USD:DeFi 安全事件頻發，如何規避黑資產，保持平臺合規性？

近期，區塊鏈安全事件頻發，無論是DeFi、跨鏈橋、NFT還是交易所，都損失慘重。除了對事件發生的原因進行技術分析以警示，我們也應將視線看向被盜資產方面。加密貨幣的匿名屬性，使其難免被用于洗錢和資產轉移，隨著各國政策的更新與完善，擁抱監管與合規必是未來的一個趨勢，因此，對被盜資產流向及攻擊者洗幣手法進行分析、對鏈上動態進行實時監測顯得尤為重要。

慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統，以近期發生的其中兩個事件為例，通過剖析攻擊者的洗幣手法及資產的流向來窺見一二。

XSURGE攻擊事件

概述

2021年8月17日3:13AM，XSURGE官方發布關于SurgeBNB漏洞的聲明，稱由于SurgeBNB合約不可更改且已被放棄，因此無法修補該漏洞，但強烈建議用戶盡快移出SurgereBNB，該漏洞隨時可能被攻擊者觸發。

不幸的是，在3:59AM，官方就表示遭遇攻擊。

事件相關地址通過比對相似合約，我們還發現了其他攻擊者信息。資金流向分析

DeFi協議總鎖定價值已跌至2021年2月以來的最低水平:金色財經報道，根據DefiLlama匯編的數據，存儲在去中心化金融（DeFi）協議中的資金已減少至2021年2月以來的最低水平。具體而言，鎖定總價值（TVL）已跌至375億美元，低于12月創下的380億美元的牛市后最低點。

僅在過去一個月內，一些協議就損失了一半以上的鎖定價值。基于Optimism的去中心化交易所（DEX）Velodrome的TVL下降了58%。Balancer是最大的流動性協議之一，其TVL下降了35%至6.41億美元。[2023/8/24 18:18:26]

經過分析，本次事件是由于其合約的sell函數導致了重入漏洞，也就是說攻擊者通過不斷買賣的操作，以更低的代幣價格獲取到了更多的SURGE代幣。那攻擊者具體是怎樣進行獲利并轉移資金的呢？

我們以攻擊者1創建的合約為例來分析攻擊者的獲利過程。首先，8月16日19:39:29(UTC)，攻擊者1在幣安智能鏈(BSC)創建了攻擊合約1，閃電貸借出10,000BNB后購買SURGE代幣，多次以“賣出再買入”的方式來回交易，最后獲利12,161BNB。接著分別創建了合約2-6，以同樣的方式獲利，最終攻擊者1獲利13,112BNB。攻擊成功后，黑客并沒有持幣觀望等待時機，而是直接開始轉移資金，想洗錢獲利，經過兩層大的轉移，黑客輕而易舉地將資金轉移到了交易所：

波場TRON DeFi總鎖倉值（TVL）已達到107億美金:據4月1日18:00（HKT）最新數據顯示，波場TRON DeFi總鎖倉值（TVL）已達到107億美金，刷新自身歷史紀錄，再創新高。3月8日開啟的波場TRON五幣齊挖世紀挖礦屢創佳績，波場TRON DeFi總鎖倉值強勢升高，表現出波場DeFi生態的強大勢能。

據悉，波場TRON官方升級了總鎖倉值（TVL）的算法：TRX的總凍結量等于能量和帶寬之和，其中包括給超級代表投票凍結TRX獲得的能量和帶寬。波場 TRON 以推動互聯網去中心化為己任，致力于為去中心化互聯網搭建基礎設施。旗下的 TRON 協議是全球最大的基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場 TRON 還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。[2021/4/1 19:37:34]

第一層洗幣：將資金不等額分散到多個地址

攻擊者先是將獲利的13,112BNB隨機分成了兩大部分，將一部分BNB以不等的金額陸續轉出到不同地址，將另一部分BNB先通過PancakeSwap、1inch換成ETH后再轉出到不同地址，最終13,112BNB被轉移到下圖的30個不同地址。第二層洗幣：將資金直接或分批兌換轉移

庫幣將于今晚20點上線熱門DeFi項目ANC:據庫幣KuCoin交易所消息，庫幣將于今晚20:00上線Anchor Protocol (ANC)項目并支持 ANC/USDT 和 ANC/UST交易服務，目前已開啟ANC充值服務。

Anchor Protocol 基于穩定幣項目 Terra Money 創建，是一種新型的儲蓄協議，旨在通過協調來自多個不同 PoS 共識的區塊鏈的區塊獎勵來平衡利率，最終實現穩定收益率的存儲利率。

以“全民的交易所”著稱，庫幣旨在發掘全球優質區塊鏈項目，為來自207個國家的600萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/3/18 18:57:25]

經過對30個地址資金轉移的不斷分析，我們漸漸總結出了攻擊者的轉移方式主要有以下幾種：

1、將BNB直接換成ETH，直接或分批轉到幣安。2、部分BNB換成ETH轉到幣安，部分BNB轉到其他地址，匯聚后一起換成ETH，再分批轉到幣安。以地址(0x77b...22d)為例：3、ETH直接或分批分層轉到幣安截至目前，13,112BNB均轉移至幣安。

歐易OKEx DeFi播報：DeFi總市值1103.6億美元，歐易OKEx平臺CHZ領漲:據歐易OKEx統計，DeFi項目當前總市值為1103.6億美元，總鎖倉量為584.4億美元；

行情方面，今日DeFi代幣普漲，歐易OKEx平臺DeFi幣種漲幅最大前三位分別是CHA、COVER、LUNA；

截至18:00，OKEx平臺熱門DeFi幣種如下：[2021/3/12 18:40:04]

思考：不難看出，該事件的攻擊者轉出資產的核心方式還是“兌換、匯集、分批、多層”，最終大部分資金都到了幣安交易所，但這并不意味著目前大部分被盜資產脫離攻擊者的控制，此刻就非常需要全球交易所以合規的方式聯合起來，阻斷攻擊者的黑資產變現行為。

StableMagnet跑路事件

概述

北京時間6月23日凌晨，幣安智能鏈(BSC)上穩定幣兌換自動做市商StableMagnet卷走用戶2400萬美元跑路。然而在事件發生前，部分用戶曾收到匿名組織發來的信件，信件中暗示StableMagnet將RugPull，但用戶只是半信半疑沒有做出過多舉動。2400萬美元被帶走的同時，用戶的錢包也被洗劫，官方網站、電報群、推特全都“查無此人”。從震驚無措中緩過來的受害者們立刻聯絡起來，社區部分“科學家”們自發組建了核心調查組，聯合幣安的力量，展開了一場跌宕起伏的自救行動。

分析 | DeFi項目鎖倉達3.86億美元 近3個月增長62.86%:據DAppTotal.com DeFi專題頁面實時動態數據顯示，截至04月29日發稿前，已統計的13個 DeFi項目共計鎖倉資金達3.86億美元，其中Maker Dao鎖倉3.21億美元，占比83.14%；之后是Compound 占比8.46%；Dharma占比3.2%；Uniswap、Augur、xDai等其他DeFi類應用共占比5.2%。綜合對比DeFi類項目近三個月數據發現，02月01日鎖倉資金總額為2.37億美元，截至目前已經增長了62.86%。[2019/4/29]

事件相關地址

項目方跑路地址：0x8bea99d414c9c50beb456c3c971e8936b151cb39

資金流向分析

經過分析，此次問題出在智能合約調用的底層函數庫，而項目方在底層函數庫SwapUtilsLibrary中植入了后門，一開始就為跑路做好了準備。收割資金，利用漏洞，卷走資金，一切就從下圖的交易開始了………在這筆交易中，項目方帶走了超800萬枚BSC-USD、超720萬枚USDC以及超700萬枚BUSD。資金到手，項目方沒有過多停頓，立馬就開始轉移資金。

第一層洗幣：少部分兌換后，將資金等額分散到多個地址

為了后續更統一方便地轉移，項目方先將1,137,821BUSD換成1,137,477USDC，將781,878BUSD換成781,467BSC-USD。接著分別將BUSD、USDC、BSC-USD等額分散到以下地址：第二層洗幣：部分資金兌換后進行跨鏈并轉入混幣平臺，部分資金直接轉入幣安

BUSD部分

根據分析，上圖中的一部分BUSD換成91anyBTC跨鏈到地址A(bc1...gp0)。一部分BUSD換成60anyBTC跨鏈到地址B(bc1...kfu)。USDC部分

根據分析，上圖中的一部分USDC兌換為anyETH，跨鏈到5個以太坊地址。另一部分USDC兌換為USDT，跨鏈到5個以太坊地址。接著，將ETH都轉移到了地址C(0xfa9...d7b)和地址D(0x456...b9f)。而這兩個地址，少部分轉到了第一層表格中的地址，多數轉移到了Tornado.Cash。而USDT被換成DAI，一部分停留在地址，一部分已轉到混幣平臺Tornado.Cash。BSC-USD部分

上圖中的BSC-USD資金，皆分批轉到了幣安。據了解，事件發生后幾天，幣安提供了嫌犯可能在香港的有效線索，社區調查者的線索也指向香港，但嫌犯在明知身份已泄露的情況下仍拒絕配合。受害者們只能將眼光轉向，好在分別于香港、英國實現了立案。正在焦灼之時，英國立即受理并對該事件展開行動，在社區與匿名組織給出的有效信息支持下，開啟了抓捕行動。值得慶幸的是，在社區與英國的聯合力量下，回收了90%資產，并抓獲了部分嫌疑人，這也是DeFi攻擊史上首次由發起鏈上退款的事件。

思考：不難看出，Tornado.Cash等混幣服務系統、閃兌平臺以及一些免KYC的中心化機構，目前都是洗錢的重災區。另外，在該跑路事件中英國起到了非常重要的作用，每個平臺應該將合規與安全監管重視起來，必要時與監管執法機構合作，打擊不法行為。

總結

經過上述分析，不難發現幣安似乎很受攻擊者的青睞。作為全球領先的加密貨幣交易所之一，幣安最近遭遇了多個國家的監管風波，8月6日，幣安CEO趙長鵬在推特上表示，幣安將從被動合規轉向主動合規，隨后幣安上線了一系列擁抱合規的平臺安全策略。監管的意義在某些攻擊事件中也不言而喻，例如Tether對被盜的USDT的凍結、慢霧聯合交易所對被盜資金的凍結。

在合規監管方面，慢霧發布了AML系統，交易平臺接入AML系統后，一方面交易平臺在收到相關盜幣資金時會收到提醒，另一方面可以更好地識別高風險賬戶，保持平臺合規性，避免平臺陷入涉及洗錢的境況。作為行業領先的安全公司，慢霧始終關注著每一件安全事件，當攻擊事件發生后，我們會迅速采集攻擊者相關的地址錄入到AML系統，并進行持續監控與拉黑。目前，慢霧AML系統旗下的惡意地址庫已涵蓋從暗網到全球數百個交易所的有關內容，包含BTC、ETH、EOS、XRP、TRX、USDT等惡意錢包地址，數量已突破10萬，可識別地址標簽近2億，為追蹤黑客攻擊、洗幣行為提供了全面的情報支撐。

歡迎點擊此免費試用慢霧AML系統，通過監測鏈上活動的實時動態，提高整個平臺的風控安全與合規等級。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多

Tags：USDDEFDEFIEFIUSDXDEFI S幣Valuedefi vSWAPTRD-DeFi

XMR