臺北時間 2021 年 8 月 19 日 10:05,日本加密交易平臺 Liquid 稱其熱錢包遭到攻擊。從官方發布的報告來看,Liquid 交易平臺上被盜幣種涉及 BTC、ETH、ERC20 代幣、TRX、TRC20 代幣、XRP 等超 70 種,幣種之多,數額之高,令人驚嘆,
慢霧 AML 團隊利用旗下 MistTrack 反洗錢追蹤系統分析統計,Liquid 共計損失約 9,135 萬美元(按事發當天價格計),包括約 462 萬美元的 BTC(107.5 枚)、3,216 萬美元的 ETH(10,851.27 枚)、4,290 萬美元的 ERC20 代幣、23 萬美元的 TRX(2,600,933.17 枚)、160 萬美元的 TRC20(1,609,635.96 枚)、1,093 萬美元的 XRP(11,508,516 枚)。(按文章發布當天價格計)
慢霧 AML 團隊全面追蹤了各幣種的資金流向情況,也還原了攻擊者的洗幣手法,接下來分幾個部分向大家介紹,
BTC 部分
攻擊者相關地址
慢霧 AML 團隊對被盜的 BTC 進行全盤追蹤后發現,攻擊者主要使用了“二分法(Peel Chain)”的洗幣手法,所謂“二分法”,是指地址 A 將資金轉到地址 B 和 C,而轉移到地址 B 的數額多數情況下是極小的,轉移到地址 C 的數額占大部分,地址 C 又將資金轉到 D(小額)和 E(大額),依次類推,直至形成以很小的數額轉移到很多地址的情況,而這些地址上的數額,要么以二分法的方式繼續轉移,要么轉到交易平臺,要么停留在地址,要么通過 Wasabi 等混幣平臺混幣后轉出,
以攻擊者地址(1Fx…f7q)為例:
據 MistTrack 反洗錢追蹤系統顯示,共 107.5 BTC 從 Liquid 交易平臺轉出到攻擊者地址(1Fx…f7q),再以 8~21 不等的 BTC 轉移到下表 7 個地址。
為了更直觀的展示,我們只截取了地址(1Ja…rGs)資金流向的一部分,讓大家更理解“二分法”洗幣,
以圖中紅框的小額轉入地址為例繼續追蹤,結果如下:
可以看到,攻擊者對該地址繼續使用了二分法,0.0027 BTC 停留在地址(1aB…yDD),而 0.0143 BTC 轉移到 Kraken 交易平臺,
攻擊者對其他 BTC 地址也使用了類似的方法,這里就不再重復講解,慢霧 AML 團隊將對資金停留地址進行持續監控及標記,幫助客戶做出有效的事前防范,規避風險,
ETH 與 ERC20 代幣部分
攻擊者相關地址
經過慢霧 AML 團隊對上圖幾個地址的深度分析,總結了攻擊者對 ETH/ERC20 代幣的幾個處理方式,
1.部分 ERC20 代幣通過 Uniswap、Balancer、SushiSwap、1inch 等平臺將代幣兌換為 ETH 后最終都轉到地址 1。
2.部分 ERC20 代幣直接轉到交易平臺,部分 ERC20 代幣直接轉到地址 1 并停留,
3.攻擊者將地址 1 上的 ETH 不等額分散到多個地址,其中 16,660 ETH 通過 Tornado.Cash 轉出,
地址 2 的 538.27 ETH 仍握在攻擊者手里,沒有異動,
4.攻擊者分三次將部分資金從 Tornado.cash 轉出,分別將 5,600 ETH 轉入 6 個地址,
其中 5,430 ETH 轉到不同的 3 個地址。
另外 170 ETH 轉到不同的 3 個交易平臺,
攻擊者接著將 3 個地址的 ETH 換成 renBTC,以跨鏈的方式跨到 BTC 鏈,再通過前文提及的類似的“二分法”將跨鏈后的 BTC 轉移,
以地址(0xC4C…7Fe)為例:
以跨鏈后的其中一個 BTC 地址(14N…13H)為例。根據 MistTrack 反洗錢追蹤系統如下圖的顯示結果,該地址通過 renBTC 轉入的 87.7 BTC 均通過混幣平臺 Wasabi 轉出。
TRX/TRC20 部分
攻擊者地址
TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp
資金流向分析
據 MistTrack 反洗錢追蹤系統分析顯示,攻擊者地址上的 TRC20 兌換為 TRX。
再將所有的 TRX 分別轉移到 Huobi、Binance 交易平臺,
XRP 部分
攻擊者相關地址
rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby
資金流向分析
攻擊者將 11,508,495 XRP 轉出到 3 個地址。
接著,攻擊者將 3 個地址的 XRP 分別轉到 Binance、Huobi、Poloniex 交易所。
總結
本次 Liquid 交易平臺被盜安全事件中,攻擊者以迅雷不及掩耳之速就將一個交易平臺內超 70 種貨幣全部轉移,之后再通過換幣平臺、混幣平臺以及其他交易平臺將資金順利洗出,
截止目前,大部分被盜資產還控制在攻擊者手中。21,244,326.3 枚 TRX 轉入交易平臺,11,508,516 枚 XRP 轉入交易平臺,攻擊者以太坊地址 2 (0xefb…b53 )存有 538.27 ETH,以太坊地址 1(0x557…946)仍有 8.9 ETH 以及價值近 540 萬 美元的多種 ERC20 代幣, 慢霧 AML 團隊將持續對異常資金地址進行實時監控與拉黑。
