DOD:慢霧：美國執法部門破獲2016年Bitfinex被盜案件始末分析

當地時間周二美國司法部發布公告稱，它已經查獲了價值36億美元的比特幣，這些比特幣與2016年加密

貨幣

交易所

Bitfinex的黑客事件有關。34歲的IlyaLichtenstein和其31歲的妻子HeatherMorgan在紐約被捕，兩人被指控共謀洗錢和詐騙罪。

美國司法部公告稱，這是司法部有史以來最大規模的

金融

扣押，此次調查由IRS-CI華盛頓特區辦事處的網絡犯罪部門、聯邦調查局的芝加哥辦事處和國土

安全

調查局紐約辦事處領導，德國安斯巴赫警察局在此次調查期間提供了協助。

事件背景

根據慢霧AML掌握的情報數據分析顯示，Bitfinex在2016年8月遭受網絡攻擊，

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

有2072筆比特幣交易在Bitfinex未授權的情況下轉出，然后資金分散存儲在2072個

錢包

地址中，統計顯示Bitfinex共計損失119,754.8121BTC

。

慢霧：DOD合約中的BUSD代幣被非預期取出，主要是DOD低價情況下與合約鎖定的BUSD將產生套利空間:據慢霧區情報，2022 年 3 月 10 日, BSC 鏈上的 DOD 項目中鎖定的 BUSD 代幣被非預期的取出。慢霧安全團隊進行分析原因如下：

1. DOD 項目使用了一種特定的鎖倉機制，當 DOD 合約中 BUSD 數量大于 99,999,000 或 DOD 銷毀數量超過 99,999,000,000,000 或 DOD 總供應量低于 1,000,000,000 時將觸發 DOD 合約解鎖，若不滿足以上條件，DOD 合約也將在五年后自動解鎖。DOD 合約解鎖后的情況下，用戶向 DOD 合約中轉入指定數量的 DOD 代幣后將獲取該數量 1/10 的 BUSD 代幣，即轉入的 DOD 代幣數量越多獲得的 BUSD 也越多。

2. 但由于 DOD 代幣價格較低，惡意用戶使用了 2.8 個 BNB 即兌換出 99,990,000 個 DOD。

3. 隨后從各個池子中閃電貸借出大量的 BUSD 轉入 DOD 合約中，以滿足合約中 BUSD 數量大于 99,999,000 的解鎖條件。

4. 之后只需要調用 DOD 合約中的 swap 函數，將持有的 DOD 代幣轉入 DOD 合約中，既可取出 1/10 轉入數量的 BUSD 代幣。

5. 因此 DOD 合約中的 BUSD 代幣被非預期的取出。

本次 DOD 合約中的 BUSD 代幣被非預期取出的主要原因在于項目方并未考慮到 DOD 低價情況下與合約中鎖定的 BUSD 將產生套利空間。慢霧安全團隊建議在進行經濟模型設計時應充分考慮各方面因素帶來的影響。[2022/3/10 13:48:45]

事發當時價值約6000萬美元，按今天的價格計算，被盜總額約為45億美元。

慢霧：有用戶遭釣魚攻擊，在OpenSea上架的NFT以極低匹配價格售出:據慢霧消息，有用戶在 OpenSea 掛單售賣的 NFT 被惡意的以遠低于掛單價匹配買。經慢霧安全團隊分析，此是由于該受害用戶遭受釣魚攻擊，錯誤的對攻擊者精心構造的惡意訂單進行簽名，惡意訂單中指定了極低的出售價格、買方地址為攻擊者以及出售 NFT 為受害用戶在 OpenSea 上架的待出售 NFT。攻擊者使用受害用戶已簽名的出售訂單以及攻擊者自己的購買訂單在 OpenSea 中進行匹配，并以攻擊者指定的極低價格成交，導致受害用戶的 NFT 以非預期的價格售出。[2021/12/11 7:31:47]

慢霧AML曾于2月1日監測到

Bitfinex

被盜資金出現大額異動，后被證實該異動資金正是被司法部扣押了的94,643.2984BTC，約占被盜總額的79%，目前這些資金保管在美國政府的錢包地址

慢霧：Furucombo被盜資金發生異動，多次使用1inch進行兌換:據慢霧MistTrack，2月28日攻擊Furucombo的黑客地址（0xb624E2...76B212）于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH，并將147ETH從Compound轉入到自己的地址，截至目前該黑客地址余額約170萬美元，另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

!webp\"data-img-size-val=\"898,450\"\u002F\\>

事件梳理

慢霧AML根據美國司法部公布的statement_of_facts.pdf文件進行梳理，將此案的關鍵要點和細節分享如下：

慢霧：攻擊者系通過“supply()”函數重入Lendf.Me合約 實現重入攻擊:慢霧安全團隊發文跟進“DeFi平臺Lendf.Me被黑”一事的具體原因及防御建議。文章分析稱，通過將交易放在bloxy.info上查看完整交易流程，可發現攻擊者對Lendf.Me進行了兩次“supply()”函數的調用，但是這兩次調用都是獨立的，并不是在前一筆“supply()”函數中再次調用“supply()”函數。緊接著，在第二次“supply()”函數的調用過程中，攻擊者在他自己的合約中對Lendf.Me的“withdraw()”函數發起調用，最終提現。慢霧安全團隊表示，不難分析出，攻擊者的“withdraw()”調用是發生在transferFrom函數中，也就是在Lendf.Me通過transferFrom調用用戶的“tokensToSend()”鉤子函數的時候調用的。很明顯，攻擊者通過“supply()”函數重入了Lendf.Me合約，造成了重入攻擊。[2020/4/19]

1、

美國執法部門通過控制Lichtenstein的云盤賬號，獲取到了一份寫著2000多個錢包地址和對應私鑰的文件

。

該文件中的地址應該就是上文提到的2072個盜幣黑客錢包地址，然后美國司法部才有能力扣押并將比特幣集中轉移到

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

!webp\"data-img-size-val=\"940,549\"\u002F\\>

2、從2017年1月開始，被盜資金才開始轉移，其通過剝離鏈技術，將被盜資金不斷拆分、打散，然后進入了7個獨立的AlphaBay

平臺賬號進行混幣，使BT

C無法被輕易追蹤。從結果看，使用AlphaBay進行混幣的比特幣約為25000BTC。

3、混幣后，大部分資金被轉入到8個在交易所-1注冊的賬號，這些賬號的郵箱都是用的同一家印度的郵箱服務提供商。除此之外，這8個賬號使用過相同的登錄IP，并且都是在2016年8月左右注冊的。

更為致命的是，在Lichtenstein的云盤里有一份Excel表格，記錄著這8個賬號的各種信息

，

而且其中6個賬號還被他標記為FROZEN。美國司法部統計發現，交易所-1里的8個賬號共凍結著價值18.6萬美元的資產。

4、混幣后還有部分資金被轉入到交易所-2和一家美國的交易所，在這兩家交易所上注冊的賬號，有些也是使用的上文提到的那一家印度的郵箱服務提供商。這些信息也是在上文提到的Lichtenstein的云盤中的Excel表格里發現的。通過VCE2和VCE4，Lichtenstein夫婦成功把Bitfinex被盜的BTC換成了法幣，收入囊中。不過，他們在VCE4上有2個用俄羅斯郵箱注冊的賬號，因為頻繁充值

XMR

而且無法說明資金來源，導致賬號被平臺封禁。美國司法部統計發現，上面凍結了價值約15.5萬美元的資產。

!webp\"data-img-size-val=\"1140,1098\"\u002F\\>

5、在賬號被凍結前，從交易所-1提幣的資金，大部分到了另一家美國的交易所。

在Bitfinex被盜前的2015年1月13日，Lichtenstein在VCE5交易所上用自己真實的身份和私人郵箱注冊了賬號并進行了KYC認證

。

在VCE5交易所上，Lichtenstein用BTC與平臺上的商戶購買了黃金，并快遞到了自己真實的家庭住址。

!webp\"data-img-size-val=\"1105,676\"\u002F\\>

6、除了前面提到的VCE1、VCE2、VCE4、VCE5這幾家交易所被他們用來洗錢，Lichtenstein夫婦還注冊了VCE7、VCE8、VCE9、VCE10等交易所用來洗錢。資金主要都是通過從VCE1提幣來的，不過在VCE7-10這些交易所上注冊的賬號，都是用Lichtenstein夫婦的真實身份和他的公司來做KYC認證的。美國司法部統計發現，從2017年3月到2021年10月，Lichtenstein夫婦在VCE7上的3個賬號共計收到了約290萬美元等值的比特幣資金。在這些交易所上，Lichtenstein進一步通過買賣altcoins、

NFT

等方式來洗錢，并通過比特幣ATM機器進行變現。

洗錢鏈路

!webp\"data-img-size-val=\"1280,468\"\u002F\\>

事件疑點

從2016年8月Bitfinex被盜，到現在過去了約6年的時間，在這期間美國執法部門是如何進行的深入調查，我們不得而知。通過公布的statement_of_facts.pdf文件內容我們可以發現，Lichtenstein的云盤中存儲著大量洗錢的賬號和細節，相當于一本完美的“賬本”，給執法部門認定犯罪事實提供了有力的支撐。

但是回過頭全局來看，執法部門是怎么鎖定Lichtenstein是嫌疑人的呢？

還有個細節是，美國司法部并沒有控訴Lichtenstein夫婦涉嫌非法攻擊Bitfinex并盜取資金。

最后一個疑問是，從2016年8月Bitfinex被盜，到2017年1月被盜資金開始轉移，這其中的5個月時間發生了什么？真正攻擊Bitfinex的盜幣黑客又是誰？

參考資料：

https:\u002F\u002Fwww.justice.gov\u002Fopa\u002Fpress-release\u002Ffile\u002F1470186\u002Fdownload

22-mj-22-StatementofFacts.pdf

Tags：DODENSVCENSTdod幣最新行情RENSVCEGGBNBeanstalk

Fil