TOR:“揭開” Tornado.Cash 的匿名面紗

隨著DeFi、NFT、跨鏈橋等項目的火熱發展，黑客攻擊事件也層出不窮。有趣的是，據慢霧統計，80%的黑客在洗幣過程中都使用了混幣平臺Tornado.Cash，本文以KuCoin被盜事件為例，試圖從追蹤分析過程中找到一絲揭開Tornado.Cash匿名性的可能。

事件概述

據KuCoin官網公告，北京時間2020年9月26日凌晨，KuCoin交易所的熱錢包地址出現大量異常的代幣提現，涉及?BTC、ETH?等主流幣以及LINK、OCEN等多種代幣，牽動了無數用戶的心。

圖?1

據慢霧AML團隊統計，本次事件被盜資金超2.7億美元，具體如下圖：

律師：Hinman文件突出SEC不是監管加密行業的合適機構，國會有必要干預:6月14日消息，加密律師兼CryptoLaw創始人 John Deaton表示，SEC前高級職員Bill Hinman于2018年的演講文件為Ripple、Coinbase和其他面臨監管機構不公正執法的實體提供了支持；這些文件不僅會影響公眾輿論，而且可能會影響國會的立法討論，因為它們引起了人們對監管機構行為和對現行法律解釋的擔憂。

Deaton表示，這些文件本身不會影響法官對Ripple是否將XRP作為投資合同以提供、出售的基本分析，或者XRP在二級市場的地位美國市場。但它確實加強了Ripple的論點，即Hinman發表的演講造成了市場混亂，并阻礙了市場參與者理解現有法規禁止的內容的能力。”Deaton進一步強調了這些文件對Ether和ERC-20代幣的潛在影響。這些文件可能會通過降低以太坊被SEC歸類為證券的可能性。這些文件強調了國會有必要干預并在管理數字資產方面提供明確的信息，鑒于這些文件突出了明顯的利益沖突和不當行為，SEC可能不是監管加密行業的合適機構。[2023/6/14 21:35:45]

圖2

Orbiter Finance推出成就NFT，用戶可根據交互次數領取不同級別NFT:5月26日消息，Layer2跨Rollup橋Orbiter Finance于Galxe推出Orbiter Pilots NFT，用戶可根據與Orbiter Finance的交互次數領取不同級別的NFT。[2023/5/26 9:44:33]

值得注意的是，我們全面追蹤后發現黑客在這次攻擊事件中大量使用了Tornado.Cash來清洗ETH。在這篇文章中，我們將著重說明黑客如何將大量ETH轉入到Tornado.Cash，并對Tornado.Cash的轉出進行分析，以分解出被盜資金可能流向的地址。

Tornado.Cash?是什么？

Tornado.Cash是一種完全去中心化的非托管協議，通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私，Tornado.Cash使用一個智能合約，接受來自一個地址的ETH和其他代幣存款，并允許他們提款到不同的地址，即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池，當你將資金放入池中時，就會生成私人憑據，證明你已執行了存款操作。而后，此私人憑據作為你提款時的私鑰，合約將ETH或其他代幣轉移給指定的接收地址，同一用戶可以使用不同的提款地址。

Galactic Holdings完成1000萬美元Pre-A輪融資，BAI Capital領投:4月17日消息，拉丁美洲領先的加密貨幣公司Galactic Holdings宣布成功完成了1,000萬美元的Pre-A輪融資。本輪由BAI Capital領投，Animoca Brands、Y2Z Ventures、Longling Capital、Head & Shoulders、TKX Digital Group、Perseverance Capital和Palm Drive Capital等參投。本次融資將進一步推進Galactic Holdings在拉美地區的發展。

Galactic Holdings是拉丁美洲目前唯一一家合規且同時擁有數字貨幣錢包TruBit、交易所TruBit Pro以及墨西哥比索錨定的穩定幣MMXN的大型綜合性平臺。

Galactic Holdings的首席執行官和聯合創始人Maggie Wu表示Galactic將致力于拉美地區加密貨幣業務的全面發展。[2023/4/17 14:08:26]

如何轉入？

Frax Finance社區投票通過用2000萬FRAX回購FXS的提案:6月30日消息，混合算法穩定幣協議FraxFinance社區在本周投票通過了關于建議使用2000萬FRAX在3天至30天的時間內通過Fraxswap（FRAX-FXSTWAMM）回購FXS的提案，回購的代幣將被銷毀、放入veFXS收益中或保留在財庫中，具體會在未來再進行治理。

根據Etherscan數據，FXS目前的最大總供應量為逾9982萬枚。此前報道，本月上旬，FraxFinance聯合創始人SamKazemian和Travis Moore發布了該治理提案，提案認為，FXS價格被低估，而此時回購是資本或利潤的最佳用途。[2022/6/30 1:42:00]

攻擊得手后，黑客開始大范圍地將資金分批轉移到各大交易所，但還沒來得及變現就被多家交易所凍結了。在經歷了白忙一場的洗錢后，黑客將目光轉向了DeFi。

據慢霧AML旗下MistTrack反洗錢追蹤系統顯示，黑客(0xeb31...c23)先將ERC20代幣分散到不同的地址，接著使用Uniswap、1inch和Kyber將多數ERC20代幣換成了ETH。

Binance Labs負責人即將離職:6月3日消息，幣安風險投資和孵化部門Binance Labs負責人Bill Qian即將離開該公司。此外，執行董事Nicole Zhang已于上月離職，前往Lingfeng Capital擔任合伙人，負責管理其創新基金。[2022/6/3 4:00:53]

圖3

大部分ERC20代幣兌換成ETH后，被整合到了以下主要地址：

表1

在對ETH和ERC20代幣進行完整追蹤后，我們梳理出了資金是如何在黑客地址間移動，并分解出了資金是以怎樣的方式進入Tornado.Cash。

圖4

黑客將資金按時間先后順序轉入Tornado.Cash的詳情如下：

表2?

轉到了哪？

猜想

1.?巨額的ETH進入?Tornado.Cash，會集中表現出一些可追蹤的特征。

2.以黑客急于變現的行為分析，猜想黑客將資金存入Tornado.Cash后會隨即提款，或下次存入時提款。

3.分析攻擊者使用洗幣平臺的方式和行為，可以獲得資金的轉移地址。

可能的鏈上行為

1.資金從?Tornado.Cash轉出的時間范圍與黑客將資金轉入Tornado.Cash的時間范圍近似。

2.一定時間段內，從Tornado.Cash?轉出的資金會持續轉出到相同地址。

驗證

以黑客地址(0x34a...c6b)為例：

如表2結果所述，黑客在?2020-10-2316:06:28~2020-10-2610:32:24?(UTC)間，以每次100ETH，存115次的方式將?11,500?ETH存入?Tornado.Cash。為了方便說明，我們只截取了該地址在2020-10-243:00:07~6:28:33(UTC)間的存款記錄，如下圖：

圖5

接著，我們查看Tornado.Cash:100ETH合約的交易記錄，找到地址(0x34a...c6b)在同一時間段的存款記錄，下圖紅框地址(0x82e...398)在此時間段內大量提款的異常行為引起了我們的注意。

圖6

查看該地址(0x82e...398)在此時間段的交易哈希，發現該地址并沒有將ETH提款給自己，而是作為一個合約調用者，將ETH都提款到了地址?(0xa4a...22f)。

圖7

圖8

同樣的方式，得出黑客地址(0x34a...c6b)經由Tornado.Cash提款分散到了其他地址，具體如下：

表3

經過核對，發現從Tornado.Cash提款到表3中六個地址的數額竟與黑客存款數額11,500ETH一致，這似乎驗證了我們的猜想。對其他地址的分析方法同理。

接著，我們繼續對這六個地址進行追蹤分析。據MistTrack反洗錢追蹤系統展示，黑客將部分資金以50~53ETH不等轉向了ChangeNOW、CoinSwitch、Binance等交易平臺，另一部分資金進入第二層后也被黑客轉入了上述交易平臺，試圖變現。

圖9

總結

本文主要說明了黑客是如何試圖使用Tornado.Cash來清洗盜竊的ETH，分析結果不由得讓我們思考：Tornado.Cash真的完全匿名嗎？一方面，既然能分析出部分提款地址，說明不存在絕對的匿名；另一方面，匿名性是具備的，或許只是Tornado.Cash不適合在短時間內混合如此大規模的資金而已。

截止目前，KuCoin官方表示已聯合交易所、項目方、執法和安全機構追回約2.4億美元資金。從各種攻擊事件看來，DeFi或許已成為黑客轉移資金的通道，而今監管已至，合規化的腳步愈發逼近，有合規需求的項目方，可以考慮接入慢霧AML系統(aml.slowmist.com)，即使黑客使用了DeFi，也無處遁形。

By：Lisa@慢霧AML團隊

Tags：TORCASCASHTORNtourstorageserverJobCashCASHDOGtorn幣價格

歐易okex官網