By:Lisa@慢雾AML团队
随着DeFi、NFT、跨链桥等项目的火热发展,黑客攻击事件也层出不穷。有趣的是,据慢雾统计,80%的黑客在洗币过程中都使用了混币平台Tornado.Cash,本文以KuCoin被盗事件为例,试图从追踪分析过程中找到一丝揭开Tornado.Cash匿名性的可能。
事件概述
据KuCoin官网公告,北京时间2020年9月26日凌晨,KuCoin交易所的热钱包地址出现大量异常的代币提现,涉及BTC、ETH等主流币以及LINK、OCEN等多种代币,牵动了无数用户的心。
图1
据慢雾AML团队统计,本次事件被盗资金超2.7亿美元,具体如下图:
于佳宁:区块链为数据资源提供极低成本的确权服务:金色财经报道,随着信息技术快速发展,数据已成为基础性战略资源,对生产、分配、流通、消费以及经济运行机制、社会生活方式和国家治理能力产生重要影响。中国通信工业协会区块链专委会轮值主席于佳宁表示,数据要素的特点和其他实物要素有较大不同,数据的生产者、管理者、整合者、使用者等角色之间的边界存在一定交叉,导致大量数据滥用的情况发生,阻碍了数据要素的生产和流通。因此,数据确权是数据要素流通交易、实现市场化配置的重要前提。在数据使用过程中,区块链是较为关键的技术。区块链为数据资源提供极低成本的确权服务,并在实现确权后打通交易,形成市场价格,使数据真正成为一种资产。(经济日报)[2021/9/20 23:37:49]
图2
值得注意的是,我们全面追踪后发现黑客在这次攻击事件中大量使用了Tornado.Cash来清洗ETH。在这篇文章中,我们将着重说明黑客如何将大量ETH转入到Tornado.Cash,并对Tornado.Cash的转出进行分析,以分解出被盗资金可能流向的地址。
现场丨Oasis Labs创始人宋晓冬:安全计算和区块链结合创造数据资产:金色财经现场报道,由Web3基金会主办的Web3大会10月30日在上海举行。Oasis Labs创始人兼CEO、加州伯克利大学教授宋晓冬在会上发表演讲表示,安全计算和区块链的结合让通证化数据有了新的范式。区块链强制记录所有信息和强制执行规则,保持高的完整性和可审计性;安全计算保证数据在计算的时候保持隐私性、没有授权的情况下不会被重用。进而通证化数据创造了一种新的资产类型:数据资产。[2020/10/30]
Tornado.Cash是什么?
Tornado.Cash是一种完全去中心化的非托管协议,通过打破源地址和目标地址之间的链上链接来提高交易隐私。为了保护隐私,Tornado.Cash使用一个智能合约,接受来自一个地址的ETH和其他代币存款,并允许他们提款到不同的地址,即以隐藏发送地址的方式将ETH和其他代币发送到任何地址。这些智能合约充当混合所有存入资产的池,当你将资金放入池中时,就会生成私人凭据,证明你已执行了存款操作。而后,此私人凭据作为你提款时的私钥,合约将ETH或其他代币转移给指定的接收地址,同一用户可以使用不同的提款地址。
盛见网络潘东:联邦智能将在安全隐私的前提下推动数据资产化进程:金色财经现场报道,9月20日,由金色财经主办,水桥区块链总冠名的“共为·创业者大会”在厦门举办。盛见网络联合创始人潘东做了主题为《机器视觉+区块链的工业互联网服务探索》的演讲。潘东表示,目前数据本身的归属权,数据作为资产的定价权,如何将所有权、收益权做分割,并且验证数据商业价值的技术方法仍存在问题。人工智能和区块链,一个作为人类目前最先进的生产力,一个作为人类目前最先进的生产关系。他们两者结合,可以为数据资产在保证安全隐私的前提下实现数据的商业价值验证以及商业定价,进一步推动数据资产化进程。[2020/9/20]
如何转入?
攻击得手后,黑客开始大范围地将资金分批转移到各大交易所,但还没来得及变现就被多家交易所冻结了。在经历了白忙一场的后,黑客将目光转向了DeFi。
据慢雾AML旗下MistTrack反追踪系统显示,黑客(0xeb31...c23)先将ERC20代币分散到不同的地址,接着使用Uniswap、1inch和Kyber将多数ERC20代币换成了ETH。
BNTDE中国区首席运营官:区块链在数据资产化领域大有可为:3.28日晚,BNTDE中国区首席运营官贾吉辉先生在社群AMA中表示:数据在未来数字经济时代将是重要的生产要素,区块链与数据的结合将大有可为,实现数据资产化,赋能到个体,打破巨头垄断,解决传统数据领域的诸多痛点。[2020/3/28]
图3
大部分ERC20代币兑换成ETH后,被整合到了以下主要地址:
表1
在对ETH和ERC20代币进行完整追踪后,我们梳理出了资金是如何在黑客地址间移动,并分解出了资金是以怎样的方式进入Tornado.Cash。
动态 | 人民数据资产服务平台启动,利用区块链等技术建立行业规范和黑名单机制:9月24日,由人民数据管理有限公司推出的人民数据资产服务平台启动。人民数据管理有限公司总经理助理、人民数据资产服务平台负责人李春莹表示,人民数据资产服务平台以数据源认证平台、数据流通登记平台、数据交易服务平台、数据流通监管平台组成,其通过数据提供方、加工方、交易平台、使用者、监管机构的密切联系和合作,建立统一的数据赋权标准、数据类目管理、数据加密规范、数据流通交易安全体系,并且利用区块链等新兴技术,有效实现合法数据流通和非法数据流通的辨识,建立行业规范和黑名单机制。(光明网)[2019/9/24]
图4
黑客将资金按时间先后顺序转入Tornado.Cash的详情如下:
表2
转到了哪?
猜想
1.巨额的ETH进入Tornado.Cash,会集中表现出一些可追踪的特征。2.以黑客急于变现的行为分析,猜想黑客将资金存入Tornado.Cash后会随即提款,或下次存入时提款。3.分析攻击者使用洗币平台的方式和行为,可以获得资金的转移地址。
可能的链上行为
1.资金从Tornado.Cash转出的时间范围与黑客将资金转入Tornado.Cash的时间范围近似。2.一定时间段内,从Tornado.Cash转出的资金会持续转出到相同地址。
验证
以黑客地址(0x34a...c6b)为例:
如表2结果所述,黑客在2020-10-2316:06:28~2020-10-2610:32:24(UTC)间,以每次100ETH,存115次的方式将11,500ETH存入Tornado.Cash。为了方便说明,我们只截取了该地址在2020-10-243:00:07~6:28:33(UTC)间的存款记录,如下图:
图5
接着,我们查看_Tornado.Cash:100ETH_合约的交易记录,找到地址(0x34a...c6b)在同一时间段的存款记录,下图红框地址(0x82e...398)在此时间段内大量提款的异常行为引起了我们的注意。
图6
查看该地址(0x82e...398)在此时间段的交易哈希,发现该地址并没有将ETH提款给自己,而是作为一个合约调用者,将ETH都提款到了地址(0xa4a...22f)。
图7
图8
同样的方式,得出黑客地址(0x34a...c6b)经由Tornado.Cash提款分散到了其他地址,具体如下:
表3
经过核对,发现从Tornado.Cash提款到表3中六个地址的数额竟与黑客存款数额11,500ETH一致,这似乎验证了我们的猜想。对其他地址的分析方法同理。
接着,我们继续对这六个地址进行追踪分析。据MistTrack反追踪系统展示,黑客将部分资金以50~53ETH不等转向了ChangeNOW、CoinSwitch、Binance等交易平台,另一部分资金进入第二层后也被黑客转入了上述交易平台,试图变现。
图9
总结
本文主要说明了黑客是如何试图使用Tornado.Cash来清洗盗窃的ETH,分析结果不由得让我们思考:Tornado.Cash真的完全匿名吗?一方面,既然能分析出部分提款地址,说明不存在绝对的匿名;另一方面,匿名性是具备的,或许只是Tornado.Cash不适合在短时间内混合如此大规模的资金而已。
截止目前,KuCoin官方表示已联合交易所、项目方、执法和安全机构追回约2.4亿美元资金。从各种攻击事件看来,DeFi或许已成为黑客转移资金的通道,而今监管已至,合规化的脚步愈发逼近,有合规需求的项目方,可以考虑接入慢雾AML系统(aml.slowmist.com),即使黑客使用了DeFi,也无处遁形。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。