Cryptopia 倒閉背后，黑客究竟如何洗白盜來的幣？_CRYP

5月15日新西蘭加密貨幣交易所Cryptopia宣布停運并清算，并表示已指派正大會計師事務所對資產進行清算，將持續數月。今年1月該交易所遭遇連續兩次的黑客攻擊，損失超過1600萬美元。本文將深度還原黑客如何洗掉從Cryptopia那里盜來的黑幣的。

原文標題：《圖文剖析Cryptopia交易所黑客洗錢行蹤》作者：PeckShield團隊

2019年1月，黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia，盜取了以ETH為主的數字資產之后銷聲匿跡。近日，隨著幣價的攀升，該黑客在沉寂了數月后，開始密集的洗錢行動。據PeckShield數字資產護航系統數據顯示，近兩天來，該黑客已經將4,787個ETH轉入了火幣交易所，而且仍有26,003個ETH等待被洗時機。

PeckShield安全人員梳理黑客洗錢路徑發現

CryptoQuant：過去3日內Binance.US平臺ETH儲備已從2.05萬枚減少至99.6枚:6月9日消息，據加密數據分析平臺CryptoQuant數據顯示，過去3日內，Binance.US平臺的ETH儲備從2.05萬枚減少至99.6枚，ERC20穩定幣儲備從4240萬美元減少至1730萬美元，MATIC儲備在過去3天內從1.3億枚降至4970萬枚MATIC。[2023/6/9 21:26:15]

1、黑客在攻擊成功后，一般會將資產分散到多個地址或直接轉移到新地址后沉寂一段時間以避開風頭；2、在洗錢過程中，黑客會先轉移出少部分資產進行嘗試，尋找最佳洗錢方式；3、在少部分資產嘗試清洗成功后，才會處理剩余資產，否則會繼續沉寂等待時機。

從本次洗錢路徑看，黑客是有通過去中心化交易所EtherDelta，以BAT、ELF等代幣配對交易，進行偽裝買賣，逃離追蹤的想法。不過，純鏈上交易信息清晰可查，黑客雖魔高一尺，但白帽安全人員布下了天羅地網，能層層剖析，抽絲剝繭清晰還原黑客洗錢的全過程。

肖風：行業合規化、比特幣二層協議、香港開放政策和代幣經濟學等是 Crypto 行業關鍵趨勢:4月10日消息，萬向區塊鏈董事長兼總經理及HashKeyGroup董事長肖風發表主題演講時詳述Crypto行業多個關鍵趨勢，分別為行業合規化、比特幣二層協議、香港開放的政策和代幣經濟學以及ChatGPT。

第一是行業合規化，最近美國監管機構采取了一系列嚴厲的監管措施，執法力度的趨嚴會影響全球大部分國家或地區，這基本意味著Crypto行業合規化的開始；

第二是比特幣二層協議，這將驅動比特幣網絡和比特幣的應用進一步擴張，會改變比特幣的定義，是比特幣價值巨大的發掘機會；

第三是香港開放的政策，香港《虛擬資產政策宣言》的穩步推進代表香港正在代表亞洲重新回到市場中心的位置，香港國際金融中心2.0版呼之欲出。

第四是代幣經濟學，DeFi是適配數字經濟的新金融市場體系，代幣經濟學適配Web3商業應用。

第五是ChatGPT，ChatGPT是AGI的分布式賬本。[2023/4/10 13:54:30]

一圖概覽黑客洗錢全過程：

Crypto.com 與環保公司 Climeworks 簽署為期八年的碳去除協議:1月16日消息，加密貨幣交易所 Crypto.com 宣布與環保公司 Climeworks 合作，雙方達成為期八年的碳去除協議，以中和 Crypto.com 的直接碳排放。Climeworks 專注于通過直接空氣捕獲技術取出二氧化碳以減少、去除和抵消二氧化碳排放。[2023/1/16 11:14:50]

圖1:黑客盜取的ETH完整流向圖

從圖1中能看到，黑客先將部分數字資產轉移到一個地址，再偽裝成買家和賣家，在去中心化交易所EtherDelta中買賣交易，試圖逃避追蹤，之后將資產再次匯聚到一起進入火幣交易所。進一步的細節如下：

第一步：資產轉移

在交易所等巨額資產出現安全問題后往往引來無數媒體關注，所有人都會緊盯資產流向，而此時黑客通常會沉寂數月乃至一年。在認為避開風頭之后，抓住一個最佳時機，開始銷贓洗錢。

Crypto.com完成SOC 2 Type II合規性審核:金色財經報道，加密貨幣平臺Crypto.com于8月23日宣布已完成服務組織控制 (SOC) 2 Type II 合規性審計。該審計由全球公認的審計和咨詢公司Deloitte進行的審計。審計表明，Crypto.com 在數據隱私和數據保護方面遵守最嚴格的標準。德勤確認 Crypto.com 的信息安全流程、政策、程序和運營符合 AICPA 在安全、保密、處理完整性和隱私方面的信任服務標準。[2022/8/25 12:48:49]

此次黑客估計是被市場回暖喚醒，先將5,000個ETH以每筆1,000個的方式轉入一個新地址，并以此為起點，開始一輪洗錢操作。如果仔細地看這五筆交易，會發現它們共間隔16小時，而且是在每轉出一筆后，進入后續的偽裝成買家賣家操作。可見黑客格外的小心翼翼，先探探頭，試試水再說。

區塊鏈數據分析公司Flipside Crypto完成5000萬美元融資，Republic Capital領投:4月19日消息，區塊鏈數據分析公司Flipside Crypto宣布完成5000萬美元融資，本輪融資由 Republic Capital 領投，True Ventures、Galaxy Digital、Terra、Dapper Labs、M13、Blockchain Coinvestors、Collab Currency、Hashkey、Avon Ventures（隸屬于 Fidelity Investments 的風險投資基金）、Lightshed、Resolute、Boston Seed、Converge、Hutt Capital、Gangeels、Commerce Ventures、Quiet以及Tribe Capital等參投。（raise.flipsidecrypto.xyz）[2022/4/20 14:34:32]

圖2:黑客將部分資產轉移到一個新地址

第二步：偽裝買賣

黑客為了逃避資產追蹤，一般會將大額資產，以小額多筆的形式分散到大量的地址中，再在各個地址上進行頻繁的分散匯聚。而此次黑客采用了一種新方式，通過偽裝成去中心化交易所的買家和賣家，試圖以正常的掛單配對交易來逃避追蹤。

圖3:黑客偽裝成買家

圖4:黑客控制的地址買賣

黑客將每次收到的1,000ETH，再散成以約500個ETH一筆進入去中心化交易所，開始買賣。從圖3和圖4中發現，黑客以普通用戶的方式，不是僅用一兩筆，而是通過大量多筆的交易，完成從買家到賣家的資產轉移。

偽裝買家賣家，買賣BAT、ELF代幣

下圖中可以看到黑客控制多個帳號偽裝成買家和賣家將資產倒手，圖中是黑客成交的多筆ELF和BAT代幣的訂單。

圖5:黑客偽裝成買家交易ELF、BAT代幣

具體來看買家在去中心化交易所EtherDelta合約上的一條交易記錄

圖6:買家在EtherDelta上的交易記錄

在上圖中可以看到，買家與賣家的配對交易，僅接著賣家做了提現操作，對應的著鏈上的交易記錄

截圖如下：

圖7:賣家在EtherDelta上的提現記錄

第三步：再次匯聚，進入交易所

通過去中心化交易所的倒手交易后，黑客已認為能夠避免資產被追蹤，又將獲得的ETH匯總到一個地址，并分批次進入火幣交易所。

圖8:黑客資產匯總進入火幣交易所

至此，黑客最初的5,000枚ETH，分批匯聚再進入去中心化交易所，經過倒手買賣，再次匯聚進入火幣，看似天衣無縫的操作，實則在鏈上留下了諸多痕跡。

截至發文時，黑客共計將4,787個ETH轉入了火幣交易所，PeckShield正協助火幣交易所對涉及贓款實施封堵。目前尚有26,003個ETH控制在黑客手中，存在進一步洗錢的可能。PeckShield正持續追蹤黑客下一步的洗錢行蹤。

今年1月份Cryptopia交易所遭黑客攻擊損失共計30,790個ETH。時隔3個月，當時的ETH行情價格也已經翻番了，黑客覺得時機差不多成熟了，開始活躍出來洗錢了。整體來看，黑客此次行動還是很小心謹慎的，通過分散轉移賬號、偽裝買賣等多種手段來逃離追蹤，但區塊鏈世界，一切鏈上行為都有跡可循，安全公司更道高一丈。

黑客洗錢地址一覽

黑客洗錢初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

偽裝買家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1

偽裝賣家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba

偽裝賣家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

資產匯總地址0x3d40897675A7467A73610c3ABbBc8292835e67F2

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627832.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

BCH硬分叉后重組并非51%攻擊，而是從小偷那里奪回應有的幣

下一篇：

監控地址，阻斷黑幣，保護聲譽：慢霧AML為交易所開啟「鷹眼」

Tags：CRYPCRYCRYPTETHJurassic CryptoxCryptcrypto幣幣行情EETH

萊特幣最新價格