TOR:鏈上追蹤：洗幣手法科普之 Tornado.Cash

這次的主題是混幣器 Tornado.Cash。

隨著黑客盜幣事件愈演愈烈，Tornado.Cash 也變得越來越“有名”，大多數黑客在獲利后都毫不留情地將“臟幣”轉向 Tornado.Cash。我們曾對 Tornado.Cash 的匿名性進行過探討，詳見：慢霧 AML：“揭開” Tornado.Cash 的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過 Tornado.Cash 洗幣的。

基礎知識

Tornado.Cash 是一種完全去中心化的非托管協議，通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私，Tornado.Cash 使用一個智能合約，接受來自一個地址的 ETH 和其他代幣存款，并允許他們提款到不同的地址，即以隱藏發送地址的方式將 ETH 和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池，當你將資金放入池中（即存款）時，就會生成私人憑據（隨機密鑰），證明你已執行了存款操作。而后，此私人憑據作為你提款時的私鑰，合約將 ETH 或其他代幣轉移給指定的接收地址，同一用戶可以使用不同的提款地址。

案例分析

今天要分析的是一個真實案例，當受害平臺找到我們時（具體不便透露），在 Ethereum、BSC、Polygon 三條鏈上的被盜資金均被黑客轉入 Tornado.Cash，所以我們主要分析 Tornado.Cash 的部分。

HECO即將開啟HECO DAO和HT鏈上通縮模型:據相關人士透露，HECO生態鏈上的HT即將在未來一到兩個月內加入銷毀機制，這標志著HT在HECO鏈上也即將進入通縮模型。目前尚未得知即將銷毀的HT占HECO鏈上的比例，市場分析人士認為銷毀機制的加入可以在一定程度上提高HECO生態的應用體驗，另外，據透露，HECO DAO也即將宣布啟動，這將進一步推動HECO全球去中心化治理進程加快。[2021/8/26 22:38:25]

黑客地址：

（為保護受害平臺，文中地址均做了處理）

0x489...1F4(Ethereum/BSC/Polygon)

0x24f...bB1(BSC)

Ethereum 部分

借助慢霧 MistTrack 反洗錢追蹤系統，我們先對地址進行一個大概的特征分析。

從部分展示結果來看，可以看到交易行為里黑客使用較多的除了 Bridge 就是混合器 Mixer，這些對我們分析黑客畫像十分重要。

BSC鏈上XSURGE遭到閃電貸攻擊:PeckShield“派盾”預警，BSC鏈上DeFi協議XSURGE遭到閃電貸攻擊，請用戶注意風控。[2021/8/17 22:18:27]

接著，我們對 Ethereum 上的資金與行為進行深入分析：據慢霧 MistTrack 反洗錢追蹤系統的分析，黑客將 2450 ETH 以?5x10 ETH+24x100 ETH 的形式分批轉入 Tornado.Cash，將 198 ETH 轉入 FixedFloat，這讓我們繼續追蹤 Tornado.Cash 部分留了個心眼。

既然想要嘗試追蹤黑客從 Tornado.Cash 轉出的地址，那我們就得從 Ethereum 上第一筆資金轉入 Tornado.Cash 的時間點開始，我們發現第一筆 10 ETH 和第二筆 10 ETH 間的時間跨度較大，所以我們先從跨度小的 100 ETH 開始分析。

獨家 | BTC 24h鏈上交易量上升65.62%:金色財經報道，據歐科云鏈OKLink數據顯示，BTC 24h鏈上活躍地址數總計1076438，較前日上升13.22%；鏈上交易量總計686023.6BTC，較前日上升65.62%；鏈上交易筆數總計333264，較前日上升15.83%；BTC鏈上活躍度上升。

截至上午10時，BTC全網算力約為121.68EH/s，較前日上升0.75EH/s，全網算力呈上升趨勢。[2020/8/4]

定位到 Tornado.Cash:100 ETH 合約相對應的交易，發現從 Tornado.Cash 轉出的地址非常多。經過慢霧 MistTrack 的分析，我們篩選出了符合時間線和交易特征的地址。當然，地址依然很多，這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址（0x40F…952）。

據慢霧 MistTrack 的分析，地址（0x40F…952）將?Tornado.Cash 轉給它的 ETH 轉到地址（0x8a1…Ca7），接著把 ETH 分為三筆轉到了 FixedFloat。

Celo將提供2.5萬美元競賽獎金，鼓勵開發者在鏈上構建應用程序:區塊鏈金融應用開源平臺Celo開啟Celo Camp活動，為初創公司提供2.5萬美元的競賽獎金，幫助他們在Celo區塊鏈上構建應用程序。得到業內眾多基金和專家支持的開源項目Celo近期呼吁區塊鏈的創新者加入為期八周的Celo Camp。

Celo Camp是一個由企業家發起的獨立項目，Celo Camp項目主管Tomer Weiss表示，該項目的目標是幫助去中心化的技術企業家和開發者加速他們的項目。Celo Camp分為兩個階段：預備營和訓練營。在營前階段，團隊在這個門戶網站上應用并分享他們的想法和進展。這個階段，五支被選中的隊伍將進入下一階段，其中三支有資格獲得2000美元的獎金。第一名和第二名將分別贏得1萬美元和5000美元。

Celo基金會是一家支持Celo開放區塊鏈平臺開發的非盈利組織，該組織最近宣布啟動“繁榮聯盟”（Alliance for Prosperity），這是一個以使命為導向的組織網絡，通過使用區塊鏈技術促進社會影響和金融包容。[2020/3/23]

當然，這也可能是巧合，我們需要繼續驗證。

美國國稅局在區塊鏈上追蹤逃稅者:兩年前IRS傳喚交易所Coinbase，雖然一度僵持，但最終法院判決交易所向IRS提供15,000個用戶數據，這是IRS關注之下首次采取行動。現在這種趨勢愈加明顯，IRS已經成功選定幾位專家，他們具備監測區塊鏈活動的工具及技能。IRS局長Don Fort在參訪中透露，他領導的刑事調查科(Criminal Investigation Division)已經增加十位調查員，“可能像利用海外銀行賬戶一樣，利用比特幣和其他加密貨幣實施逃稅”。[2018/2/17]

繼續分析，接連發現三個地址均有同樣的特征：

A→B→（多筆）FixedFloat

A→（多筆）FixedFloat

在這樣的特征佐證下，我們分析出了符合特征的地址，同時剛好是 24 個地址，符合我們的假設。

Polygon 部分

如下圖，黑客將獲利的 365,247 MATIC 中的部分 MATIC 分 7 次轉到 Tornado.Cash。

而剩下的 25,246.722 MATIC 轉到了地址（0x75a…5c1），接著追蹤這部分資金，我們發現黑客將 25,246.721 MATIC 轉到了 FixedFloat，這讓我們不禁思考黑客在 Polygon 上是否會以同樣的手法來洗幣。

我們首先定位到 Tornado:100,000 MATIC 合約與上圖最后三筆對應的交易，同時發現從 Tornado.Cash 合約轉出的地址并不多，此時我們可以逐個分析。

很快，我們就發現了第一個讓我們覺得有問題的地址（0x12e…69e）。我們看到了熟悉的 FixedFloat 地址，不僅?FixedFloat 轉 MATIC 到地址（0x12e…69e），從地址（0x12e…69e）轉出資金的接收地址也都將 MATIC 轉給了 FixedFloat。

分析了其他地址后，發現都是一樣的洗幣手法，這里就不再贅述。從前面的分析看來黑客對 FixedFloat 實在獨有偏愛，不過這也成了抓住他的把柄。

BSC 部分

下面我們來分析 BSC 部分。BSC 上黑客地址有兩個，我們先來看地址（0x489…1F4）：

黑客地址分 17 次轉了 1700 ETH 到 Tornado.Cash，時間范圍也比較連貫。就在我們以為黑客會故技重施的時候，發現并非如此。同樣，經過慢霧 MistTrack 的分析與篩選，我們篩選出了符合時間線和交易特征的地址，再進行逐個突破。

分析過程中，地址（0x152…fB2）引起了我們的注意。如圖，據慢霧 MistTrack 顯示，該地址將 Tornado.Cash 轉給它的 ETH 轉出給了 SimpleSwap。

繼續分析后發現，換湯不換藥，雖然黑客換了平臺，手法特征卻還是類似：

A→SimpleSwap

A→B→SimpleSwap

另一個黑客地址（0x24f…bB1）是以 10 BNB 為單位轉到了 Tornado.Cash。

而在這個地址的洗幣手法中，黑客選擇了另一個平臺，不過手法依然類似。這里就不再一一分析。

總結

本文主要由一個真實案例開啟，分析并得出在不同的鏈上黑客是如何試圖使用 Tornado.Cash 來清洗盜取的資金，本次洗幣手法具有極相似性，主要特征為從 Tornado.Cash 提幣后或直接或經過一層中間地址轉移到常用的混幣平臺（FixedFloat/SimpleSwap/Sideshift.ai）。當然，這只是通過 Tornado.Cash 洗幣的其中一種方法，更多手法仍等著我們發現。

而想要更有效率更準確地分析出結果，必然得借助工具。憑借超 2 億個錢包地址標簽，慢霧?MistTrack 反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址，如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過 MistTrack 反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像，在反洗錢分析評估工作中起到至關重要的作用，為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。

Tags：TORADOORNTORNcloudstorageshadowfi幣處理結果Bunicorntorn幣未來價格預測

Ethereum