ETH:慢雾：复盘 Liquid 交易平台被盗 9000 多万美元事件_RC20

北京时间2021年8月19日10:05，日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看，Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种，币种之多，数额之高，令人惊叹。

慢雾AML团队利用旗下MistTrack反追踪系统分析统计，Liquid共计损失约9,135万美元，包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。

慢雾AML团队全面追踪了各币种的资金流向情况，也还原了攻击者的洗币手法，接下来分几个部分向大家介绍。

BTC部分

攻击者相关地址

慢雾AML团队对被盗的BTC进行全盘追踪后发现，攻击者主要使用了“二分法”的洗币手法。所谓“二分法”，是指地址A将资金转到地址B和C，而转移到地址B的数额多数情况下是极小的，转移到地址C的数额占大部分，地址C又将资金转到D和E，依次类推，直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额，要么以二分法的方式继续转移，要么转到交易平台，要么停留在地址，要么通过Wasabi等混币平台混币后转出。

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

以攻击者地址为例：

据MistTrack反追踪系统显示，共107.5BTC从Liquid交易平台转出到攻击者地址，再以8~21不等的BTC转移到下表7个地址。

为了更直观的展示，我们只截取了地址资金流向的一部分，让大家更理解“二分法”洗币。

以图中红框的小额转入地址为例继续追踪，结果如下：

慢雾：PREMINT攻击者共窃取约300枚NFT，总计获利约280枚ETH:7月18日消息，慢雾监测数据显示，攻击PREMINT的两个黑客地址一共窃取了大约300枚NFT，卖出后总计获利约280枚ETH。此前报道，黑客在PREMINT网站植入恶意JS文件实施钓鱼攻击，从而盗取用户的NFT等资产。[2022/7/18 2:19:58]

可以看到，攻击者对该地址继续使用了二分法，0.0027BTC停留在地址，而0.0143BTC转移到Kraken交易平台。

攻击者对其他BTC地址也使用了类似的方法，这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记，帮助客户做出有效的事前防范，规避风险。

ETH与ERC20代币部分

攻击者相关地址

经过慢雾AML团队对上图几个地址的深度分析，总结了攻击者对ETH/ERC20代币的几个处理方式。

慢雾：警惕 Terra 链上项目被恶意广告投放钓鱼风险:据慢雾区情报，近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中，当前总损失约 431 万美金。

经过慢雾安全追踪分析确认，此次攻击为批量谷歌关键词广告投放钓鱼，用户在谷歌搜索如：astroport，nexus protocol，anchor protocol 等这些知名的 Terra 项目，谷歌结果页第一条看似正常的广告链接（显示的域名甚至是一样的）实为钓鱼网站。 一旦用户不注意访问此钓鱼网站，点击连接钱包时，钓鱼网站会提醒直接输入助记词，一旦用户输入并点击提交，资产将会被攻击者盗取。

慢雾安全团队建议 Terra 链上用户保持警惕不要随便点击谷歌搜索出来的链接或点击来历不明的链接，减少使用常用钱包进行非必要的操作，避免不必要的资损。[2022/4/21 14:37:55]

1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。

慢雾：Titano Finance被黑因池子被设置成恶意PrizeStrategy合约造成后续利用:据慢雾区情报消息，2月14日，BSC链上的Titano Finance项目遭受攻击，损失约190万美元，最初获利地址为0xad9217e427ed9df8a89e582601a8614fd4f74563，目前被黑资金已被攻击者转移到其他23个钱包。该攻击主要由于owner角色可以任意设置setPrizeStrategy函数，导致了池子被设置成恶意的PrizeStrategy合约造成后续利用。[2022/2/14 9:51:14]

2.部分ERC20代币直接转到交易平台，部分ERC20代币直接转到地址1并停留。

3.攻击者将地址1上的ETH不等额分散到多个地址，其中16,660ETH通过Tornado.Cash转出。

地址2的538.27ETH仍握在攻击者手里，没有异动。

4.攻击者分三次将部分资金从Tornado.cash转出，分别将5,600ETH转入6个地址。

其中5,430ETH转到不同的3个地址。

另外170ETH转到不同的3个交易平台。

攻击者接着将3个地址的ETH换成renBTC，以跨链的方式跨到BTC链，再通过前文提及的类似的“二分法”将跨链后的BTC转移。

以地址为例：

以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果，该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。

TRX/TRC20部分

攻击者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

资金流向分析

据MistTrack反追踪系统分析显示，攻击者地址上的TRC20兑换为TRX。再将所有的TRX分别转移到Huobi、Binance交易平台。

XRP部分

攻击者相关地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

资金流向分析

攻击者将11,508,495XRP转出到3个地址。

接着，攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。

总结

本次Liquid交易平台被盗安全事件中，攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移，之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前，大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台，11,508,516枚XRP转入交易平台，攻击者以太坊地址2存有538.27ETH，以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币，慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。

攻击事件事关用户的数字资产安全，随着被盗数额越来越大，资产流动越来越频繁，加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统，在收到相关“脏币”时会收到提醒，可以更好地识别高风险账户，避免平台陷入涉及的境况，拥抱监管与合规的大势。

来源链接：mp.weixin.qq.com

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

慢雾

慢雾

慢雾科技是一家专注区块链生态安全的国家高新技术企业，通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括：安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品，已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多

标签：BTCETHRC20RC2btc期货交易平台结算eth官网下载brc20是什么网络brc20官网

DYDX热门资讯