2022 上半年区块链反态势_ASH:polkadot代币

区块链反态势

匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同地“组建”起反同盟,其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。

2022上半年,这些群体的反动态如下:

交易平台/资金管理平台/项目方

Tether:2022上半年共计屏蔽了132个ETH地址,这些地址上拥有的USDT-ERC20资产被冻结不可转移。

Circle:2022上半年共计屏蔽了18个ETH地址,这些地址上拥有的USDC-ERC20资金被冻结不可转移。

监管方

美国财政部:4月14日制裁RoninNetwork黑客相关的地址,5月6日制裁加密货币混币器Blender,值得注意的是,美国财政部在此之前从未制裁过加密货币混币器。

区块链安全公司

Chainalysis:3月10日,创建SanctionsList链上数据库合约,共计制裁31个地址。

SlowMist:4月27日,MistTrack反追踪系统正式上线,专注于打击加密货币活动。

众所周知,造成区块链安全事件的黑客、黑色产业链、欺诈者和RugPull项目方一直是的主力,其中最臭名昭著的莫过于朝鲜LAZARUSGROUP黑客组织,给区块链生态安全带来巨大的威胁。

根据开源情报和链上数据分析推测LAZARUSGROUP上半年的动态如下:

1月17日,Crypto.com的少数用户账户遭到未经授权提款。

Arbitrum:400万枚ARB初始空投代币将被分配给DAO:金色财经报道,以太坊Layer 2扩容解决方案Arbitrum在社交媒体宣布,新一波ARB初始空投代币将会被分配给Arbitrum生态系统中的DAO,总计400万枚。另据Nansen披露数据显示,截至目前Arbitrum空投代币ARB已有1,077,565,625枚被申领,占到1,162,166,000空投总供应量的约93%。[2023/6/7 21:20:50]

2月8日,TheIRAFinancial的Gemini托管账户被恶意提款。

3月23日,RoninNetwork跨链桥被盗成为加密货币领域损失最大的黑客攻击事件之一。

在这些与LAZARUSGROUP相关的安全事件中,我们可以通过他们成体系的手法发现他们的痕迹:

初期:将ETH链上的获利资金全部兑换为ETH,并将所有的ETH分批转入Tornado.Cash或者交易平台。

中期:从Tornado.Cash分批提款后兑换为renBTC代币跨链到BTC链。

后期:在BTC链上,从renBTC提款后汇总资金,并进一步转移到Coinjoin和混币器。

在黑客、黑色产业链、欺诈者和RugPull项目方过程中,自然少不了一些工具的帮忙,常见的工具有ETH/BSC链上的Tornado.Cash,BTC链上的Coinjoin工具、混币器、隐私钱包、换币平台和一些交易平台。

一些常见工具上半年的存提款数据如下:

数据:比特币过去7天平均交易量达近1个月最高水平:6月4日消息,据Glassnode Alerts数据监测,比特币过去7天平均交易量刚刚达到近1个月的最高水平,为75,347.78美元。[2023/6/5 21:15:11]

Tornado.Cash:2022上半年用户共计存款955,277ETH到Tornado.Cash,共计从Tornado.Cash提款892,573?ETH。

ChipMixer:2022上半年用户共计存款26,021.89BTC到ChipMixer,共计从ChipMixer提款14,370.57BTC。

Blender:LAZARUSGROUP使用此混币器洗RoninNetwork跨链桥被盗的钱,于5月6日被美国财政部制裁,目前站点已不可用。

在反分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?的资金去了哪里?我们将通过上半年的典型安全事件来探索这两个问题。

发起攻击的手续费来自哪里?

Dragonfly Capital合伙人:FTX的崩溃为风险资本家敲响了警钟:11月22日消息,加密风投Dragonfly Capital合伙人Tom Schmidt周一在CoinDesk TV中表示,加密交易所FTX倒闭的后果为风险资本家敲响了警钟。Schmidt表示,就FTX而言,风投们错过的危险信号可能部分是由于“融资环境的副作用”,这使得加密初创公司更容易获得早期投资“极低利息”融资,“成吨资金”涌入VC市场。

Schmidt进一步解释称:“当竞标者多于机会时,价格自然就会上涨,进而会缩短尽职调查时间以及风投在这些对话中的谈判和影响力”。Schmidt表示,Dragonfly Capital正在寻求支持处于早期发展阶段的团队。[2022/11/22 7:55:30]

根据典型安全事件攻击手续费来源图,典型安全事件的攻击手续费大多都来自Tornado.Cash提款,也有从换币平台、交易平台提款或从其他个人地址转移的情况。

的资金去了哪里?

通过对上半年典型安全事件的整体分析,的主要流程发生在ETH链或BTC链,如果资金没有在这两条链上,黑客也会考虑将资金跨链到这两条链进一步变现。

通过对典型安全事件被盗资金的ETH和BTC流向进行分析,得到ETH/BTC资金流向图,能够初步评估出资金的态势。

ETH资金流向图

Illuvium提出可互操作的区块链游戏概念 “IBG”并正构建三款游戏:9月29日消息,区块链游戏Illuvium的联合创始人Kieran Warwick在Token2049期间表示,目前正在构建三款游戏,这些游戏将由同一经济体支撑,并由单一代币ILV管理,使其成为一种可互操作的体验。

“IBG”是Illuvium创造的一个概念,是一系列相互连接的区块链游戏形成的一个相互关联的游戏生态系统,这些游戏共享NFT、通用的游戏内货币,或两者兼得。(Cointelegraph)[2022/9/30 6:03:16]

根据典型安全事件ETH资金流向图,74.6%资金流向Tornado.Cash,资金量高达300,160ETH;23.7%资金保留在黑客地址,暂未进一步转移,资金量为95,570ETH;1.5%资金流向交易平台,资金量为6,250ETH。

BTC资金图

Voyager要求法院允许其兑现提款、清算加密货币等活动:金色财经报道,加密货币经纪商Voyager Digital已向美国联邦破产法院申请许可,以兑现大都会商业银行持有的超过3.5亿美元的客户提款。Voyager此前在一份声明中表示,他们拥有价值约13亿美元的加密资产,并且在大都会商业银行的客户利益(FBO)账户中持有超过3.5亿美元资金。该公司还表示,他们对三箭资本的索赔额超过了6.5亿美元。在其法庭文件中,Voyager还正在寻求法院授权进行其他金融行动,包括:从余额为负的客户账户中清算加密货币、在第三方交易所持有“转存现金”、对客户账户进行“常规过程对账”和“给予相关救济”。(The Block)[2022/7/16 2:17:19]

根据典型安全事件BTC资金流向图,48.9%资金流向ChipMixer,资金量高达3,460BTC;36.5%资金保留在黑客地址,暂未进一步转移,资金量为2,586BTC;6.2%资金流向Blender,3.8%资金流向CryptoMixer,2.1%资金流向未知主体,1.3%资金流向renBTC,0.7%资金流向WasabiCoinjoin,0.1%资金流向Binance交易平台。

工具及方法

在正式开始反分析之前,我们首先要有一个高效的工具和一套有效应对复杂情况的分析方法。

基础工具–MistTrack

MistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

AMLRiskScore

MistTrack反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算AML风险评分。当地址所属实体为高风险主体或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。

AddressLabels

MistTrack反追踪系统积累了超2亿个钱包地址标签,地址标签主要包含3个分类:

1.它归属于什么实体,如Coinbase、Binance

2.它的链上行为特征,如DeFi鲸鱼、MEVBot以及ENS

3.一些链下情报数据,如曾使用过imToken/MetaMask钱包

Investigations

追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。

通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack在反分析评估工作中起到至关重要的作用。

拓展方法-数据分析

MistTrack可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。

新的手法需要新的分析方法,对Tornado.Cash转出分析的需求变得越来越普遍,此处我们将提出一个针对Tornado.Cash资金转出的分析方法。

记录目前已知的信息,已知信息包括转入Tornado.Cash总数,第一笔Tornado.Cash存款时间,第一笔Tornado.Cash存款的区块高度。

将参数填入我们准备的分析面板?。

得到初步的Tornado.Cash提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。

筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。

Tornado.Cash转出分析结论。

通过这个Tornado.Cash资金转出的分析方法,我们已成功分析出RoninNetwork等多个安全事件从Tornado.Cash转出后的资金详情。

显而易见,这个Tornado.Cash资金转出的分析方法同样存在局限性:转入Tornado.Cash的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。

而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。

ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。

识别ChipMixer的提款特征。

根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内ChipMixer的提款记录。

对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。

ChipMixer转出分析结论。

总结

反仍然是区块链发展的重中之重,面对层出不穷的被黑事件,针对其独有的特点,相应的反规范也需要具体问题、具体分析、具体应对。文中所提到的典型安全事件具体见完整报告内容。

完整报告下载:

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-1:718ms