NEX:慢霧：美國執法部門破獲2016年Bitfinex被盜案件始末分析

當地時間周二美國司法部發布公告稱，它已經查獲了價值36億美元的比特幣，這些比特幣與2016年加密貨幣交易所Bitfinex的黑客事件有關。34歲的IlyaLichtenstein和其31歲的妻子HeatherMorgan在紐約被捕，兩人被指控共謀洗錢和詐騙罪。

美國司法部公告稱，這是司法部有史以來最大規模的金融扣押，此次調查由IRS-CI華盛頓特區辦事處的網絡犯罪部門、聯邦調查局的芝加哥辦事處和國土安全調查局紐約辦事處領導，德國安斯巴赫警察局在此次調查期間提供了協助。

錢包地址中，統計顯示Bitfinex共計損失119,754.8121BTC。事發當時價值約6000萬美元，按今天的價格計算，被盜總額約為45億美元。

慢霧AML曾于2月1日監測到Bitfinex被盜資金出現大額異動，后被證實該異動資金正是被司法部扣押了的94,643.2984BTC，約占被盜總額的79%，目前這些資金保管在美國政府的錢包地址

慢霧：NEXT空投領取資格檢查通過默克爾證明進行，沒有資格領取空投的用戶無法繞過檢查領取他人空投:金色財經報道，據慢霧區情報，有部分賬戶的NEXT代幣被claim到非預期的地址，慢霧安全團隊跟進分析后分享簡析如下：

用戶可以通過NEXTDistributor合約的claimBySignature函數領取NEXT代幣。其中存在recipient與beneficiary角色，recipient角色用于接收claim的NEXT代幣，beneficiary角色是有資格領取NEXT代幣的地址，其在Connext協議公布空投資格時就已經確定。

在用戶進行NEXT代幣claim時，合約會進行兩次檢查：一是檢查beneficiary角色的簽名，二是檢查beneficiary角色是否有資格領取空投。在進行第一次檢查時其會檢查用戶傳入的recipient是否是由beneficiary角色進行簽名，因此隨意傳入recipient地址在未經過beneficiary簽名的情況下是無法通過檢查的。如果指定一個beneficiary地址進行構造簽名即使可以通過簽名檢查，但卻無法通過第二個對空投領取資格的檢查。

空投領取資格檢查是通過默克爾證明進行檢查的，其證明應由Connext協議官方生成，因此沒有資格領取空投的用戶是無法繞過檢查領取他人的空投的。[2023/9/5 13:19:43]

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

慢霧：警惕針對 Blur NFT 市場的批量掛單簽名“零元購”釣魚風險:金色財經報道，近期，慢霧生態安全合作伙伴 Scam Sniffer 演示了一個針對 Blur NFT 市場批量掛單簽名的“零元購”釣魚攻擊測試，通過一個如圖這樣的“Root 簽名”即可以極低成本（特指“零元購”）釣走目標用戶在 Blur 平臺授權的所有 NFT，Blur 平臺的這個“Root 簽名”格式類似“盲簽”，用戶無法識別這種簽名的影響。慢霧安全團隊驗證了該攻擊的可行性及危害性。特此提醒 Blur 平臺的所有用戶警惕，當發現來非 Blur 官方域名(blur.io)的“Root 簽名”，一定要拒絕，避免潛在的資產損失。[2023/3/7 12:46:39]

事件梳理

慢霧AML根據美國司法部公布的statement_of_facts.pdf文件進行梳理，將此案的關鍵要點和細節分享如下：

慢霧：Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息，慢霧監測顯示，Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產，該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移；第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產；第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI，目前有約3970萬美元的加密資產。

目前慢霧經過梳理后，無法將地址3與其他兩個地址連接起來，但這些攻擊具有相同的模式。[2022/8/2 2:53:04]

1、美國執法部門通過控制Lichtenstein的云盤賬號，獲取到了一份寫著2000多個錢包地址和對應私鑰的文件。該文件中的地址應該就是上文提到的2072個盜幣黑客錢包地址，然后美國司法部才有能力扣押并將比特幣集中轉移到

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。

2、從2017年1月開始，被盜資金才開始轉移，其通過剝離鏈技術，將被盜資金不斷拆分、打散，然后進入了7個獨立的AlphaBay平臺賬號進行混幣，使BTC無法被輕易追蹤。從結果看，使用AlphaBay進行混幣的比特幣約為25000BTC。

3、混幣后，大部分資金被轉入到8個在交易所-1注冊的賬號，這些賬號的郵箱都是用的同一家印度的郵箱服務提供商。除此之外，這8個賬號使用過相同的登錄IP，并且都是在2016年8月左右注冊的。更為致命的是，在Lichtenstein的云盤里有一份Excel表格，記錄著這8個賬號的各種信息，而且其中6個賬號還被他標記為FROZEN。美國司法部統計發現，交易所-1里的8個賬號共凍結著價值18.6萬美元的資產。

4、混幣后還有部分資金被轉入到交易所-2和一家美國的交易所，在這兩家交易所上注冊的賬號，有些也是使用的上文提到的那一家印度的郵箱服務提供商。這些信息也是在上文提到的Lichtenstein的云盤中的Excel表格里發現的。通過VCE2和VCE4，Lichtenstein夫婦成功把Bitfinex被盜的BTC換成了法幣，收入囊中。不過，他們在VCE4上有2個用俄羅斯郵箱注冊的賬號，因為頻繁充值XMR而且無法說明資金來源，導致賬號被平臺封禁。美國司法部統計發現，上面凍結了價值約15.5萬美元的資產。

5、在賬號被凍結前，從交易所-1提幣的資金，大部分到了另一家美國的交易所。在Bitfinex被盜前的2015年1月13日，Lichtenstein在VCE5交易所上用自己真實的身份和私人郵箱注冊了賬號并進行了KYC認證。在VCE5交易所上，Lichtenstein用BTC與平臺上的商戶購買了黃金，并快遞到了自己真實的家庭住址。

6、除了前面提到的VCE1、VCE2、VCE4、VCE5這幾家交易所被他們用來洗錢，Lichtenstein夫婦還注冊了VCE7、VCE8、VCE9、VCE10等交易所用來洗錢。資金主要都是通過從VCE1提幣來的，不過在VCE7-10這些交易所上注冊的賬號，都是用Lichtenstein夫婦的真實身份和他的公司來做KYC認證的。美國司法部統計發現，從2017年3月到2021年10月，Lichtenstein夫婦在VCE7上的3個賬號共計收到了約290萬美元等值的比特幣資金。在這些交易所上，Lichtenstein進一步通過買賣altcoins、NFT等方式來洗錢，并通過比特幣ATM機器進行變現。

事件疑點

從2016年8月Bitfinex被盜，到現在過去了約6年的時間，在這期間美國執法部門是如何進行的深入調查，我們不得而知。通過公布的statement_of_facts.pdf文件內容我們可以發現，Lichtenstein的云盤中存儲著大量洗錢的賬號和細節，相當于一本完美的“賬本”，給執法部門認定犯罪事實提供了有力的支撐。

但是回過頭全局來看，執法部門是怎么鎖定Lichtenstein是嫌疑人的呢？

還有個細節是，美國司法部并沒有控訴Lichtenstein夫婦涉嫌非法攻擊Bitfinex并盜取資金。

最后一個疑問是，從2016年8月Bitfinex被盜，到2017年1月被盜資金開始轉移，這其中的5個月時間發生了什么？真正攻擊Bitfinex的盜幣黑客又是誰？

參考資料：

https://www.justice.gov/opa/press-release/file/1470186/download

22-mj-22-StatementofFacts.pdf?

Tags：NEXVCEENSCHTdigifinexappVCE價格ENS幣cht幣手機app

Pol幣