前段時間,我們發布了一篇 Bitfinex 被黑案件細節分析的文章,引起了劇烈的討論。文中提到了一種洗幣方式——剝離鏈(Peel Chain)技術,借此事件寫一些與鏈上追蹤相關的文章給大家學習。
什么是 Peel Chain
剝離鏈(Peel Chain)——是指一種通過一系列冗長的小額交易來清洗大量加密貨幣的技術。這種洗幣方式通常從一個“臟”地址開始,該地址可能與非法活動有關,例如地址 A 將資金轉到地址 B 和 C,而轉移到地址 B 的數額多數情況下是極小的,轉移到地址 C 的數額占大部分,地址 C 又將資金轉到 D(小額)和 E(大額),依次類推,直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額,要么以 Peel Chain 的方式繼續轉移,要么轉到交易/暗網平臺,要么停留在地址,要么通過混幣平臺轉出。
Terra鏈上DeFi鎖倉量為269.7億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為269.7億美元,近24小時增漲0.1%。在公鏈中排名第2位僅次于以太坊。目前,Terra鏈上DeFi鎖倉量排名前5的分別為:Anchor(141.6億美元)、Lido(79.9億美元)、Astroport(12.7億美元)、Stader(7.99億美元)、Terraswap(6.95億美元)。[2022/3/20 14:07:52]
案例分析
2016 年 8 月 3 日,知名加密貨幣交易所 Bitfinex 發公告稱,黑客入侵了其系統并盜走約 119,755 枚比特幣。事發當時價值約 6000 萬美元,按今天的價格計算,被盜總額約為 45 億美元。據慢霧 AML 旗下反洗錢追蹤系統?MistTrack 分析,黑客最初將被盜資產分散存儲在 2072 個錢包地址中,經 MistTrack 標記如下圖。
著名的比特幣鏈上分析師David Puell 加入ARK Invest:金色財經報道,撰寫了 Puell 倍數和比特幣的市場價值與實現價值 ( MVRV ) 比率指標的 David Puell 先生在 Twitter 上分享了他將加入 ARK Invest 擔任加密和鏈上研究員,ARK Invest 是由Cathie Wood 領導的頂級投資公司。Puell 甚至將他的推特賬號從@kenoshaking 更改為@dpuellARK。
David Puell 是著名的兩個指標的作者:Puell Multiple 和 BTC MVRV。第一個計算方法是以美元計價的 BTC 每日發行值除以每日發行值的 365 天移動平均值。它表征了礦工的收入。
市場價值對實現價值 (MVRV) 振蕩器是一個主要的估值指標:它是通過將市場價值除以實現價值來計算的。它允許用戶估計比特幣(BTC)現在是超買還是超賣。(u.today)[2022/2/20 10:03:13]
Terra鏈上DeFi鎖倉量為180.8億美元:金色財經報道,據DefiLlama數據顯示,當前Terra鏈上DeFi鎖倉量為180.8億億美元,在公鏈中仍排名第2位。目前,鎖倉量排名前5的公鏈分別為以太坊(1435.6億美元)、Terra(180.8億美元)、BSC(145.6億美元)、Avalanche(108.7億美元)、Solana(95.7億美元)[2022/1/18 8:55:50]
從 2017 年 1 月開始,黑客開始密集轉移資產。我們對 2072 個地址進行分析后,發現黑客將大部分地址上的資金都進行了轉移,而轉移方式正是我們今天要說的剝離鏈(Peel Chain)。
以黑客地址 19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM 為例:
yearn.finance核心開發者:美國想要進行鏈上KYC與GDPR相悖:yearn.finance(YFI)核心開發者banteg發推稱,美國想要進行鏈上KYC,但這是行不通的,因為有GDPR。真等不及讓這些破玩意自相殘殺了。
對此有網友回復稱:“GDPR挺好的不是嗎?它限制了國家和私人公司濫用個人數據——加密社區通常在隱私方面落后。”banteg回應道:“我并不是說它不好,重點是你不能設計一個迎合每個國家的系統。以太坊是一個中立的領域。”
注:《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR)為歐洲聯盟的條例,前身是歐盟在1995年制定的《計算機數據保護法》。[2020/12/25 16:29:32]
據 MistTrack 反洗錢追蹤系統顯示,約 30.668 BTC 從 Bitfinex 交易平臺轉到黑客地址(19X...BDM),再通過兩次直線轉移將 BTC 轉移到地址(3CA...AcW)。
再來看地址(3CA...AcW)的資金流向:
首先,地址(3CA...AcW)將 30.6675 BTC 分為小額 2.27 BTC 和大額 28.39 BTC 分別轉到地址 1 和地址 2;接著,地址 1 將 2.27 BTC 分為小額 0.16 BTC 和大額 2.11 BTC 分別轉到地址 3 和地址 4;地址 3 再以同樣的方式將 0.16 BTC 分別轉到地址 5 和地址 6,其他地址同理。
為了更直觀的展示,我們截取了資金流向的一部分,讓大家更理解這種洗幣方法。
從上圖可以看到,資金被轉移到兩個地址,接著兩個地址分別又轉到另兩個地址,數額越來越小,出現的地址也越來越多,只至最后有部分資金通過 wasabi 混幣轉出或轉到 Hydra Market 暗網市場。當然,這還只是一小部分的資金流向,但我們不難看出,為了躲避追蹤,黑客非常有“耐心”。
我們再以另一個黑客地址 1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE 為例,更多地了解 Peel Chain 手法的特征。
據區塊鏈瀏覽器顯示,該黑客地址盜走了 271.22 BTC。我們接著以大額轉移地址為目標進行追蹤:
……
雖然中間省略了部分轉移情況,但我們還是能清楚地看出 Peel Chain 手法的特征:
一般從一個單一的“臟”地址開始;
通常不斷拆分到兩個地址;
以大額和小額進行拆分;
資金停留或混幣或進入交易所/暗網平臺。
總結
剝離鏈(Peel Chain)技術常常被黑客使用,一方面是因為每次單獨轉移的金額很小,幾乎不會引發交易平臺的風控提醒,另一方面是由于這種洗幣鏈路極度冗長和復雜,會使他們盜取的資產變得極難追蹤。
對于一些復雜冗長的剝離鏈(Peel Chain),黑客通常使用計算機程序自動化該過程。盡管如此,我們仍可以使用腳本及追蹤工具來追蹤此類事件。憑借支持多幣種、數量超 10 萬的惡意地址庫,慢霧 AML 旗下反洗錢追蹤系統 MistTrack 將幫助加密貨幣交易平臺、用戶個人等追蹤溯源,實時監控拉黑黑客地址并聯動各大交易平臺凍結資金,為資金安全更好地保駕護航。
相關鏈接:
https://en.bitcoin.it/wiki/Privacy
https://aml.slowmist.com/mistTrack.html
烏克蘭政府在周日升級了針對俄羅斯加密貨幣用戶的言論,稱現在是“針對普通用戶實施破壞”的時候了。烏克蘭副總理表示,他請求“所有主要的加密貨幣交易所阻止俄羅斯用戶的地址”.
1900/1/1 0:00:00本文來自微信公眾號老雅痞(id:laoyapi)。 與加密貨幣教授 Tonya Evans一起揭開互聯網法律的神秘面紗本文整理自TheVerge?Decoder特色欄目.
1900/1/1 0:00:00虛擬數字人市場逐步進入成熟期,商業化進程加速。1982年世界第一位虛擬歌姬林明美誕生,虛擬數字人行業經歷了萌芽、探索、初級和成長四個階段.
1900/1/1 0:00:00本文來自微信公眾號老雅痞(id:laoyapi)。隨著過去一年NFT的興起,有許多新買家可能會陷入陷阱。以下是需要注意的5個警告信號(來自個人經驗),它們可能告訴你一個NFT項目正在死亡.
1900/1/1 0:00:00本周早些時候,俄羅斯總統普京下令在烏克蘭發起“軍事行動”,美國國務卿 Antony John Blinken 稱這是自二戰以來歐洲最大的威脅.
1900/1/1 0:00:001.DeFi代幣總市值:1095.05億美元DeFi總市值 數據來源:coingecko2.過去24小時去中心化交易所的交易量:51.
1900/1/1 0:00:00