慢雾:复盘 Liquid 交易平台被盗 9000 多万美元事件

慢雾科技

    北京时间 2021 年 8 月 19 日 10:05,日本加密交易平台 Liquid 称其热钱包遭到攻击。从官方发布的报告来看,Liquid 交易平台上被盗币种涉及 BTC、ETH、ERC20 代币、TRX、TRC20 代币、XRP 等超 70 种,币种之多,数额之高,令人惊叹。
    慢雾 AML 团队利用旗下 MistTrack 反洗钱追踪系统分析统计,Liquid 共计损失约 9,135 万美元(按事发当天价格计),包括约 462 万美元的 BTC (107.5 枚)、3,216 万美元的 ETH (10,851.27 枚)、4,290 万美元的 ERC20 代币、23 万美元的 TRX (2,600,933.17 枚)、160 万美元的 TRC20 (1,609,635.96 枚)、1,093 万美元的 XRP (11,508,516 枚)。(按文章发布当天价格计)
    慢雾 AML 团队全面追踪了各币种的资金流向情况,也还原了攻击者的洗币手法,接下来分几个部分向大家介绍。
    BTC 部分
    攻击者相关地址
    
    慢雾 AML 团队对被盗的 BTC 进行全盘追踪后发现,攻击者主要使用了“二分法(Peel Chain)”的洗币手法。所谓“二分法”,是指地址 A 将资金转到地址 B 和 C,而转移到地址 B 的数额多数情况下是极小的,转移到地址 C 的数额占大部分,地址 C 又将资金转到 D (小额)和 E (大额),依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以二分法的方式继续转移,要么转到交易平台,要么停留在地址,要么通过 Wasabi 等混币平台混币后转出。
    以攻击者地址(1Fx...f7q)为例:
    
    据 MistTrack 反洗钱追踪系统显示,共 107.5 BTC 从 Liquid 交易平台转出到攻击者地址(1Fx...f7q),再以 8~21 不等的 BTC 转移到下表 7 个地址。
    
    为了更直观的展示,我们只截取了地址(1Ja...rGs)资金流向的一部分,让大家更理解“二分法”洗币。
    
    以图中红框的小额转入地址为例继续追踪,结果如下:
    
    可以看到,攻击者对该地址继续使用了二分法,0.0027 BTC 停留在地址(1aB...yDD),而 0.0143 BTC 转移到 Kraken 交易平台。
    攻击者对其他 BTC 地址也使用了类似的方法,这里就不再重复讲解。慢雾 AML 团队将对资金停留地址进行持续监控及标记,帮助客户做出有效的事前防范,规避风险。
    ETH 与 ERC20 代币部分
    攻击者相关地址
    
    经过慢雾 AML 团队对上图几个地址的深度分析,总结了攻击者对 ETH/ERC20 代币的几个处理方式。
    1. 部分 ERC20 代币通过 Uniswap、Balancer、SushiSwap、1inch 等平台将代币兑换为 ETH 后最终都转到地址 1。
    
    2. 部分 ERC20 代币直接转到交易平台,部分 ERC20 代币直接转到地址 1 并停留。
    
    3. 攻击者将地址 1 上的 ETH 不等额分散到多个地址,其中 16\,660 ETH 通过 Tornado.Cash 转出。
    
    地址 2 的 538.27 ETH 仍握在攻击者手里,没有异动。
    
    4. 攻击者分三次将部分资金从 Tornado.cash 转出,分别将 5\,600 ETH 转入 6 个地址。
    
    其中 5,430 ETH 转到不同的 3 个地址。
    
    另外 170 ETH 转到不同的 3 个交易平台。
    
    攻击者接着将 3 个地址的 ETH 换成 renBTC,以跨链的方式跨到 BTC 链,再通过前文提及的类似的“二分法”将跨链后的 BTC 转移。
    以地址(0xC4C...7Fe)为例:
    
    以跨链后的其中一个 BTC 地址(14N...13H)为例。根据 MistTrack 反洗钱追踪系统如下图的显示结果,该地址通过 renBTC 转入的 87.7 BTC 均通过混币平台 Wasabi 转出。
    
    TRX/TRC20 部分
    攻击者地址
    TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp
    资金流向分析
    据 MistTrack 反洗钱追踪系统分析显示,攻击者地址上的 TRC20 兑换为 TRX。
    
    再将所有的 TRX 分别转移到 Huobi、Binance 交易平台。
    
    XRP 部分
    攻击者相关地址
    rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby
    资金流向分析
    攻击者将 11,508,495 XRP 转出到 3 个地址。
    
    接着,攻击者将 3 个地址的 XRP 分别转到 Binance、Huobi、Poloniex 交易所。
    总结
    本次 Liquid 交易平台被盗安全事件中,攻击者以迅雷不及掩耳之速就将一个交易平台内超 70 种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。
    截止目前,大部分被盗资产还控制在攻击者手中。21,244,326.3 枚 TRX 转入交易平台,11,508,516 枚 XRP 转入交易平台,攻击者以太坊地址 2 (0xefb...b53 )存有 538.27 ETH,以太坊地址 1 (0x557...946)仍有 8.9 ETH 以及价值近 540 万 美元的多种 ERC20 代币, 慢雾 AML 团队将持续对异常资金地址进行实时监控与拉黑。
    攻击事件事关用户的数字资产安全,随着被盗数额越来越大,资产流动越来越频繁, 加速合规化成了迫在眉睫的事情。慢雾 AML 团队建议各大交易平台接入慢雾 AML 系统,在收到相关“脏币”时会收到提醒,可以更好地识别高风险账户,避免平台陷入涉及洗钱的境况,拥抱监管与合规的大势。