当地时间周二美国司法部发布公告称,它已经查获了价值36亿美元的比特币,这些比特币与2016年加密货币交易所Bitfinex的黑客事件有关。34岁的IlyaLichtenstein和其31岁的妻子HeatherMorgan在纽约被捕,两人被指控共谋和罪。
美国司法部公告称,这是司法部有史以来最大规模的金融扣押,此次调查由IRS-CI华盛顿特区办事处的网络犯罪部门、联邦调查局的芝加哥办事处和国土安全调查局纽约办事处领导,德国安斯巴赫警察局在此次调查期间提供了协助。
事件背景
根据慢雾AML掌握的情报数据分析显示,Bitfinex在2016年8月遭受网络攻击,有2072笔比特币交易在Bitfinex未授权的情况下转出,然后资金分散存储在2072个钱包地址中,统计显示Bitfinex共计损失119,754.8121BTC。事发当时价值约6000万美元,按今天的价格计算,被盗总额约为45亿美元。
慢雾:Distrust发现严重漏洞,影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道,据慢雾区消息,Distrust 发现了一个严重的漏洞,影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器(PRNG)来访问钱包的私钥,目前已在现实世界中造成了实际影响。
漏洞详情:该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器(PRNG)实现。该实现使用了 Mersenne Twister 算法,并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。
影响范围:该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户,以及使用 libbitcoin-system 3.6 开发库的应用。
已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。
风险评估:由于该漏洞的存在,攻击者可以访问并控制用户的钱包,从而窃取其中的资金。截至 2023 年 8 月,已有超过 $900,000 美元的加密货币资产被盗。
解决方案:我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包,并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]
慢雾AML曾于2月1日监测到Bitfinex被盗资金出现大额异动,后被证实该异动资金正是被司法部扣押了的94,643.2984BTC,约占被盗总额的79%,目前这些资金保管在美国政府的钱包地址
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
慢雾:AToken钱包疑似遭受攻击 用户反馈钱包中资产被盗:据慢雾区情报,近期 AToken 钱包(atoken.com)疑似遭受到攻击,用户在使用 AToken 钱包后,币被偷偷转移走。目前已经有较多的用户反馈钱包中的资产被盗。AToken 钱包官方推特在2021年12月20日发布了停止运营的声明。官方 TG 频道中也有多位用户反馈使用 AToken 钱包资产被盗了,但是并没有得到 AToken 团队的回复和处理。
如果有使用 AToken 钱包的用户请及时转移资产到安全的钱包中。具体可以参考如下操作:
1. 立即将 AToken 钱包中的相关的资产转移到新的钱包中。
2. 废弃导入 AToken 或者使用 AToken 生成的助记词或私钥的钱包。
3. 参考慢雾安全团队梳理的数字资产安全解决方案,对数字资产进行妥善的管理。
4. 留存相应有问题的 AToken 钱包 APP 的安装包,用于后续可能需要的取证等操作。
5. 如果资产已经被盗,可以先梳理被盗事件的时间线,以及黑客的相关地址 MistTrack 可以协助挽回可能的一线希望。[2022/2/9 9:39:46]
事件梳理
声音 | 慢雾:Ghostscript存在多个漏洞:据慢雾区消息,Google Project Zero发布Ghostscript多个漏洞预警,远端攻击者可利用漏洞在目标系统执行任意代码及绕过安全限制。Ghostscript 9.26及更早版本都受影响。软件供应商已提供补丁程序。[2019/1/24]
慢雾AML根据美国司法部公布的statement_of_facts.pdf文件进行梳理,将此案的关键要点和细节分享如下:
1、美国执法部门通过控制Lichtenstein的云盘账号,获取到了一份写着2000多个钱包地址和对应私钥的文件。该文件中的地址应该就是上文提到的2072个盗币黑客钱包地址,然后美国司法部才有能力扣押并将比特币集中转移到
bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。
2、从2017年1月开始,被盗资金才开始转移,其通过剥离链技术,将被盗资金不断拆分、打散,然后进入了7个独立的AlphaBay平台账号进行混币,使BTC无法被轻易追踪。从结果看,使用AlphaBay进行混币的比特币约为25000BTC。
3、混币后,大部分资金被转入到8个在交易所-1注册的账号,这些账号的邮箱都是用的同一家印度的邮箱服务提供商。除此之外,这8个账号使用过相同的登录IP,并且都是在2016年8月左右注册的。更为致命的是,在Lichtenstein的云盘里有一份Excel表格,记录着这8个账号的各种信息,而且其中6个账号还被他标记为FROZEN。美国司法部统计发现,交易所-1里的8个账号共冻结着价值18.6万美元的资产。
4、混币后还有部分资金被转入到交易所-2和一家美国的交易所,在这两家交易所上注册的账号,有些也是使用的上文提到的那一家印度的邮箱服务提供商。这些信息也是在上文提到的Lichtenstein的云盘中的Excel表格里发现的。通过VCE2和VCE4,Lichtenstein夫妇成功把Bitfinex被盗的BTC换成了法币,收入囊中。不过,他们在VCE4上有2个用俄罗斯邮箱注册的账号,因为频繁充值XMR而且无法说明资金来源,导致账号被平台封禁。美国司法部统计发现,上面冻结了价值约15.5万美元的资产。
5、在账号被冻结前,从交易所-1提币的资金,大部分到了另一家美国的交易所。在Bitfinex被盗前的2015年1月13日,Lichtenstein在VCE5交易所上用自己真实的身份和私人邮箱注册了账号并进行了KYC认证。在VCE5交易所上,Lichtenstein用BTC与平台上的商户购买了黄金,并快递到了自己真实的家庭住址。
6、除了前面提到的VCE1、VCE2、VCE4、VCE5这几家交易所被他们用来,Lichtenstein夫妇还注册了VCE7、VCE8、VCE9、VCE10等交易所用来。资金主要都是通过从VCE1提币来的,不过在VCE7-10这些交易所上注册的账号,都是用Lichtenstein夫妇的真实身份和他的公司来做KYC认证的。美国司法部统计发现,从2017年3月到2021年10月,Lichtenstein夫妇在VCE7上的3个账号共计收到了约290万美元等值的比特币资金。在这些交易所上,Lichtenstein进一步通过买卖altcoins、NFT等方式来,并通过比特币ATM机器进行变现。
链路
事件疑点
从2016年8月Bitfinex被盗,到现在过去了约6年的时间,在这期间美国执法部门是如何进行的深入调查,我们不得而知。通过公布的statement_of_facts.pdf文件内容我们可以发现,Lichtenstein的云盘中存储着大量的账号和细节,相当于一本完美的“账本”,给执法部门认定犯罪事实提供了有力的支撑。
但是回过头全局来看,执法部门是怎么锁定Lichtenstein是嫌疑人的呢?
还有个细节是,美国司法部并没有控诉Lichtenstein夫妇涉嫌非法攻击Bitfinex并盗取资金。
最后一个疑问是,从2016年8月Bitfinex被盗,到2017年1月被盗资金开始转移,这其中的5个月时间发生了什么?真正攻击Bitfinex的盗币黑客又是谁?
参考资料:
https://www.justice.gov/opa/press-release/file/1470186/download
22-mj-22-StatementofFacts.pdf?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。