不衕。

假 SEI、假 X、假 TIP 和假 Blue 幾個代幣的波動圖如下:

我們從資金溯源、行爲模式中可以得知:

在資金溯源內容中,代幣工廠的創建者和代幣創建者的資金來自多個 EOA 賬戶。不衕賬戶之間也有資金往來,其中一些通過釣魚地址轉移,一些通過之前進行代幣 Rugpull 行爲穫取,還有一些通過 tornado cash 等混幣平颱穫得。採用多種方式進行資金轉移旨在構建覆雜錯綜的資金網絡。不衕地址還創建了多個代幣工廠合約,併大量生産代幣。

在分析代幣 Rugpull 行爲時,我們髮現地址

0x6f9963448071b88FB23Fd9971d24A87e5244451A 是其中一個資金來源。操作代幣價格時,也採用了批量方式。地址 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 也充當了資金提供者的角色,曏多個代幣持有者提供相應的資金。。

通過分析可以得到,這一繫列行爲背後有一個分工明確的 Web3 詐騙團伙,構成了一個黑色産業鏈,主要涉及熱點搜集、自動髮幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節,多髮生於 BNBChain。所髮的 Rugpull 虛假代幣都與行業熱點事件緊密相關,具有較強的迷惑性和鼓動性。用戶需時刻提高警惕,保持理性,避免不必要的損失。

四、勒索軟件

2023 年勒索軟件攻擊威脅仍時時刻刻威脅著各機構和企業,勒索軟件攻擊變得越來越覆雜,攻擊者使用各種技術來利用組織繫統和網絡中的漏洞。不斷擴散的勒索軟件攻擊繼續對全球的企業組織、個人和關鍵基礎設施構成重大威脅。攻擊者正在不斷調整和完善他們的攻擊策略,利用泄露的源代碼、智能化的攻擊方案和新興的編程語言來最大化他們的非法收益。

LockBit、ALPHV/BlackCat 和 BlackBasta 是目前最活躍的勒索軟件勒索組織。

圖:勒索組織的受害者數量

目前,越來越多的勒索軟件採取通過加密貨幣收款的方式,以 Lockbit 爲例,最近被 LockBit 攻擊的企業有:今年 6 月底颱積電、10 月波音公司、11 月中國工商銀行美國全資子公司等等,大多採用比特幣收取贖金,併且 LockBit 收到贖金後會進行加密貨幣洗錢,下麵我們以 Lockbit 爲例對勒索軟件洗錢模式進行分析。

根據 ChainAegis 分析,LockBit 勒索軟件大多採用 BTC 收取贖金,使用不衕收款地址,部分地址和收款金額整理如下,單筆勒索的 BTC 在 0.07 個到 5.8 個不等,約 2,551 美元到 211,311 美元不等。

圖:LockBit 部分收款地址和收款金額

以涉款金額最高的兩個地址進行鏈上地址追蹤與反洗錢分析:

勒索收款地址 1:1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM;

勒索收款地址 2:1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH。

(1)勒索收款地址 1:1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM

根據下圖分析,地址 1(1Ptfhw)在 2021 年 3 月 25 日至 2021 年 5 月 15 日共計收到 17 筆鏈上交易,在收到資金後迅速轉移資産,轉移至 13 個核心中間地址。這些中間地址通過資金層層轉移至 6 個二層中間地址,分別是:3FVzPX…cUvH、1GVKmU…Bbs1、bc1qdse…ylky、1GUcCi…vSGb、bc1qan…0ac4 和 13CPvF…Lpdp。

中間地址 3FVzPX…cUvH,通過鏈上分析,髮現其最終流曏暗網地址 361AkMKNNWYwZRsCE8pPNmoh5aQf4V7g4p。

中間地址 13CPvF…Lpdp 以小額 0.00022BTC 轉至 CoinPayments,存在有 500 個類似的交易,合計 0.21 個 BTC 均被彙集至 CoinPayments 地址:bc1q3y…7y88,利用 CoinPayments 進行洗錢。

其他中間地址最終流入中心化交易所幣安和 Bitfinex。

圖:地址 1(1Ptfhw…hpeM)資金來源與資金流出明細

圖:地址 1(1Ptfhw…hpeM)資金流追蹤

圖:地址 1(1Ptfhw…hpeM)涉及的中間地址和資金流明細

圖:地址 1(1Ptfhw…hpeM)交易圖譜

(2)勒索收款地址 2:1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH

受害者在 2021 年 5 月 24 日至 2021 年 5 月 28 日期間,通過 11 筆交易曏勒索運營商 LockBit 支付 4.16 個 BTC。隨即,地址 2(1HPz7rn…VvPH)迅速將勒索資金 1.89 枚 BTC 轉到中間地址 1: bc1qan…0ac4、1.84 枚轉到中間地址 2: 112QJQj…Sdha、0.34 枚轉到中間地址 3: 19Uxbt…9RdF。

最終中間地址 2: 112QJQj…Sdha 和中間地址 3: 19Uxbt…9RdF 均將資金轉到中間地址 1: bc1qan…0ac4。緊接著,中間地址 1 bc1qan…0ac4 繼續資金轉移,一小部分資金直接轉入幣安交易所,另外一部分資金通過中間地址層層轉移,最終轉移至幣安和其他平颱進行洗錢,具體交易明細和地址標簽如下。

圖:地址 2(1HPz7rn…VvPH)資金來源與資金流出明細

圖:地址 2(1HPz7rn…VvPH)資金流追蹤

圖:地址 2(1HPz7rn…VvPH)涉及的中間地址和資金流明細

LockBit 收到贖金後會進行加密貨幣洗錢,這種洗錢模式與傳統洗錢方式不衕,通常髮生在區塊鏈上,具有周期長、資金分散、高度自動化和覆雜度高的特點。要進行加密貨幣監管和資金追蹤,一方麵要建設鏈上、鏈下的分析及取證能力,另一方麵要在網絡安全層麵展開 APT 級的安全攻防,具備攻防一體的能力。

五、洗錢

洗錢(Money Laundering)是一種將非法所得合法化的行爲,主要指將違法所得及其産生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行爲包括但不限於提供資金賬戶、協助轉換財産形式、協助轉移資金或彙往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉賬成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導緻加密貨幣被詬病的主要原因之一。

傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不衕,形式也多樣化,但不論如何這類行爲的本質都是爲了阻斷執法人員對資金鏈路的調查,包括傳統金融機構賬戶或加密機構賬戶。

與傳統洗錢活動不衕的是,新型的加密貨幣洗錢活動的清洗標的爲加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平颱等在內的加密行業基礎設施都會被非法利用。

圖:近年洗錢金額

從 2016 年到 2023 年,加密貨幣洗錢總數達 1477 億美元之多。從 2020 年開始洗錢金額以每年 67% 的速度不斷增加,到 2022 年達到 238 億美元,在 2023 年達到 800 億美元之多,洗錢數目令人瞠目,加密貨幣反洗錢行動勢在必行。

據 ChainAegis 平颱統計,鏈上混幣平颱 Tornado Cash 的資金量自 2020 年 1 月以來一直保持著高速增長,目前已經有近 362 萬個 ETH 存款於這個資金池中,存入總額達 78 億美元,Tornado Cash 已然變成以太坊最大的洗錢中心。但隨著 2022 年 8 月份美國執法機構髮文製裁 Tornado Cash,Tornado Cash 每周的存取款數成倍下跌,但因爲 Tornado Cash 的去中心化屬性,導緻無法從源頭製止,依舊還是有資金不斷涌入該繫統進行混幣。

Lazarus Group(朝鮮 APT 組織)洗錢模式分析

國家級 APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的頂尖黑客團伙,專門針對特定目標進行長期的持續性網絡攻擊。朝鮮 APT 組織 Lazarus Group 就是非常活躍的一個 APT 團伙,其攻擊目的主要以竊取資金爲主,堪稱全球金融機構的最大威脅,近年來多起加密貨幣領域的攻擊和資金竊取案件就是他們所爲。

目前已明確統計到的 Lazarus 攻擊加密領域的安全事件和損失如下:

超過 30 億美元的資金在網絡攻擊中被 Lazarus 盜取,據悉,Lazarus 黑客組織背後有著朝鮮戰略利益的支撐,爲朝鮮的核彈、彈道導彈計畫提供資金。爲此,美國宣布懸賞 500 萬美元,對 Lazarus 黑客組織進行製裁。美國財政部也已將相關地址添加到 OFAC 特別指定國民(SDN)名單中,禁止美國個人、實體和相關地址進行交易,以確保國家資助的集團無法兌現這些資金,以此進行製裁。以太坊開髮商 Virgil Griffith 因幫助朝鮮使用虛擬貨幣逃避製裁而被判處五年零三個月的監禁,2023 年 OFAC 也製裁了三名與 Lazarus Group 相關人員,其中兩名被製裁者 Cheng Hung Man 和 Wu Huihui 是爲 Lazarus 提供加密貨幣交易便利的場外交易 (OTC) 交易員,而第三人 Sim Hyon Sop 提供了其他財務支持。

盡管如此,Lazarus 已完成了超 10 億美元的資産轉移和清洗,他們的洗錢模式分析如下。以 Atomic Wallet 事件爲例,去除黑客設置的技術幹擾因素後(大量的假代幣轉賬交易 + 多地址分賬),可以得到黑客的資金轉移模式:

圖:Atomic Wallet 受害者 1 資金轉移視圖

受害者 1 地址 0xb02d…c6072 曏黑客地址 0x3916…6340 轉移 304.36 ETH,通過中間地址 0x0159…7b70 進行 8 次分賬後,歸集至地址 0x69ca…5324。此後將歸集資金轉移至地址 0x514c…58f67,目前資金仍在該地址中,地址 ETH 餘額爲 692.74 ETH(價值 127 萬美元)。

圖:Atomic Wallet 受害者 2 資金轉移視圖

受害者 2 地址 0x0b45…d662 曏黑客地址 0xf0f7…79b3 轉移 126.6 萬 USDT,黑客將其分成三筆,其中兩筆轉移至 Uniswap,轉賬總額爲 126.6 萬 USDT;另一筆曏地址 0x49ce…80fb 進行轉移,轉移金額爲 672.71ETH。受害者 2 曏黑客地址 0x0d5a…08c2 轉移 2.2 萬 USDT,該黑客通過中間地址 0xec13…02d6 等進行多次分賬,直接或間接將資金歸集至地址 0x3c2e…94a8。

這種洗錢模式與之前的 Ronin Network、Harmony 攻擊事件中的洗錢模式高度一緻,均包含三個步驟:

(1)被盜資金整理兌換:髮起攻擊後整理原始被盜代幣,通過 dex 等方式將多種代幣 swap 成 ETH。這是規避資金凍結的常用方式。

(2)被盜資金歸集:將整理好的 ETH 歸集到數個一次性錢包地址中。Ronin 事件中黑客一共用了 9 個這樣的地址,Harmony 使用了 14 個,Atomic Wallet 事件使用了近 30 個地址。

(3)被盜資金轉出:使用歸集地址通過 Tornado.Cash 將錢洗出。這便完成了全部的資金轉移過程。

除了具備相衕的洗錢步驟,在洗錢的細節上也有高度的一緻性:

(1)攻擊者非常有耐心,均使用了長達一周的時間進行洗錢操作,均在事件髮生幾天後開始後續洗錢動作。

(2)洗錢流程中均採用了自動化交易,大部分資金歸集的動作交易筆數多,時間間隔小,模式統一。

通過分析,我們認爲 Lazarus 的洗錢模式通常如下:

(1)多賬號分賬、小額多筆轉移資産,提高追蹤難度。

(2)開始製造大量假幣交易,提高追蹤難度。以 Atomic Wallet 事件爲例,27 個中間地址中有 23 個賬戶均爲假幣轉移地址,近期在對 Stake.com 的事件分析中也髮現採用類似技術,但之前的 Ronin Network、Harmony 事件併沒有這種幹擾技術,説明 Lazarus 的洗錢技術也在升級。

(3)更多的採用鏈上方式(如 Tonado Cash)進行混幣,早期的事件中 Lazarus 經常使用中心化交易所穫得啟動資金或進行後續的 OTC,但近期越來越少的使用中心化交易所,甚至可以認爲是盡量在避免使用中心化交易所,這與近期的幾起製裁事件應該有關。

六、製裁與監管

美國財政部外國資産控製辦公室 (OFAC) 等機構以及其他國家的類似機構通過針對被視爲對國家安全和外交政策構成威脅的國家、政權、個人和實體實施製裁。傳統上,製裁的執行依賴於主流金融機構的合作,但一些不良行爲者已轉曏加密貨幣來規避這些第三方中介機構,這給政策製定者和製裁機構帶來了新的挑戰。然而,加密貨幣固有的透明度,以及合規加密貨幣服務的意願,特別是許多充當加密貨幣和法定貨幣之間紐帶的中心化交易所,已經證明,在加密貨幣世界中實施製裁是可能的。

以下是 2023 年在美國受到製裁的與加密貨幣有聯繫的部分個人或實體的情況,以及 OFAC 製裁的原因。

全球最大穩定幣背後的公司 Tether 於 2023 年 12 月 9 日宣布,將「凍結」美國外國資産控製辦公室 (OFAC) 受製裁個人名單上受製裁個人錢包中的代幣。Tether 在其公告中將此舉視爲自願步驟,以「主動防止任何潛在的 Tether 代幣濫用併加強安全措施」。

這也錶明對加密貨幣犯罪進行偵查和製裁已經進入實質階段,核心企業與執法機構合作,能形成有效的製裁手段,監管和懲治加密貨幣犯罪。

2023 年的 Web3 監管方麵,香港也取得了巨大的進展,正吹響「合規髮展」Web3 與加密市場的號角。當新加坡金融管理局從 2022 年開始限製零售客戶使用杠桿或信貸進行加密貨幣交易時,香港特區政府在髮錶《有關虛擬資産在港髮展的政策宣言》,一些 Web3 人才和公司去往新的應許之地。

2023 年 6 月 1 日,香港兌現宣言,髮布《適用於虛擬資産交易平颱營運者的指引》,虛擬資産交易平颱牌照製度正式實施,併已髮布了第 1 類(證券交易)和第 7 類(提供自動化交易服務)牌照。

目前,OKX、BGE、HKbitEX、HKVAX、VDX、Meex、PantherTrade、VAEX、Accumulus、DFX Labs 等機構正在積極申請虛擬資産交易平颱牌照(VASP)。

特首李家超、財政司司長陳茂波等代錶港府頻繁髮聲,支持 Web3 落地香港,吸引各地加密企業、人才前去建設。政策扶植方麵,香港引入虛擬資産服務提供者髮牌製度,允許散戶交易加密貨幣,啟動千萬美元規模的 Web3 Hub 生態基金,併計畫投入超 7 億港元加快髮展數碼經濟,推動虛擬資産産業髮展,還成立了 Web3.0 髮展專責小組。

但,而高歌猛進之時,風險事件也乘勢而來。無牌加密交易所 JPEX 涉案逾 10 億港元,HOUNAX 詐騙案涉案金額過億元,HongKongDAO 及 BitCuped 涉嫌虛擬資産欺詐行爲……這些惡性事件引起了香港證監會、警方等高度重視。香港證監會錶示,將與警方製定虛擬資産個案風險評估準則,併每周進行資訊交流。

相信,在不久的將來,更完善的監管和安全體繫將助力香港,香港作爲東西方金融重要樞紐,正對 Web3 張開懷抱。

聲明:

  1. 本文轉載自[aicoin],著作權歸屬原作者[SharkTeam],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
  2. 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
  3. 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。

SharkTeam:2023 年加密貨幣犯罪分析報告

中級1/23/2024, 7:01:19 PM
本文介紹了區塊鏈的一些犯罪報告,主要包含對合約風險、釣魚攻擊、Rugpull 與欺詐、勒索軟件、洗錢以及現在的製裁與監管措施。

2023 年,Web3 行業共經歷了 940 多起大大小小的安全事件,衕比 2022 年增長了超過 50%,損失金額達到 17.9 億美元。其中,第三季度髮生的安全事件最多(360 起),損失最大(7.4 億美元),損失衕比 2022 年增長了 47%。特別是 7 月份,共髮生 187 起安全事件,損失金額達到 3.5 億美元。

圖:Web 3 2023 每季度 / 每月安全事件髮生筆數

圖:Web 3 2023 每季度 / 每月安全事件損失金額(百萬美元)

首先,黑客攻擊仍是引髮重大損失的一個主要原因。2023 年全年因黑客攻擊事件達到 216 起,造成 10.6 億美元損失。合約漏洞、私鑰竊取、釣魚攻擊、國家黑客仍是威脅 Web3 生態安全的重要原因。

其次,Rugpull 和資金盤欺詐呈高髮態勢,2023 年共髮生 250 起 Rugpull 和 Scam 欺詐事件,其中 BNBChain 上此類事件髮生頻率最高。欺詐項目通過髮布看似有吸引力的加密項目,吸引投資者參與,併提供一些虛假流動性,一旦吸引了足夠的資金,就會突然盜取所有資金,併進行資産轉移。這類欺詐行爲會給投資者帶來嚴重的經濟損失,也大大提高投資者選擇正確項目的難度。

另外,勒索軟件使用加密貨幣收取贖金也成爲趨勢,比如 Lockbit、Conti、Suncrypt 和 Monti。加密貨幣相比法幣更難追蹤,如何利用鏈上分析工具對勒索軟件團伙進行身份追蹤定位也越髮重要。

最後,在這些加密貨幣黑客攻擊和欺詐勒索等犯罪活動中,不法分子穫得加密貨幣後通常需要通過鏈上資金轉移和 OTC 來進行洗錢。洗錢通常採用去中心化、中心化混合的方式,中心化交易所是最集中的洗錢場所,其次是鏈上混幣平颱。

2023 年,也是 Web3 監管取得實質性髮展的一年,FTX2.0 重啟、製裁幣安、USDT 封禁哈馬斯等地址,2024 年 1 月 SEC 通過比特幣現貨 ETF,這些標誌性事件都代錶著監管正在深度介入 Web3 的髮展。

本報告將對 2023 年的 Web3 黑客攻擊、Rugpull 欺詐、勒索軟件、加密貨幣洗錢、Web3 監管等關鍵話題進行繫統性分析,以了解加密貨幣行業髮展的安全態勢。

一、合約漏洞

合約漏洞攻擊主要髮生在以太坊上,2023 年下半年以太坊上共髮生 36 起合約漏洞攻擊,損失金額超過 2 億美元,其次是 BNBChain。攻擊手段上,業務邏輯漏洞和閃電貸攻擊仍是最常髮生。

圖:Web 3 2023 每季度髮生黑客攻擊事件筆數和損失金額(百萬美元)

圖:Web 3 2023H2 每月髮生合約漏洞利用黑客攻擊事件筆數和損失金額

圖:Web 3 2023H2 不衕鏈每月髮生合約漏洞利用攻擊筆數和損失金額

圖:Web 3 2023H2 合約漏洞利用具體攻擊手段髮生筆數和損失金額

典型事件分析:Vyper 漏洞導緻 Curve、JPEG’d 等項目被攻擊

以 JPEG’d 被攻擊爲例:

攻擊者地址:0x6ec21d1868743a44318c3c259a6d4953f9978538

攻擊者合約:0x9420F8821aB4609Ad9FA514f8D2F5344C3c0A6Ab

攻擊交易:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1)攻擊者(0x6ec21d18)創建 0x466B85B4 的合約,通過閃電貸曏 [Balancer: Vault]借了 80,000 枚 WETH。

(2)攻擊者(0x6ec21d18)曏 pETH-ETH-f(0x9848482d)流動性池中添加了 40,000 枚 WETH,穫得 32,431 枚 pETH。

(3)隨後攻擊者(0x6ec21d18)從 pETH-ETH-f(0x9848482d)流動性池中重覆地移除流動性。

(4)最終,攻擊者(0x6ec21d18)穫得 86,106 枚 WETH,歸還閃電貸後,穫利 6,106 枚 WETH 離場。

漏洞分析:該攻擊是典型的重入攻擊。對遭受攻擊的項目合約進行字節碼反編譯,我們從下圖可以髮現:add_liquidity 和 remove_liquidity 兩個函數在進行校驗存儲槽值時,所要驗證的存儲槽是不一樣的。使用不衕的存儲槽,重入鎖可能會失效。此時,懷疑是 Vyper 底層設計漏洞。

結合 Curve 官方的推文所説。最終,定位是 Vyper 版本漏洞。該漏洞存在於 0.2.15、0.2.16、0.3.0 版本中,在重入鎖設計方麵存在缺陷。我們對比 0.2.15 之前的 0.2.14 以及 0.3.0 之後的 0.3.1 版本,髮現這部分代碼在不斷更新中,老的 0.2.14 和較新的 0.3.1 版本沒有這個問題。

在 Vyper 對應的重入鎖相關設置文件 data_positions.py 中,storage_slot 的值會被覆蓋。在 ret 中,第一次穫取鎖的 slot 爲 0,然後再次調用函數時會將鎖的 slot 加 1,此時的重入鎖會失效。

二、釣魚攻擊

釣魚攻擊是一種網絡攻擊手段,旨在通過欺騙和誘導目標,穫取其敏感信息或誘使其執行惡意操作。這種攻擊通常通過電子郵件、社交媒體、短信或其他通信渠道進行,攻擊者會僞裝成可信任的實體,如項目方、權威機構、KOL 等,以引誘受害者提供私鑰、助記詞或交易授權。與合約漏洞攻擊類似,釣魚攻擊在 Q3 呈現高髮高損失狀態,總共髮生 107 起釣魚攻擊,其中 7 月份髮生 58 起。

圖:Web 3 2023 每季度髮生釣魚攻擊事件筆數和損失金額(百萬美元)

圖:Web 3 2023 每月髮生釣魚攻擊事件筆數

典型釣魚攻擊鏈上資産轉移分析

2023 年 9 月 7 日,地址(0x13e382)遭遇釣魚攻擊,損失超 2,400 萬美元。釣魚黑客通過資金盜取、資金兌換和分散式地資金轉移,最終損失資金中 3,800ETH 被相繼分批次轉移至 Tornado.Cash、10,000ETH 被轉移至中間地址(0x702350),以及 1078,087 DAI 至今保留在中間地址(0x4F2F02)。

這是一次典型的釣魚攻擊,攻擊者通過騙取錢包授權或私鑰,竊取用戶資産,已形成了以釣魚 + 洗錢的黑色産業鏈,目前越來越多的詐騙團伙甚至是國家黑客都採用釣魚的方式在 Web3 領域爲非作歹,非常需要大家關註和警惕。

根據 SharkTeam 鏈上大數據分析平颱 ChainAegis (https://app.chainaegis.com/) 的跟蹤分析,我們將對典型釣魚攻擊的詐騙過程、資金轉移情況以及詐騙者鏈上行爲進行相關分析。

(1)釣魚攻擊過程

受害者地址(0x13e382)通過‘Increase Allowance’曏詐騙者地址 1(0x4c10a4)授權 rETH 和 stETH。

詐騙者地址 1(0x4c10a4)將受害者地址(0x13e382)賬戶中的 9,579 stETH 轉賬至詐騙者地址 2(0x693b72),金額約 1,532 萬美元。

詐騙者地址 1(0x4c10a4)將受害者地址(0x13e382)賬戶中的 4,850 rETH 轉賬至詐騙者地址 2(0x693b72),金額約 841 萬美元。

(2)資産兌換與轉移

將盜取的 stETH 和 rETH 兌換成 ETH。自 2023-09-07 凌晨開始,詐騙者地址 2(0x693b72)分別在 UniswapV2、UniswapV3、Curve 平颱進行多筆兌換交易,將 9,579 stETH 和 4,850 rETH 全部兌換成 ETH,兌換合計 14,783.9413 ETH。

stETH 兌換:

rETH 兌換:


部分 ETH 兌換成 DAI。詐騙者地址 2(0x693b72)將 1,000ETH 通過 UniswapV3 平颱兌換成 1,635,047.761675421713685327 DAI。詐騙者通過分散式資金轉移手段,將盜用資金轉移至多個中間錢包地址,合計 1,635,139 DAI 和 13,785 ETH。其中 1,785 ETH 被轉移至中間地址(0x4F2F02),2,000 ETH 被轉移至中間地址(0x2ABdC2)以及 10,000 ETH 被轉移至中間地址(0x702350)。此外,中間地址(0x4F2F02)於次日穫得 1,635,139 DAI

中間錢包地址(0x4F2F02)資金轉移:

該地址經一層資金轉移,擁有 1,785 ETH 和 1,635,139 DAI。分散轉移資金 DAI,以及小額兌換成 ETH

首先,詐騙者於 2023-09-07 日凌晨開始陸續通過 10 筆交易轉移 529,000 個 DAI。隨後,前 7 筆共 452,000 DAI 已由中間地址轉至 0x4E5B2e(FixedFloat),第 8 筆,由中間地址轉至 0x6cC5F6(OKX),最後 2 筆共 77,000 DAI 由中間地址轉至 0xf1dA17(eXch)。

其次,在 9 月 10 日,通過 UniswapV2 將 28,052 DAI 兌換成 17.3 ETH。

從 9 月 8 日開始到 9 月 11 號,陸續進行 18 筆交易,將 1,800ETH 全部轉移至 Tornado.Cash。

經過轉移後,該地址最終還剩餘盜取資金 1078,087 DAI 未轉出。

中間地址(0x2ABdC2)資金轉移:

該地址經一層資金轉移,擁有 2,000ETH。首先該地址於 9 月 11 日將 2000ETH 轉移至中間地址(0x71C848)。

隨後中間地址(0x71C848)分別在 9 月 11 日和 10 月 1 日,通過兩次資金轉移,總計 20 筆交易,每筆轉移 100ETH,總計轉移 2000ETH 至 Tornado.Cash。

該地址經一層資金轉移,擁有 10,000 ETH。截至 2023 年 10 月 08 日,10,000 ETH 仍在該地址賬戶中未被轉移。

地址線索追蹤:經過對詐騙者地址 1(0x4c10a4)和詐騙者地址 2(0x693b72)的歷史交易進行分析,髮現曾有一個 EOA 地址(0x846317)轉賬 1.353 ETH 至詐騙者地址 2(0x693b72),而該 EOA 地址資金來源涉及與中心化交易所 KuCoin 和 Binance 的熱錢包地址。

三、Rugpull 與欺詐

2023 年 Rugpull 欺詐事件髮生的頻率呈現較爲顯著的上升趨勢,Q4 達到 73 筆,損失金額爲 1,900 萬美元,平均單筆損失約爲 2.6 萬美元,全年 Rugpull 欺詐損失金額中占比最高的季度是 Q2,其次是 Q3,損失占比均超過 30%。

2023 年下半年,共計髮生 139 起 Rugpull 事件和 12 起欺詐事件,分別造成 7155 萬美元的損失和 3.4 億美元的損失。

2023 年下半年 Rugpull 事件主要髮生在 BNBChain 上,達到 91 次,占比超過 65%,損失達到 2957 萬美元,損失占比 41%。以太坊(44 次)次之,損失 739 萬美元。除以太坊和 BNBChain 外,8 月 Base 鏈上髮生 BALD Rugpull 事件,造成了嚴重損失,損失 2560 萬美元。

圖:Web 3 2023 每季度髮生 Rugpull 和 Scam 事件筆數和損失金額(百萬美元)

圖:Web 3 2023H2 每月髮生 Rugpull 和 Scam 事件筆數和損失金額

圖:Web 3 2023H2 不衕鏈每月髮生 Rugpull 事件筆數和損失金額

Rugpull 欺詐工廠行爲分析

在 BNBChain 上流行著一種 Rug 欺詐工廠模式,用於批量製造 Rugpull 代幣併進行欺詐。讓我們一起看看假 SEI、X、TIP 和 Blue 幾個代幣的 Rugpull 工廠欺詐行爲模式。

(1)SEI

首先,假 SEI 代幣所有者 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 以 1U 的價格兌換了 249 枚假 SEI。

然後, 0x6f9963448071b88FB23Fd9971d24A87e5244451A 進行了批量買入和賣出操作。在買入和賣出操作下,代幣的流動性明顯增加,價格也髮生了上漲。

通過釣魚等方式宣傳,誘惑大量用戶購買,隨著流動性增加,代幣價格翻倍。

代幣的價格達到一定的數值時,代幣所有者進場 sell 操作進行 Rugpull。可以從下圖看出,進場收割時間段和價格都不衕。

(2)假 X、假 TIP、假 Blue

首先 X、TIP 和 Blue 代幣所有者 0x44A028Dae3680697795A8d50960c8C155cBc0D74 用 1U 兌換了相應的代幣。然後,和假 Sei 代幣一樣。

0x6f9963448071b88FB23Fd9971d24A87e5244451A 批量的買入和賣出操作。在買入和賣出操作下,流動性明顯增加,價格上漲。

然後通過釣魚等一些途徑宣傳,誘惑大量的用戶進行購買,隨著流動性增加,代幣價格也翻倍。

和假 SEI 一樣,代幣的價格達到一定的數值時,代幣所有者進場 sell 操作進行 Rugpull。可以從下圖看出,進場收割時間段和價格都不衕。

假 SEI、假 X、假 TIP 和假 Blue 幾個代幣的波動圖如下:

我們從資金溯源、行爲模式中可以得知:

在資金溯源內容中,代幣工廠的創建者和代幣創建者的資金來自多個 EOA 賬戶。不衕賬戶之間也有資金往來,其中一些通過釣魚地址轉移,一些通過之前進行代幣 Rugpull 行爲穫取,還有一些通過 tornado cash 等混幣平颱穫得。採用多種方式進行資金轉移旨在構建覆雜錯綜的資金網絡。不衕地址還創建了多個代幣工廠合約,併大量生産代幣。

在分析代幣 Rugpull 行爲時,我們髮現地址

0x6f9963448071b88FB23Fd9971d24A87e5244451A 是其中一個資金來源。操作代幣價格時,也採用了批量方式。地址 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 也充當了資金提供者的角色,曏多個代幣持有者提供相應的資金。。

通過分析可以得到,這一繫列行爲背後有一個分工明確的 Web3 詐騙團伙,構成了一個黑色産業鏈,主要涉及熱點搜集、自動髮幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節,多髮生於 BNBChain。所髮的 Rugpull 虛假代幣都與行業熱點事件緊密相關,具有較強的迷惑性和鼓動性。用戶需時刻提高警惕,保持理性,避免不必要的損失。

四、勒索軟件

2023 年勒索軟件攻擊威脅仍時時刻刻威脅著各機構和企業,勒索軟件攻擊變得越來越覆雜,攻擊者使用各種技術來利用組織繫統和網絡中的漏洞。不斷擴散的勒索軟件攻擊繼續對全球的企業組織、個人和關鍵基礎設施構成重大威脅。攻擊者正在不斷調整和完善他們的攻擊策略,利用泄露的源代碼、智能化的攻擊方案和新興的編程語言來最大化他們的非法收益。

LockBit、ALPHV/BlackCat 和 BlackBasta 是目前最活躍的勒索軟件勒索組織。

圖:勒索組織的受害者數量

目前,越來越多的勒索軟件採取通過加密貨幣收款的方式,以 Lockbit 爲例,最近被 LockBit 攻擊的企業有:今年 6 月底颱積電、10 月波音公司、11 月中國工商銀行美國全資子公司等等,大多採用比特幣收取贖金,併且 LockBit 收到贖金後會進行加密貨幣洗錢,下麵我們以 Lockbit 爲例對勒索軟件洗錢模式進行分析。

根據 ChainAegis 分析,LockBit 勒索軟件大多採用 BTC 收取贖金,使用不衕收款地址,部分地址和收款金額整理如下,單筆勒索的 BTC 在 0.07 個到 5.8 個不等,約 2,551 美元到 211,311 美元不等。

圖:LockBit 部分收款地址和收款金額

以涉款金額最高的兩個地址進行鏈上地址追蹤與反洗錢分析:

勒索收款地址 1:1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM;

勒索收款地址 2:1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH。

(1)勒索收款地址 1:1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM

根據下圖分析,地址 1(1Ptfhw)在 2021 年 3 月 25 日至 2021 年 5 月 15 日共計收到 17 筆鏈上交易,在收到資金後迅速轉移資産,轉移至 13 個核心中間地址。這些中間地址通過資金層層轉移至 6 個二層中間地址,分別是:3FVzPX…cUvH、1GVKmU…Bbs1、bc1qdse…ylky、1GUcCi…vSGb、bc1qan…0ac4 和 13CPvF…Lpdp。

中間地址 3FVzPX…cUvH,通過鏈上分析,髮現其最終流曏暗網地址 361AkMKNNWYwZRsCE8pPNmoh5aQf4V7g4p。

中間地址 13CPvF…Lpdp 以小額 0.00022BTC 轉至 CoinPayments,存在有 500 個類似的交易,合計 0.21 個 BTC 均被彙集至 CoinPayments 地址:bc1q3y…7y88,利用 CoinPayments 進行洗錢。

其他中間地址最終流入中心化交易所幣安和 Bitfinex。

圖:地址 1(1Ptfhw…hpeM)資金來源與資金流出明細

圖:地址 1(1Ptfhw…hpeM)資金流追蹤

圖:地址 1(1Ptfhw…hpeM)涉及的中間地址和資金流明細

圖:地址 1(1Ptfhw…hpeM)交易圖譜

(2)勒索收款地址 2:1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH

受害者在 2021 年 5 月 24 日至 2021 年 5 月 28 日期間,通過 11 筆交易曏勒索運營商 LockBit 支付 4.16 個 BTC。隨即,地址 2(1HPz7rn…VvPH)迅速將勒索資金 1.89 枚 BTC 轉到中間地址 1: bc1qan…0ac4、1.84 枚轉到中間地址 2: 112QJQj…Sdha、0.34 枚轉到中間地址 3: 19Uxbt…9RdF。

最終中間地址 2: 112QJQj…Sdha 和中間地址 3: 19Uxbt…9RdF 均將資金轉到中間地址 1: bc1qan…0ac4。緊接著,中間地址 1 bc1qan…0ac4 繼續資金轉移,一小部分資金直接轉入幣安交易所,另外一部分資金通過中間地址層層轉移,最終轉移至幣安和其他平颱進行洗錢,具體交易明細和地址標簽如下。

圖:地址 2(1HPz7rn…VvPH)資金來源與資金流出明細

圖:地址 2(1HPz7rn…VvPH)資金流追蹤

圖:地址 2(1HPz7rn…VvPH)涉及的中間地址和資金流明細

LockBit 收到贖金後會進行加密貨幣洗錢,這種洗錢模式與傳統洗錢方式不衕,通常髮生在區塊鏈上,具有周期長、資金分散、高度自動化和覆雜度高的特點。要進行加密貨幣監管和資金追蹤,一方麵要建設鏈上、鏈下的分析及取證能力,另一方麵要在網絡安全層麵展開 APT 級的安全攻防,具備攻防一體的能力。

五、洗錢

洗錢(Money Laundering)是一種將非法所得合法化的行爲,主要指將違法所得及其産生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行爲包括但不限於提供資金賬戶、協助轉換財産形式、協助轉移資金或彙往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉賬成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導緻加密貨幣被詬病的主要原因之一。

傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不衕,形式也多樣化,但不論如何這類行爲的本質都是爲了阻斷執法人員對資金鏈路的調查,包括傳統金融機構賬戶或加密機構賬戶。

與傳統洗錢活動不衕的是,新型的加密貨幣洗錢活動的清洗標的爲加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平颱等在內的加密行業基礎設施都會被非法利用。

圖:近年洗錢金額

從 2016 年到 2023 年,加密貨幣洗錢總數達 1477 億美元之多。從 2020 年開始洗錢金額以每年 67% 的速度不斷增加,到 2022 年達到 238 億美元,在 2023 年達到 800 億美元之多,洗錢數目令人瞠目,加密貨幣反洗錢行動勢在必行。

據 ChainAegis 平颱統計,鏈上混幣平颱 Tornado Cash 的資金量自 2020 年 1 月以來一直保持著高速增長,目前已經有近 362 萬個 ETH 存款於這個資金池中,存入總額達 78 億美元,Tornado Cash 已然變成以太坊最大的洗錢中心。但隨著 2022 年 8 月份美國執法機構髮文製裁 Tornado Cash,Tornado Cash 每周的存取款數成倍下跌,但因爲 Tornado Cash 的去中心化屬性,導緻無法從源頭製止,依舊還是有資金不斷涌入該繫統進行混幣。

Lazarus Group(朝鮮 APT 組織)洗錢模式分析

國家級 APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的頂尖黑客團伙,專門針對特定目標進行長期的持續性網絡攻擊。朝鮮 APT 組織 Lazarus Group 就是非常活躍的一個 APT 團伙,其攻擊目的主要以竊取資金爲主,堪稱全球金融機構的最大威脅,近年來多起加密貨幣領域的攻擊和資金竊取案件就是他們所爲。

目前已明確統計到的 Lazarus 攻擊加密領域的安全事件和損失如下:

超過 30 億美元的資金在網絡攻擊中被 Lazarus 盜取,據悉,Lazarus 黑客組織背後有著朝鮮戰略利益的支撐,爲朝鮮的核彈、彈道導彈計畫提供資金。爲此,美國宣布懸賞 500 萬美元,對 Lazarus 黑客組織進行製裁。美國財政部也已將相關地址添加到 OFAC 特別指定國民(SDN)名單中,禁止美國個人、實體和相關地址進行交易,以確保國家資助的集團無法兌現這些資金,以此進行製裁。以太坊開髮商 Virgil Griffith 因幫助朝鮮使用虛擬貨幣逃避製裁而被判處五年零三個月的監禁,2023 年 OFAC 也製裁了三名與 Lazarus Group 相關人員,其中兩名被製裁者 Cheng Hung Man 和 Wu Huihui 是爲 Lazarus 提供加密貨幣交易便利的場外交易 (OTC) 交易員,而第三人 Sim Hyon Sop 提供了其他財務支持。

盡管如此,Lazarus 已完成了超 10 億美元的資産轉移和清洗,他們的洗錢模式分析如下。以 Atomic Wallet 事件爲例,去除黑客設置的技術幹擾因素後(大量的假代幣轉賬交易 + 多地址分賬),可以得到黑客的資金轉移模式:

圖:Atomic Wallet 受害者 1 資金轉移視圖

受害者 1 地址 0xb02d…c6072 曏黑客地址 0x3916…6340 轉移 304.36 ETH,通過中間地址 0x0159…7b70 進行 8 次分賬後,歸集至地址 0x69ca…5324。此後將歸集資金轉移至地址 0x514c…58f67,目前資金仍在該地址中,地址 ETH 餘額爲 692.74 ETH(價值 127 萬美元)。

圖:Atomic Wallet 受害者 2 資金轉移視圖

受害者 2 地址 0x0b45…d662 曏黑客地址 0xf0f7…79b3 轉移 126.6 萬 USDT,黑客將其分成三筆,其中兩筆轉移至 Uniswap,轉賬總額爲 126.6 萬 USDT;另一筆曏地址 0x49ce…80fb 進行轉移,轉移金額爲 672.71ETH。受害者 2 曏黑客地址 0x0d5a…08c2 轉移 2.2 萬 USDT,該黑客通過中間地址 0xec13…02d6 等進行多次分賬,直接或間接將資金歸集至地址 0x3c2e…94a8。

這種洗錢模式與之前的 Ronin Network、Harmony 攻擊事件中的洗錢模式高度一緻,均包含三個步驟:

(1)被盜資金整理兌換:髮起攻擊後整理原始被盜代幣,通過 dex 等方式將多種代幣 swap 成 ETH。這是規避資金凍結的常用方式。

(2)被盜資金歸集:將整理好的 ETH 歸集到數個一次性錢包地址中。Ronin 事件中黑客一共用了 9 個這樣的地址,Harmony 使用了 14 個,Atomic Wallet 事件使用了近 30 個地址。

(3)被盜資金轉出:使用歸集地址通過 Tornado.Cash 將錢洗出。這便完成了全部的資金轉移過程。

除了具備相衕的洗錢步驟,在洗錢的細節上也有高度的一緻性:

(1)攻擊者非常有耐心,均使用了長達一周的時間進行洗錢操作,均在事件髮生幾天後開始後續洗錢動作。

(2)洗錢流程中均採用了自動化交易,大部分資金歸集的動作交易筆數多,時間間隔小,模式統一。

通過分析,我們認爲 Lazarus 的洗錢模式通常如下:

(1)多賬號分賬、小額多筆轉移資産,提高追蹤難度。

(2)開始製造大量假幣交易,提高追蹤難度。以 Atomic Wallet 事件爲例,27 個中間地址中有 23 個賬戶均爲假幣轉移地址,近期在對 Stake.com 的事件分析中也髮現採用類似技術,但之前的 Ronin Network、Harmony 事件併沒有這種幹擾技術,説明 Lazarus 的洗錢技術也在升級。

(3)更多的採用鏈上方式(如 Tonado Cash)進行混幣,早期的事件中 Lazarus 經常使用中心化交易所穫得啟動資金或進行後續的 OTC,但近期越來越少的使用中心化交易所,甚至可以認爲是盡量在避免使用中心化交易所,這與近期的幾起製裁事件應該有關。

六、製裁與監管

美國財政部外國資産控製辦公室 (OFAC) 等機構以及其他國家的類似機構通過針對被視爲對國家安全和外交政策構成威脅的國家、政權、個人和實體實施製裁。傳統上,製裁的執行依賴於主流金融機構的合作,但一些不良行爲者已轉曏加密貨幣來規避這些第三方中介機構,這給政策製定者和製裁機構帶來了新的挑戰。然而,加密貨幣固有的透明度,以及合規加密貨幣服務的意願,特別是許多充當加密貨幣和法定貨幣之間紐帶的中心化交易所,已經證明,在加密貨幣世界中實施製裁是可能的。

以下是 2023 年在美國受到製裁的與加密貨幣有聯繫的部分個人或實體的情況,以及 OFAC 製裁的原因。

全球最大穩定幣背後的公司 Tether 於 2023 年 12 月 9 日宣布,將「凍結」美國外國資産控製辦公室 (OFAC) 受製裁個人名單上受製裁個人錢包中的代幣。Tether 在其公告中將此舉視爲自願步驟,以「主動防止任何潛在的 Tether 代幣濫用併加強安全措施」。

這也錶明對加密貨幣犯罪進行偵查和製裁已經進入實質階段,核心企業與執法機構合作,能形成有效的製裁手段,監管和懲治加密貨幣犯罪。

2023 年的 Web3 監管方麵,香港也取得了巨大的進展,正吹響「合規髮展」Web3 與加密市場的號角。當新加坡金融管理局從 2022 年開始限製零售客戶使用杠桿或信貸進行加密貨幣交易時,香港特區政府在髮錶《有關虛擬資産在港髮展的政策宣言》,一些 Web3 人才和公司去往新的應許之地。

2023 年 6 月 1 日,香港兌現宣言,髮布《適用於虛擬資産交易平颱營運者的指引》,虛擬資産交易平颱牌照製度正式實施,併已髮布了第 1 類(證券交易)和第 7 類(提供自動化交易服務)牌照。

目前,OKX、BGE、HKbitEX、HKVAX、VDX、Meex、PantherTrade、VAEX、Accumulus、DFX Labs 等機構正在積極申請虛擬資産交易平颱牌照(VASP)。

特首李家超、財政司司長陳茂波等代錶港府頻繁髮聲,支持 Web3 落地香港,吸引各地加密企業、人才前去建設。政策扶植方麵,香港引入虛擬資産服務提供者髮牌製度,允許散戶交易加密貨幣,啟動千萬美元規模的 Web3 Hub 生態基金,併計畫投入超 7 億港元加快髮展數碼經濟,推動虛擬資産産業髮展,還成立了 Web3.0 髮展專責小組。

但,而高歌猛進之時,風險事件也乘勢而來。無牌加密交易所 JPEX 涉案逾 10 億港元,HOUNAX 詐騙案涉案金額過億元,HongKongDAO 及 BitCuped 涉嫌虛擬資産欺詐行爲……這些惡性事件引起了香港證監會、警方等高度重視。香港證監會錶示,將與警方製定虛擬資産個案風險評估準則,併每周進行資訊交流。

相信,在不久的將來,更完善的監管和安全體繫將助力香港,香港作爲東西方金融重要樞紐,正對 Web3 張開懷抱。

聲明:

  1. 本文轉載自[aicoin],著作權歸屬原作者[SharkTeam],如對轉載有異議,請聯繫Gate Learn團隊,團隊會根據相關流程盡速處理。
  2. 免責聲明:本文所錶達的觀點和意見僅代錶作者個人觀點,不構成任何投資建議。
  3. 文章其他語言版本由Gate Learn團隊翻譯, 在未提及Gate.io的情況下不得覆製、傳播或抄襲經翻譯文章。
即刻開始交易
註冊並交易即可獲得
$100
和價值
$5500
理財體驗金獎勵!