比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > BNB價格 > Info

慢霧:黑客是如何通過Tornado.Cash洗幣的?_TOR

Author:

Time:1900/1/1 0:00:00

隨著黑客盜幣事件愈演愈烈,Tornado.Cash也變得越來越“有名”,大多數黑客在獲利后都毫不留情地將“臟幣”轉向Tornado.Cash。今天以一個真實案例來看看這名黑客是怎么通過Tornado.Cash洗幣的。基礎知識

Tornado.Cash是一種完全去中心化的非托管協議,通過打破源地址和目標地址之間的鏈上鏈接來提高交易隱私。為了保護隱私,Tornado.Cash使用一個智能合約,接受來自一個地址的ETH和其他代幣存款,并允許他們提款到不同的地址,即以隱藏發送地址的方式將ETH和其他代幣發送到任何地址。這些智能合約充當混合所有存入資產的池,當你將資金放入池中時,就會生成私人憑據,證明你已執行了存款操作。而后,此私人憑據作為你提款時的私鑰,合約將ETH或其他代幣轉移給指定的接收地址,同一用戶可以使用不同的提款地址。案例分析

今天要分析的是一個真實案例,當受害平臺找到我們時,在Ethereum、BSC、Polygon三條鏈上的被盜資金均被黑客轉入Tornado.Cash,所以我們主要分析Tornado.Cash的部分。黑客地址:0x489...1F4(Ethereum/BSC/Polygon)0x24f...bB1(BSC)Ethereum部分

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

借助慢霧MistTrack反洗錢追蹤系統,我們先對地址進行一個大概的特征分析。

慢霧:去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息,2022年3月29日,Acutus的ACOWriter合約遭受攻擊,其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控,攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

從部分展示結果來看,可以看到交易行為里黑客使用較多的除了Bridge就是混合器Mixer,這些對我們分析黑客畫像十分重要。接著,我們對Ethereum上的資金與行為進行深入分析:據慢霧MistTrack反洗錢追蹤系統的分析,黑客將2450ETH以5x10ETH+24x100ETH的形式分批轉入Tornado.Cash,將198ETH轉入FixedFloat,這讓我們繼續追蹤Tornado.Cash部分留了個心眼。

慢霧:BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息,10月30日攻擊BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗幣過程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺,其中部分 ETH 代幣被兌換成 BTC。此外,黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈,目前,初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

既然想要嘗試追蹤黑客從Tornado.Cash轉出的地址,那我們就得從Ethereum上第一筆資金轉入Tornado.Cash的時間點開始,我們發現第一筆10ETH和第二筆10ETH間的時間跨度較大,所以我們先從跨度小的100ETH開始分析。

慢霧:Furucombo被盜資金發生異動,多次使用1inch進行兌換:據慢霧MistTrack,2月28日攻擊Furucombo的黑客地址(0xb624E2...76B212)于今日發生異動。黑客通過1inch將342 GRO、69 cWBTC、1700萬cUSDC兌換成282 ETH,并將147ETH從Compound轉入到自己的地址,截至目前該黑客地址余額約170萬美元,另一個黑客地址余額為約1200萬美元。[2021/3/3 18:12:14]

定位到Tornado.Cash:100ETH合約相對應的交易,發現從Tornado.Cash轉出的地址非常多。經過慢霧MistTrack的分析,我們篩選出了符合時間線和交易特征的地址。當然,地址依然很多,這需要我們不斷去分析。不過很快就出現了第一個讓我們饒有懷疑的地址。

聲音 | 慢霧:Ghostscript存在多個漏洞:據慢霧區消息,Google Project Zero發布Ghostscript多個漏洞預警,遠端攻擊者可利用漏洞在目標系統執行任意代碼及繞過安全限制。Ghostscript 9.26及更早版本都受影響。軟件供應商已提供補丁程序。[2019/1/24]

據慢霧MistTrack的分析,地址將Tornado.Cash轉給它的ETH轉到地址,接著把ETH分為三筆轉到了FixedFloat。

當然,這也可能是巧合,我們需要繼續驗證。繼續分析,接連發現三個地址均有同樣的特征:A→B→FixedFloatA→FixedFloat

在這樣的特征佐證下,我們分析出了符合特征的地址,同時剛好是24個地址,符合我們的假設。

Polygon部分

如下圖,黑客將獲利的365,247MATIC中的部分MATIC分7次轉到Tornado.Cash。

而剩下的25,246.722MATIC轉到了地址,接著追蹤這部分資金,我們發現黑客將25,246.721MATIC轉到了FixedFloat,這讓我們不禁思考黑客在Polygon上是否會以同樣的手法來洗幣。我們首先定位到Tornado:100,000MATIC合約與上圖最后三筆對應的交易,同時發現從Tornado.Cash合約轉出的地址并不多,此時我們可以逐個分析。

很快,我們就發現了第一個讓我們覺得有問題的地址。我們看到了熟悉的FixedFloat地址,不僅FixedFloat轉MATIC到地址,從地址轉出資金的接收地址也都將MATIC轉給了FixedFloat。

分析了其他地址后,發現都是一樣的洗幣手法,這里就不再贅述。從前面的分析看來黑客對FixedFloat實在獨有偏愛,不過這也成了抓住他的把柄。BSC部分

下面我們來分析BSC部分。BSC上黑客地址有兩個,我們先來看地址:

黑客地址分17次轉了1700ETH到Tornado.Cash,時間范圍也比較連貫。就在我們以為黑客會故技重施的時候,發現并非如此。同樣,經過慢霧MistTrack的分析與篩選,我們篩選出了符合時間線和交易特征的地址,再進行逐個突破。分析過程中,地址引起了我們的注意。如圖,據慢霧MistTrack顯示,該地址將Tornado.Cash轉給它的ETH轉出給了SimpleSwap。

繼續分析后發現,換湯不換藥,雖然黑客換了平臺,手法特征卻還是類似:A→SimpleSwapA→B→SimpleSwap

另一個黑客地址是以10BNB為單位轉到了Tornado.Cash。

而在這個地址的洗幣手法中,黑客選擇了另一個平臺,不過手法依然類似。這里就不再一一分析。

總結

本文主要由一個真實案例開啟,分析并得出在不同的鏈上黑客是如何試圖使用Tornado.Cash來清洗盜取的資金,本次洗幣手法具有極相似性,主要特征為從Tornado.Cash提幣后或直接或經過一層中間地址轉移到常用的混幣平臺。當然,這只是通過Tornado.Cash洗幣的其中一種方法,更多手法仍等著我們發現。而想要更有效率更準確地分析出結果,必然得借助工具。憑借超2億個錢包地址標簽,慢霧MistTrack反洗錢追蹤系統能夠識別全球主流交易平臺的各類錢包地址,如用戶充值地址、溫錢包地址、熱錢包地址、冷錢包地址等。通過MistTrack反洗錢追蹤系統可對任意錢包地址進行特征分析和行為畫像,在反洗錢分析評估工作中起到至關重要的作用,為加密貨幣交易平臺、用戶個人等分析地址行為并追蹤溯源提供了強有力的技術支撐。

Tags:ETHTORADOORNtogetherbnb能睡幾個DefactorpolkadotteddonkeyREBorn

BNB價格
疫情之下,元宇宙婚禮考慮一下?_元宇宙

突如其來的疫情打亂了人們正常的生活節奏。提前準備好的工作計劃、外出游玩甚至是結婚計劃都在反復的疫情中被推遲或取消。對于有結婚計劃的新人來說,婚紗照不能如約拍攝、婚宴不能如期舉行實屬遺憾.

1900/1/1 0:00:00
The Merge升級成功后,對以太坊生態會產生哪些影響?_ETHE

作者:0x76@BlockBeats以太坊自推出開始,便清晰的繪制了未來開發的路線圖。在最初的設想中,以太坊將一共需要經歷四個主要開發階段,他們分別是:邊境、家園、都會以及寧靜.

1900/1/1 0:00:00
a16z押注的社交支付協議「Celo」生態項目一覽_WEB3

Celo是一個去中心化的社交支付協議,它將區塊鏈技術與傳統的支付方式相結合,以此建立更簡單的付款方式以及更穩定的貨幣波動體系.

1900/1/1 0:00:00
36年游戲OG殺入GameFi,專訪「街頭霸王」制作人西門孟_GAME

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 主打「Play-To-Earn」的鏈游正在沖擊傳統游戲模式,開啟新一輪的變革。數據顯示,GameFi賽道2021年累計獲得40億美元投資.

1900/1/1 0:00:00
Messari:7種擴容產品如何為Polygon構筑護城河?_POL

摘要:Polygon是一家區塊鏈互聯網公司,專注于通過零知識技術組合擴展以太坊。該公司正在積極開發七種擴展解決方案,從各種ZKRollup到側鏈,再到軟件開發工具包(SDK)等工程基礎設施.

1900/1/1 0:00:00
回顧DeFi一季度數據和大事件:L2正在升溫,Terra面臨爭議_DEFI

朋友們,為了更好地向前看,我們應該了解過去。我總結了第一季度在DeFi中發生的80/20的情況。這是它的第一次迭代,我迫不及待地想為下一季度做一份更全面的報告.

1900/1/1 0:00:00
ads