ETA:慢雾：复盘 Liquid 交易平台被盗 9000 多万美元事件_ethereumcloud

北京时间2021年8月19日10:05，日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看，Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种，币种之多，数额之高，令人惊叹。

慢雾AML团队利用旗下MistTrack反追踪系统分析统计，Liquid共计损失约9,135万美元，包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。

慢雾AML团队全面追踪了各币种的资金流向情况，也还原了攻击者的洗币手法，接下来分几个部分向大家介绍。

BTC部分

攻击者相关地址

慢雾AML团队对被盗的BTC进行全盘追踪后发现，攻击者主要使用了“二分法”的洗币手法。所谓“二分法”，是指地址A将资金转到地址B和C，而转移到地址B的数额多数情况下是极小的，转移到地址C的数额占大部分，地址C又将资金转到D和E，依次类推，直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额，要么以二分法的方式继续转移，要么转到交易平台，要么停留在地址，要么通过Wasabi等混币平台混币后转出。

慢雾：利用者通过执行恶意提案控制了Tornado.Cash的治理:金色财经报道，SlowMist发布Tornado.Cash治理漏洞解析。 5月20日，Tornado.Cash遭受了治理攻击，利用者通过执行恶意提案控制了Tornado.Cash的治理。5月13日，利用者发起了20提案，并在提案中说明20提案是对16提案的补充，具有相同的执行逻辑。但实际上，提案合约多了一个自毁逻辑，其创建者是通过create2创建的，具有自毁功能，所以在与提案合约自毁后，利用者仍可以部署不同的以与以前相同的方式将字节码发送到相同的地址。不幸的是，社区没有看到拟议合约中的犯规行为，许多用户投票支持该提案。

在5月18日，利用者通过创建具有多个交易的新地址，反复将0代币锁定在治理中。利用提案合约可以销毁并重新部署新逻辑的特性，利用者在5月20日7:18（UTC）销毁了提案执行合约，并在同一地址部署了一个恶意合约，其逻辑是修改用户在治理中锁定的代币数量。

攻击者修改完提案合约后，于5月20日7:25（UTC）执行恶意提案合约。该提案的执行是通过 Delegatecall 执行的，因此，该提案的执行导致治理合约中由开发者控制的地址的代币锁定量被修改为 10,000。提案执行完成后，攻击者从治理库中解锁了TORN代币。金库中的TORN代币储备已经耗尽，同时利用者控制了治理。[2023/5/21 15:17:00]

以攻击者地址为例：

慢雾：iCloud 用戶的MetaMask钱包遭遇钓鱼攻击是由于自身的安全意识不足:据官方消息，慢雾发布iCloud 用戶的MetaMask钱包遭遇钓鱼攻击简析，首先用户遭遇了钓鱼攻击，是由于自身的安全意识不足，泄露了iCloud账号密码，用户应当承担大部分的责任。但是从钱包产品设计的角度上分析，MetaMask iOS App 端本身就存在有安全缺陷。

MetaMask安卓端在AndroidManifest.xml中有android:allowBackup=\"false\" 来禁止应用程序被用户和系统进行备份，从而避免备份的数据在其他设备上被恢复。

MetaMask iOS端代码中没有发现存在这类禁止钱包数据(如 KeyStore 文件)被系统备份的机制。默认情况下iCloud会自动备份应用数据，当iCloud账号密码等权限信息被恶意攻击者获取，攻击者可以从目标 iCloud 里恢复 MetaMask iOS App 钱包的相关数据。

慢雾安全团队经过实测通过 iCloud 恢复数据后再打开 MetaMask 钱包，还需要输入验证钱包的密码，如果密码的复杂度较低就会存在被破解的可能。[2022/4/18 14:31:38]

慢雾：2021年上半年共发生78起区块链安全事件，总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计，2021年上半年，整个区块链生态共发生78起较为著名的安全事件，涉及DeFi安全50起、钱包安全2起，公链安全3起，交易所安全6起，其他安全相关17起，其中以太坊上27起，币安智能链(BSC)上22起，Polygon上2起，火币生态链(HECO)、波卡生态、EOS上各1起，总损失金额超17亿美元(按事件发生时币价计算)。

经慢雾AML对涉事资金追踪分析发现，约60%的资金被攻击者转入混币平台，约30%的资金被转入交易所。慢雾安全团队在此建议，用户应增强安全意识，提高警惕，选择经过安全审计的可靠项目参与；项目方应不断提升自身的安全系数，通过专业安全审计机构的审计后才上线，避免损失；各交易所应加大反监管力度，进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]

据MistTrack反追踪系统显示，共107.5BTC从Liquid交易平台转出到攻击者地址，再以8~21不等的BTC转移到下表7个地址。

分析 | 慢雾：攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析，从DragonEx公布的“攻击者地址”的分析来看，20 个币种都被盗取（但还有一些DragonEx可交易的知名币种并没被公布），从链上行为来看攻击这些币种的攻击手法并不完全相同，攻击持续的时间至少有1天，但能造成这种大面积盗取结果的，至少可以推论出：攻击者拿下了DragonEx尽可能多的权限，更多细节请留意后续披露。[2019/3/26]

为了更直观的展示，我们只截取了地址资金流向的一部分，让大家更理解“二分法”洗币。

以图中红框的小额转入地址为例继续追踪，结果如下：

声音 | 慢雾：警惕“假充值”攻击:慢雾分析预警，如果数字货币交易所、钱包等平台在进行“EOS 充值交易确认是否成功”的判断存在缺陷，可能导致严重的“假充值”。攻击者可以在未损失任何 EOS 的前提下成功向这些平台充值 EOS，而且这些 EOS 可以进行正常交易。

慢雾安全团队已经确认真实攻击发生，但需要注意的是：EOS 这次假充值攻击和之前慢雾安全团队披露过的 USDT 假充值、以太坊代币假充值类似，更多责任应该属于平台方。由于这是一种新型攻击手法，且攻击已经在发生，相关平台方如果对自己的充值校验没有十足把握，应尽快暂停 EOS 充提，并对账自查。[2019/3/12]

可以看到，攻击者对该地址继续使用了二分法，0.0027BTC停留在地址，而0.0143BTC转移到Kraken交易平台。

攻击者对其他BTC地址也使用了类似的方法，这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记，帮助客户做出有效的事前防范，规避风险。

ETH与ERC20代币部分

攻击者相关地址

经过慢雾AML团队对上图几个地址的深度分析，总结了攻击者对ETH/ERC20代币的几个处理方式。

1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。

2.部分ERC20代币直接转到交易平台，部分ERC20代币直接转到地址1并停留。

3.攻击者将地址1上的ETH不等额分散到多个地址，其中16\,660ETH通过Tornado.Cash转出。

地址2的538.27ETH仍握在攻击者手里，没有异动。

4.攻击者分三次将部分资金从Tornado.cash转出，分别将5\,600ETH转入6个地址。

其中5,430ETH转到不同的3个地址。

另外170ETH转到不同的3个交易平台。

攻击者接着将3个地址的ETH换成renBTC，以跨链的方式跨到BTC链，再通过前文提及的类似的“二分法”将跨链后的BTC转移。

以地址为例：

以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果，该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。

TRX/TRC20部分

攻击者地址

TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp

资金流向分析

据MistTrack反追踪系统分析显示，攻击者地址上的TRC20兑换为TRX。

再将所有的TRX分别转移到Huobi、Binance交易平台。

XRP部分

攻击者相关地址

rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby

资金流向分析

攻击者将11,508,495XRP转出到3个地址。

接着，攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。

总结

本次Liquid交易平台被盗安全事件中，攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移，之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前，大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台，11,508,516枚XRP转入交易平台，攻击者以太坊地址2存有538.27ETH，以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币，慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。

攻击事件事关用户的数字资产安全，随着被盗数额越来越大，资产流动越来越频繁，加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统，在收到相关“脏币”时会收到提醒，可以更好地识别高风险账户，避免平台陷入涉及的境况，拥抱监管与合规的大势。

标签：RC2TAMLOUDETAbrc20代币ITAM价格ethereumcloudMETAG币

FIL热门资讯