比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > SAND > Info

ORN:鏈上追蹤:洗幣手法科普之 Tornado.Cash

Author:

Time:1900/1/1 0:00:00

這次的主題是混幣器Tornado.Cash。

隨著黑客盜幣事件愈演愈烈,Tornado.Cash也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向Tornado.Cash。我們曾對Tornado.Cash的匿名性進行過探討,詳見:慢霧AML:“揭開”Tornado.Cash的匿名面紗。而今天以一個真實案例來看看這名黑客是怎么通過Tornado.Cash洗幣的。

基礎知識

Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。

案例分析

今天要分析的是一個真實案例,當受害平臺找到我們時,在Ethereum、BSC、Polygon三條鏈上的被盜資金均被黑客轉入Tornado.Cash,所以我們主要分析Tornado.Cash的部分。

數據:BNB鏈上活躍地址數超ETH:7月11日消息,據Coin98數據,7月10日,BNB鏈上活躍地址數(一周周期)為301萬,ETH為177萬,BNB鏈上活躍地址數超ETH。[2022/7/11 2:05:14]

黑客地址:

0x489...1F4(Ethereum/BSC/Polygon)

0x24f...bB1(BSC)

Ethereum部分

借助慢霧MistTrack反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。

從部分展示結果來看,可以看到交易行為里黑客使用較多的除了Bridge就是混合器Mixer,這些對我們分析黑客畫像十分重要。

接著,我們對Ethereum上的資金與行為進行深入分析:據慢霧MistTrack反洗錢追蹤系統的分析,黑客將2450ETH以?5x10ETH+24x100ETH的形式分批轉入Tornado.Cash,將198ETH轉入FixedFloat,這讓我們繼續追蹤Tornado.Cash部分留了個心眼。

KAVA推出7.5億美元的鏈上開發者激勵計劃“Kava Rise”:3月4日消息,跨鏈DeFi平臺KAVA推出7.5億美元的程序化鏈上開發者激勵計劃“Kava Rise”,旨在將DeFi、GameFi和NFT行業中創新性的開發人員引入Kava網絡。Kava Rise采用程序化融資模式,計劃在4年內分配2億枚KAVA,其中將向在Kava Ethereum和Cosmos Co-Chains上構建應用的開發人員分配所有區塊獎勵的62.5%,其余37.5%分配給抵押者,且獎勵將根據使用情況在鏈上透明地分發。[2022/3/4 13:36:48]

既然想要嘗試追蹤黑客從Tornado.Cash轉出的地址,那我們就得從Ethereum上第一筆資金轉入Tornado.Cash的時間點開始,我們發現第一筆10ETH和第二筆10ETH間的時間跨度較大,所以我們先從跨度小的100ETH開始分析。

Fantom鏈上總鎖倉量突破100億美元,超越Solana:1月13日消息,據Defi Llama數據顯示,當前Fantom鏈上總鎖倉量達105.9億美元,排名超越Solana(TVL104億美元),暫列第五位。[2022/1/13 8:47:13]

定位到Tornado.Cash:100ETH合約相對應的交易,發現從Tornado.Cash轉出的地址非常多。經過慢霧MistTrack的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址。

據慢霧MistTrack的分析,地址將?Tornado.Cash轉給它的ETH轉到地址,接著把ETH分為三筆轉到了FixedFloat。

公鏈IoTeX鏈上實時激活設備數超7000臺:官方消息,高性能公鏈IoTeX鏈上實時激活設備數超7000臺,分布全球62個國家,共銷毀等值3500萬美金的IOTX,空投超過4500萬個IOTX給長期持有者 (開啟自動質押超過91天)。

2021年第三季度末,由IoTeX賦能的可信硬件“Pebble原石\"追蹤器也將正式交付,屆時鏈上激活設備數量將成倍增加。同時,更有樹莓派Rasberry Pi 和Arduino等多種開源設備準備上鏈。

IoTeX于2020年11月3日上線”Burndrop燒投計劃”,每臺由IoTeX區塊鏈賦能的智能設備都將觸發銷毀和空投IOTX,總共將銷毀9億和空投1億IOTX給長期持有者 (開啟自動質押超過91天)。

IoTeX作為硅谷開源項目成立于2017年,以鏈接現實世界和數字世界為發展目標,是與以太坊全兼容的高性能公有區塊鏈。[2021/8/18 22:21:55]

當然,這也可能是巧合,我們需要繼續驗證。

繼續分析,接連發現三個地址均有同樣的特征:

A→B→FixedFloat

A→FixedFloat

動態 | ETH鏈上出現價值832 萬美元的大額轉賬:今日14:32從 0x3bf86e 開頭地址向 0x0a0fed 開頭地址 轉賬 80000 枚ETH,價值 832 萬美元。[2018/12/19]

在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是24個地址,符合我們的假設。

Polygon部分

如下圖,黑客將獲利的365,247MATIC中的部分MATIC分7次轉到Tornado.Cash。

而剩下的25,246.722MATIC轉到了地址,接著追蹤這部分資金,我們發現黑客將25,246.721MATIC轉到了FixedFloat,這讓我們不禁思考黑客在Polygon上是否會以同樣的手法來洗幣。

我們首先定位到Tornado:100,000MATIC合約與上圖最后三筆對應的交易,同時發現從Tornado.Cash合約轉出的地址并不多,此時我們可以逐個分析。

很快,我們就發現了第一個讓我們覺得有問題的地址。我們看到了熟悉的FixedFloat地址,不僅?FixedFloat轉MATIC到地址,從地址轉出資金的接收地址也都將MATIC轉給了FixedFloat。

分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對FixedFloat實在獨有偏愛,不過這也成了抓住他的把柄。

BSC部分

下面我們來分析BSC部分。BSC上黑客地址有兩個,我們先來看地址:

黑客地址分17次轉了1700ETH到Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧MistTrack的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。

分析過程中,地址引起了我們的注意。如圖,據慢霧MistTrack顯示,該地址將Tornado.Cash轉給它的ETH轉出給了SimpleSwap。

繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:

A→SimpleSwap

A→B→SimpleSwap

另一個黑客地址是以10BNB為單位轉到了Tornado.Cash。

而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。

總結

本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用Tornado.Cash來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從Tornado.Cash提幣后或直接或經過一層中間地址轉移到常用的混幣平臺。當然,這只是通過Tornado.Cash洗幣的其中一種方法,更多手法仍等著我們發現。

而想要更有效率更準確地分析出結果,必然得借助工具。憑借超2億個錢包地址標簽,慢霧?MistTrack反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址,如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過MistTrack反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像,在反洗錢分析評估工作中起到至關重要的作用,為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。

Tags:ORNETHTORTORNAqua UnicornETHATORITORN價格

SAND
WEB:Web3.0寫作平臺:創作者的新經濟時代

通過寫作在網上賺錢仍然是新鮮的。在過去,你必須成為科學家,想出一些創造性的方法,讓你的聽眾為你的文字付費。它導致了很多陰暗的東西,而Web3.0旨在提升寫作世界.

1900/1/1 0:00:00
比特幣:Arthur Hayes 長文:制裁、黃金與比特幣

摘要:Hayes認為美國對俄羅斯的制裁以及凍結外匯儲備,將引發美元等法定貨幣的衰落,利好黃金與比特幣,“我預期是,一個比特幣價值數百萬美元,一盎司黃金價值數千美元”.

1900/1/1 0:00:00
DOT:Gavin Wood:波卡平行鏈可能超過 100 條 生態中可能還會出現第三條中繼鏈

近日,Polkadot創始人GavinWood做客TheDefiant播客,和主持人Camila聊了聊一些非常有趣的話題,包括:同為分片.

1900/1/1 0:00:00
DAO:社區 web3 團隊最難破解的代碼

隨著2021年web3行業的指數級增長,注意力之戰已經真正打響。然而,這場戰斗是在多條戰線上進行的。一方面,團隊發現吸引頂尖人才越來越難,經驗豐富的開發人員的薪水飛漲.

1900/1/1 0:00:00
YAC:被薅了 APE 空投漏洞簡析

北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin.

1900/1/1 0:00:00
POL:Polygon生態大盤點 為什么大家對Polygon情有獨鐘?

Polygon可以以更低的費用和更快的速度,獲得類似于以太坊的使用體驗。3月9日,Polygon宣布納斯達克上市的體育娛樂公司DraftKings將作為驗證者和節點運營商加入Polygon生態.

1900/1/1 0:00:00
ads